Windows Server 2008 R2域的安全管理 - 图文

项目一 基于Windows Server 2008 R2域的安全管理

Windows Server 2008 R2是微软最新的服务器操作系统，该操作系统秉承“按需定制”的原则，可以根据需要选择安装组件。网络中常用的基础服务以“角色”的方式体现，更多的管理任务以“功能”的方式体现。由于系统安装的服务少，因而能够减少网络攻击面，提升网络安全。其中的AD DS域服务是Windows网络的基础网络服务，是Windows系列应用型产品的核心平台，是用户管理、计算机管理的基础。

一、项目简介

本项目实现计算机系OU中若干计算机账号和用户账号（见表1-1）的统一的管理。

表1-1 网络环境描述 名称 Server1 Server2、Server3… PC1 PC2 类型 服务器 服务器 客户端计算机1 客户端计算机2 作用 DC 文件服务器等 用户登录的计算机 用户登录的计算机 普通账号 DC 备注 域控制器 域的成员服务器 OU内 OU内 域内用户 文件服务器 User1、user2、user3 用户账号

……

PC机

图1-1 基于域的网络拓扑图

图1-1是网络拓扑图。 二、实训环境 1、软件环境

Windows Server 2008 R2、Windows 7 等镜像文件光盘、VMware 7.1以上版本的虚拟机软件。

2、学院域gdsspt.net，计算机系是域中的一个OU。 三、项目学时

本项目预计学时24学时，包含评讲。

任务1 应用组策略管理用户工作环境（6学时）

组策略是一个能够让系统管理员充分管理用户工作环境的技术，通过它来确保用户拥有与权限相符的工作环境，也通过它来限制用户，如此不但可以让用户拥有适当的环境，也可以减轻系统管理员的管理负担。

[安全管理需求]

用户使用统一的方式上网，在登录、注销时使用统一脚本，普通用户在离开时可以关闭本地服务器。为便于备份和管理，要实现文件夹的重定向，将文件目录统一放至文件服务器上。用户登录后环境要求统一，如桌面、磁盘配额等。为了安全起见，不允许用户私自使用移动存储介质，如USB、光盘设备。

[任务描述]

1、设置用户使用代理服务器上网

设置域gdsspt.net内的计算机系内的用户必须使用企业内部的代理服务器（Proxy Server）上网，代理服务器的网址为proxy.gdsspt.net，端口号为8080，同时要将用户浏览器IE的连接标签内更改代理服务器设置的功能禁用，以免用户私自通过此处更改这些设置值。

2、设置计算机配置中的安全设置

为计算机系中的用户user1分配可以关闭计算机（文件服务器）Server2的权限。 3、设置首选设置

要让位于计算机系OU内的所有用户登录时，其驱动器号Z：都会自动链接到\\\\dc\\tools共享文件夹；另外还要使用过滤功能让计算机系内的用户user2登录时，其磁盘驱动器Y：会自动链接到\\\\dc\\database共享文件夹，但是同样是计算机系的其他用户登录时不会有Y：磁盘。（其中dc表示域控制器）

4、设置用户登录/注销脚本

实现客户计算机PC1启动脚本，显示类似于如图所示的对话框。

图1-2 登录脚本示意图

当用户注销时显示注销脚本，如图1-3所示。

图1-3 用户注销脚本示意图

5、设置用户配置中的文件夹重定向

为计算机系中的所有用户实现文件的集中管理，把My Documents文件夹指向网络中的文件服务器server2下的ShareFile共享文件夹。

6、设置用户配置中的管理模板

使用组策略来限制访问可移动存储设备。 [步骤提示]

1、设置用户使用代理服务器上网 （1）将Windows Server 2008 R2升级为域控制器，域名为gdsspt.net，客户机Windows7加入域中。

（2）在域控制器上创建组织单元（OU）—计算机系，并将Windows7移到OU计算机系中。完成后如图1-4所示。

图1-4 客户机加入OU中示意图

（3）在计算机系OU上设置组策略对象（GPO）并编辑，在“用户配置”-》“策略”-》“Windows设置”-》“Internet Explorer”-》“连接”下设置代理。如图1-5所示。

