网络策略服务器 (NPS) 是一个中心服务器,用于与所有网络访问保护 (NAP) 强制方法协同工作来评估 NAP 客户端访问请求。网络健康要求是在 NPS 上定义的,使用的策略基于 NAP 客户端计算机的健康状况授予或限制访问这些客户端计算机。承载这些 NAP 策略的运行 NPS 的服务器被称为 NAP 健康策略服务器。根据您的部署,网络上可能具有一个或多个 NAP 健康策略服务器。NAP 健康策略服务器使用 RADIUS 客户端、连接请求策略、网络策略、健康策略以及系统健康验证程序 (SHV) 来定义和强制网络健康要求。

安装健康注册机构 (HRA) 时,NPS 将自动安装在同一台计算机上。如果已部署了多个 HRA,并希望通过将 NAP 健康策略放置到其他计算机上来集中评估策略,则必须将运行 NPS 的本地服务器配置为 RADIUS 代理。使用 NPS 作为 RADIUS 代理时,会将连接请求策略配置为告知运行 NPS 的本地服务器将网络访问请求转发到远程 RADIUS 服务器组进行评估。

有关 NPS 的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=94389(可能为英文网页)。

若要完成此过程,至少要具有 Domain Admins 成员身份或同等身份。有关使用适合的帐户和组成员身份的详细信息,请参阅 https://go.microsoft.com/fwlink/?LinkId=83477(可能为英文网页)。

验证 NAP 健康策略服务器配置

使用以下过程验证是否将运行 NPS 的本地服务器配置为 NAP 健康策略服务器。如果将本地 HRA 服务器配置为 RADIUS 代理,请参阅验证 NPS 代理配置

RADIUS 客户端

如果已将远程 HRA 服务器配置为将连接请求转发到运行 NPS 的本地服务器进行评估的 RADIUS 代理,则运行 NPS 的本地服务器对每个远程 HRA 服务器都必须具有相应的 RADIUS 客户端项。如果所有 HRA 服务器同时也是 NAP 健康策略服务器,则具有 IPsec 强制的 NAP 不需要 RADIUS 客户端。如果使用将 NPS 配置为 RADIUS 代理的 HRA 服务器,请使用以下过程验证在运行 NPS 的本地服务器上是否正确配置了 RADIUS 客户端,以便该客户端可以处理远程 HRA 服务器接收到的客户端连接请求。

验证 RADIUS 客户端的步骤
  1. 依次单击「开始」“运行”,键入 nps.msc,然后按 Enter。

  2. 在 NPS 控制台树中,双击“RADIUS 客户端和服务器”,然后单击“RADIUS 客户端”

  3. 在细节窗格中,双击与已安装 NPS 并将其配置为 RADIUS 代理的 HRA 服务器对应的 RADIUS 客户端的友好名称。如果不存在 RADIUS 客户端项,请使用以下过程创建新的 RADIUS 客户端。仅当已将远程 HRA 服务器配置为将连接请求转发到运行 NPS 的本地服务器时,此过程才适用。

    1. 右键单击“RADIUS 客户端”,然后单击“新建”

    2. “友好名称”下,键入 RADIUS 客户端的名称(例如,HRA-1)。

    3. “地址(IP 或 DNS)”下键入远程 HRA 服务器的 IP 地址或 DNS 名称,单击“验证”,然后单击“解析”

    4. 确认显示的 IP 地址与正确的远程 HRA 服务器相对应,然后单击“确定”

    5. “共享的机密”“确认共享机密”下,键入在远程 HRA 服务器的远程 RADIUS 服务器组设置中配置的机密。

    6. 如果远程 HRA 服务器已在其远程 RADIUS 服务器组配置设置中启用了消息验证程序属性,则选中“Access-Request 消息必须包含 Message-Authenticator 属性”复选框。如果未在远程 HRA 上启用此选项,则验证是否已清除此复选框。

    7. 选中“RADIUS 客户端支持 NAP”复选框,然后单击“确定”

