五、前期准备：服务器配置

　　DC1配置

　　1. 在AD中创建一个全局安全组：IPsec NAP Examption,将NPS、HRA及DC服务器放入此组，以标识不管他们的健康状况如何，都可以获得一个系统健康证书，与网络内的任何计算机通信，并处于边界网络中。此实验需要将NPS1;DA1;APP1;DC1放入该组。

　　2. 配置证书模板，在【证书模板】中，复制工作站证书，起名：系统健康证书。如图1
 

　　图1

　　3. 切换到【扩展】选项卡中，编辑【应用程序策略】，点击【添加】，找到【系统健康身份验证】，点击【确定】，如图2.双击【系统健康身份验证】确认其对象标识符为：1.3.6.1.4.1.311.47.1.1.如图3
 

　　图2
 

　　图3

　　4. 回到新模板属性中，切换到【安全】选项卡，添加【IPsec NAP Examption】安全组，并赋予【读取、注册、自动注册】权限，这样改组成员就不需要检查系统健康状态而获取到一个系统健康证书了。如图4
 

　　图4

　　5. 在证书模板中新建刚才创建的【系统健康证书】。如图5
 

　　图5

　　6. 配置组策略，新建一个【NAP Policy】GPO，启用其证书自动注册功能。依次展开【NAP Policy】-【计算机配置】-【策略】-【Windows 设置】-【安全设置】-【公钥策略】，在右侧的明细中，双击【证书服务器客户端-自动注册】，将其启用，并勾选下面两个选项。如图6

　　图6

　　7. 此时在【IPsec NAP Examption】组中的计算机使用【gpupdate /force】强制刷新组策略，即可看到自动颁发的系统健康证书。图9中为NPS服务器自动申请到得证书。如图7
 

　　图7

　　至此，NAP IPsec DC配置完成，并且大家已经初步了解了NAP IPsec功能特性。下一篇，将描述NAP服务器的搭建配置，敬请期待。