图1-5设置代理服务限制

（4）为了限制用户更改代理服务器设置，要启用“禁用更改代理服务器设置”（在“策略”-》“管理模板”中）。如图1-6所示。

图1-6 启用“禁用更改代理服务器设置”示意图

（5）在客户机上测试。效果如图1-7所示。

图1-7 客户机使用预设的代理方式上网且用户不能更改

2、设置计算机配置中的安全设置 （1）默认情况下域内用户可以在本地登录域中的成员服务器，但不能关闭成员服务器。如图1-8所示。

图1-8 域中用户登录成员服务器但没有关机的权限示意图

（2）在成员服务器上设置权限，允许域用户可以关闭文件服务器。如图1-9所示。

图1-9 添加域用户可以关闭系统示意图

（3）组策略生效后，域内用户可以关闭文件服务器，如图1-10所示。

图1-10 域用户user1具备关闭服务器的权限示意图

3、设置首选设置

首选设置并非强制性，客户端可自行更改设置值，因此它适合用来当作默认值。 （1）需要在dc上创建共享文件夹tools和database，并设置合适的权限。

（2）在计算机系的“用户配置”-》“首选项”-》“Windows设置”-》“驱动器映射”下，实现OU内的用户其驱动器号Z：都会自动链接到\\\\dc\\tools共享文件夹。设置细节如图1-11、1-12所示。

图1-11 映射驱动器“常规”标签设置

图1-12映射驱动器“常用”标签设置

（3）同样方法设置\\\\dc\\database，使计算机系内的用户user2登录时，其磁盘驱动器Y：

会自动链接到\\\\dc\\database共享文件夹，但是同样是计算机系的其他用户登录时不会有Y：磁盘。细节如图1-13、1-14所示。

图1-13 设置过滤示意图

图1-14设置过滤示意图

（4）测试效果，如图1-15和1-16所示。

图1-15 user1登录后效果图

图1-16 user2登录后效果图

注：如果使用首选设置的客户端，必须安装支持首选设置的Client-side extension（CSE）和XMLLite。Windows 7、Windows Server 2008和Windows Server 2008 R2均包含了上述组件。但其它系统需要到微软官方网站去下载。

4、设置用户登录/注销脚本

第六步，进入工程设置组的编辑页面，此处可以对产品细节、安装参数、升级、搜索、运行环境、数字签名进行编辑，这里跳过。也可以进入工程定义组的编辑页面对文件和文件夹、Java产品、注册表、媒介、组织进行编辑。还可以进入工程细节组的编辑页面，对环境、文件关联、自定义操作、服务、合并模块、ODBC、SQL脚本、程序集、COM、驱动程序、用户和组、任务计划进行编辑。在用户界面组的编辑页面中可以对全局属性、对话框、翻译进行编辑，这里特别要注意的是，如果此工程是英语，则应该在构建语言中选择“简体中文”，并选择“只创建一个多语言程序包”，这样使打包后的软件可以支持中文。最后，在工具组的编辑页面中可以对IIS、更新器、序列号验证、CD/DVD自动运行、控制面板、Windows防火墙、游戏浏览器进行编辑。此处全部使用默认值。

第七步，点击菜单项“工程”后选择“运行”或按“F5”键，将此工程保存，然后就开始构建工程生成MSI文件的过程。如图1-25所示。

图1-25 构建msi工程示意图

构建完工程后会弹出应用程序的安装界面，进行安装。完成之后。到工程文件所在的文件夹，打包后的msi文件就保存在此文件夹中。至此，软件的重新打包就算完成。

注：完成软件的打包之后，还可以对软件包进行测试，通过进一步的安装使用以确定软件是否可以正常可用。可以使用命令行进入到msi所在的文件夹，运行“msiexec /i “xxxx.msi” /qb”进行验证。

