A hálózatvédelem (NAP) virtuális magánhálózatokon (VPN) történő kényszerítéséhez a VPN-kényszerítési kiszolgáló-összetevőt és a VPN-kényszerítési ügyfélösszetevőt kell telepíteni. A kényszerítési módszerrel a VPN-kiszolgálók kényszeríteni tudják az állapotházirend betartását, ha az ügyfélszámítógépek egy VPN-kapcsolattal kísérlik meg a hálózathoz való kapcsolódást. A virtuális magánhálózatokon alkalmazott kényszerítés biztonságos, korlátozott hálózati hozzáférést biztosít a hálózatot VPN-kapcsolaton keresztül használó számítógépek számára.
Megjegyzés | |
A VPN-kényszerítés különbözik a hálózatelérési karanténtől, amely a Windows Server® 2003 és az Internet Security and Acceleration (ISA) Server 2004 rendszerek szolgáltatása. |
Követelmények
A virtuális magánhálózati NAP telepítéséhez a következő konfigurációt kell elvégeznie:
-
Telepítse és konfigurálja az Útválasztás és távelérés szolgáltatást VPN-kiszolgálóként. Konfigurálja a hálózati házirend-kiszolgálót futtató kiszolgálót elsődleges RADIUS-kiszolgálóként az Útválasztás és távelérés szolgáltatásban.
-
A hálózati házirend-kiszolgálóban konfigurálja a VPN-kiszolgálókat RADIUS-ügyfelekként. Konfigurálja a kapcsolatkérelem-házirendet, a hálózati házirendet és a NAP állapotházirendjét is. Ezeket a házirendeket külön-külön is konfigurálhatja a hálózati házirend-kiszolgáló konzolján, vagy használhatja az Új hálózatvédelmi házirendek varázslót.
-
Engedélyezze a hálózatvédelmi távoli elérésű és EAP-kényszerítésű ügyfeleket a hálózatvédelemre képes számítógépeken.
-
Engedélyezze a hálózatvédelmi szolgáltatást a hálózatvédelemre képes ügyfélszámítógépeken.
-
Konfigurálja a Windows biztonságiállapot-érvényesítő szolgáltatást, vagy telepítsen és konfiguráljon más rendszerállapot-ügynököket és rendszerállapot-érvényesítőket a hálózatvédelem telepítésétől függően.
-
Ha a PEAP-TLS vagy az EAP-TLS protokollt intelligens kártyákkal vagy tanúsítványokkal használja, telepítsen egy nyilvános kulcsokra épülő infrastruktúrát az Active Directory® tanúsítványszolgáltatásokkal.
-
Ha a PEAP-MS-CHAP v2 protokollt használja, állítsa ki a kiszolgálói tanúsítványokat az Active Directory® tanúsítványszolgáltatásokkal, vagy vásároljon kiszolgálói tanúsítványokat egy megbízható legfelső szintű hitelesítésszolgáltatótól.
További szempontok
A NAP VPN-kényszerítési módszer telepítésekor és a NAP-kényszerítés a Teljes hálózati hozzáférés engedélyezése korlátozott időre beállítással való konfigurálásakor a hálózathoz a lejárat időpontjában kapcsolódó VPN-ügyfelek kapcsolata automatikusan megszakad, akár kompatibilisek az állapotházirenddel, akár nem.
A lejárat dátuma és ideje után a hálózathoz csatlakozni próbáló VPN-ügyfeleket egy korlátozott jogú hálózatra helyezi a rendszer, ha nem kompatibilisek az állapotházirenddel, míg a kompatibilis ügyfeleknek teljes hálózati hozzáférést ad.