DC1组策略配置
1. 打开组策略管理,编辑【NAP Policy】,展开【计算机配置】-【策略】-【Windows设置】-【安全设置】-【系统服务】,找到【Network Access protection Agent】属性,设定自动启动服务。如图8
图8
2. 在【安全设置】-【网络访问保护】-【NAP客户端配置】-【强制客户端】中,启用【IPsec 信赖方】如图9
图9
3. 在下面的【健康注册设置】-【受信任的服务器组】中,新建【受信任的HRA服务器】,添加https://nps1.contoso.com/domainhra/hcsrvext.dll ,完成设置。如图10
注:添加的URL要确保正确,否则NAP客户端可能无法获得健康证书
图10
4. 返回到【计算机配置】-【策略】-【管理模板】-【Windows组件】-【安全中心】,启用安全中心。如图11
图11
5. 此时在各服务器中强制刷新组策略,会在任务栏左下角的小旗处看到如图12一样的报错,这个报错其实是因为SHA需要依赖安全中心,但是Windows Server 2008 并不含有安全中心造成的。如果不想看到这个报错,可以停掉当前服务器的NAP Agent服务,或者将【Windows安全健康验证程序】属性中【SHA无法连接到所需服务】改为【符合】。微软只将此问题列出,并未进行修复。相关链接请点击。如图13。
图12
图13
不过可以将这些服务器放入【IPsec NAP Examption】组,置于外围网络,这样就可以忽略安全健康状态,直接得到系统健康证书,进行保护通信了。
6. 如果要求非域用户也可以得到此策略,则最好创建一个NAP Client组,将所有需要受到NAP保护的计算机都加入该组,然后在【组策略管理】中的【安全筛选】里,加入该组即可。