Sử dụng Group Policy Filtering để tạo chính sách thực thi DHCP cho NAP - Phần 2 pot

Thomas Shinder Quản trị mạng - 7rong phần đầu của loạt bài này, chúng tôi đã gidi thiéu mot số kiến thức cơ bản về cách làm việc của NAP, sau đó đã cài đặt các dịch vụ DHCP và NPS trên m

Si dung Group Policy Filtering dé tao chinh sách thuc thi DHCP cho

Thomas Shinder

Quản trị mạng - 7rong phần đầu của loạt bài này, chúng tôi đã gidi thiéu mot số kiến thức cơ bản về cách làm việc của NAP, sau

đó đã cài đặt các dịch vụ DHCP và NPS trên máy chủ NÁP

policy Trong phần này, chúng tôi sẽ giới thiệu về cách sử dụng

NAP policy wizard dé tao tu dong cdc chinh séch Network, Health

va Connection nham kiém sodt su truy cdp cho mang cua ban

Si dung NAP Wizard để tạo một chính sách thực thì NÁP

DHCP

Lúc này chúng ta có thể bắt đâu cho phần chính - tạo chính sách

thuc thi NAP DHCP Sau khi chay wizard, wizard sé tao các

chính sách sau:

° Health Policies

° Connection Request Policies

° Network Policies

° Remediation Server Group policies

Chúng ta hãy xem xét kỹ hơn về mỗi chính sách này sau khi kết

thúc wizard

Mé giao dién diéu khién Network Policy Server tir

menu Administrative Tools Tir day, ban sé thay 6 gitta giao dién xuat hién trang Getting Started Trong phan Standard

Configuration, hay chon tuy chon Network Access Protection

(NAP) tv Select a configuration scenario from the list and then click the link below to open the scenario wizard

Kich vao lién két Configure NAP.

Network Policy Server (NPS) allows you to create and enforce organization-wide network access

policies for client health, connection request authentication, and connection request authorization

|Network Access Protection (NAP) xị

Network Access Protection (NAP)

When you configure NPS as a NAP policy server you create health policies that allow NPS to validate the configuration of NAP-capable client computers before they connect to your network Clients that are not

compliant with health policy can be placed on a restricted network and automatically updated to bring them

phương pháp thực thi và đó là những gì chúng ta đang thực hiện ở đây DHCP server trở thành “network access server” trong kịch bản này và DHCTP server chịu trách nhiệm cho mức truy cập mạng

mà NAP client có

Hộp văn bản Policy name sẽ tự động được cư trú với NẠP

DHCCP, phân tên (name) được nối thêm vào một số các chính sách

đã tạo bởi wizard Chúng ta sẽ thây điều này sau khi kết thúc NAP

wizard

Kich Next.

Configure NAP L ị x

7 | Select Network Connection Method For Use with NAP

a |

Network connection method:

Select the network connection method that you want to deploy on your network for NAP-capable client

computers Created policies will work with this network connection type only To create policies for additional

name:

This default text is used as part of the name for each of the policies created with this wizard You can use the

default text or modify it

Trén trang Specify NAP Enforcement Server Running DHCP

Server, bạn có thể gộp địa chỉ IP của DHCP server sẽ chịu trách

nhiệm máy chủ truy cập mạng Sử dụng tùy chọn này khi DHCP

server và NPS server câu hình các chính sách NAP không năm

trên cùng máy chủ

Nếu muốn bồ sung thêm các máy chủ thi hành DHCP NAP từ xa, chúng phải được câu hình như các RADIUS client, điều đó có nghĩa răng bạn cần câu hình các máy này như NPS server Sự khác biệt ở đây là NPS server này không cấu hình các thiết lập chính sách NAP Chúng chỉ ủy quyền các yêu cầu RADIUS đến NPS server đang cầu hình các thiết lập chính sách NAP Cau hình

đó nên sử dụng trong môi trường sản xuất lớn, nơi DHCP server

và NAP server cả hai đều tương đối bận Thêm vào đó, rất có thể

sẽ có nhiều DHCP server trong công ty bạn, trong khi đó bạn lại

muốn tất cả đều có thê truyền thông với máy chủ chính sách NAP hoặc các máy chủ

Trong ví dụ này, mạng mà chúng tôi đặt các máy chủ DHCP và NPS năm trên cùng một máy tính, vì vậy chúng ta sẽ không cân

bồ sung thêm các máy chủ DHCP từ xa vào danh sách

Kích Next.

