快速业务通道

集成TMG 2010,提升Windows Server 2008中的NAP FOR IPSEC在企业中的应用

作者 佚名技术 来源 操作系统 浏览 发布时间 2012-06-26
RA上指向正确的证书服务器信息; 9、配置策略服务器NPS,配置SHV、健康策略和网络连接策略。有两个策略,一个是符合健康要求的,另一个是不符合要求的; 10、激活客户端计算机NAP For IPSEC模块。可通过组策略来实施。需要完成两项设置,  一是启用NAP For IPSEC,配置信任HRA服务器组,指向正确HRA URL地址.因为HRA提供的是一个WEB 应用程序服务。客户端NAP Agent根据SoH响应通过这个服务获得健康证书或取消健康证书; 11、验证服务器证书机制起作用,查看在域中的服务器都能获得健康证书; 12、验证客户端证书机制起作用,查看符合健康要求和不符合健康要求的情况; 13、确认准备安装TMG 2010的机器已获得健康证书; 14、利用组策略管理工具GPMC对三个安全组实施IPSEC 组策略。安全组NAP IPSEC Client Computers NAP和 IPSEC Protected  Computers实施严格的IPSEC组策略:入站要求健康证书出站请求;安全组NAP IPSEC Boundary Computers实施包容性的IPSEC组策略:入站和出站请求健康证书; 15、安装关键控制点TMG 2010,配置TMG 2010,TMG 服务器属于安全组IPSEC Protected  Computers。所有计算机必须首先访问TMG,才能访问后台的业务系统。实现跨平台的NAP For IPSEC解决方案; 16、测试集成TMG 2010的NAP For IPSEC效果。

实施方案问题探讨:

1、TMG 2010安装完成后,会接管对应网络接口的管理策略,会不会同对应TMG服务器的NAP For IPSE组策略冲突? 答:通过做实验和部署,确认不会冲突,TMG 2010遵从NAP For IPSEC组策略。两者配合的很好。在做实验前,对这个问题一直没有把握。完成实验后,心里就踏实了。

2、TMG 2010只能安装在64位Windows Server 2008 R2的机器上.64位Windows Server 2008 R2的机器能不能从在32位Windows Server 2008的CA服务器上获得证书? 答:结果出人意料。不能获得,但从道理上是可以的。需要进一步确认;

3、对于Windows Server 2008 R2才有基于Windows 7的健康验证器SHV。Windows Server 2008 R2以前的版本只支持XP 和Vista。

4、Windows XP sp3 是否能接受来自Windows Server 2008 R2 基于高级防火墙配置的NAP For IPSEC组策略的设置? 答:实验结果是不能。需要在Windows XP sp3上手工配置IPSEC,健康证书移走后,IPSEC通讯不中断。需要重新启动IPSEC服务,才能看到效果。

凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢!

Copyright ©1999-2011 厦门凌众科技有限公司 厦门优通互联科技开发有限公司 All rights reserved

地址(ADD):厦门软件园二期望海路63号701E(东南融通旁) 邮编(ZIP):361008

电话:0592-5908028 传真:0592-5908039 咨询信箱:web@lingzhong.cn 咨询OICQ:173723134

《中华人民共和国增值电信业务经营许可证》闽B2-20100024  ICP备案:闽ICP备05037997号