配置DHCP NAP强制
DHCP NAP强制允许只有符合的计算机才会接收到授予完全网络访问权限的IP地址,而不符合的计算机会被分配到子网掩码为255.255.255.255且没有网关的IP地址,限制对网络的完全访问。
一、安装NAP
1、在"服务器管理器"中,单击"管理",选择"添加角色和功能",在打开的向导窗口中,一直下一步,到"选择服务器角色"对话框中,选择"网络策略和服务",然后单击"下一步"。
2、一直"下一步"到"选择角色服务"时,选择"网络策略服务器"。然后"下一步"。
3、最后,单击"安装"按钮,安装NPS服务。
二、DHCP作用域配置
1、安装好DHCP服务器角色后,右击"IPv4",选择"新建作用域",在"新建作用域向导"对话框中,输入作用域名称为"NAP Clients"(任意起名)。
2、在"IP地址范围"中,输入起始IP地址为"192.168.1.1",结束IP地址为"192.168.1.254"。然后单击"下一步"。
3、在"添加排除和延迟"窗口中,排除已经被静态分配的IP地址。
4、在"租用期限"窗格中,保持默认,然后单击"下一步"。
5、在"配置DHCP选项"窗口,保持默认设置,然后单击"下一步"按钮。
6、在"路由器(默认网关)"窗格中,输入网关的IP地址,然后单击"添加",完成后单击"下一步"。
7、在"域名称和DNS服务器"窗格中,输入域名及DNS服务器的IP地址后,单击"下一步"。
8、在WINS服务器页面,单击下一步,在"激活作用域"页面中保持默认选项,一直到完成。
三、授权DHCP服务器
1、在窗口根"DHCP"上右击,选择"管理授权的服务器"。
2、在"管理授权的服务器"窗口中,选择"授权",在弹出的"授权DHCP服务器"窗口中,输入DHCP服务器的IP地址,然后一直确定,到关闭窗口为止。
四、配置NPS作为NAP健康策略服务器
1、在"服务器管理器"窗口中,打开"网络策略服务器"窗口,在右边详细窗格的"标准配置"区域中,从下拉列表中选择"网络访问保护(NAP)",然后单击"配置NAP"链接。
2、在"选择与NAP一起使用的网络连接方法"对话框中,选择"动态主机配置协议(DHCP)",策略名称保持不变,然后单击"下一步"。
3、在"指定NAP强制服务器运行DHCP服务器"窗口中,选择RADIUS客户端,注意,认真看一下说明,RADIUS客户端不是真正的Client计算机,而不DHCP服务器噢。此处因为授权了DHCP服务器,自动出现了,如果没有,请单击"添加"按钮。单击"下一步"。
4、在"指定DHCP作用域"窗口中,通过单击"添加"按钮,指定一个或多个作用域,为符合健康状况的客户分配IP地址。如果不指定作用域,则此策略将应用于指定DHCP服务器上的所有作用域。
5、在"配置计算机组"窗口中,可以授予或拒绝计算机组的权限,不选择任何组,则该策略将应用于所有用户。此处保持默认,单击"下一步"。
6、在"指定NAP更新服务器组和URL"窗口中,选择或"新建"更新服务器组,也可以指定一个疑难解答的URL页面,然后单击"下一步"按钮。
7、在"定义NAP健康策略"窗口中,保持默认选项,单击"下一步"。
8、在"正在完成NAP增强策略和RADIUS客户端配置"窗口中,单击"完成"按钮。
9、在"网络策略服务器"窗口中,选择"策略""连接请求策略",确认已经创建了"NAP DHCP"策略,且被排列在第一个位置。
五、在DHCP上启用NAP强制
1、打开DHCP管理窗口,找到"IPv4"后右击,选择"属性"
2、在"IPv4"属性对话框中,单击"对所有作用域启用"按钮,在弹出的对话框中,选择"是"。
3、在"IPv4属性"对话框中的"无法连接网络策略服务器(NPS)时的DHCP服务器行为栏中,选择"受限访问",单击"确定"。
六、配置NAP客户端组策略
1、打开"组策略管理",编辑"Default Domain Policy",然后选择"计算机配置\策略\Windows设置\安全设置\网络访问保护\NAP客户端配置\强制客户端"节点。
2、在右侧详细窗格中,双击"DHCP隔离强制客户端",在打开的窗口中,选择"启用此强制客户端"选项,然后单击"确定"按钮。
3、在"计算机配置\策略\Windows设置\安全设置\系统服务"节点的右侧详细窗格中,双击"Network Access Protection Agent",然后选中"定义此策略设置"复选框,在选择服务启动模式中,选中"自动"单选框,然后单击"确定"。
4、选择"计算机配置\策略\管理模板\Windows组件\安全中心"节点,在右侧详细窗格中,双击"启用安全中心(仅限域)",在对话框中,选择"已启用",然后单击"确定"按钮。
七、测试DHCP NAP强制客户端
在客户端计算机上,通过使用"gpupdate /force"命令来强制更新组策略,然后使用ipconfig命令,查看所获得的IP地址情况。
上图可以看到,DHCP客户端不满足NAP策略需求,获得的IP地址的子网掩码为255.255.255.255,为无效子网掩码,表明该客户端计算机没有通过NAP健康检查。
更多精彩或答疑,请扫描刘老师微信二维码:
一份耕耘,一份收获
好知识 乐分享