好久沒有寫文章了，呵呵，惰性啊，今天一起聊聊Windows Server 2008中NAP的IPSEC的配置與實(shí)現(xiàn)等東東，首先我們了解下IPSEC NAP大致的工作過程，首先看以下簡圖：

圖表 1

圖表 2

一、對應(yīng)的文字闡述如下：

1、 IPSEC EC發(fā)送當(dāng)前健康狀態(tài)至HRA（健康注冊頒發(fā)機(jī)構(gòu)）；

2、 HRA發(fā)送客戶端的健康狀態(tài)至NAP 健康策略服務(wù)器（NPS）；

3、 NAP 健康策略服務(wù)器評估客戶端的當(dāng)前健康狀態(tài)信息，以決定其是否符合健康策略，并把結(jié)果發(fā)回給SHA，如果不符合，在發(fā)回的消息中也包含健康Remediation 的指令；

4、 如果符合健康策略，則HRA為客戶端分發(fā)健康證書，則客戶端可以使用此證書與其他符合健康策略的計算機(jī)開始初始化IPSEC連接；

5、 如果不符合健康策略，HRA通知NAP客戶如何校正其健康狀態(tài)并不發(fā)給客戶端健康證書，因此客戶端不能初始化IPSEC連接，但是客戶端可以與補(bǔ)救服務(wù)器通信，以校正客戶端的健康狀態(tài)；

6、 NAP 客戶端發(fā)送相關(guān)的更新請求至補(bǔ)救服務(wù)器；

7、 補(bǔ)救服務(wù)器提供符合健康策略的更新給NAP 客戶端，NAP客戶端更新其健康狀態(tài)；

8、 NAP客戶端發(fā)送其更新過的健康狀態(tài)信息至SHA，SHA發(fā)送客戶端的健康狀態(tài)信息至NAP健康策略服務(wù)器；

9、 假設(shè)其符合健康狀態(tài)策略，則發(fā)送結(jié)果至SHA，并頒發(fā)健康證書給客戶端，客戶端可以使用此證書開始IPSEC通信。

二、配置過程如下：

以下是這次的實(shí)驗(yàn)環(huán)境配置：

計算機(jī)名 角色 IP地址 操作系統(tǒng)

NYC-SRV-01 NPS,域成員服務(wù)器,HRA 192.168.1.21 Windows Server 2008

NYC-DC-01 DC，CA 192.168.1.1 Windows Server 2008

NYC-CLI-01 Client，域客戶端 192.168.1.11 Windows Vista

NYC-CLI-02 Client，域客戶端 192.168.1.12 Windows Vista

1、必須要把NYC-DC-01的計算機(jī)提升為域woodgrovebank.com的DC，并在此計算機(jī)上安裝證書服務(wù)，用來頒發(fā)證書，并創(chuàng)建一個全局組為IPSEC NAP Exemption，因?yàn)樵贗PSEC NAP的網(wǎng)絡(luò)環(huán)境中把網(wǎng)絡(luò)可以從邏輯上劃分為三個網(wǎng)絡(luò)，安全網(wǎng)絡(luò)（有健康證書且要求IPSEC安全通信的計算機(jī)所在的網(wǎng)絡(luò)，如CA）、邊界網(wǎng)絡(luò)（有健康證書但是不要求IPSEC安全通信的計算機(jī)所在的網(wǎng)絡(luò),如HRA,補(bǔ)救服務(wù)器），、受限網(wǎng)絡(luò)（沒有健康證書的計算機(jī)所在的網(wǎng)絡(luò)），通常全局組IPSEC NAP Exemption的成員就為邊界網(wǎng)絡(luò)中的計算機(jī)，這樣不管當(dāng)前計算機(jī)的健康狀態(tài)是什么，都能夠獲得一個健康證書，并能夠與網(wǎng)絡(luò)中的任何一臺計算機(jī)進(jìn)行通信。所以呢，我們在此次測試中就應(yīng)該把NYC-SRV-01這臺計算機(jī)添加為此全局組的成員。

