Triển khai IPsec Server Domain Isolation Windows Server 2008 Group Policy - Phần Nguồn : quantrimang.com  Thomas Shinder Quản Trị Mạng - Trong phần loạt giới thiệu cho bạn cách sử dụng thực thi IPsec với sách “sức khỏe” NAP, giới thiệu mạng ví dụ bước cần thiết cho NAP để làm việc với chinh sách thực thi IPsec Dưới danh sách bước để thực giải pháp • Cấu hình Domain Controller • Cài đặt cấu hình Network Policy Server, Health Registration Authority Subordinate CA (CA cấp dưới) • Cấu hình NAP IPsec Enforcement Policy Network Policy Server • Cấu hình VISTASP1 VISTASP1-2 cho việc kiểm thử • Test Health Certificate Auto-remediation Configuration • Thẩm định NAP Policy Enforcement VISTASP1 • Cấu hình test sách IPsec Trong phần đầu loạt này, giới thiệu bước cần thiết để cấu hình domain controller NAP với mơi trường thực thi IPsec Trong phần này, chuyển sang bước thứ hai, bước cài đặt cấu hình Network Policy Server, Health Registration Authority subordinate CA Cài đặt cấu hình Network Policy Server, Health Registration Authority CA cấp Chúng ta quan tâm trước tiên phần Network Policy Server Network Policy Server NPS đảm nhận RADIUS server role NPS tên thay cho tên trước Internet Access Server (IAS) Microsoft Có hai thành phần máy chủ NPS là: thành phần RADIUS (đây thành phần gồm có hỗ trợ cho NAP) thành phần RRAS Chúng ta không đề cập đến thành phần RRAS kịch khơng cài đặt cấu hình RRAS.Chúng ta cần thực số bước để tạo máy chủ NPS với Health Registration Authority CA cấp cung cài đặt cấu hình máy này: • Bổ sung thêm máy chủ sách mạng vào NAP Exempt Group • Khởi động lại máy chủ Network Policy Server • Yêu cầu chứng máy tính cho Network Policy Server • Xem chứng máy tính chứng sức khỏe cài đặt Network Policy Server • Cài đặt Network Policy Server, Health Registration Authority Subordinate CA (CA cấp dưới) • Cấu hình Subordinate CA Network Policy Server • Kích hoạt điều khoản cho Health Registration Authority để yêu cầu, phát hành quản lý chứng • Cấu hình Health Registration Authority để sử dụng CA cấp để phát hành chứng “sức khỏe” Chúng ta xem xét chi tiết đến bước Bổ sung Network Policy Server vào nhóm NAP Exempt Group Chúng ta cần phải thiết lập cho máy tính WIN2008SRV1 trở thành thành viên nhóm NAP Exempt Group để từ tự động kết nạp chứng sức khỏe tạo Điều cho phép máy tính hành động máy chủ sách NAP Health Registration Authority việc truyền thông với máy tính khác mạng an tồn, chí máy tính khơng có đủ u cầu NAP Thực bước domain controller máy tính WIN2008DC: Trên WIN2008DC, click Start, trỏ đến Administrative Tools, sau kích Active Directory Users and Computers Trong phần Panel bên trái giao diện điều khiển Active Directory Users and Computers, mở rộng phần msfirewall.org, sau kích nút Users Kích đúp vào nhóm NAP Exempt phần panel bên phải giao diện điều khiển Kích tab Members, kích Add, kích Object Types, chọn hộp kiểm Computers, sau kích OK Hình Trong Enter the object names to select (examples), đánh WIN2008SRV1, sau kích Check Names Kích OK, sau kích tiếp OK hộp thoại NAP Exempt Properties Hình Hình Đóng giao diện điều khiển Active Directory Users and Computers Khởi động lại Network Policy Server Để kích hoạt thiết lập thành viên miền nmới thành viên nhóm bảo mật, khởi động lại WIN2008SRV1 Khởi động lại WIN2008SRV1 