網路存取保護 (NAP) 包含用戶端元件和伺服器元件,可讓您定義連線到網路之電腦所需的軟體與系統設定。藉由檢查和評定用戶端電腦的健康情況、限制用戶端電腦不相容時的網路存取,以及修復不相容的用戶端電腦以進行無限制的網路存取,NAP 可強制健康情況需求。NAP 在嘗試連線到網路的用戶端電腦強制健康情況需求。當相容的用戶端電腦連線到網路時,NAP 還提供進行中的健康情況相容強制。

NAP 強制發生於用戶端電腦嘗試透過網路存取伺服器 (例如提供 VPN 服務的 RRAS 伺服器) 存取網路時,或用戶端嘗試與其他網路資源通訊時。

VPN 的 NAP 強制在部署時搭配 VPN 強制伺服器元件與 VPN 強制用戶端元件。當用戶端電腦使用 VPN 連線嘗試連線到網路時,VPN 伺服器就可以強制健康原則。VPN 強制會提供強式有限的網路存取,讓所有電腦透過 VPN 連線存取網路。

附註

VPN 強制與網路存取隔離控制不同,網路存取隔離控制是 Windows Server 2003 與 Internet Security and Acceleration (ISA) Server 2004 中的功能。

如需 NAP 的相關資訊,請參閱網路存取保護 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=137284) 以及網路原則伺服器 (可能為英文網頁) (https://go.microsoft.com/fwlink/?linkid=137283)。

使用 VPN 部署 NAP

若要使用 VPN 來部署 NAP,您必須設定下列各項:

  • 安裝與設定 RRAS 為 VPN 伺服器。

  • 在網路原則伺服器 (NPS) 中,將 VPN 伺服器設定為 RADIUS 用戶端。同時設定連線要求原則、網路原則以及 NAP 健康原則。您可以使用 NPS 主控台個別設定這些原則,或者使用 [網路存取保護] 精靈。

  • 啟用 NAP VPN 強制用戶端與支援 NAP 之用戶端電腦上的 NAP 服務。

  • 根據您的 NAP 部署而定,設定 Windows 安全性健康情況驗證程式 (WSHV) 或安裝並設定其他系統健康情況代理程式 (SHA) 以及系統健康狀態驗證 (SHV)。

  • 如果您以智慧卡或憑證使用 PEAP-TLS 或 EAP-TLS,請使用 Active Directory(R) 憑證服務 (AD CS) 部署公開金鑰基礎結構 (PKI)。

  • 如果您使用 PEAP-MS-CHAP v2,請使用 AD CS 發出伺服器憑證,或向信任的根憑證授權單位 (CA) 購買伺服器憑證。

設定遠端存取原則

您必須使用 NPS 建立及設定遠端存取原則。使用下列步驟設定遠端存取原則,以授與使用者存取權。

若要完成此程序,至少需要本機 Administrators 群組或等同群組的成員資格。

設定遠端存取原則
  1. 開啟 RRAS MMC 嵌入式管理單元

  2. [遠端存取記錄與原則] 上按一下滑鼠右鍵,然後按一下 [啟動 NPS]

  3. 按一下 [網路原則]

  4. 按兩下 [連線到 Microsoft 路由和遠端存取伺服器]

  5. [概觀] 索引標籤的 [存取權限] 下,按一下 [授與存取權],然後按一下 [確定]

其他參考資料


目錄