網絡專家:使用網絡訪問保護(NAP)實現DirectAccess
遠程用戶現在可以通過更安全的方式訪問您公司的網絡。DirectAccess 是 Windows 7 和 Windows Server 2008 R2 中的新功能。通過這項功能,遠程用戶無需連接到虛擬專用網絡 (VPN),就可以安全地訪問 Intranet 資源。
此外,Windows Server 2008 R2 和 Windows 7 中還內置了網絡訪問保護 (NAP) 功能。當客戶端計算機嘗試連接網絡或與網絡通信時,NAP 可監視和評估該計算機的運行狀態。
二者結合將獲得更強大的功能。使用 NAP 實現 DirectAccess,讓您可以指定只有符合系統健康要求的 DirectAccess 客戶端才能通過 Internet 訪問 Intranet 資源。
DirectAccess隧道
使用完全 Intranet 訪問或選定服務器訪問模式的 DirectAccess 客戶端將創建以下連接到 DirectAccess 服務器的 Internet 協議安全性 (IPsec) 隧道:
- 基礎結構隧道:連接 Intranet 域名系統 (DNS) 服務器和 Active Directory 域服務 (AD DS) 域控制器。默認情況下,此隧道要求使用計算機證書和計算機帳戶 NT LAN 管理器版本 2 (NTLMv2) 憑據進行身份驗證。DirectAccess 客戶端在用戶登錄之前創建此隧道。
- 管理隧道:在用戶登錄之前連接到其他 Intranet 位置。Intranet 管理服務器也可以創建此隧道,以便遠程管理 DirectAccess 客戶端。與基礎結構隧道相同,默認情況下此隧道也要求使用計算機證書和計算機帳戶 NTLMv2 憑據進行身份驗證。
- Intranet 隧道:在用戶登錄之后連接到不在基礎結構和管理隧道規則的目標地址列表中的 Intranet 位置。默認情況下,此隧道要求計算機證書和用戶帳戶 Kerberos 憑據以進行身份驗證。
NAP和IPsec強制
您可以使用很多強制方法部署 NAP,以對連接或通信強制實施系統健康要求。IPsec 強制方法使用健康證書(在增強型密鑰用法 [EKU] 字段中包含系統健康身份驗證對象標識符 [OID] 的數字證書),要求對 Intranet 流量進行 IPsec 保護的 IPsec 連接安全性規則,以及使用健康證書的 IPsec 對等身份驗證。
這種組合可強制使 Intranet 上計算機之間的通信符合系統健康要求。不符合系統健康要求和缺少健康證書的計算機無法在 Intranet 上發起通信。
IPsec 強制部署需要以下內容:
- 健康注冊機構 (HRA):一臺 Web 服務器,接收并響應 NAP 客戶端以及客戶端發出的驗證系統健康并獲得健康證書的請求。
- NAP 證書頒發機構 (CA):公鑰基礎結構 (PKI) 中的 CA(通常是專用的),負責為合規的 NAP 客戶端頒發健康證書。
- NAP 健康策略服務器:負責驗證系統健康請求的網絡策略服務器 (NPS)。
- 更新服務器:包含資源的服務器。NAP 客戶端需要這些資源來更正其不合規的系統健康狀態。
通過 HRA 獲得的健康證書的生命期很短,通常為數個小時。您也可以向需要健康證書以進行 IPsec 對等身份驗證但不需要執行系統健康驗證的服務器頒發生命期更長的豁免健康證書。
使用NAP實現DirectAccess
使用 NAP 實現 DirectAccess 是將系統健康合規性與 DirectAccess 連接過程相集成。當您結合使用 DirectAccess 和 NAP,以便在允許訪問 Intranet 資源之前強制實施系統健康要求時,實際上是利用 NAP 基礎結構來頒發健康證書(HRA、NAP C、NAP 健康策略服務器)并更正系統健康狀態(更新服務器)。您還針對基礎結構、管理和 Intranet 隧道使用 DirectAccess 連接安全性規則。
默認情況下,在 DirectAccess 客戶端和服務器上為基礎結構、管理和 Intranet 隧道配置的連接安全性規則不需要在進行身份驗證時使用健康證書。是否需要修改規則集以便要求健康證書,取決于以下內容:
- NAP 部署模式(報告或完全強制)
報告模式不要求系統健康合規。不合規的 DirectAccess 客戶端可以訪問 Intranet。因此,不需要更改 DirectAccess 連接安全性規則。
完全強制模式要求系統健康合規。在此模式中,您必須配置連接安全性規則以要求健康證書,而不是要求普通的計算機證書。
- HRA 和更新服務器的位置
您可以在 Intranet 或 Internet 上找到 HRA 和更新服務器。
下文將分別介紹 HRA 和更新服務器的這兩種位置,以及您因此需要做出的更改,以便連接安全性規則要求健康證書。
基于Intranet的HRA和更新服務器
當 HRA 和更新服務器位于 Intranet 上時,DirectAccess 客戶端必須能夠使用計算機證書(而不是健康證書)來訪問它們。健康驗證發生在創建基礎結構和管理隧道之后。DirectAccess 客戶端需要基礎結構隧道來訪問 Intranet DNS 服務器以解析 Intranet 名稱,并需要管理隧道來訪問 HRA 和更新服務器。
