Microsoft的Network Access Protection能否限制錯(cuò)誤的用戶？這完全取決于配置。

員工走進(jìn)辦公室使用公司發(fā)布的桌面計(jì)算機(jī)艱難地登陸到單片LAN，這樣的日子已經(jīng)一去不復(fù)返了。現(xiàn)如今，各種各樣的網(wǎng)絡(luò)用戶，包括：?jiǎn)T工、客戶和廠商伙伴，無(wú)論他們?cè)谀睦锒紩?huì)通過(guò)五花八門(mén)的桌面、筆記本電腦、平板電腦和智能設(shè)備訪問(wèn)數(shù)據(jù)中心。

但這樣可能對(duì)管理員產(chǎn)生嚴(yán)重的威脅。在沒(méi)有適當(dāng)?shù)牟僮飨到y(tǒng)補(bǔ)丁程序、反惡意軟件工具或遠(yuǎn)程系統(tǒng)的關(guān)鍵安全設(shè)置，企業(yè)網(wǎng)絡(luò)的安全將岌岌可危。

網(wǎng)絡(luò)訪問(wèn)保護(hù)（NAP）在Windows Server 2008 R2和更高版本的Windows 7中為管理員提供了安全工具，彌補(bǔ)安全漏洞，保證遠(yuǎn)程系統(tǒng)的完整性。登陸遠(yuǎn)程系統(tǒng)過(guò)程中，要對(duì)系統(tǒng)的健康進(jìn)行檢查核對(duì)，如果系統(tǒng)滿足健康要求，那么您可以正常訪問(wèn)網(wǎng)絡(luò)。系統(tǒng)也可以限制或完全禁止用戶訪問(wèn)。

雖然NAP已經(jīng)成為數(shù)據(jù)中心安全的熱門(mén)技術(shù)，但有一些常見(jiàn)問(wèn)題會(huì)影響系統(tǒng)健康導(dǎo)致客戶端計(jì)算機(jī)不能正常登陸。下面我們一起看看NAP幾個(gè)常見(jiàn)的問(wèn)題。

用戶被拒絕通過(guò)認(rèn)證

這是因?yàn)橄蚍?wù)器發(fā)出鏈接請(qǐng)求策略時(shí)，客戶端系統(tǒng)使用802.1x或虛擬專(zhuān)用網(wǎng)（VPN）強(qiáng)制。必須配置連接請(qǐng)求策略，以覆蓋網(wǎng)絡(luò)策略的身份驗(yàn)證設(shè)置。如果網(wǎng)絡(luò)策略的身份驗(yàn)證設(shè)置不被覆蓋，那么企業(yè)的網(wǎng)絡(luò)策略服務(wù)器 (NPS) 將拒絕使用 802.1 X 和 VPN連接。解決此問(wèn)題最好的方法是：訪問(wèn) NPS 和配置 802.1 X 和 VPN 連接請(qǐng)求，以覆蓋網(wǎng)絡(luò)策略的身份驗(yàn)證。

認(rèn)證機(jī)構(gòu)類(lèi)型的錯(cuò)誤

這個(gè)問(wèn)題通常由于服務(wù)器端與認(rèn)證機(jī)構(gòu)（CA）不匹配導(dǎo)致的，只有企業(yè)在默認(rèn)CA 安裝健康注冊(cè)機(jī)構(gòu)的情況下，安裝了NAP與Active Directory Certificate Services。兩種CA類(lèi)型不兼容。解決這個(gè)問(wèn)題最簡(jiǎn)單的方法是：重新安裝健康注冊(cè)機(jī)構(gòu)并選擇正確的認(rèn)證或匿名企業(yè)CA。

客戶端發(fā)生non-NAP類(lèi)型的錯(cuò)誤

客戶端計(jì)算機(jī)應(yīng)支持網(wǎng)絡(luò)訪問(wèn)保護(hù)，但在服務(wù)器端上表示客戶端是non-NAP，并且拒絕客戶端訪問(wèn)網(wǎng)絡(luò)的權(quán)限。相反，客戶端被迫遵守non-NAP政策。這個(gè)問(wèn)題是由于客戶端混亂造成的，通常是由于NAP 代理服務(wù)、 NAP 強(qiáng)制客戶端或客戶端健康檢查未啟用造成的。