（2）创建软件发布点

在域中的任一台服务器上创建一个文件夹作为软件发布点，设置必要的访问权限。将需要发布的msi文件放入该文件夹中。

（3）在域控制器上设置软件默认的存储位置。

在组织单元计算机系上设置组策略，在用户配置-〉策略-〉软件安装-〉属性，设置默认程序数据包位置，注意这里必须是UNC网络路径。如图1-26所示。

图1-26 设置默认程序数据包位置示意图

（4）布置软件 在“软件安装”-〉“新建”-〉“数据包”，选中需要发布的软件，单击“确定”，然后选择“已发布”，单击“确定”。完成后如图1-27所示。

图1-27 部署软件示意图

（5）客户端安装被发布的软件

在域的任何一台计算机上，用计算机系上，用域账户user1登录，通过 控制面板-〉程序-〉获得程序，单击上方的安装按钮，即可完成软件的安装。如图1-28所示。

图1-28 客户端安装已发布的软件

（6）取消已发布的软件

若要取消已经发布的软件，可以在已经发布的软件上单击鼠标右键，选择所有任务-〉删除。将有两种选择，立即删除和允许用户继续但阻止新用户的安装。如图1-29所示。

图1-29 取消已经发布的软件示意图

2、将软件分配给用户或计算机 （1）分配给用户

将软件分配给用户的设置如图1-30所示。

图1-30 分配软件给用户示意图

思考：软件分配给用户和发布之间的区别。 （2）分配给计算机

软件分配给计算机，设置如图1-31所示。

图1-31 软件分配给计算机

注意：软件分配给计算机，则这些计算机启动的时候，将自动安装好该软件，域内用户都可以通过计算机使用该软件。

任务3 限制软件的运行（4学时）

通过软件限制策略所提供的多种规则，可以限制或允许用户运行相应的程序。 [安全管理需求]

利用软件限制策略中的各种规则，拒绝用户运行指定的程序。 [任务描述]

设置软件限制策略，完成：

1、通过配置路径规则，使%windir%\\system32\\calc.exe（计算机器）程序不能在计算机系中的机器上运行。

2、通过为用户设置哈希规则，使用户无法运行某软件。比如QQ软件的安装。 3、通过为用户设置证书规则，使用户可以运行某个软件，比如QQ软件的安装。 [步骤提示]

1、设置路径规则

如图1-32所示，可以设置计算机器程序的运行，当用户登录计算机后，将出现图1-33所示的效果。

图1-32 设置软件路径规则

图1-33 软件路径规则效果图

2、设置哈希规则

哈希规则的设置如图1-34所示。效果如图1-35所示。

图1-34 设置哈希规则示意图

图1-35 哈希规则设置效果图

3、设置证书规则

（1）为客户端启用证书规则 在DC上通过“计算机配置”-〉“策略”-〉“Windows设置”-“安全设置”-〉“本地策略”-〉“安全选项”，在右边启用“将Windows可执行文件中的证书规则用于软件限制策略”。如图1-36所示。

图1-36 启用客户端的证书规则示意图

（2）架设CA 如图1-37所示。架设企业CA并选择web注册功能，同时创建独立CA，如图1-38所示。

图1-37 架设企业CA示意图

图1-38 创建独立CA

（3）向CA申请程序代码签署证书

在DC上，将IE浏览器中的“对未标记为可安全执行脚本的ActiveX控件初始化并执行脚本”启用，如图1-39所示。通过http://192.168.10.2/certsrv/向证书服务器申请证书。