.jpg)
圖 1 當 HRA 和更新服務器位于 Intranet 上時,使用 NAP 實現的 DirectAccess。
但是,對于完全強制模式,DirectAccess 客戶端需要健康證書才能訪問其他 Intranet 資源。因此,健康證書要求只適用于 Intranet 隧道的連接安全性規則。
配置步驟
當 HRA 和更新服務器位于 Intranet 上時,若要配置使用 NAP 的 DirectAccess,您需要:
- 向管理服務器列表中添加 HRA 和更新服務器的 IPv6 地址。您可以使用 DirectAccess 安裝向導中的第三步或使用 Netsh.exe 命令來完成添加。
- 使用 Netsh.exe 命令在 DirectAccess 服務器組策略對象 (GPO) 中配置 Intranet 隧道規則以要求健康證書。
有關詳細步驟,請參見為 NAP 配置 DirectAccess 連接安全性規則。
您使用 Netsh.exe 自定義 DirectAccess 連接安全性規則時,所做的更改將在您下次應用 DirectAccess 安裝向導的設置時被覆蓋。若要確保保留這些自定義設置,您要么放棄使用 DirectAccess 安裝向導來更改配置,要么在腳本中編譯自定義更改列表,然后在每次應用 DirectAccess 安裝向導的設置時運行該腳本。
工作原理
以下過程描述了當 HRA 和更新服務器只位于 Intranet 上時,使用 NAP 的 DirectAccess 如何作用于 DirectAccess 客戶端:
- 當 DirectAccess 客戶端啟動并嘗試使用其計算機帳戶登錄 AD DS 域時,它使用其計算機證書創建基礎結構隧道。[基礎結構隧道]
- 當 NAP 代理啟動時,DirectAccess 客戶端解析已配置的 HRA 統一資源定位器 (URL) 的完全限定域名 (FQDN),使用其計算機證書創建管理隧道,然后將其目前的健康狀態信息發送給 HRA。[管理隧道]
- HRA 將 DirectAccess 客戶端的健康狀態信息發送到 NAP 健康策略服務器。[Intranet 流量]
- NAP 健康策略服務器評估 DirectAccess 客戶端的健康狀態信息,確定該客戶端是否合規,然后將結果發送給 HRA。[Intranet 流量]
- HRA 將健康評估結果發送給 DirectAccess 客戶端。[管理隧道]
- 假設健康狀態合規,HRA 將從 NAP CA 獲取健康證書,并發送給 DirectAccess 客戶端。[管理隧道]
- 當 DirectAccess 客戶端嘗試訪問 Intranet 上的資源時,它首先使用健康證書創建 Intranet 隧道。[Intranet 隧道]
如果 DirectAccess 客戶端不合規:
- HRA 將健康評估結果發送給 DirectAccess 客戶端,其中包括健康更正指令;但 HRA 不會獲得健康證書。[管理隧道]
- 根據已安裝的健康評估組件,DirectAccess 客戶端可能需要訪問更新服務器以更正其健康狀態。如果是這樣,DirectAccess 客戶端將向合適的更新服務器發送更新請求。[管理隧道]
- 更新服務器向 DirectAccess 客戶端提供所需的設置或更新,以便符合系統健康要求。[管理隧道]
- DirectAccess 客戶端將更新后的健康狀態信息發送給 HRA。[管理隧道]
- HRA 將更新后的健康狀態信息發送給 NAP 健康策略服務器。假設已進行了所有必需的更新,NAP 健康策略服務器將確定 DirectAccess 客戶端是合規的,并將結果發送給 HRA。[Intranet 流量]
- HRA 從 NAP CA 獲得健康證書。[Intranet 流量]
- HRA 將健康證書發送給 DirectAccess 客戶端。[管理隧道]
- 當 DirectAccess 客戶端嘗試訪問 Intranet 上的資源時,它將使用健康證書創建 Intranet 隧道。[Intranet 隧道]
HRA和更新服務器位于Internet 上
當 HRA 和更新服務器僅位于 Internet 上時,DirectAccess 客戶端始終可以訪問它們,而且系統健康驗證會獨立于 DirectAccess 隧道進行。
圖 2 顯示了 HRA 和更新服務器僅位于 Internet 上時的配置。有關此配置的詳細信息,請參見 2009 年 6 月的網絡專家專欄文章 Internet 上的 NAP。
.jpg)
圖 2 當 HRA 和更新服務器位于 Internet 上時,使用 NAP 實現的 DirectAccess。
對于完全強制模式,DirectAccess 客戶端需要先獲得健康證書,之后才能訪問除管理服務器之外的任何 Intranet 資源。管理服務器是從 Intranet 進行遠程管理和支持不合規的DirectAccess 客戶端所必需的。因此,針對基礎結構、Intranet 和管理(可選)隧道的連接安全性規則都需要健康證書。
配置步驟
當 HRA 和更新服務器都位于 Internet 上時,若要配置使用 NAP 的 DirectAccess,您需要使用 Netsh.exe 命令在 DirectAccess 服務器 GPO 中更改基礎結構、Intranet 和管理隧道規則以便要求健康證書。