    8. 继续当前的过程验证新 RADIUS 客户端的配置。

  4. “属性”窗口中,确认已选中“启用此 RADIUS 客户端”复选框。

  5. 确认已选中“RADIUS 客户端支持 NAP”复选框。

  6. 如果将远程 HRA 服务器配置为需要访问请求中包含消息验证程序属性,则确认已选中“Access-Request 消息必须包含 Message-Authenticator 属性”复选框。否则,请确认已清除此复选框。

  7. “供应商名称”旁,确认已选择“RADIUS 标准”

  8. “地址(IP 或 DNS)”下,确认列出的 DNS 名称或 IP 地址与正确的远程 HRA 服务器相对应,然后单击“验证”

  9. “验证客户端”对话框中,单击“解析”

  10. “IP 地址”下,确认列出的 IP 地址与已配置为将请求转发到运行 NPS 的本地服务器的 HRA 服务器相对应,并且运行 NPS 的本地服务器具有与此 IP 地址的网络连接。

  11. 单击“确定”。如果怀疑共享机密不匹配,请在“共享机密”“确认共享机密”旁键入机密,然后单击“确定”

  12. 针对网络上已配置为将连接请求转发到运行 NPS 的本地服务器进行处理的每个 HRA 服务器重复此过程。

连接请求策略

连接请求策略是用于验证网络访问请求及管理在何处执行此验证的条件和设置。使用以下过程确认已经在运行 NPS 的本地服务器上为 NAP IPSec 强制配置了连接请求策略。

验证连接请求策略的步骤
  1. 在 NPS 控制台树中,双击“属性”,然后单击“连接请求策略”

  2. 在细节窗格中,双击用于对从受 IPsec 保护的 NAP 客户端传入的网络访问请求进行身份验证的连接请求策略。如果不存在此策略,请执行以下步骤创建连接请求策略。

    1. 右键单击“连接请求策略”,然后单击“新建”

    2. “策略名称”下,键入连接请求策略的名称(例如,带有 HRA 的 NAP IPsec)。

    3. “网络访问服务器类型”下,选择“健康注册机构”,然后单击“下一步”

    4. 连接请求策略要求至少指定一个条件。若要添加不拒绝任何传入访问请求的条件,请在“指定条件”页上,单击“添加”

    5. “选择条件”窗口中,单击“日期和时间限制”,然后单击“添加”

    6. “时间限制”窗口中,选择“许可”。验证是否允许所有日期和时间,单击“确定”,然后单击“下一步”

    7. 如果运行 NPS 的本地服务器是 NAP 健康策略服务器,请确认已选中“在此服务器上对请求进行身份验证”,单击“下一步”三次,然后单击“完成”。如果运行 NPS 的本地服务器将请求转发到其他服务器进行评估,请参阅验证 NPS 代理配置

  3. “概述”选项卡上,确认已选中“策略已启用”复选框。

  4. “概述”选项卡上,确认“网络访问服务器类型”“健康注册机构”“未指定”。有关指定访问服务器类型的详细信息,请参阅本主题后面的“其他注意事项”。

  5. 单击“条件”选项卡,并验证是否已配置的所有条件均与符合要求和不符合要求的 NAP 客户端相匹配。例如,可以配置“日期和时间限制”,以便仅允许在指定日期的指定时间访问网络。

  6. 单击“设置”选项卡。在“所需的身份验证方法”下,单击“身份验证方法”,然后确认已清除“改写网络策略身份验证设置”复选框。

  7. “转发连接请求”下,单击“身份验证”

  8. 若要启用作为 NAP 健康策略服务器的运行 NPS 的本地服务器,请确认已选中“在此服务器上对请求进行身份验证”

  9. 单击“确定”关闭属性窗口。

网络策略

网络策略使用条件、设置和约束确定可以连接到网络的用户。若要评估 NAP 客户端的健康状态,必须至少将一个网络策略应用于符合健康要求的计算机,并且必须至少将一个网络策略应用于不符合要求的计算机上。使用以下过程可验证已经为 NAP IPsec 强制创建并配置了这些策略。

