集成TMG 2010,提升Windows Server 2008中的NAP FOR IPSEC在企业中的应用
RA上指向正确的证书服务器信息;
9、配置策略服务器NPS,配置SHV、健康策略和网络连接策略。有两个策略,一个是符合健康要求的,另一个是不符合要求的;
10、激活客户端计算机NAP For IPSEC模块。可通过组策略来实施。需要完成两项设置, 一是启用NAP For IPSEC,配置信任HRA服务器组,指向正确HRA URL地址.因为HRA提供的是一个WEB 应用程序服务。客户端NAP Agent根据SoH响应通过这个服务获得健康证书或取消健康证书;
11、验证服务器证书机制起作用,查看在域中的服务器都能获得健康证书;
12、验证客户端证书机制起作用,查看符合健康要求和不符合健康要求的情况;
13、确认准备安装TMG 2010的机器已获得健康证书;
14、利用组策略管理工具GPMC对三个安全组实施IPSEC 组策略。安全组NAP IPSEC Client Computers NAP和 IPSEC Protected Computers实施严格的IPSEC组策略:入站要求健康证书出站请求;安全组NAP IPSEC Boundary Computers实施包容性的IPSEC组策略:入站和出站请求健康证书;
15、安装关键控制点TMG 2010,配置TMG 2010,TMG 服务器属于安全组IPSEC Protected Computers。所有计算机必须首先访问TMG,才能访问后台的业务系统。实现跨平台的NAP For IPSEC解决方案;
16、测试集成TMG 2010的NAP For IPSEC效果。
实施方案问题探讨: 1、TMG 2010安装完成后,会接管对应网络接口的管理策略,会不会同对应TMG服务器的NAP For IPSE组策略冲突? 答:通过做实验和部署,确认不会冲突,TMG 2010遵从NAP For IPSEC组策略。两者配合的很好。在做实验前,对这个问题一直没有把握。完成实验后,心里就踏实了。 2、TMG 2010只能安装在64位Windows Server 2008 R2的机器上.64位Windows Server 2008 R2的机器能不能从在32位Windows Server 2008的CA服务器上获得证书? 答:结果出人意料。不能获得,但从道理上是可以的。需要进一步确认; 3、对于Windows Server 2008 R2才有基于Windows 7的健康验证器SHV。Windows Server 2008 R2以前的版本只支持XP 和Vista。 4、Windows XP sp3 是否能接受来自Windows Server 2008 R2 基于高级防火墙配置的NAP For IPSEC组策略的设置? 答:实验结果是不能。需要在Windows XP sp3上手工配置IPSEC,健康证书移走后,IPSEC通讯不中断。需要重新启动IPSEC服务,才能看到效果。 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |