配置DHCP NAP强制

1312

配置DHCP NAP强制DHCP NAP强制允许只有符合的计算机才会接收到授予完全网络访问权限的IP地址，而不符合的计算机会被分配到子网掩码为255.255.255.255且没有网关的IP地址，限制对网络的完全访问。
一、安装NAP1、在"服务器管理器"中，单击"管理"，选择"添加角色和功能"，在打开的向导窗口中，一直下一步，到"选择服务器角色"对话框中，选择"网络策略和服务",然后单击"下一步"。
       
2、一直"下一步"到"选择角色服务"时，选择"网络策略服务器"。然后"下一步"。
       
3、最后，单击"安装"按钮，安装NPS服务。
       
二、DHCP作用域配置1、安装好DHCP服务器角色后，右击"IPv4"，选择"新建作用域"，在"新建作用域向导"对话框中，输入作用域名称为"NAP Clients"（任意起名）。
       
2、在"IP地址范围"中，输入起始IP地址为"192.168.1.1"，结束IP地址为"192.168.1.254"。然后单击"下一步"。
       
3、在"添加排除和延迟"窗口中，排除已经被静态分配的IP地址。
       
4、在"租用期限"窗格中，保持默认，然后单击"下一步"。
       
5、在"配置DHCP选项"窗口，保持默认设置，然后单击"下一步"按钮。
       
6、在"路由器（默认网关）"窗格中，输入网关的IP地址，然后单击"添加"，完成后单击"下一步"。
       
7、在"域名称和DNS服务器"窗格中，输入域名及DNS服务器的IP地址后，单击"下一步"。
       
8、在WINS服务器页面，单击下一步，在"激活作用域"页面中保持默认选项，一直到完成。
       
三、授权DHCP服务器1、在窗口根"DHCP"上右击，选择"管理授权的服务器"。
       
2、在"管理授权的服务器"窗口中，选择"授权"，在弹出的"授权DHCP服务器"窗口中，输入DHCP服务器的IP地址，然后一直确定，到关闭窗口为止。
       
四、配置NPS作为NAP健康策略服务器1、在"服务器管理器"窗口中，打开"网络策略服务器"窗口，在右边详细窗格的"标准配置"区域中，从下拉列表中选择"网络访问保护（NAP）"，然后单击"配置NAP"链接。
       
2、在"选择与NAP一起使用的网络连接方法"对话框中，选择"动态主机配置协议（DHCP）"，策略名称保持不变，然后单击"下一步"。
       
3、在"指定NAP强制服务器运行DHCP服务器"窗口中，选择RADIUS客户端，注意，认真看一下说明，RADIUS客户端不是真正的Client计算机，而不DHCP服务器噢。此处因为授权了DHCP服务器，自动出现了，如果没有，请单击"添加"按钮。单击"下一步"。
       
4、在"指定DHCP作用域"窗口中，通过单击"添加"按钮，指定一个或多个作用域，为符合健康状况的客户分配IP地址。如果不指定作用域，则此策略将应用于指定DHCP服务器上的所有作用域。
       
5、在"配置计算机组"窗口中，可以授予或拒绝计算机组的权限，不选择任何组，则该策略将应用于所有用户。此处保持默认，单击"下一步"。
       
6、在"指定NAP更新服务器组和URL"窗口中，选择或"新建"更新服务器组，也可以指定一个疑难解答的URL页面，然后单击"下一步"按钮。
       
7、在"定义NAP健康策略"窗口中，保持默认选项，单击"下一步"。
       
8、在"正在完成NAP增强策略和RADIUS客户端配置"窗口中，单击"完成"按钮。
       
9、在"网络策略服务器"窗口中，选择"策略""连接请求策略"，确认已经创建了"NAP DHCP"策略，且被排列在第一个位置。
       
五、在DHCP上启用NAP强制1、打开DHCP管理窗口，找到"IPv4"后右击，选择"属性"
       
2、在"IPv4"属性对话框中，单击"对所有作用域启用"按钮，在弹出的对话框中，选择"是"。
       
3、在"IPv4属性"对话框中的"无法连接网络策略服务器（NPS）时的DHCP服务器行为栏中，选择"受限访问"，单击"确定"。
       
六、配置NAP客户端组策略1、打开"组策略管理"，编辑"Default Domain Policy"，然后选择"计算机配置\策略\Windows设置\安全设置\网络访问保护\NAP客户端配置\强制客户端"节点。
       
2、在右侧详细窗格中，双击"DHCP隔离强制客户端"，在打开的窗口中，选择"启用此强制客户端"选项，然后单击"确定"按钮。
       
3、在"计算机配置\策略\Windows设置\安全设置\系统服务"节点的右侧详细窗格中，双击"Network Access Protection Agent"，然后选中"定义此策略设置"复选框，在选择服务启动模式中，选中"自动"单选框，然后单击"确定"。
       
4、选择"计算机配置\策略\管理模板\Windows组件\安全中心"节点，在右侧详细窗格中，双击"启用安全中心（仅限域）"，在对话框中，选择"已启用"，然后单击"确定"按钮。
       
七、测试DHCP NAP强制客户端在客户端计算机上，通过使用"gpupdate /force"命令来强制更新组策略，然后使用ipconfig命令，查看所获得的IP地址情况。
       
上图可以看到，DHCP客户端不满足NAP策略需求，获得的IP地址的子网掩码为255.255.255.255，为无效子网掩码，表明该客户端计算机没有通过NAP健康检查。