【IT168 专稿】继上篇为NAP环境配置好DC之后(点击)，这篇将描述NAP服务器的配置及客户端测试。

　　一、配置NAP服务器

　　NPS1角色安装

　　1. 首先在NPS1上安装NPS和HRA角色，打开【服务器管理器】，点击【添加角色】，选择【网络策略和访问服务】，在【选择角色服务】处，选中【网络策略服务器】和【健康注册机构】，在选择证书颁发机构处，选择远程CA，然后指定企业根CA，如图1
 

　　图1

　　2. 身份验证要求建议选中【否，允许匿名请求健康证书】，这样非域用户也可以成为NAP客户端。如图2
 

　　图2

　　3. 加密证书选择CA自动颁发的证书即可。如果此处没有证书，请检查组策略自动注册设置是否生效。如图3
 

　　图3

　　因为健康注册机构(HRA)要为符合健康标准的计算机颁发系统健康证书，所以身为健康注册机构(HRA)角色的服务器，需要有选择CA的证书管理管理权限：【颁发和管理证书】【管理CA】【请求证书】(如果CA和HRA服务器在同一台计算机上，则需要给【network service】服务添加权限即可)。所以需要在DC的CA属性中，添加NPS1，并赋予以上3个权限设置。如图4
 

　　图4

　　4. 之后的IIS设置，默认选项即可。

　　NPS1角色配置

　　1. 打开【网络策略服务器】，点击右侧的【配置NAP】。如图5
 

　　图5

　　2. 网络连接方式选择【带有HRA的IPsec】，其他设置默认，完成即可。

　　3. 展开【网络访问保护】-【系统健康验证程序】-【Windows 安全健康验证】-【设置】，编辑设置，在这里可以针对不同系统设定符合健康策略的条件。此例中，我勾选Windows 7中的【启用防火墙】和【启用自动更新】.如图6
 

　　图6

　　4. 健康条件设定完了，需要指定更新服务器，让不符合健康策略的计算机与更新服务器通讯，获取补救。新建一个更新服务器组，组内包含NPS1。如图7
 

　　图7

　　从图中可以看到，NPS1被自动解析后，返回的不仅有IPV4【10.0.0.4】和IPV6【fe80::282c::b4d1:4448:a12c%11】的地址，还有ISATAP隧道适配器转换地址【2002:836b:2:1:0:5efe:10.0.0.4】和【fe80::5efe:10.0.0.4%12】。

　　OK，NAP服务器配置完成，还需要在组策略中设定NAP客户端的相关设置。

　　DC1组策略配置

　　1. 打开组策略管理，编辑【NAP Policy】，展开【计算机配置】-【策略】-【Windows设置】-【安全设置】-【系统服务】，找到【Network Access protection Agent】属性，设定自动启动服务。如图8
 

　　图8

　　2. 在【安全设置】-【网络访问保护】-【NAP客户端配置】-【强制客户端】中，启用【IPsec 信赖方】如图9
 

　　图9

　　3. 在下面的【健康注册设置】-【受信任的服务器组】中，新建【受信任的HRA服务器】，添加https://nps1.contoso.com/domainhra/hcsrvext.dll ，完成设置。如图10

　　注：添加的URL要确保正确，否则NAP客户端可能无法获得健康证书
 

　　图10

　　4. 返回到【计算机配置】-【策略】-【管理模板】-【Windows组件】-【安全中心】，启用安全中心。如图11
 

　　图11

　　5. 此时在各服务器中强制刷新组策略，会在任务栏左下角的小旗处看到如图12一样的报错，这个报错其实是因为SHA需要依赖安全中心，但是Windows Server 2008 并不含有安全中心造成的。如果不想看到这个报错，可以停掉当前服务器的NAP Agent服务，或者将【Windows安全健康验证程序】属性中【SHA无法连接到所需服务】改为【符合】。微软只将此问题列出，并未进行修复。相关链接请点击。如图13。
 

　　图12
 

　　图13

　　不过可以将这些服务器放入【IPsec NAP Examption】组，置于外围网络，这样就可以忽略安全健康状态，直接得到系统健康证书，进行保护通信了。

　　6. 如果要求非域用户也可以得到此策略，则最好创建一个NAP Client组，将所有需要受到NAP保护的计算机都加入该组，然后在【组策略管理】中的【安全筛选】里，加入该组即可。

　　二、NAP客户端访问测试

　　1. 这次我们依然使用Client1来进行测试，先将它的网络切换到域内，然后强制刷新组策略，获取新的NAP策略设置。

　　2. 依次打开Client 1的【控制面板】-【系统和安全】-【操作中心】，这里看到该计算机的安全保护设置。展开【安全】选项，拉到底部，可以发现Client 1的网络访问保护功能已经启用，如图14
 

　　图14

　　3. 此时打开防火墙设置，会在顶部多出这样一行字【出于安全原因，某些设置由系统管理员管理】。如图15。并且此时是无法手工关闭防火墙的，因为此时系统的某些安全设置已经被NAP服务代理管理，即使选中关闭防火墙后，系统在检测到安全策略设置中的选项被更改，会强行再次按照安全策略的内容启动防火墙。由于此实验安全策略选项我设置了防火墙和自动更新，所以这两项设置都无法改变。如图15
 

　　图15

　　4.在符合健康要求后，要检查系统健康证书是否已经自动注册，打开本地计算机【证书】，选择【计算机账户】-【个人】-【证书】中，可以看到已经自动注册到得系统健康证书。如图16
 

　　图16

　　5.更新好组策略，此时可以将Client 1移到"Ineternet"网络中，即设定131.107.0.0/24段IP地址。因其本身就为DA 客户端，所以可以直接通过DA服务器访问内部资源。如图17
 

　　图17

　　至此，客户端在IPsce NAP的保护下，通过Direct Access对企业内部资源就可以实现安全快捷方便的访问了。当然，NAP除了IPsec保护外，还可以使用DHCP和IEEE 802.1X等多种方式，结合Direct Access技术，使企业的远程安全访问达到一个新的高度，身为管理员的你，是否已经心动了呢。