• Използване на груповите правила за филтриране, за да Създаване на NAP DHCP Налагане на правилата (част 1)
• Използване на груповите правила за филтриране, за да Създаване на NAP DHCP Налагане на правилата (Част 2)
• Използване на груповите правила за филтриране, за да Създаване на NAP DHCP Налагане на правилата (част 3)

През първите три части от поредицата за конфигурирането NAP DHCP Налагане на правилата, ние с основните положения на NAP, а след това се създаде политика DHCP изпълнение на сървъра NPS, който съдържа политиката на НАП. В тази последна част от поредицата ще завършим настройката за конфигурация на сървър DHCP да работи с NAP сървър NPS и политиците, след което ние ще конфигурира Group Policy, така че политиката и NAP компоненти, автоматично се настройват за всяка машина, която принадлежи към групите на NAP сигурност на компютри в Active Directory. И накрая, ние пробвайте решението, за да види дали тя наистина работи.

Конфигуриране на DHCP сървър

Сега, нашата политика НПД са конфигурирани с помощта на съветника за NAP, ние можем да се съсредоточи върху конфигурацията на DHCP сървър. Не забравяйте, че сървърът на DHCP е сървър за достъп до мрежата в сценария на DHCP NAP, така че ние трябва да конфигурирате DHCP сървър, за да си взаимодействат с компонентите на НАП, за да всичко да работи.

Отворете DHCP конзолата от Административния менюто Tools. В конзолата DHCP, разширяване името на сървъра, а след това върху раздела IPv4. и след това се разширява раздела Обхват (граница на видимостта). Кликнете върху раздела Опции на видимата граница. Щракнете с десния бутон върху празно място на десния панел, както е показано по-долу, и след това щракнете върху Конфигуриране на опциите.

Опциите се появяват диалогов прозорец граници, кликнете върху раздела Разширени. Уверете се, че в продавач на класа (за търговец клас) е на стойност стандартните опции за DHCP. В списъка с потребителското клас (User клас) се изисква, за да изберете запис стандартен достъп клас на защита на мрежата (по подразбиране на мрежата за защита на достъпа клас). DHCP е, че ние ще се създаде тук ще се прилага за клиенти за тяхната идентификация като NAP клиенти, които не са съобразени с политиката.

Намерете DNS име на домейн вариант 015, и напишете името низ стойност на текстово поле, което ще се използва за клиенти, които не отговарят на НПД. Това ще ви помогне по-лесно да се идентифицират не отговарят на изискванията компютри. Щракнете върху OK.

Сега ще видите записи за класове Няма и мрежата по подразбиране клас на защита на достъпа. последния клас на опцията ще бъде назначен за неподходящо компютър политика, когато DHCP контрол е използван с НАП.

Преди NAP да използвате тези възможности, ние трябва да се коригира границите на видимост да работи с НАП. Кликнете на граничния видимостта на раздел в IPv4 възел в левия панел на конзолата, и след това щракнете с десния бутон на мишката върху него. В диалоговия прозорец Свойства, щракнете върху раздела граница Защита на мрежовия достъп. Изберете Активиране на тази граница. и след това изберете Използвайте стандартния профил Защита на мрежовия достъп.

Вариант Използвайте профила на потребителя, е доста интересно, но в интернет, включително и на интернет страницата на Microsoft www.microsoft.com. че няма документация за това как да използвате тази опция. Аз ще публикуваме тази информация в блога си, ако разберете как да я накара да работи.

Щракнете върху OK в диалоговия прозорец на границата на имоти.

Конфигуриране на НПД Настройки в Group Policy

Въпреки че можем да конфигурирате ръчно NAP на всяка машина, която ще участва в нашата инфраструктура NAP сигурност, ръчна настройка не е най-добрата в мащабите на ситуацията. За да се реши този проблем, Microsoft е включила необходимите разширения на груповите правила, които ви позволяват да конфигурирате NAP Group Policy.