Sau máy tính bạn khởi động lại, đăng nhập vào máy tính tài khoản quản trị viên Yêu cầu chứng máy tính cho máy chủ sách mạng Máy WIN2008SRV1 cần chứng để hỗ trợ kết nối SSL cho máy chủ Các kết nối SSL đến từ máy khách NAP chúng kết nối đến Web server Health Registration Authority máy chủ NPS Lưu ý ví dụ này, máy chủ NPS Health Registration Authority nằm máy Tuy nhiên không bắt buộc phải thực theo cách – bạn hồn tồn đặt Health Registration Authority NPS server máy khác Trong kịch đó, bạn cần phải cài đặt dịch vụ NPS máy tính HRA cấu hình máy tính RADIUS proxy, HRA máy chủ truy cập mạng kịch NAS cần khai báo dịch vụ NPS trạng thái máy khách Thực bước máy WIN2008SRV1 NPS: Trên máy WINS2008SRV1, kích Start, kích Run, đánh mmc, sau nhấn ENTER Kích File, sau kích Add/Remove Snap-in Trong hộp thoại Add or Remove Snap-ins, kích Certificates sau kích Add Trong hộp thoại Certificates snap-in, chọn tùy chọn Computer account kích Next Hình 4 Trong hộp kiểm Select Computer, chọn tùy chọn Local Computer kích Finish Hình 5 Kích OK hộp kiểm Add or Remove Snap-ins Hình 6 Trong giao diện điều khiển Certificates, mở nút Certificates (Local Computer), sau mở Personal Kích nút Certificates, tiếp kích chuột phải vào trỏ đến All Tasks sau kích Request New Certificate Hình 7 Kích Next trang Certificate Enrollment Trong trang Request Certificates, bạn bắt gặp danh sách mẫu chứng có sẵn máy tính Lưu ý rằng, có nhiều mẫu chứng có sẵn có số mẫu cho máy này, mẫu dựa điều khoản cấu hình cho mẫu chứng Tích vào hộp kiểm Computer kích Enroll Lưu ý bạn thực chi tiết chứng cách kích nút Properties Hình 8 Kích Finish hộp thoại Certificate Installation Result Hình 25 16 Kích Next ba lần để chấp nhận sở liệu mặc định, Web server, thiết lập dịch vụ cho role, sau kích Install Hình 26 17 Thẩm định tất cài đặt thành cơng, sau kích Close Lưu ý kết cài đặt nói Attempt to configure Health Registration Authority failed Failed to get name of the local Certification Authority bạn khơng q lo lắng thất bại Chúng ta cấu hình Health Registration Authority bước Hình 27 18 Để cửa sổ Server Manager mở để thực thủ tục Cấu hình CA cấp Network Policy Server CA cấp phải cấu hình tự động phát hành chứng máy khách NAP người có đầy đủ u cầu sách NAP u cầu chứng Mặc định, CA riêng đợi quản trị viên cho phép trước chứng phát hành Chúng ta không muốn đợi cho cho phép quản trị viên cấu hình CA riêng để tự động phát hành chứng yêu cầu đến Thực bước máy WIN2008SRV1: Trên WIN2008SRV1, kích Start, kích Run, đánh certsrv.msc, sau nhấn ENTER Trong giao diện Certification Authority, kích chuột phải vào msfirewallWIN2008SRV1-CA, sau kích Properties Hình 28 Kích tab Policy Module, sau kích Properties Hình 29 Chọn Follow the settings in the certificate template, if applicable Otherwise, automatically issue the certificate, sau kích OK Hình 30 Khi nhắc nhở AD CS phải khởi động lại, bạn kích OK Kích OK, kích chuột phải vào msfirewall-WIN2008SRV1-CA, trỏ đến All Tasks sau kích Stop Service Hình 31 Kích chuột phải vào msfirewall-WIN2008SRV1-CA, trỏ đến All Tasks, kích Start Service Hình 32 Hãy để giao diện Certification Authority để thực thủ tục Kích hoạt điều khoản cho Health Registration Authority để yêu cầu, phát hành quản lý chứng Health Registration Authority phải gắn điều khoản bảo mật