Specify NAP Enforcement Servers Running DHCP

Ban có một tùy chọn đề kích hoạt NAP khi sử dụng thực thi

DHCP Nếu không muốn sử dụng chính sách thực thi NAP đối với tất cả các phạm vi DHCP thì bạn có thê nhập vào phạm vi trong đó muốn chính sách NAP áp dụng cho trong trang Specify

DHCP Scopes Trong mạng ví dụ của chúng tôi, chúng tôi muốn

kích hoạt chính sách NAP trên mọi phạm vị, vì vậy chúng tôi

không nhập vào các phạm vi cụ thể trên trang này Kích Next

dùng nào đó hoặc các máy tính trong chính sách NAP Trong ví

dụ này, chúng tôi áp dụng chính sách cho tất cả các máy và người

trong mang Chúng cần đến các máy chu so ha tang chang han nhu Active Directory, DNS, DHCP va WINS server Tat ca cac máy tính cần sự truy cập tới các máy chủ sửa lỗi, đây là các máy

mà máy tính không thỏa mãn yêu câu có thê truy cập để đạt được

sự đồng thuận

Trong trang Specify a NAP Remediation Server Group and

URL, ban kich nut Group dé mo hộp thoại New Remediation

Server Group Trong hdp thoai New Remediation Server

Group, hãy nhập vào tên nhóm trong hộp văn bản Group Name Trong ví dụ này, chúng tôi đặt tên nhóm là Network Services Kích nút Add trong hộp thoại New Remediation Server Group Khi đó bạn sẽ thấy hộp thoại Add New Server xuất hiện Trong hộp thoại Add New Server, hãy nhập vào tên máy chủ trong

hộp Friendly name Trong ví dụ này chúng tôi nhập vào một tên

cho domain controller, chính vì vậy chúng tôi sẽ nhập DC vào hộp van ban nay Dia chi IP cua domain controller 1a 0.0.0.2, chính vì vậy chúng ta sẽ nhập địa chỉ đó vào hộp văn bảnIP address or

DNS name Nếu biết tên của máy chủ DNS thì bạn có thể nhập

vào tên đó trong hộp văn bản và sau đó kích nút Resolve

Kích OK trong hộp thoại Add New Server

i ad ew Remediation Server Grou % p : xị

Remedi xi

One OFT Group Name:

Select 2 [Network Services

bntan Group

Lúc này bạn sẽ thấy tên của nhóm máy chủ sửa lỗi và địa chỉ IP của máy chủ mà bạn đã bồ sung vào nhóm Nhớ răng, mục đích của nhóm này là remove nó khỏi những hạn chế của chính sách

NAP Domain controller trong ví dụ này là một máy tính mà tất cả

các thành viên miền cân truyền thông với nó để đăng nhập Nếu bạn không cho phép các máy khách NAP của mình, dù đồng

thuận hay không, kết nỗi voi domain controller thì chúng sẽ

không thể đăng nhập vào mang để trở thành đông thuận sau khi đăng nhập

Kích OK trong hộp thoại New Remediafion Server Group

il Specify a NAP Remediation Server Group and URL

Looted New Remediation Server Group

người dùng đến trang hiển thị cho họ cách trở thành đồng thuận sau khi máy tính của họ rơi vào tình trạng không đồng thuận và

không thê tự sửa lỗi

*

Remediation Server Group:

