对基于 802.1X 端口的网络访问控制的网络访问保护 (NAP) 强制是使用运行网络策略服务器 (NPS) 的服务器和可扩展身份验证协议 (EAP) 主机强制客户端组件来部署的。借助基于 802.1X 端口的强制,NPS 服务器将指导 802.1X 身份验证交换机或兼容 802.1X 的无线访问点将不兼容的 802.1X 客户端置于更新网络上。NPS 服务器通过将 IP 筛选器或虚拟 LAN 标识符应用于连接,可以限制客户端对更新网络的网络访问。802.1X 强制为通过使用支持 802.1X 的网络访问服务器访问网络的所有计算机提供强网络限制。

对 802.1X 有线网络的要求

若要使用 802.1X 有线网络部署 NAP,必须进行下列配置:

  • 在 NPS 中,配置连接请求策略、网络策略和 NAP 健康策略。可以使用 NPS 控制台分别配置这些策略,也可以使用“新建网络访问保护”向导进行配置。

  • 安装并配置 802.1X 身份验证交换机。

  • 在支持 NAP 的客户端计算机上启用 NAP EAP 强制客户端和 NAP 服务。

  • 配置 Windows 安全健康验程序 (WSHV),或安装并配置其他系统健康代理 (SHA) 和系统健康验程序 (SHV),取决于您的 NAP 部署。

  • 如果使用的是带智能卡或证书的受保护的可扩展身份验证协议-传输层安全 (PEAP-TLS) 或 EAP-TLS,则使用 Active Directory(R) 证书服务 (AD CS) 部署公钥基础结构 (PKI)。

  • 如果使用的是受保护的可扩展身份验证协议-Microsoft 质询握手身份验证协议版本 2 (PEAP-MS-CHAP v2),则使用 AD CS 颁发服务器证书,或向另一个受信任的根证书颁发机构 (CA) 购买服务器证书。

对 802.1X 无线网络的要求

若要使用 802.1X 无线网络部署 NAP,必须进行下列配置:

  • 在 NPS 中,配置连接请求策略、网络策略和 NAP 健康策略。可以使用 NPS 控制台分别配置这些策略,也可以使用“新建网络访问保护”向导进行配置。

  • 安装并配置 802.1X 无线访问点。

  • 在支持 NAP 的客户端计算机上启用 NAP EAP 强制客户端和 NAP 服务。

  • 根据 NAP 部署,配置 WSHV 或安装并配置其他 SHA 和 SHV。


目录