Има три неща, които трябва да направим в Group Policy за централизиране на конфигурацията:

• Активиране на NAP агент на машини, участващи в НПР
• Конфигуриране на NAP съдебен изпълнител (в този случай това ще DHCP NAP Съдебен Изпълнител Agent)
• Конфигуриране на GPO да се прилага само за тези машини, които принадлежат към група за сигурност, който съдържа машините, които участват в управлението на достъпа NAP мрежа.

Преди да изпълните следните стъпки, трябва да създадете GPO нарича НПД настройки за клиенти. Това може да стане в GPMC (Конзолата за управление на груповите правила). Ако не знаете как да направите това, вижте помощта на конзолата за управление на групови правила, защото този процес е доста проста. Уверете се, че GPO се намира в същия домейн, в който сте си кола.

Включване NAP агент

В раздела System Services ще намерите елемент в десния панел за агент Агент Защита на мрежовия достъп. Кликнете два пъти върху този елемент. В диалоговия прозорец, прозорец NAP Агент имоти в, изберете Define тази настройка политика. и след това изберете Автоматично. Щракнете върху OK.

Тези стъпки включват NAP агент на компютрите, които използват GPO. NAP агент трябва да е активиран, за да подремна лечение функционира правилно.

Разрешаването на клиента Изпълнение DHCP Client

въвеждането на различни клиенти, са на разположение за NAP ще бъде показано в клиенти на разделите в изпълнението на десния панел на конзолата. Можете да включва един или повече методи за изпълнение; не сте ограничени до един изпълнение клиент. В този пример, ние използваме само DHCP изпълнение, така че с десния бутон върху записа на Client Изпълнение DHCP карантина и щракнете върху Разреши. както е показано по-долу.

Кликнете на конфигуриране на клиенти на НАП в левия панел на конзолата, както е показано на фигурата по-долу. Щракнете с десния бутон върху конфигуриране на клиенти на НАП, а след това щракнете върху Приложи. Това се отнася за прилагането на политиката на настройките клиент Group.

Използване на груповите правила за филтриране, за да се прилага GPO сигурност на НПД компютрите на групата сигурност

Последният ни стъпка в политиката Group ще използва настройките GPO в настройките на GPO на НПД клиентските компютри, които принадлежат към групата на сигурността на НПД насилствените Computers. ние създадохме по-рано. Отворете конзолата за управление на групови правила. разширяване на името на гора, а след това се разширява раздела домейн. След това разширете името на домейна, и кликнете върху обекта NAP настройки за клиенти GPO.

В десния панел на конзолата, ще видите раздел, наречен Security Filtering (Сигурност Filtering). Можете да използвате тази функция, за да приложите настройките на груповите правила в тази GPO на групата за сигурност, която сме създали за НПД клиентски компютри.

Под сигурност Filtering, кликнете на регистрирани потребители. и след това щракнете върху Премахни.

Вие ще имате диалогов прозорец за управление на групови правила. което ви пита дали искате да премахнете тази привилегия делегация? Щракнете върху OK.

Сега щракнете върху бутона Add. Това ще отвори диалогов прозорец Select потребител, компютъра или група. Въведете НПД насилствените компютри в текстовото поле въведете името на обекта, за да изберете, и след това кликнете върху Проверка на имената. за да се потвърди, че групата може да бъде намерена. След това кликнете върху OK.

Сега, в филтриране на сигурност, ще видите, групата за сигурност, в който да се сложи компютри активиран NAP.

Включване на компютри Vista в групата за сигурност на NAP насилствените Компютри

Когато са дадени настройки на груповите правила, можем да включите Vista клиентския компютър за групата за сигурност на НПД насилствените Computers. Отворете конзолата Directory потребители и компютри на Active, а след това кликнете върху раздела Потребители в левия панел на конзолата.

Кликнете два пъти върху НПР Налагане Компютри елемент. Това ще доведе до диалоговия прозорец NAP насилствените Компютри Свойства. Кликнете върху раздела на членовете на групата, а след това щракнете върху Добави.

В диалоговия прозорец, за избрани потребители, контакти, Компютри, или Групи, въведете името на компютъра, който ще участва в изпълнението на НПР. В този пример, ние имаме един компютър, член на домейн, наречен VISTA2. и ние ще влезем, че името в текстовото поле въведете имената на обекти, които да изберете.

Ако машината, която искате да включите в групата на NAP изпълнение все още не е включен в домейн, вместо да създадете профил в компютъра в Active Directory, като се използва опцията за добавяне на компютър на потребителите на конзолата на Active Directory и компютри. След това, вие ще бъдете в състояние да се по-късно да свържете устройството с домейна. В нашата мрежа, която ние използваме в тази статия, VISTA2 компютър вече е присъединен към домейн.

На този етап можем да използваме командата gpupdate / сила на домейн контролера. Също така, ако машината ви е активиран NAP вече принадлежи на домейн, ще се наложи да рестартирате компютъра, за нови настройки на политиката, които да влязат в сила.

Най-проблемна зона в разтвора на NAP е времената на Group Policy. производство мрежа Group Policy разпространението ще се наложи да чака дълго време, но в изпитвателната лаборатория, ние сме склонни към нетолерантност и искат всичко да работи веднага. Ако установите, че настройките не се прилагат към клиента, моля, бъдете търпеливи. Рестартирайте клиента няколко пъти, или изпълнявате команда gpupdate / сила на клиента. Ако НПД все още не работи, тогава ще трябва да се покажат всички настройки за НРП и групови правила. Има много на "движещи се части", така че е много лесно да пропуснете стъпка.

Сега нека да се провери NAP решение в действие.

Проверка на решения

Тези ситуации възникват и в случай, че колата не е била включена в областта или ако параметъра NAP не се прилага към клиента.

Сега нека видим как изглежда, когато са били приложени настройките на дрямка.

Изпълнете командата IPCONFIG отново и да видим неограничен име на домейн, която бе дадена на клиента.

Изпълнява команда Route Печат. Можете да видите, че шлюза по подразбиране са конфигурирани. В допълнение, ние имаме маршрута интерфейс за ID на мрежата в подмрежата. Специални маршрутизация интерфейси към сървър DHCP и домейн контролера е била отстранена.

Нека да изпробваме автоматичната корекция. Припомнете си, че сме включили автоматичната корекция на Windows SHV сигурност. Това позволява на NAP агент се опитва да решите проблемите със сигурността, които могат да възникнат на клиента NAP. Например, ако защитната стена е изключена от клиента NAP, NAP агент да я включите.

Фигурата по-долу показва, че съм изключен защитната стена на Windows на клиента Vista. Опитай на вашите клиенти Vista.

Изчакайте няколко секунди. Ще откриете, че състоянието на защитната стена на Windows автоматично се променя включен без намесата от Ваша страна.

Имайте предвид, че в системната област не е имало уведомление за това действие. Ако искате да видите съобщение в системната област, ще трябва да го конфигурирате така, че NAP агент не може автоматично да отстрани проблема. Ако се върнете към Windows SHV на NPS сървър, можете да промените това поведение, така че е необходимо антивирусна програма. Ако клиентът не трябва антивирусна програма, ще забележите в системния трей, казвайки, че настройките за сигурност на компютъра не отговарят на изискванията за сигурност на мрежата. Ако кликнете върху съобщението, ще се отвори диалогов прозорец, както е показано на фигурата по-долу.

В тази последна част от поредицата ни за използване на DHCP с изпълнение на НПД, видяхме как да конфигурирате DHCP сървър и след това да конфигурирате настройките на Group Policy за автоматизиране на политиката за монтаж, статията сключен тестване на нашите решения и е установено, че NAP DHCP Налагане на правилата на действително работи. В бъдеще смятам да напиша друга статия за конфигурацията на НАП, като се използват различни методи за изпълнение. Ще разгледаме по-усъвършенствани възможности, като например използването на няколко НПД и DHCP сървъри (или изпълнение на сървъра). Виж ти!