Remediation servers store software updates for NAP clients that need them Remediation Server Groups contain

one or more remediation servers

Select a Remediation Server Group that you have already configured or, to create a new group, click New Group

Troubleshooting URL-

f you have a Web page that provides users with instructions to users on how to bring computers and devices into

compliance with NAP health policy type the Uniform Resource Locator (URL) for the Web page

Ý you do not have a Help Web page do not type a URL

sách hợp lệ sức khde hé théng (System Health Validator) nao ma

bạn muốn dé định nghĩa một chính sách sức khỏe cho mạng (Health Policy) Mặc định chỉ có một chính sách System Health

Validator có trong Windows Server 2006, chính sách này

là Windows Security Health Validator Các hãng phần mềm khác cũng có thê nhóm các sản phẩm System Health Validator của họ mà bạn cài đặt vào máy chủ NAP policy

Bảo đảm răng có một dấu kiểm trong hộp kiểm Windows

Security Health Validator Cũng cân tích một dấu kiểm trong

hdp chon Enable auto-remediation of client computers Tuy

chon nay cho phép các thành phân của NAP client có thể tự sửa

lỗi một số vẫn đề Với ví dụ này, nêu Windows Firewall bị vô hiệu hóa thì NAP agent sé tu kich hoat Windows Firewall

Trong Network Access restrictions for NAP-ineligible client computers, bạn xác định những gì muốn thực hiện với các máy tính không có khả năng NAP Bạn có hai tùy chọn:

° Deny full network access to NAP-ineligible client

computers Allow access to a restricted network only

° Allow full network access to NAP-ineligible client

computers

Tuy chon dau tién an toan hon tùy chọn kia, còn tùy chọn thứ hai

là tùy chọn tỏ ra hào phóng hơn Sự lựa chọn của bạn phụ thuộc

vào mục tiêu thiết kế cho NAP Bạn có thể cho phép các máy tính

không có khả năng NAP truy cập vào mạng trong suốt quá trình triển khai NAP và sau đó, khi quá trình triển khai hoàn tất, bạn sẽ

chuyền và thi hành cho các máy đồng thuận NAP

Kich Next trong trang Define NAP Health Policy

f selected NAP-capable client computers that are denied full access to the network because they are not

compliant with health policy can obtain software updates from remediation servers

f not selected, noncompliant NAP-capable client computers are not automatically updated and cannot gain full network access until they are manually updated

Network access restrictions for NAP-ineligible client computers:

(* Deny full network access to NAP4neligible client computers Allow access to a restricted network only

Previous |[ Net | Finish Cancel |

Hinh 9

Trén trang Completing NAP Enforcement Policy and RADIUS Client Configuration, ban cé thé thay Health

Policies, Connection Request Policy, Network

Policies va Remediation Server Group sé dugc tao boi wizard

Chúng ta sẽ xem xét sâu hơn về các chính sách này

Completing NAP Enforcement Policy and RADIUS

You have successfully created the following policies and configured the following RADIUS clients

* To view the configuration details in your default browser, click Configuration Details

* To change the configuration, click Previous

* To save the configuration and close this wizard, click Finish

NAP DHCP Non NAP-Capable

Remediation Server Group:

Health Policy NAP DHCP Noncompliant |

Sens Authentication Method a Perform Machine Health Check Only

Hinh 11

Kết luận

Trong phân 2 này, chúng tôi đã giới thiệu cho các bạn về NAP policy wizard và giải thích mỗi tùy chọn được wizard này cung cấp Chúng ta đã thấy được răng NAP policy wizard giúp đơn

giản hơn rất nhiều trong việc tạo một chính sách NAP toàn diện

trong quá trình tạo một số chính sách Network, Health và

Connection để kiểm soát những máy tính có thể tham gia vào mạng Trong phân tiếp theo của loạt bài này, chúng ta sẽ xem xét một cách chi tiết hơn đến các rule và giải thích về chức năng cũng như nhân tô cơ bản sau môi rule này