图1-39 启用ActiveX

第一步，下载CA证书链。如图1-40所示。

图1-40 下载CA证书链

第二步，安装证书。如图1-41所示。

图1-41 安装CA证书

第三步，申请证书，如图1-42所示。

图1-42 申请证书

第四步，填写申请表。如图1-43所示。

图1-43 申请代码签名证书示意图

第五步，安装证书。

第六步，导出证书。通过浏览器下载证书。如图1-44所示。

图1-44 下载证书示意图

（4）设置组策略，新建证书规则（将计算机系单元内的默认的安全级别设置为不允许）。然后设置证书规则。

图1-45 设置证书规则

（5）验证测试。

任务4利用WSUS（Windows Software Updates Service）服务器实现软件升级（2学时）

[安全管理需求]

为了在企业中使用统一的更新源，从WSUS获取更新，以避免所有客户端都从网络更新所带来的下载流量对公司带宽的占用。有了WSUS，所有客户端从WSUS获取系统补丁，获取系统补丁是降低系统受攻击和毒害的有效办法。

[任务描述]

下载并安装WSUS3.0 sp2，完成WSUS服务器的配置安装。 [步骤提示]

1、添加WSUS角色，如图1-46所示。

图1-46 添加服务器角色

2、下载并安装WSUS软件包。

可以直接通过Internet下载并安装，如图1-47所示。安装时全部使用默认选项。

图1-47 WSUS安装

3、配置WSUS服务器

图1-48 配置WSUS选择更新产品

4、设置组策略，实现客户端的WSUS访问。 在DC上，通过“计算机配置”-〉“策略”-〉“管理模板”-〉“Windows组件”-〉“Windows Update”设置。如图1-49所示，配置自动更新示意图。图1-50，配置更新服务器地址。

图1-49 设置自动更新

图1-50 设置更新站点

5、客户机测试

如果组策略中设置了更新设置，则在客户端将不能进行修改。如图1-51所示。

图1-51 客户端用户不能修改设置选项

任务5 使用网络访问保护（NAP）实现网络访问安全（6学时）

[安全管理需求]

网络访问保护（NAP）可以强制客户端的计算机环境必须符合健康策略的要求，也就是客户端计算机必须是健康的，否则客户端只能够访问受限制的网络资源，以免不健康的客户端危害到内部网络安全。反过来说，健康的客户端可以访问完整网络资源。

[任务描述]

NAP客户端 DC&DNS服务器 DHCP服务器& RADIUS代理服务器 NAP健康策略服务器& RADIUS服务器 图1-52 DHCP NAP拓扑图

1、如图1-52所示。gdsspt.net域的计算机系OU内客户机（同时也是NAP客户端）需要配置NAP健康策略来强制NAP客户端必须打开Windows防火墙。当NAP客户端向DHCP

服务器租用IP地址时，会将客户端的健康情况发送给NAP强制执行点DHCP服务器，DHCP服务器再通过向NAP健康策略服务器查询客户端是否符合健康策略的要求。包括：

（1）若NAP客户端已打开Windows防火墙，则根据策略给予客户端具备完整网络访问权限的IP配置与路由设置策略。

（2）若NAP客户端未打开Windows防火墙，则根据策略给予客户端不同的IP配置与路由设置，让该客户端仅能访问受限制的网络资源。

DC & DNS & DHCP & 企业根CA VPN服务器 RADIUS客户端 DHCP中继代理 外网客户端 NAP健康策略服务器 RADIUS服务器 图1-53 VPN NAP拓扑结构图

2、如图1-53所示。配置NAP健康策略来强制计算机系内NAP客户端必须打开Windows防火墙。包括：

（1）若NAP客户端已打开Windows防火墙，则VPN服务器会给予客户端完整的网络访问权限。

（2）若NAP客户端未打开Windows防火墙，则VPN服务器将根据策略给予客户端受限制的网络访问权限，比如只能访问DC。

[步骤提示]

1、DHCP NAP配置 （1）配置环境

如图1-52所示，3台服务器全部是Windows Server 2008 R2 Enterprise系统，NAP客户端为Windows 7系统。将4台计算机连接在同一个网段内（比如192.168.10.0/24网段），并设置好IP地址，测试网络的连通性。