2、在DC上面安裝CA并配置CA。此CA用來向 HRA和IPSEC NAP Exemption組成員發(fā)布健康證書。所以安裝企業(yè)根CA，配置CA證書模板，并發(fā)布至活動目錄中：證書頒發(fā)機(jī)構(gòu)右鍵選擇“證書模板”管理復(fù)制“WorkStation Authentication”模板，設(shè)置以下參數(shù)：模板名稱為：System Health Authentication,并選中下面的“發(fā)布證書至活動目錄中”，如下圖所示：

切換至“擴(kuò)展”選項卡，定位于“應(yīng)用程序策略”，并點(diǎn)擊“編輯”按鈕，再單擊“添加”按鈕，找到system Health Authentication，其值為1.3.6.1.4.1.311.47.1.1 （有二個System Health Authentication,通常是下面一個）；再切換至“安全”選項卡，給全局組IPSEC NAP Exemption“讀取、注冊、自動注冊”權(quán)限，這樣，全局組IPSEC NAP Exemption中的成員就不管其健康狀態(tài)是什么，都能夠自動獲取此證書。關(guān)掉證書模板對話框。為了具有權(quán)限的用戶能夠申請此證書必須把它發(fā)布出來：在“證書頒發(fā)機(jī)構(gòu)”右擊“證書模板”，新建要頒發(fā)的證書模板System Health Authentication。如下圖所示：

3、配置默認(rèn)域策略，允許自動頒發(fā)證書。組策略管理默認(rèn)域策略計算機(jī)配置Windows設(shè)置安全設(shè)置選中“公鑰策略”右邊詳細(xì)窗格中，選擇“證書服務(wù)客戶端――自動注冊”啟用，并選中下面兩個復(fù)選框；在計算機(jī)NYC-SRV-01上面使用命令gpupdate /force強(qiáng)制刷新組策略，打開MMC，并選擇“證書”，選擇“計算機(jī)”，在證書下面驗(yàn)證已經(jīng)成功獲得上面的的證書。

4、在NYC-SRV-01服務(wù)器上安裝角色“Network Policy Server”，并添加角色服務(wù)“Health Registration Authority”，打開Health Registration Authority”控制臺右鍵選中“Certificate Authority”添加證書頒發(fā)機(jī)構(gòu)選擇前面安裝的CA證書；選擇Certificate Authority”的屬性確保在此選擇的CA類型與前面的相同，因?yàn)榍懊姘惭b的是企業(yè)CA，所以在此也選擇企業(yè)CA，并指定經(jīng)過身份驗(yàn)證的與匿名都使用“System Health Authentication”證書模板，如下面圖所示：

因?yàn)镠RA必須要為符合健康策略的計算機(jī)頒發(fā)證書，所以HRA必須有“請求、發(fā)布與管理證書”的權(quán)限，同時如果HRA頒發(fā)的健康證書過期了HRA必須要從對應(yīng)計算機(jī)的證書存儲中刪除證書，所以HRA還必須有“管理CA”的權(quán)限。如果HRA與CA在不同的計算機(jī)，則必須在CA的屬性“安全”選項卡，給HRA這臺計算機(jī)帳戶賦予以上的權(quán)限，如果HRA與CA在同一臺計算機(jī)，則只需要給“Network Service”賦予以上的權(quán)限，因?yàn)樵诖死?dāng)中，我們把HRA與CA安裝在不同的計算機(jī)上，所以在此，賦予計算機(jī)帳戶NYC-SRV-01以上的權(quán)限，如下圖所示：

