Windows Server 2008 R2域的安全管理

图1-74 查看DHCP隔离强制客户端的状态

（8）验证NAT DHCP客户端自动更新是否正常

将客户端的Windows防火墙关闭，验证NAP自动重新打开客户端的Windows防火墙。由于Windows Security Health Agent（WSHA）会自动打开Windows防火墙，所以当防火墙关闭时，系统会立刻自动变回启用状态。

也可以设置策略要求客户端计算机必须启用防病毒软件，否则即视为不健康客户端。如图1-75所示，在NAP健康策略服务器上通过“网络访问保护”-〉“系统健康验证程序”-〉“Windows安全健康验证程序”-〉“设置”-〉“默认设置”中，添加“防病毒应用程序已启用”。

图1-75 设置客户端必须启用杀毒软件示意图

如果设置了客户端必须安装杀毒软件，则客户端如果没有安装，将不能达到安全要求，将会显示网络受限的提示。如图1-76所示。

图1-76 网络访问保护警告信息示意图

如果安装了杀毒软件（必须和Windows安全中心兼容），则WSHA将对系统进行检查，发现系统满足安全要求，从而网络将不会限制。如图1-77所示。

图1-77 修复客户端示意图

2、VPN NAP配置 （1）环境设置

如图1-53，域gdsspt.net内的DC同时是DNS服务器和DHCP服务器，由于VPN NAP需要使用PEAP协议（Protected Extensible Authentication Protocol，允许用户自定义的一种身份验证协议，Windows Server 2008 R2支持这种协议，客户端连接802.1x无线基地台、802.1x交换机、VPN服务器与远程桌面网关等访问服务器时，常使用该协议）中的PEAP-MS-CHAPv2（PEAP挑战-应答方式）验证方法，所以它也是一台企业根证书服务器。NAP健康策略服务器同时也是RADIUS服务器，用来接收VPN服务器所发来的NAP客户端健康状况。NAP强制执行点是VPN服务器，同时也是RADIUS客户端，它会通过RADIUS协议将VPN NAP客户端的健康情况发给NAP健康策略服务器，同时它也是DHCP中继代理，因此需要配置双网卡。客户端Win7暂时放置在内部网络，然后再移到外部网络作为VPN客户端。

同1，如果在VMware中完成实验，可以将4台计算机放置在一个组中，给各个计算机设置合适的IP地址。然后测试计算机之间的连通性。

（2）配置DC，同时安装DHCP服务器和企业根CA。

在“添加角色”中，同时选择“Active Directory证书服务”和“DHCP服务器”。DHCP作用域名称自定，范围与DC在同一范围（取值自定），禁用DHCPv6，其它使用默认选项。

企业根CA的设置全部使用默认选项，完成后点击“安装”。如图1-78所示。

图1-78 安装DHCP和证书服务 （3）架设NAP健康策略服务器

第一步，将NAP服务器加入域gdsspt.net。 第二步，安装“网络策略服务器”。

第三步，为NAP健康策略服务器申请计算机证书。 首先，通过MMC控制台，从“文件”-〉“添加/删除管理单元”-〉将“证书”下的“计算机账户”添加进控制台。

图1-79 添加证书管理单元

其次，在“证书”-〉“个人”-〉“所有任务”-〉“申请新证书”。如图1-80所示。

图1-80 申请新证书示意图 第三，使用默认选项，单击“下一步”，选中“计算机”-〉“注册”-〉“完成”。完成后，可以看见NAP健康策略服务器的证书。如图1-81所示。