如果是在VMware中独自完成，可以将这4台计算机放到一个team中（需要创建），这里创建的Team组的名称为DHCP NAP，如图1-54所示。

提示，如果是通过Clone出来的机器，还需要进行重新封装（运行sysprep命令）。

图1-54 VMware中创建team示意图

（2）架设NAP健康策略服务器

第一步，将NAP服务器加入gdsspt.net域中。

第二步，在NAP服务器上安装“网络策略服务器”角色。通过“添加角色”-〉选择“网络策略和访问服务”-〉“网络策略服务器”。

第三步，设置NAP为健康策略服务器。这里的设置，牵扯到相当多的内容，包含系统健康验证代理程序（SHA，System Health Agent）设置、健康策略设置、网络策略设置、连接请求策略设置、更新服务器组设置与RADIUS客户端的设置等。这里可以借助NAP配置向导来快速设置。

首先，通过“管理工具”-〉“网络策略服务器”-〉选中“NPS（本地）”-〉单击“配置NAP”，如图1-55所示。

图1-55 配置NAP示意图

其次，设置“网络连接方法”，选择“动态主机配置协议（DHCP）”，如图1-56所示。

图1-56 选择动态主机配置协议示意图

第三，添加DHCP服务器的IP作为RADIUS客户端，并手动设置密码。如图1-56所示。

图1-56 RADIUS客户端添加设置

第四，接下来的设置使用默认值，直至最后完成。

第五，展开“RADIUS客户端”-〉双击DHCP服务器-〉在“高级”标签下，选择供应商名称为“Microsoft”，其它为默认值。如图1-57所示。

图1-57 RADIUS客户端中的DHCP属性设置

第六，配置系统健康程序（SHV）。通过打开“网络访问保护”-〉“系统健康验证程序”

-〉“Windows安全健康验证程序”-〉“设置”-〉“默认配置”，只选择“已为所有网络连接启用防火墙”，取消其他选项框，如图1-58所示。

图1-58 系统健康验证程序的设置

第七，在左边的树中，展开可以在“策略”下查看产生的策略。必要时可以修改这些策略，如图1-59所示。

图1-59 策略示意图

（3）设置DHCP服务器

第一步，将DHCP服务器加入gdsspt.net域。

第二步，安装DHCP服务器及网络策略服务器。安装时，DHCP选项使用默认值，作用域的名称及范围自己设定。禁用DHCPv6无状态模式。

第三步，设置DHCP作用域的NAP设置。

首先，通过DHCP作用域的“属性”对话框，选择“网络访问保护”标签-〉“对此作用域启用”-〉“使用默认网络访问保护配置文件”。如图1-60所示。

图1-60 DHCP作用域的NAP设置

其次，设置不健康客户端的选项（健康客户端的作用域选项在安装DHCP服务器时已经设置了）。在“作用域选项”上单击右键-〉“配置选项”-〉“高级”标签下，选择“默认的网络访问保护级别”-〉选择“006 DNS服务器”-〉在“IP地址”处设置IP地址。如图1-61所示。继续选择“015 DNS域名，输入restricted.gdsspt.net，如图1-62所示。最后完成后，可以看到针对健康与不健康NAP客户端分别有两个不同的选项设置。如图1-63所示。

图1-61 作用域选项设置（1）

图1-62 作用域选项设置（2）

图1-63 作用域选项设置完成后的效果图

第四步，RADIUS代理服务器设置。将DHCP服务器设置为RADIUS代理服务器的步骤为： 首先，创建远程RADIUS服务器组。在网络策略服务器中右击“远程RADIUS服务器”-〉“新建”-〉设置组名，添加NAP服务器的IP地址。如图1-64所示。

图1-64 添加RADIUS服务器地址示意图

其次，在“身份验证/记账”标签，输入与“NAP健康策略服务器”端相同的密码。如图1-65所示。

图1-65 设置NAP健康策略服务器验证密钥

第三，在左边的“连接请求策略”文件夹，在右边的“Use Windows authentication for all users”的属性中，单击标签“设置”，在“身份验证”-〉“将请求转发到以下远程RADIUS服务器组进行身份验证”-〉使用刚才创建的远程RADIUS服务器组“NAP健康策略服务器”。如图1-66所示。

