您的位置:首页技术文章
文章详情页

Windows Server 2008 通熟易懂的DHCP NAP

更多 QQ空间 微信 QQ好友 腾讯朋友 复制链接
【字号: 日期:2024-02-24 14:12:00浏览:4作者:猪猪

考虑这样一个情景:某企业在内网上有数百台计算机。边界防火墙能够保护专用网络免受internet上威胁(包括蠕虫功击)。一天,一名出差员工带着他的笔记本回到了办公室。在旅行的过程中,将的笔记本连接到了外部开放的无线网络,而另一个访客的计算机在该网络上传输了一个蠕虫。当该人员将自己笔记本连接至专用网络后,该蠕虫立即蔓延至易受攻击的计算机,这样完全绕过了边界安全。很容易导致,内部网络上几乎所有计算机都受到感染。; ;“网络访问保护可以防止这种情况发生。在计算机接入内部网络之前,其必须满足指定的健康要求,才能访问内部网络,如果这些计算机不满足健康要求,那么它们将被隔离在某个网络中。NAP旨在根据主机的当前健康状态,将其连接到不同的网络资源。(完全访问和受限网络)NAP强制类型:IPsec连接安全、802.1X、VPN服务器和DHCP服务器在硬件不支持802.1x且IPsec不可用的情况下,配置NAP DHCP强制是最常见的选择。虽然DHCP NAP安全性欠佳,但由于其便于演示,便于理解所有类型的NAP强制,所以这一章我们讨论DHCP的NAP:这种强制类型借助运行server2008的计算机和为企业内部网提供DHCP服务的服务器。只有符合的计算机会收到授予完全网络访问权限的IP地址,而不符合的计算机会被分配到子网掩码为255.255.255.255且没有默认网关的ip地址。另外,不符合的主机会收到一个修正服务器组中网络资源的“主机路由表,将通信内容定向到某一个IP地址。为使客户端变为符合,修正服务器组可以对其进行必要的更新。这种配置是防止不符合的计算机与修正服务器组以外的网络资源通信。注:DHCP客户端手动配置ip地址可绕过DHCP服务器强制,不同于802.1x网络访问设备和VPN服务器能够将计算机从网络上断开,IPSEC强制能够只允许来自健康计算机的连接。但对于非恶意用户使用不符合的计算机连接网络来说,DHCP服务器强制可以降低这种风险。目的:理解NAP作用,实现DHCP NAP 拓朴图:;

环境:pc1 server2008充当DC/DNS/DHCP/NPS,安装角色在这里就不详贴图了,在前面文章中都有。IP:172.16.1.1;

pc2 server2008作为加入域的成员服务器,启用网络发现,用于验证结果ip:172.16.1.2;

pc3 vista作为工作组dhcp客户端;

具体步骤:1.配置使用DHCP的NAP2.DHCP上启用对NAP的支持; ; 验证:; ; a.没启用NAP代理、强制客户端组策略设置属于非NAP客户端类别,受限网络; ; b.静态IP,绕过DHCP服务强制3.配置NAP客户端组策略; ; 验证:; ; c.测试符合的客户端; ; d.测试不符合的客户端补充域环境策略设置图步骤1:启用dhcp的nap方式有2种 :a.通过手工配置,先配系统健康验证程序shv,再健康策略、网络策略、连接请求策略。在网络策略中可设置修正服务器b.通过向导配置,这个使用起来简单些,初学者建议使用,几乎默认向导完成;;

当DHCP和NPS在同一台PC上,不需设置Radius,如不在同一台PC上,相互间要指定,在NPS服务器上指向radius客户端为DHCP服务器,在DHCP上安装NPS,在Radius服务器组上指向当前在用的NPS服务器(2个字:麻烦)我在同一机器,所以保留为空;

多作用域时,可指定具体使用NAP作用域,不指定表示所有启用NAP的范围;

不指定任何组,用于所有对象;

指环境需求,指定更新服务器;

指定NAP使用健康策略;

完成。;

手工指定SHV;

步骤2:DHCP上启用对NAP的支持当前DHCP范围与选项;

DHCP服务器上启用对NAP支持;

如果是在具体作用域上启用点击作用域属性启用为受限网络提供个标识,;

验证:a.没启用NAP代理、强制客户端组策略设置属于非NAP客户端类别,受限网络当前vista客户端只有符合的计算机会收到授予完全网络访问权限的IP地址,而不符合的计算机会被分配到子网掩码为255.255.255.255且没有默认网关的ip地址;

处于受限网络,不能与172.16.1.2的文件服务器通信;

此时按需要,可指定修正服务,建立单条主机路由,在NPS如下位置设置;

验证:b.静态IP,绕过NAP ;

步骤:3.启用代理服务,配置强制NAP客户端组策略通过这里知道,早期版本的客户端就不支持了;

打开mmc添加组件,或在运行输入napclcfg.msc;

运行ipconfig/release; ;ipconfig/renew;

验证:c.测试符合的客户端 现时防火墙是启用的结果;

把防火墙关闭,强制生效,马上又启用了如图:;

d.测试不符合的客户端我修改了shv,如图:;

客户端刷新;

处于受限网络;

这时,可设置补救服务器,当前客户端属于NAP DHCP不符合的客户端;

如172.16.1.2为补救服务器

客户端ipconfig/release;;ipconfig/renew;

补充一点:我以上环境客户端在工作组,手工设置NAP策略,如是在域环境下,策略设置如图:;

;完毕,客户端验证这里,后面很多图是说了在工作组和域环境下,客户端的理解

标签: Windows系统
上一条:Windows 2000 DHCP服务器配置下一条:Win 2003 DHCP服务器架设步骤详解(一)
相关文章:
1. Windows10无法启用dhcp服务怎么办?2. Win7系统无法开启DHCP Client服务如何解决?3. Windows 2000 DHCP服务4. Win7系统提示“本地连接未启用DHCP”怎么办?5. DHCP服务器是什么?Win7系统下DHCP服务器怎么设置启动?6. win10本地连接未启用dhcp怎么办7. win7电脑提示本地连接未启用dhcp详细解决方法介绍8. win7电脑提示本地连接未启用dhcp详细解决方法9. win7电脑提示本地连接未启用dhcp怎么解决 解决连接未启用dhcp方法介绍10. Win 2003 DHCP服务器架设步骤详解(一)
排行榜
SCO UNIX 环境下不同容量硬盘的对拷
SCO UNIX 环境下不同容量硬盘的对拷
1. win10怎么设置虚拟内存大小
2. Windows10触控板的正确使用方法
3. Win10怎么自定义缩放屏幕比例?
4. WinXP电脑网络不稳定怎么办?
5. 打游戏用Win11好还是Win10好?Win11和Win10玩游戏对比
6. Win10镜像文件怎么用U盘安装?U盘Win10镜像系统安装方法
7. Win10无法连接到更新服务我们将稍后再试怎么办?
8. win7系统怎么重装ie浏览器
9. Win10WiFi图标按钮消失不见的解决方法
10. 微软Windows Server 2008 R2 RC新功能简介
热门标签