NAP IPSEC配置与管理详解
| 器”控制台,在右边详细窗格中选择“配置NAP”,选择“IPSEC with Health Registration Authority(HRA)”,接下来在本例中都以默认的值进行设置就OK了,不用做过多的其他设置。在“网络策略服务器”控制台中选择“网络访问保护”系统健康校验双击右边详细空格中选择条目点击“配置”按钮,只选择“启用自动更新”,清除其他所有的选择。在“网络访问保护”下面右键选择“补救服务器组”选择添加并把NYC-SRV-01添加进去,当客户端计算机不符合健康策略要求的时候,将会连接到此计算机进行补救,至此服务器相关的设置已经配置完毕,接下来的过程将会配置客户端。如下图所示:
6、在NYC-CLI-01与NYC-CLI-02的两台客户端计算机上都进行如下操作:输入gpedit.msc计算机配置管理模板Windows组件系统中心,选择右边窗格中的“开启安全中心(仅域PC)”并启用它,关闭此窗口;接着输入napclcfg.msc,选择“强制客户端”并启用右边详细窗格中的“IPSEC Relying Party”,再选择左边的“健康注册设置”受信任的服务器组,在受信任的服务器组中添加如下两项内容:http://nyc-srv-01.woodgrovebank.com/domainhra/hcsrvext.dll http://nyc-srv-01.woodgrovebank.com/nondomainhra/hcsrvext.dll 设置的结果如下所示:
打开服务控制台,并把服务”Network Access Protection Agent“设置为自动为启用它。
最后的结果可以参考下图所示,当我把客户端的自动更新关闭的时候,就会马上在任务栏的右下角显示出不符合安全策略的要求,并会连接到补救服务器进行补救:
如果此时你打开计算机的证书控制台,会发现从HRA那里获得了一个健康证书,如下图所示:
最后,来做一个IPSEC测试,仅仅允许NYC-CLIENT-01至NYC-CLIENT-02的安全通讯,在此以命令ping做为测试的例子。在NYC-CLIENT-01至NYC-CLIENT-02上启用防火墙,默认的情况下,会拒绝ping的数据包通讯,如果此时从NYC-CLIENT-01 ping 会出现“请求超时”,在NYC-CLIENT-01至NYC-CLIENT-02新建 |
凌众科技专业提供服务器租用、服务器托管、企业邮局、虚拟主机等服务,公司网站:http://www.lingzhong.cn 为了给广大客户了解更多的技术信息,本技术文章收集来源于网络,凌众科技尊重文章作者的版权,如果有涉及你的版权有必要删除你的文章,请和我们联系。以上信息与文章正文是不可分割的一部分,如果您要转载本文章,请保留以上信息,谢谢! |
