好久沒有寫文章了，呵呵，惰性啊，今天一起聊聊Windows Server 2008中NAP的IPSEC的配置與實現等東東，首先我們了解下IPSEC NAP大致的工作過程，首先看以下簡圖：

圖表 1

圖表 2

一、對應的文字闡述如下：

1、 IPSEC EC發送當前健康狀態至HRA（健康注冊頒發機構）；

2、 HRA發送客戶端的健康狀態至NAP 健康策略服務器（NPS）；

3、 NAP 健康策略服務器評估客戶端的當前健康狀態信息，以決定其是否符合健康策略，并把結果發回給SHA，如果不符合，在發回的消息中也包含健康Remediation 的指令；

4、 如果符合健康策略，則HRA為客戶端分發健康證書，則客戶端可以使用此證書與其他符合健康策略的計算機開始初始化IPSEC連接；

5、 如果不符合健康策略，HRA通知NAP客戶如何校正其健康狀態并不發給客戶端健康證書，因此客戶端不能初始化IPSEC連接，但是客戶端可以與補救服務器通信，以校正客戶端的健康狀態；

6、 NAP 客戶端發送相關的更新請求至補救服務器；

7、 補救服務器提供符合健康策略的更新給NAP 客戶端，NAP客戶端更新其健康狀態；

8、 NAP客戶端發送其更新過的健康狀態信息至SHA，SHA發送客戶端的健康狀態信息至NAP健康策略服務器；

9、 假設其符合健康狀態策略，則發送結果至SHA，并頒發健康證書給客戶端，客戶端可以使用此證書開始IPSEC通信。

二、配置過程如下：

以下是這次的實驗環境配置：

計算機名 角色 IP地址 操作系統

NYC-SRV-01 NPS,域成員服務器,HRA 192.168.1.21 Windows Server 2008

NYC-DC-01 DC，CA 192.168.1.1 Windows Server 2008

NYC-CLI-01 Client，域客戶端 192.168.1.11 Windows Vista

NYC-CLI-02 Client，域客戶端 192.168.1.12 Windows Vista

1、必須要把NYC-DC-01的計算機提升為域woodgrovebank.com的DC，并在此計算機上安裝證書服務，用來頒發證書，并創建一個全局組為IPSEC NAP Exemption，因為在IPSEC NAP的網絡環境中把網絡可以從邏輯上劃分為三個網絡，安全網絡（有健康證書且要求IPSEC安全通信的計算機所在的網絡，如CA）、邊界網絡（有健康證書但是不要求IPSEC安全通信的計算機所在的網絡,如HRA,補救服務器），、受限網絡（沒有健康證書的計算機所在的網絡），通常全局組IPSEC NAP Exemption的成員就為邊界網絡中的計算機，這樣不管當前計算機的健康狀態是什么，都能夠獲得一個健康證書，并能夠與網絡中的任何一臺計算機進行通信。所以呢，我們在此次測試中就應該把NYC-SRV-01這臺計算機添加為此全局組的成員。

2、在DC上面安裝CA并配置CA。此CA用來向 HRA和IPSEC NAP Exemption組成員發布健康證書。所以安裝企業根CA，配置CA證書模板，并發布至活動目錄中：證書頒發機構右鍵選擇“證書模板”管理復制“WorkStation Authentication”模板，設置以下參數：模板名稱為：System Health Authentication,并選中下面的“發布證書至活動目錄中”，如下圖所示：

切換至“擴展”選項卡，定位于“應用程序策略”，并點擊“編輯”按鈕，再單擊“添加”按鈕，找到system Health Authentication，其值為1.3.6.1.4.1.311.47.1.1 （有二個System Health Authentication,通常是下面一個）；再切換至“安全”選項卡，給全局組IPSEC NAP Exemption“讀取、注冊、自動注冊”權限，這樣，全局組IPSEC NAP Exemption中的成員就不管其健康狀態是什么，都能夠自動獲取此證書。關掉證書模板對話框。為了具有權限的用戶能夠申請此證書必須把它發布出來：在“證書頒發機構”右擊“證書模板”，新建要頒發的證書模板System Health Authentication。如下圖所示：

3、配置默認域策略，允許自動頒發證書。組策略管理默認域策略計算機配置Windows設置安全設置選中“公鑰策略”右邊詳細窗格中，選擇“證書服務客戶端――自動注冊”啟用，并選中下面兩個復選框；在計算機NYC-SRV-01上面使用命令gpupdate /force強制刷新組策略，打開MMC，并選擇“證書”，選擇“計算機”，在證書下面驗證已經成功獲得上面的的證書。

4、在NYC-SRV-01服務器上安裝角色“Network Policy Server”，并添加角色服務“Health Registration Authority”，打開Health Registration Authority”控制臺右鍵選中“Certificate Authority”添加證書頒發機構選擇前面安裝的CA證書；選擇Certificate Authority”的屬性確保在此選擇的CA類型與前面的相同，因為前面安裝的是企業CA，所以在此也選擇企業CA，并指定經過身份驗證的與匿名都使用“System Health Authentication”證書模板，如下面圖所示：

因為HRA必須要為符合健康策略的計算機頒發證書，所以HRA必須有“請求、發布與管理證書”的權限，同時如果HRA頒發的健康證書過期了HRA必須要從對應計算機的證書存儲中刪除證書，所以HRA還必須有“管理CA”的權限。如果HRA與CA在不同的計算機，則必須在CA的屬性“安全”選項卡，給HRA這臺計算機帳戶賦予以上的權限，如果HRA與CA在同一臺計算機，則只需要給“Network Service”賦予以上的權限，因為在此例當中，我們把HRA與CA安裝在不同的計算機上，所以在此，賦予計算機帳戶NYC-SRV-01以上的權限，如下圖所示：

5、打開“網絡策略服務器”控制臺，在右邊詳細窗格中選擇“配置NAP”，選擇“IPSEC with Health Registration Authority(HRA)”,接下來在本例中都以默認的值進行設置就OK了，不用做過多的其他設置。在“網絡策略服務器”控制臺中選擇“網絡訪問保護”系統健康校驗雙擊右邊詳細空格中選擇條目點擊“配置”按鈕，只選擇“啟用自動更新”，清除其他所有的選擇。在“網絡訪問保護”下面右鍵選擇“補救服務器組”選擇添加并把NYC-SRV-01添加進去，當客戶端計算機不符合健康策略要求的時候，將會連接到此計算機進行補救，至此服務器相關的設置已經配置完畢，接下來的過程將會配置客戶端。如下圖所示：

6、在NYC-CLI-01與NYC-CLI-02的兩臺客戶端計算機上都進行如下操作：輸入gpedit.msc計算機配置管理模板Windows組件系統中心，選擇右邊窗格中的“開啟安全中心（僅域PC）”并啟用它，關閉此窗口；接著輸入napclcfg.msc，選擇“強制客戶端”并啟用右邊詳細窗格中的“IPSEC Relying Party”，再選擇左邊的“健康注冊設置”受信任的服務器組，在受信任的服務器組中添加如下兩項內容：http://nyc-srv-01.woodgrovebank.com/domainhra/hcsrvext.dll

http://nyc-srv-01.woodgrovebank.com/nondomainhra/hcsrvext.dll

設置的結果如下所示：

打開服務控制臺，并把服務”Network Access Protection Agent“設置為自動為啟用它。

最后的結果可以參考下圖所示，當我把客戶端的自動更新關閉的時候，就會馬上在任務欄的右下角顯示出不符合安全策略的要求，并會連接到補救服務器進行補救：

如果此時你打開計算機的證書控制臺，會發現從HRA那里獲得了一個健康證書，如下圖所示：

最后，來做一個IPSEC測試，僅僅允許NYC-CLIENT-01至NYC-CLIENT-02的安全通訊，在此以命令ping做為測試的例子。在NYC-CLIENT-01至NYC-CLIENT-02上啟用防火墻，默認的情況下，會拒絕ping的數據包通訊，如果此時從NYC-CLIENT-01 ping 會出現“請求超時”，在NYC-CLIENT-01至NYC-CLIENT-02新建一個入站規則，安全規則僅允許安全的入站ping通訊，創建好的結果如下圖所示：

再在連接安全規則下面創建一個規則，規則名取為”allow secure connection”,如下圖所示，注意一定要選中“僅接受健康證書”：

在兩臺計算機上都做好了相應規則后，我們在NYC-CLIENT-01上ping 192.168.1.12結果如下，除了第一個包進行安全協商，其他連接都正常，如果此時刪除證書存儲中的“健康證書”，則又會返回“Request timed out”，這就是大家可以看到下面兩行的情形。

至此，本次實驗測試就先告一段落，有時地方沒有詳細寫具體操作過程，如果大家有什么疑問，歡迎交流指正，謝謝！沖涼了！

【編輯推薦】

1. Windows Server 2008的創新性能和安全指數報告
2. Windows server 2008 R2系統安全穩如磐石
3. Windows Server 2008 R2安全性能體驗
4. Windows Server 2008 R2中的DirectAccess功能詳解
5. 解讀Windows Server 2008 R2安全性和高可靠性