二、NAP客户端访问测试

　　1. 这次我们依然使用Client1来进行测试，先将它的网络切换到域内，然后强制刷新组策略，获取新的NAP策略设置。

　　2. 依次打开Client 1的【控制面板】-【系统和安全】-【操作中心】，这里看到该计算机的安全保护设置。展开【安全】选项，拉到底部，可以发现Client 1的网络访问保护功能已经启用，如图14
 

　　图14

　　3. 此时打开防火墙设置，会在顶部多出这样一行字【出于安全原因，某些设置由系统管理员管理】。如图15。并且此时是无法手工关闭防火墙的，因为此时系统的某些安全设置已经被NAP服务代理管理，即使选中关闭防火墙后，系统在检测到安全策略设置中的选项被更改，会强行再次按照安全策略的内容启动防火墙。由于此实验安全策略选项我设置了防火墙和自动更新，所以这两项设置都无法改变。如图15
 

　　图15

　　4.在符合健康要求后，要检查系统健康证书是否已经自动注册，打开本地计算机【证书】，选择【计算机账户】-【个人】-【证书】中，可以看到已经自动注册到得系统健康证书。如图16
 

　　图16

　　5.更新好组策略，此时可以将Client 1移到"Ineternet"网络中，即设定131.107.0.0/24段IP地址。因其本身就为DA 客户端，所以可以直接通过DA服务器访问内部资源。如图17
 

　　图17

　　至此，客户端在IPsce NAP的保护下，通过Direct Access对企业内部资源就可以实现安全快捷方便的访问了。当然，NAP除了IPsec保护外，还可以使用DHCP和IEEE 802.1X等多种方式，结合Direct Access技术，使企业的远程安全访问达到一个新的高度，身为管理员的你，是否已经心动了呢。