Windows server 2008發(fā)布于08年2月份，是微軟網(wǎng)絡(luò)接入保護（NAP）計劃的組成部分，它擁有微軟期待已久的專有網(wǎng)絡(luò)訪問控制架構(gòu)。本文將講解NAP在安裝過程中需要配置的內(nèi)容。但是，考慮到微軟的Forefront軟件或第三方NAP相關(guān)附加產(chǎn)品本身有很多的特性和功能，因此我們所講解的只是一個簡單的配置，以及部分NAP功能。

我們先打開Network Policy Server然后在下拉框里面配置NAP：

注意到它支持各種不同的網(wǎng)絡(luò)連接方法，包括DHCP，802.1x和VPN?？梢赃x擇任何一種連接方法，它們都可以使端點連接到受保護的網(wǎng)絡(luò)，然后給予該選擇一個名稱。在配置界面底部提供了幫助文件，這些文件說明了一些在安裝過程中的需求。它們不同于一般的幫助文件，不僅非常好的描述了該網(wǎng)絡(luò)基礎(chǔ)架構(gòu)中需要的元素，而且指出了哪些元素是系統(tǒng)不支持的。

例如，有線802.1X就可以使該向?qū)Ы⑦B接請求策略以及健康配置NAP網(wǎng)絡(luò)系統(tǒng)。

802.1x使用的NAP enforcement

基于端口的網(wǎng)絡(luò)訪問控制802.1x使用的NAP enforcement客戶端的部署是基于運行在網(wǎng)絡(luò)策略服務(wù)器（NPS）和EAP enforcement主客戶端組件之上的。使用基于802.1x的NAP enforcement客戶端，NPS服務(wù)器可以指示一個802.1X認證交換機和兼容802.1X的無線接入點,從而調(diào)整不符合802.1x網(wǎng)絡(luò)的客戶端。NPS服務(wù)器通過運用IP過濾器和虛擬局域網(wǎng)連接標(biāo)識符，可以限制客戶端的網(wǎng)絡(luò)接入。 802.1x的enforcement客戶端通過訪問802.1x的服務(wù)器，對所有訪問網(wǎng)絡(luò)的計算機提供強大的網(wǎng)絡(luò)訪問限制。

有線802.1x的需求

要部署基于有線802.1x的NAP，你必須作以下配置：

需要配置NPS連接請求策略，網(wǎng)絡(luò)策略，和NAP健康策略。你可以使用NPS控制臺來配置這些策略，也可以使用新的網(wǎng)絡(luò)訪問保護(NNAP)向?qū)А?/P>

安裝和配置802.1x的認證交換機。

保證可以使用NAP,并且客戶端使用EAP enforcement驗證機制，并且保證客戶端的NAP服務(wù)開啟。

根據(jù)你的NAP部署來配置Windows安全健康驗證器（WSHV）或安裝和配置其他健康系統(tǒng)（SHAs）。

如果你使用了智能卡或證書來進行PEAP-TLS或EAP-TLS與TLS驗證的，需要使用活動目錄的證書服務(wù)(AD CS)來部署一個公共密鑰基礎(chǔ)設(shè)施（PKI）。

如果你使用PEAP-MS-CHAP第二版，需要使用AD CS來進行服務(wù)器端的認證或者從其它受信的根證書頒發(fā)機構(gòu)購買服務(wù)器認證。

無線802.1x的需求

要部署基于無線802.1x的NAP，你必須作以下配置：

需要配置NPS連接請求策略，網(wǎng)絡(luò)策略，和NAP健康策略。你可以使用NPS控制臺來配置這些策略，也可以使用新的網(wǎng)絡(luò)訪問保護(NNAP)向?qū)А?/P>

安裝和配置802.1x的無線訪問接入點。

保證可以使用NAP,并且客戶端使用EAP enforcement驗證機制。

根據(jù)你的NAP部署來配置Windows安全健康驗證器（WSHV）或安裝和配置其他健康系統(tǒng)（SHAs）。

在這一點上，如果為了達到測試目的，我建議你選擇DHCP。配置一個獨立的Windows Server 2008服務(wù)器并選擇了802.1x的連接可能會帶來很多問題。微軟的網(wǎng)站上支持頁面有關(guān)于PEAP-TLS身份驗證和Windows Server 2008的更多信息。

接下來，添加一個RADIUS客戶端節(jié)點，比如身份驗證交換機。它們不是客戶端PC，但其他任何用戶的身份驗證過程都需要與RADIUS服務(wù)器對話。

其次，建立一個有相同策略要求的組，比如客戶工作人員或者人力資源工作人員。這些群體必須已經(jīng)建立在Active Directory（活動目錄）中?？梢缘組anager/Configuration/Groups部分然后增加這些組。

下一步是建立一個修復(fù)服務(wù)器組來存儲更新軟件和修復(fù)不符合策略要求客戶端電腦。也可以包括一個URL，為沒過通過評估用戶提供相關(guān)信息，使其到達評價標(biāo)準(zhǔn)，如下圖所示：

下一步是建立一個健康策略，使用的是NAP服務(wù)器的健康驗證器。在此屏幕上，有一個選項，用于確定PC不通過審核后將會怎樣：它可以只能訪問受限網(wǎng)站，或者被獲準(zhǔn)進入所有網(wǎng)絡(luò)。（注意這兩個選項在下面的屏幕截圖屏幕底部的復(fù)選框）。

這就是健康策略定義。點擊完成，回到網(wǎng)絡(luò)策略服務(wù)器管理器，在NAP菜單樹上，右鍵系統(tǒng)健康驗證器點擊查看其屬性表，如下所示：

這里兩個標(biāo)簽，分別對應(yīng)XP客戶端和Vista客戶端，另外，Vista的標(biāo)簽有更多的項目配置項。那么對于老版本的Windows和非Windows操作系統(tǒng)客戶端怎么辦呢？其實，他們不包括在NAP中。對這些機器進行網(wǎng)絡(luò)訪問管理，必須有額外的第三方軟件。

在這里，告訴驗證器檢查每臺電腦，確認他們是否打開了防火墻，安裝防病毒更新，等等。一旦完成，再次回到策略服務(wù)器的策略菜單樹，并確保所有的各項策略得到正確設(shè)置。這里顯示了由向?qū)б呀?jīng)配置的各項網(wǎng)絡(luò)策略：

單擊確定，這時你已成功的設(shè)置你的第一個NAP服務(wù)器！有些服務(wù)可能需要調(diào)整，以便在開機時它們能正常啟動，如果不使用這些服務(wù)則不必進行調(diào)整。

同樣，請記住，這只是一個基礎(chǔ)的配置。殺毒軟件供應(yīng)商及
代理等將需要掛接到該服務(wù)器，接下來，你就可以開始體驗NAP和Windows Server 2008了。

【編輯推薦】

1. 解除遠程桌面管理Windows Server 2008重重關(guān)卡(圖)
2. Windows Server 2008的管理利器
3. Windows Server 2008提升AD管理效率