首先，檢查NAP代理。管理員需要檢查正在運(yùn)行的客戶端計(jì)算機(jī)并驗(yàn)證NAP代理。如果問(wèn)題沒(méi)有解決，那么管理員需要啟動(dòng)NAP代理。這可以通過(guò)命令或在客戶端上使用組策略來(lái)完成。

第二，在檢查從NAP Agent輸出的命令時(shí)，同樣也要檢查NAP強(qiáng)制客戶端初始化。如果問(wèn)題沒(méi)有解決，那么管理員一定要啟用客戶端計(jì)算機(jī)強(qiáng)制本地設(shè)置或使用組策略強(qiáng)制客戶端。

第三，當(dāng)使用NAP強(qiáng)制 802.1x或VPN時(shí)，一定要檢查Protected EAP（PEAP）網(wǎng)絡(luò)連接的屬性，并確?？蛻舳私】禉z查選項(xiàng)處于啟用狀態(tài)。

網(wǎng)絡(luò)策略服務(wù)器忽略客戶端訪問(wèn)請(qǐng)求

當(dāng)處理遠(yuǎn)程認(rèn)證撥號(hào)用戶服務(wù)(RADIUS) 客戶時(shí)，會(huì)導(dǎo)致NPS配置發(fā)生錯(cuò)誤問(wèn)題。正常情況下，客戶端NAP訪問(wèn)鏈接請(qǐng)求是創(chuàng)建在一個(gè)NPS上。當(dāng)RADIUS客戶端不執(zhí)行本地授權(quán)或身份驗(yàn)證訪問(wèn)請(qǐng)求時(shí)，那些客戶端必須將連接請(qǐng)求轉(zhuǎn)發(fā)到具體配置上。如果RADIUS 客戶端不轉(zhuǎn)發(fā)連接請(qǐng)求，或?qū)⒄?qǐng)求轉(zhuǎn)發(fā)給RADIUS 服務(wù)器時(shí)出現(xiàn)了錯(cuò)誤，NPS將顯示沒(méi)有連接請(qǐng)求。實(shí)際上，連接請(qǐng)求被忽略了。

解決此問(wèn)題的最佳途徑是：訪問(wèn)NPS 找到 NAP 客戶端計(jì)算機(jī)的連接請(qǐng)求策略，確保請(qǐng)求轉(zhuǎn)發(fā)到正確的RADIUS服務(wù)器上進(jìn)行身份驗(yàn)證。

無(wú)法發(fā)行新系統(tǒng)健康驗(yàn)證模板

當(dāng)您嘗試通過(guò)證書(shū)服務(wù)控制臺(tái)發(fā)出新的服務(wù)器端健康證書(shū)模板時(shí)，您發(fā)現(xiàn)系統(tǒng)健康身份驗(yàn)證模板不可用。通常情況下，這是由于操作系統(tǒng)版本不匹配造成的。為了能夠發(fā)出新的模板，NAP CA 必須使用企業(yè)版的 Windows 服務(wù)器，如有要使用標(biāo)準(zhǔn)版，它將無(wú)法發(fā)出新的證書(shū)模板。如果有必要，將OS操作系統(tǒng)升級(jí)到OS企業(yè)級(jí)版本，來(lái)糾正這一問(wèn)題。

雖然，NAP常常是簡(jiǎn)單的安裝和管理。但常常因?yàn)槭韬龇?wù)器端可能導(dǎo)致客戶端發(fā)生連接問(wèn)題。IT管理員應(yīng)該具備一些基本知識(shí)的了解和簡(jiǎn)單服務(wù)器配置技術(shù)，并且在幾分鐘之內(nèi)更正這些基本問(wèn)題。