để yêu cầu, phát hành quản lý chứng Nó phài phép quản lý CA cấp để vơ hiệu hóa chứng hết thời hạn từ kho lưu trữ chứng Khi Health Registration Authority kích hoạt máy tính khác với máy tính phát hành CA, điều khoản phải gán cho máy HRA Trong cấu hình này, HRA CA đặt máy tính Trong kịch này, điều khoản phải gán cho Network Service Thực bước WIN2008SRV1: Trong phần panel bên trái giao diện điều khiển, kích msfirewallWIN2008SRV1-CA, sau kích Properties Kích tab Security, sau kích Add Hình 33 Trong Enter the object names to select (examples), đánh Network Service sau kích OK Hình 34 Kích Network Service, Allow, chọn hộp kiểm Issue and Manage Certificates, Manage CA, Request Certificates, sau kích OK Hình 35 Đóng giao diện điều khiển Certification Authority Cấu hình Health Registration Authority để sử dụng CA cấp nhằm phát hành chứng “sức khỏe” Bạn phải thông tin cho Health Registration Authority CA sử dụng để phát hành chứng “sức khỏe” Bạn sử dụng CA riêng CA doanh nghiệp Trong mạng ví dụ này, sử dụng CA riêng cài đặt WIN2008SRV1 Thực bước WIN2008SRV1: Trên WIN2008SRV1, kích Server Manager Trong Server Manager, mở Roles\Network Policy and Access Services\Health Registration Authority(WIN2008SRV1)\Certification Authority Lưu ý: Nếu Server Manager trạng thái mở bạn cài đặt HRA server role, bạn cần phải đóng lại sau mở lại để truy cập vào giao diện HRA Trong phần panel bên trái giao diện điều khiển HRA, kích chuột phải vào Certification Authority kích Add certification authority Hình 36 Kích Browse, kích msfirewall-WIN2008SRV1-SubCA, sau kích OK Xem ví dụ Hình 37 Kích OK, sau kích Certification Authority thẩm định \\WIN2008SRV1.msfirewall.org\msfirewall-WIN2008SRV1-CA hiển thị panel chi tiết Tiếp theo cấu hình thuộc tính CA riêng Health Registration Authority cấu hình để sử dụng CA riêng CA doanh nghiệp Các thuộc tính CA (mà cấu hình tiếp theo) cấu hình Health Registration Authority phải phù hợp với kiểu CA chọn Hình 38 Kích chuột phải vào Certification Authority, sau kích Properties Hình 39 Thẩm định tùy chọn Use standalone certification authority tích giá trị nằm Use standalone certification authority is selected and that the value under The certificates approved by this Health Registration Authority will be valid for giờ, sau bạn kích OK Xem ví dụ bên Hình 40 Đóng Server Manager Kết luận Trong phần hai loạt giới thiệu cho bạn cách sử dụng thực thi IPsec với NAP, giới thiệu cho bạn thủ tục cần thiết để tạo máy chủ NPS server Trên máy chủ cài đặt cấu hình Windows Server 2008 Network Policy Server, Health Registration Authority CA cấp Với thành phần này, hoàn toàn sẵn sàng cho bước tiếp theo, bước cấu hình sách thực thi IPsec   ... cài đặt WIN2008SRV1 Thực bước WIN2008SRV1: Trên WIN2008SRV1, kích Server Manager 2 Trong Server Manager, mở Roles\Network Policy and Access Services\Health Registration Authority(WIN2008SRV1)\Certification... chuột phải vào msfirewall-WIN2008SRV1-CA, trỏ đến All Tasks sau kích Stop Service Hình 31 Kích chuột phải vào msfirewall-WIN2008SRV1-CA, trỏ đến All Tasks, kích Start Service Hình 32 Hãy để giao... Browse, kích msfirewall-WIN2008SRV1-SubCA, sau kích OK Xem ví dụ Hình 37 Kích OK, sau kích Certification Authority thẩm định \\WIN2008SRV1.msfirewall.org\msfirewall-WIN2008SRV1-CA hiển thị panel