Sử dụng Group Policy Filtering để tạo sách thực thi DHCP cho NAP - Phần Thomas Shinder Quản trị mạng - Trong phần đầu loạt này, giới thiệu số kiến thức cách làm việc NAP, sau cài đặt dịch vụ DHCP NPS máy chủ NAP policy Trong phần này, giới thiệu cách sử dụng NAP policy wizard để tạo tự động sách Network, Health Connection nhằm kiểm soát truy cập cho mạng bạn Sử dụng NAP Wizard để tạo sách thực thi NAP DHCP Lúc bắt đầu cho phần - tạo sách thực thi NAP DHCP Sau chạy wizard, wizard tạo sách sau:  Health Policies  Connection Request Policies  Network Policies  Remediation Server Group policies Chúng ta xem xét kỹ sách sau kết thúc wizard Mở giao diện điều khiển Network Policy Server từ menu Administrative Tools Từ đây, bạn thấy giao diện xuất trang Getting Started Trong phần Standard Configuration, chọn tùy chọn Network Access Protection (NAP) từ Select a configuration scenario from the list and then click the link below to open the scenario wizard Kích vào liên kết Configure NAP Hình Trên trang Select Network Connection Method For Use with NAP, phần Network connection method, bạn chọn tùy chọn Dynamic Host Configuration Protocol (DHCP) từ danh sách Nhớ rằng, sử dụng NAP phải chọn phương pháp thực thi thực DHCP server trở thành “network access server” kịch DHCP server chịu trách nhiệm cho mức truy cập mạng mà NAP client có Hộp văn Policy name tự động cư trú với NAP DHCP, phần tên (name) nối thêm vào số sách tạo wizard Chúng ta thấy điều sau kết thúc NAP wizard Kích Next Hình Trên trang Specify NAP Enforcement Server Running DHCP Server, bạn gộp địa IP DHCP server chịu trách nhiệm máy chủ truy cập mạng Sử dụng tùy chọn DHCP server NPS server cấu hình sách NAP không nằm máy chủ Nếu muốn bổ sung thêm máy chủ thi hành DHCP NAP từ xa, chúng phải cấu RADIUS client, điều có nghĩa bạn cần cấu hình máy NPS server Sự khác biệt NPS server khơng cấu hình thiết lập sách NAP Chúng ủy quyền yêu cầu RADIUS đến NPS server cấu hình thiết lập sách NAP Cấu hình nên sử dụng môi trường sản xuất lớn, nơi DHCP server NAP server hai tương đối bận Thêm vào đó, có nhiều DHCP server cơng ty bạn, bạn lại muốn tất truyền thơng với máy chủ sách NAP máy chủ Trong ví dụ này, mạng mà đặt máy chủ DHCP NPS nằm máy tính, không cần bổ sung thêm máy chủ DHCP từ xa vào danh sách Kích Next Hình Bạn có tùy chọn để kích hoạt NAP sử dụng thực thi DHCP Nếu khơng muốn sử dụng sách thực thi NAP tất phạm vi DHCP bạn nhập vào phạm vi muốn sách NAP áp dụng cho trang Specify DHCP Scopes Trong mạng ví dụ chúng tơi, chúng tơi muốn kích hoạt sách NAP phạm vi, chúng tơi khơng nhập vào phạm vi cụ thể trang Kích Next Hình Bạn cho phép từ chối truy cập vào nhóm người dùng máy tính sách NAP Trong ví dụ này, chúng tơi áp dụng sách cho tất máy người dùng Kích Next Hình Tất máy tính cần truy cập vào máy chủ mạng Chúng cần đến máy chủ sở hạ tầng chẳng hạn Active Directory, DNS, DHCP WINS server Tất máy tính cần truy cập tới máy chủ sửa lỗi, máy mà máy tính khơng thỏa mãn yêu cầu truy cập để đạt đồng thuận Trong trang Specify a NAP Remediation Server Group and URL, bạn kích nút Group để mở hộp thoại New Remediation Server Group Trong hộp thoại New Remediation Server Group, nhập vào tên nhóm hộp văn Group Name Trong ví dụ này, chúng tơi đặt tên nhóm Network Services Kích nút Add hộp thoại New Remediation Server Group Khi bạn thấy hộp thoại Add New Server xuất Trong hộp thoại Add New Server, nhập vào tên máy chủ hộp Friendly name Trong ví dụ chúng tơi nhập vào tên cho domain controller, chúng tơi nhập DC vào hộp văn Địa IP domain controller 10.0.0.2, nhập địa vào hộp văn bảnIP address or DNS name Nếu