图1-66 设置RADIUS代理服务器的身份验证

（4）NAP客户端的DHCP测试

由于客户端Win7未启用与NAP有关的功能，属于不支持NAP的客户端，故当它向DHCP申请IP时，尽管可以成功，但所获得的DHCP选项是受限制的那组选项。如图1-67所示，DNS后缀是restricted.gdsspt.net，子网掩码为255.255.255.255。同时客户端不能和DC和NAP健康策略服务器通信。

图1-67 客户端申请IP示意图

（5）将域控制器指定为NAP更新服务器

通过将DC作为NAP更新服务器，让不健康的客户端与不支持NAP的客户端都可以连接域控制器，以便之后可以加入域，然后通过域的组策略自动设置客户端的NAP设置值，让这些客户端变成健康的客户端。步骤为：

首先，在NAP健康策略服务器上的“策略”-〉“网络策略”-〉“NAP DHCP不符合”，在其属性对话框中，单击“设置”标签，选中“NAP强制”-〉“配置”-〉“新建组”，输入组名，然后“添加”，将入的域控制器取一个友好的名字，输入IP地址，单击解析。如图1-68所示。

图1-68 设置NAP更新服务器

其次，设置“NAP DHCP不支持NAP”属性。在“设置”标签下，单击“NAP强制”-〉“配置”下，在“更新服务器组”中选择刚才新建的服务器组名。完成后如图1-69所示。

图1-69 设置NAP DHCP不支持NAP的属性

第三，通过上述设置后，可以测试DHCP NAP客户端可以和域控制器进行通信。（需要重新申请IP地址，然后通过ping命令测试）

（6）将NAP客户端加入域后的DHCP测试

首先，需要在DC上新建安全组。这里在计算机系OU中创建安全组，组名为NAP客户端。如图1-70所示。

图1-70 创建域的组

其次，在计算机系OU上创建组策略对象（名称自定），然后进行编辑。这里有3处需

要设置，一是“计算机配置”-〉“策略”-〉“Windows设置”-〉“系统服务”中的“Network Access Protection Agent”的启动类型改为自动；二是在“安全设置”-〉“网络访问保护”-〉“NAP客户端设置”-〉“强制客户端”中的“DHCP隔离强制客户端”的状态设置为启用；三是将“计算机配置”-〉“策略”-〉“管理模板”-〉“Windows组件”-〉“安全中心”中的“启用安全中心（仅限域PC）”的状态设置为启用。

第三，将此组策略设置到组“NAP客户端”，同时删除“Authenticated Users”，如图1-71所示。

图1-71 将组策略应用于安全组

（7）将NAP客户端加入域

将Win7客户机加入域gdsspt.net域的计算机系OU中，然后再加入NAP客户端组内。如图1-72所示，是NAP客户端计算机自动“Network Access Protection Agent”服务。通过命令“netsh nap client show grouppolicy”可以查看DHCP隔离强制客户端的策略已经启用，如图1-73所示。也可以使用命令“netsh nap client show state”来检查客户端DHCP隔离强制客户端的状态，如图1-74所示。

图1-72 客户端自动启动网络访问保护服务

图1-73 查看DHCP隔离强制客户端策略启用

图1-74 查看DHCP隔离强制客户端的状态

（8）验证NAT DHCP客户端自动更新是否正常

将客户端的Windows防火墙关闭，验证NAP自动重新打开客户端的Windows防火墙。由于Windows Security Health Agent（WSHA）会自动打开Windows防火墙，所以当防火墙关闭时，系统会立刻自动变回启用状态。