验证网络策略的步骤
  1. 在 NPS 控制台树中,双击“属性”,然后单击“网络策略”

  2. 在细节窗格中,确认至少为符合要求的计算机和不符合要求的计算机各应用了一个策略,并且这些策略的“状态”“已启用”。若要启用策略,请右键单击策略名称,然后单击“启用”。如果不存在这些策略,请执行以下步骤创建网络策略。

    1. 右键单击“网络策略”,然后单击“新建”

    2. “策略名称”下,键入网络策略的名称(例如,符合 HRA 的 NAP IPsec不符合 HRA 的 NAP IPsec)。

    3. “网络访问服务器类型”下,选择“健康注册机构”,然后单击“下一步”

    4. “指定条件”页上,单击“添加”

    5. “选择条件”中,单击“健康策略”,然后单击“添加”

    6. 如果此网络策略将应用于符合要求的客户端计算机,请在“健康策略”下选择已配置为与符合要求的客户端健康状况相匹配的健康策略,然后单击“确定”

    7. 如果此网络策略将应用于不符合要求的客户端计算机,请在“健康策略”下选择已配置为与不符合要求的客户端健康状况相匹配的健康策略,然后单击“确定”

    8. 单击“下一步”,选择“已授予访问权限”,然后单击“下一步”

    9. “配置身份验证方法”页上,选中“仅执行计算机健康检查”复选框,然后单击“下一步”两次。

    10. “配置设置”页上,单击“NAP 强制”

    11. 为此策略选择一个强制模式。有关详细信息,请参阅本主题后面的 NAP 强制模式

    12. 若要启用对不符合要求的客户端的自动修复,请选中“启用对客户端计算机的自动修复”复选框。如果不希望启用自动修复,请清除此复选框。

    13. 单击“下一步”,然后单击“完成”

    14. 继续当前的过程验证新网络策略的配置。

  3. 在细节窗格中,验证是否已在部署中正确配置了策略的“处理顺序”。将在处理更多的常规策略之前处理更多的特定策略。若要更改策略的顺序,请右键单击策略名称,然后单击“上移”“下移”

  4. 在细节窗格中,验证是否已将符合要求和不符合要求的 NAP 策略配置为具有“授权访问”权限的“访问类型”。若要配置访问权限,请右键单击策略名称,单击“属性”,再单击“概述”选项卡,然后选择“授权访问”

  5. 在细节窗格中,验证用于处理受 IPsec 保护的 NAP 客户端的策略“源”“健康注册机构”还是“未指定”。有关指定访问服务器类型的详细信息,请参阅本主题后面的“其他注意事项”。

  6. 在细节窗格中,双击用于匹配符合要求的客户端的网络策略名称,然后单击“条件”选项卡。

  7. 验证是否至少指定的一个条件为“健康策略”,并且“值”对应于已配置为与符合要求的客户端健康状态相匹配的健康策略。如果不存在此条件,请执行以下步骤。

    1. 依次单击“添加”“健康策略”“添加”

    2. “健康策略”下,选择与符合要求的客户端健康状态相对应的策略,然后单击“确定”。如果没有可用的健康策略,则验证健康策略并重复此过程。

  8. 单击“约束”选项卡,然后单击“身份验证方法”

  9. 确认已选中“仅执行计算机健康检查”复选框。

  10. 单击“设置”选项卡,然后单击“NAP 强制”

  11. 验证是否已为此符合要求的网络策略选中“允许完全网络访问”,然后单击“确定”。此步骤将完成对符合要求的网络策略的验证。

  12. 在细节窗格中,双击用于匹配不符合要求的客户端的网络策略名称,然后单击“条件”选项卡。

  13. 验证是否至少指定的一个条件为“健康策略”,并且“值”对应于已配置为与不符合要求的客户端健康状态相匹配的健康策略。如果不存在此条件,请执行以下步骤。

    1. 依次单击“添加”“健康策略”“添加”