biết tên máy chủ DNS bạn nhập vào tên hộp văn sau kích nút Resolve Kích OK hộp thoại Add New Server Hình Lúc bạn thấy tên nhóm máy chủ sửa lỗi địa IP máy chủ mà bạn bổ sung vào nhóm Nhớ rằng, mục đích nhóm remove khỏi hạn chế sách NAP Domain controller ví dụ máy tính mà tất thành viên miền cần truyền thơng với để đăng nhập Nếu bạn khơng cho phép máy khách NAP mình, dù đồng thuận hay khơng, kết nối với domain controller chúng đăng nhập vào mạng để trở thành đồng thuận sau đăng nhập Kích OK hộp thoại New Remediation Server Group Hình Kích Next trang Specify a NAP Remediation Server Group and URL Lưu ý nhập vào Troubleshooting URL trang Chúng không sử dụng ví dụ này, đơi bạn dùng muốn trỏ người dùng đến trang hiển thị cho họ cách trở thành đồng thuận sau máy tính họ rơi vào tình trạng khơng đồng thuận khơng thể tự sửa lỗi Hình Trên trang Define NAP Health Policy, bạn chọn sách hợp lệ sức khỏe hệ thống (System Health Validator) mà bạn muốn để định nghĩa sách sức khỏe cho mạng (Health Policy) Mặc định có sách System Health Validator có Windows Server 2008, sách Windows Security Health Validator Các hãng phần mềm khác nhóm sản phẩm System Health Validator họ mà bạn cài đặt vào máy chủ NAP policy Bảo đảm có dấu kiểm hộp kiểm Windows Security Health Validator Cũng cần tích dấu kiểm hộp chọn Enable auto-remediation of client computers Tùy chọn cho phép thành phần NAP client tự sửa lỗi số vấn đề Với ví dụ này, Windows Firewall bị vơ hiệu hóa NAP agent tự kích hoạt Windows Firewall Trong Network Access restrictions for NAP-ineligible client computers, bạn xác định muốn thực với máy tính khơng có khả NAP Bạn có hai tùy chọn:  Deny full network access to NAP-ineligible client computers Allow access to a restricted network only  Từ chối toàn truy cập mạng cho máy khách NAP không đủ tư cách Chỉ cho phép truy cập vào mạng bị hạn chế  Allow full network access to NAP-ineligible client computers  Cho phép truy cập vào máy khách NAP không đủ tư cách Tùy chọn an tồn tùy chọn kia, cịn tùy chọn thứ hai tùy chọn tỏ hào phóng Sự lựa chọn bạn phụ thuộc vào mục tiêu thiết kế cho NAP Bạn cho phép máy tính khơng có khả NAP truy cập vào mạng suốt trình triển khai NAP sau đó, q trình triển khai hồn tất, bạn chuyển thi hành cho máy đồng thuận NAP Kích Next trang Define NAP Health Policy Hình Trên trang Completing NAP Enforcement Policy and RADIUS Client Configuration, bạn thấy Health Policies, Connection Request Policy, Network Policies Remediation Server Group tạo wizard Chúng ta xem xét sâu sách Hình 10 Lưu ý có liên kết Configuration Details Khi bạn kích vào liên kết này, xuất trang cung cấp thơng tin chi tiết sách tạo wizard Hình 11 Kết luận Trong phần này, giới thiệu cho bạn NAP policy wizard giải thích tùy chọn wizard cung cấp Chúng ta thấy NAP policy wizard giúp đơn giản nhiều việc tạo sách NAP tồn diện q trình tạo số sách Network, Health Connection để kiểm sốt máy tính tham gia vào mạng Trong phần loạt này, xem xét cách chi tiết đến rule giải thích chức nhân tố sau rule  ... để tạo tự động sách Network, Health Connection nhằm kiểm soát truy cập cho mạng bạn Sử dụng NAP Wizard để tạo sách thực thi NAP DHCP Lúc bắt đầu cho phần - tạo sách thực thi NAP DHCP Sau chạy... vào danh sách Kích Next Hình Bạn có tùy chọn để kích hoạt NAP sử dụng thực thi DHCP Nếu không muốn sử dụng sách thực thi NAP tất phạm vi DHCP bạn nhập vào phạm vi muốn sách NAP áp dụng cho trang... trị mạng - Trong phần đầu loạt này, giới thi? ??u số kiến thức cách làm việc NAP, sau cài đặt dịch vụ DHCP NPS máy chủ NAP policy Trong phần này, giới thi? ??u cách sử dụng NAP policy wizard để tạo tự