Windows 防火牆的網際網路通訊協定安全性 (IPsec) 原則的網路存取保護 (NAP) 強制,是使用健康情況憑證伺服器、健康情況登錄授權 (HRA) 伺服器、執行網路原則伺服器 (NPS) 的伺服器以及 IPsec 強制用戶端進行部署。當狀況良好的憑證伺服器判斷 NAP 用戶端相容時,會發出 X.509 憑證。當 NAP 用戶端啟始與內部網路上其他 NAP 用戶端的 IPsec 通訊時,就會使用這些憑證驗證 NAP 用戶端。
IPsec 強制會將網路上的通訊限制為相容的用戶端,並提供最強的 NAP 實作。因為這個強制方法使用 IPsec,所以您可以用每個 IP 位址或每個 TCP/UDP 連接埠號碼為基礎,定義安全通訊的需求。
需求
若要使用 IPsec 與 HRA 來部署 NAP,您必須設定下列各項:
-
在 NPS 中,設定連線要求原則、網路原則以及 NAP 健康原則。您可以使用 NPS 主控台分別設定這些原則,或是使用 [新增網路存取保護] 精靈。
-
啟用 NAP IPsec 強制用戶端與支援 NAP 的用戶端電腦上的 NAP 服務。
-
在本機電腦或遠端電腦上安裝 HRA。
-
安裝和設定 Active Directory(R) 憑證服務 (AD CS) 與憑證範本。
-
設定群組原則以及部署所需的其他設定。
-
根據您的 NAP 部署而定,設定 Windows 安全性健康情況驗證程式 (WSHV) 或安裝並設定其他系統健康情況代理程式 (SHA) 以及系統健康狀態驗證 (SHV)。
如果本機電腦未安裝 HRA,也必須設定下列項目:
-
在執行 HRA 的電腦上安裝 NPS。
-
將遠端 HRA NPS 伺服器上的 NPS 設定為遠端驗證撥號使用者服務 (RADIUS) Proxy,以轉送連線要求至本機 NPS 伺服器。
如需 HRA 的相關資訊,請開啟 [HRA] 主控台,然後按 F1 存取 HRA [說明] 內容。