5、打開“網(wǎng)絡(luò)策略服務(wù)器”控制臺，在右邊詳細(xì)窗格中選擇“配置NAP”，選擇“IPSEC with Health Registration Authority(HRA)”,接下來在本例中都以默認(rèn)的值進(jìn)行設(shè)置就OK了，不用做過多的其他設(shè)置。在“網(wǎng)絡(luò)策略服務(wù)器”控制臺中選擇“網(wǎng)絡(luò)訪問保護(hù)”系統(tǒng)健康校驗(yàn)雙擊右邊詳細(xì)空格中選擇條目點(diǎn)擊“配置”按鈕，只選擇“啟用自動更新”，清除其他所有的選擇。在“網(wǎng)絡(luò)訪問保護(hù)”下面右鍵選擇“補(bǔ)救服務(wù)器組”選擇添加并把NYC-SRV-01添加進(jìn)去，當(dāng)客戶端計算機(jī)不符合健康策略要求的時候，將會連接到此計算機(jī)進(jìn)行補(bǔ)救，至此服務(wù)器相關(guān)的設(shè)置已經(jīng)配置完畢，接下來的過程將會配置客戶端。如下圖所示：

6、在NYC-CLI-01與NYC-CLI-02的兩臺客戶端計算機(jī)上都進(jìn)行如下操作：輸入gpedit.msc計算機(jī)配置管理模板Windows組件系統(tǒng)中心，選擇右邊窗格中的“開啟安全中心（僅域PC）”并啟用它，關(guān)閉此窗口；接著輸入napclcfg.msc，選擇“強(qiáng)制客戶端”并啟用右邊詳細(xì)窗格中的“IPSEC Relying Party”，再選擇左邊的“健康注冊設(shè)置”受信任的服務(wù)器組，在受信任的服務(wù)器組中添加如下兩項內(nèi)容：http://nyc-srv-01.woodgrovebank.com/domainhra/hcsrvext.dll

http://nyc-srv-01.woodgrovebank.com/nondomainhra/hcsrvext.dll

設(shè)置的結(jié)果如下所示：

打開服務(wù)控制臺，并把服務(wù)”Network Access Protection Agent“設(shè)置為自動為啟用它。

最后的結(jié)果可以參考下圖所示，當(dāng)我把客戶端的自動更新關(guān)閉的時候，就會馬上在任務(wù)欄的右下角顯示出不符合安全策略的要求，并會連接到補(bǔ)救服務(wù)器進(jìn)行補(bǔ)救：

如果此時你打開計算機(jī)的證書控制臺，會發(fā)現(xiàn)從HRA那里獲得了一個健康證書，如下圖所示：

最后，來做一個IPSEC測試，僅僅允許NYC-CLIENT-01至NYC-CLIENT-02的安全通訊，在此以命令ping做為測試的例子。在NYC-CLIENT-01至NYC-CLIENT-02上啟用防火墻，默認(rèn)的情況下，會拒絕ping的數(shù)據(jù)包通訊，如果此時從NYC-CLIENT-01 ping 會出現(xiàn)“請求超時”，在NYC-CLIENT-01至NYC-CLIENT-02新建一個入站規(guī)則，安全規(guī)則僅允許安全的入站ping通訊，創(chuàng)建好的結(jié)果如下圖所示：

再在連接安全規(guī)則下面創(chuàng)建一個規(guī)則，規(guī)則名取為”allow secure connection”,如下圖所示，注意一定要選中“僅接受健康證書”：

在兩臺計算機(jī)上都做好了相應(yīng)規(guī)則后，我們在NYC-CLIENT-01上ping 192.168.1.12結(jié)果如下，除了第一個包進(jìn)行安全協(xié)商，其他連接都正常，如果此時刪除證書存儲中的“健康證書”，則又會返回“Request timed out”，這就是大家可以看到下面兩行的情形。

至此，本次實(shí)驗(yàn)測試就先告一段落，有時地方?jīng)]有詳細(xì)寫具體操作過程，如果大家有什么疑問，歡迎交流指正，謝謝！沖涼了！

【編輯推薦】

1. Windows Server 2008的創(chuàng)新性能和安全指數(shù)報告
2. Windows server 2008 R2系統(tǒng)安全穩(wěn)如磐石
3. Windows Server 2008 R2安全性能體驗(yàn)
4. Windows Server 2008 R2中的DirectAccess功能詳解
5. 解讀Windows Server 2008 R2安全性和高可靠性