以下命令使用 Windows Server 2008 R2 中的 DirectAccess 安裝向導為 GPO 和連接安全性規則配置的默認名稱:
- 在管理員級別的命令提示符下,運行 netsh –c advfirewall 命令。
- 在 netsh advfirewall 提示符下,運行以下命令:
set store gpo="DomainName\DirectAccess Policy-{ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}"
consec set rule "DirectAccess Policy-DaServerToDnsDC" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes
consec set rule "DirectAccess Policy-DaServerToCorp" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes
consec set rule "DirectAccess Policy-DaServerToMgmt" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes
注意:DomainName 是 AD DS 域的 FQDN。CANameString 是顯示 consec show rule name="DirectAccess Policy-DaServerToCorp" 命令時 Auth1CAName 字段的值。
只有當您已定義管理服務器且希望阻止不合規的 DirectAccess 客戶端訪問它們時,才需要運行最后一個命令。
工作原理
以下過程描述了當 HRA 和更新服務器都位于 Internet 上時,使用 NAP 的 DirectAccess 如何作用于 DirectAccess 客戶端:
- 當 DirectAccess 客戶端啟動后,將嘗試使用其計算機帳戶登錄 AD DS 域并創建基礎結構隧道。由于 DirectAccess 客戶端沒有健康證書,因此嘗試將失敗。[Internet 流量]
- 當 NAP 代理啟動后,DirectAccess 客戶端解析 HRA URL 的 FQDN,然后將其當前的健康狀態信息發送給 Internet 上的 HRA。[Internet 流量]
- HRA 將 DirectAccess 客戶端的健康狀態信息發送給 NAP 健康策略服務器。[Intranet 流量]
- NAP 健康策略服務器評估 DirectAccess 客戶端的健康狀態信息,確定該客戶端是否合規,并將結果發送給 HRA。[Intranet 流量]
- HRA 將健康評估結果發送給 DirectAccess 客戶端。[Internet 流量]
- 假設健康狀態合規,HRA 將從 NAP CA 獲取健康證書,并發送給 DirectAccess 客戶端。[Internet 流量]
- 當 DirectAccess 客戶端計算機下次嘗試使用其計算機帳戶登錄 AD DS 域或解析 Intranet FQDN 時,它會首先使用健康證書創建基礎結構隧道。[基礎結構隧道]
- 當 DirectAccess 客戶端需要訪問 Intranet 上的資源時,它將首先使用健康證書創建 Intranet 隧道。[Intranet 隧道]
如果 DirectAccess 客戶端不合規:
- HRA 將健康評估結果發送給 DirectAccess 客戶端,其中包括健康更正指令;但 HRA 不會獲得健康證書。[Internet 流量]
- 根據已安裝的健康評估組件,DirectAccess 客戶端可能需要訪問更新服務器以更正其健康狀態。如果是這樣,DirectAccess 客戶端將向合適的更新服務器發送更新請求。[Internet 流量]
- 更新服務器向 DirectAccess 客戶端提供所需的設置或更新,以便符合系統健康要求。[Internet 流量]
- DirectAccess 客戶端將更新后的健康狀態信息發送給 HRA。[Internet 流量]
- HRA 將更新后的健康狀態信息發送給 NAP 健康策略服務器。假設已進行了所有必需的更新,NAP 健康策略服務器將確定 DirectAccess 客戶端是合規的,并將結果發送給 HRA。[Intranet 流量]
- HRA 從 NAP CA 獲得健康證書。[Intranet 流量]
- HRA 將健康證書發送給 DirectAccess 客戶端。[Internet 流量]
- 當 DirectAccess 客戶端計算機下次嘗試使用其計算機帳戶登錄 AD DS 域或解析 Intranet FQDN 時,它會首先使用健康證書創建基礎結構隧道。[基礎結構隧道]
- 當 DirectAccess 客戶端需要訪問 Intranet 上的資源時,它將使用健康證書創建 Intranet 隧道。[Intranet 隧道]
本文來源:微軟TechNet中文站
【編輯推薦】