也可以设置策略要求客户端计算机必须启用防病毒软件，否则即视为不健康客户端。如图1-75所示，在NAP健康策略服务器上通过“网络访问保护”-〉“系统健康验证程序”-〉“Windows安全健康验证程序”-〉“设置”-〉“默认设置”中，添加“防病毒应用程序已启用”。

图1-75 设置客户端必须启用杀毒软件示意图

如果设置了客户端必须安装杀毒软件，则客户端如果没有安装，将不能达到安全要求，将会显示网络受限的提示。如图1-76所示。

图1-76 网络访问保护警告信息示意图

如果安装了杀毒软件（必须和Windows安全中心兼容），则WSHA将对系统进行检查，发现系统满足安全要求，从而网络将不会限制。如图1-77所示。

图1-77 修复客户端示意图

2、VPN NAP配置 （1）环境设置

如图1-53，域gdsspt.net内的DC同时是DNS服务器和DHCP服务器，由于VPN NAP需要使用PEAP协议（Protected Extensible Authentication Protocol，允许用户自定义的一种身份验证协议，Windows Server 2008 R2支持这种协议，客户端连接802.1x无线基地台、802.1x交换机、VPN服务器与远程桌面网关等访问服务器时，常使用该协议）中的PEAP-MS-CHAPv2（PEAP挑战-应答方式）验证方法，所以它也是一台企业根证书服务器。NAP健康策略服务器同时也是RADIUS服务器，用来接收VPN服务器所发来的NAP客户端健康状况。NAP强制执行点是VPN服务器，同时也是RADIUS客户端，它会通过RADIUS协议将VPN NAP客户端的健康情况发给NAP健康策略服务器，同时它也是DHCP中继代理，因此需要配置双网卡。客户端Win7暂时放置在内部网络，然后再移到外部网络作为VPN客户端。

同1，如果在VMware中完成实验，可以将4台计算机放置在一个组中，给各个计算机设置合适的IP地址。然后测试计算机之间的连通性。

（2）配置DC，同时安装DHCP服务器和企业根CA。

在“添加角色”中，同时选择“Active Directory证书服务”和“DHCP服务器”。DHCP作用域名称自定，范围与DC在同一范围（取值自定），禁用DHCPv6，其它使用默认选项。

企业根CA的设置全部使用默认选项，完成后点击“安装”。如图1-78所示。

图1-78 安装DHCP和证书服务 （3）架设NAP健康策略服务器

第一步，将NAP服务器加入域gdsspt.net。 第二步，安装“网络策略服务器”。

第三步，为NAP健康策略服务器申请计算机证书。 首先，通过MMC控制台，从“文件”-〉“添加/删除管理单元”-〉将“证书”下的“计算机账户”添加进控制台。

图1-79 添加证书管理单元

其次，在“证书”-〉“个人”-〉“所有任务”-〉“申请新证书”。如图1-80所示。

图1-80 申请新证书示意图 第三，使用默认选项，单击“下一步”，选中“计算机”-〉“注册”-〉“完成”。完成后，可以看见NAP健康策略服务器的证书。如图1-81所示。

图1-81 申请的证书示意图

第四步，设置NAP健康策略服务器 首先，在“管理工具”-〉“网络策略服务器”-〉“网络访问保护（NAP）”-〉“配置NAP”-〉“虚拟专用网络（VPN）”。

其次，在“选择RADIUS客户端”中设置扮演NAP强制执行点角色的VPN服务器，这里需为RADIUS客户端命名，输入其IP地址（VPN服务器内网卡的IP地址）、设置密码（在RADIUS客户端也必须设置相同的密码）。如图1-82所示。

图1-82 设置RADIUS客户端示意图

第三，其余使用默认值，然后“完成”配置。

第四，在“RADIUS客户端”的属性对话框的“高级”标签下，设置供应商名称为“Microsoft”。如图1-83所示。

图1-83 VPN服务器属性设置

第五，在左边的“网络访问保护”-〉“系统健康验证程序”-〉“Windows安全健康验证

本文来源：https://www.bwwdw.com/article/t0ta.html