虚拟专用网 (VPN) 的网络访问保护 (NAP) 强制使用 VPN 强制服务器组件和 VPN 强制客户端组件进行部署。通过使用此强制方法,VPN 服务器可以在客户端计算机尝试使用 VPN 连接来连接到网络时强制执行健康策略。VPN 强制为通过使用 VPN 连接访问网络的所有计算机提供强大的有限网络访问。
 | 注意 |
|
VPN 强制与 Network Access Quarantine Control 不同,后者是 Windows Server(R) 2003 和 Internet Security and Acceleration (ISA) Server 2004 中的一项功能。 |
要求
若要使用 VPN 部署 NAP,必须进行下列配置:
-
安装“路由和远程访问”服务并将其配置为 VPN 服务器。在路由和远程访问中,将运行网络策略服务器 (NPS) 的服务器配置为主远程身份验证拨入用户服务 (RADIUS) 服务器。
-
在 NPS 中,将 VPN 服务器配置为 RADIUS 客户端。此外,还要配置连接请求策略、网络策略和 NAP 运行状况策略。可以使用 NPS 控制台分别配置这些策略,也可以使用“新建网络访问保护”向导进行配置。
-
在支持 NAP 的客户端计算机上启用 NAP 远程访问和 EAP 强制客户端。
-
在支持 NAP 的客户端计算机上启用 NAP 服务。
-
配置 Windows 安全健康验程序 (WSHV),或安装并配置其他系统健康代理 (SHA) 和系统健康验程序 (SHV),取决于您的 NAP 部署。
-
如果使用的是带智能卡或证书的受保护的可扩展身份验证协议-传输层安全 (PEAP-TLS) 或 EAP-TLS,则使用 Active Directory(R) 证书服务 (AD CS) 部署公钥基础结构 (PKI)。
-
如果使用的是受保护的可扩展身份验证协议-Microsoft 质询握手身份验证协议版本 2 (PEAP-MS-CHAP v2),则使用 AD CS 颁发服务器证书,或向一个受信任的根证书颁发机构 (CA) 购买服务器证书。
其他注意事项
如果部署 NAP VPN 强制方法并且已使用“允许在有限时间内对网络执行完全访问”选项配置了 NAP 强制,则达到截止时间时连接到网络的 VPN 客户端将自动断开连接,无论它们与健康策略兼容还是不兼容都是如此。
截止日期和时间后,试图连接到网络的 VPN 客户端将被置于受限网络上(如果它们与健康策略不兼容),而兼容的客户端被允许对网络执行完全访问。