    2. “健康策略”下,选择与不符合要求的客户端健康状态相对应的策略,然后单击“确定”。如果没有可用的健康策略,则验证健康策略并重复此过程。

  14. 单击“约束”选项卡,然后单击“身份验证方法”

  15. 确认已选中“仅执行计算机健康检查”复选框。

  16. 单击“设置”选项卡,然后单击“NAP 强制”

    • 如果您在完整强制模式下部署了 NAP,请验证是否已为此不符合要求的网络策略选中“允许受限访问”

    • 如果您在延迟强制模式下部署了 NAP,请验证是否已为此不符合要求的网络策略选中“允许在有限时间内对网络执行完全访问”

    • 如果您在报告模式下部署了 NAP,请验证是否已为此不符合要求的网络策略选中“允许完全网络访问”

    • 如果希望启动对不符合要求的 NAP 客户端进行自动修复,请验证是否已选中“启用对客户端计算机的自动修复”复选框。

  17. 单击“确定”

  18. 根据需要重复这些步骤,以便验证用于评估受 IPsec 保护的 NAP 客户端中的访问请求的每个网络策略的配置。

NAP 强制模式

在网络上启用 NAP 时,可以使用三种强制模式。可以使用这些强制模式分阶段部署您的 NAP。

  • 若要启用报告模式,请为符合要求和不符合要求的 NAP 客户端计算机选择“允许完全网络访问”。在报告模式下,会记录客户端计算机的健康状态,并且不限制网络访问。符合要求和不符合要求的计算机都会收到健康证书。

  • 若要启用延迟强制模式,请在符合要求的网络策略中选择“允许完全网络访问”,并在不符合要求的网络策略中选择“允许在有限时间内对网络执行完全访问”。如果要限制不符合要求的客户端的访问,还必须指定日期和时间。在延迟强制模式下,如果客户端计算机不符合网络健康要求,则此计算机将立即收到 NAP 通知,但在指定的时间和日期之前,不会限制其访问。

  • 若要启用完全强制模式,请在符合要求的网络策略中选择“允许完全网络访问”,并在不符合要求的网络策略中选择“允许受限访问”。在完全强制模式下,如果客户端计算机不符合网络健康要求,则将立即限制此计算机的网络访问。

健康策略

健康策略定义要评估的 SHV,以及如何使用 SHV 验证尝试连接到网络的计算机的配置。根据 SHV 检查的结果,健康策略对客户端健康状态进行分类。您至少需要一个与符合要求的客户端健康状态相对应的健康策略,以及至少一个与不符合要求的客户端健康状态相对应的健康策略。可使用以下过程验证是否已在 NAP 健康策略服务器上配置了符合要求和不符合要求的健康策略。

验证健康策略的步骤
  1. 在 NPS 控制台中,双击“属性”,然后单击“健康策略”

  2. 在细节窗格的“策略名称”下,双击符合要求的健康策略的名称。如果不存在此策略,请使用以下步骤创建符合要求的健康策略。

    1. 右键单击“健康策略”,然后单击“新建”

    2. “策略名称”下,键入符合要求的健康策略的名称(例如,符合 HRA 的 NAP IPsec)。

    3. “客户端 SHV 检查”下,选择“客户端通过所有 SHV 检查”以创建严格的健康策略,或选择“客户端通过一个或多个 SHV 检查”以创建更宽松的健康策略。

    4. “此健康策略中使用的 SHV”下,选中将用于评估客户端健康的每个 SHV 旁的复选框。默认情况下,可以使用“Windows 安全健康验证程序”。如果已安装其他 SHV,则可以使用这些 SHV。

    5. 单击“确定”

  3. “客户端 SHV 检查”下,确认已选中“客户端通过所有 SHV 检查”“客户端通过一个或多个 SHV 检查”。这些条件将分别用于创建相对严格或相对不严格的符合要求的策略。

  4. “此健康策略中使用的 SHV”下,确认已选中已安装的 SHV 旁的复选框,这些 SHV 将用于评估受 IPsec 保护的 NAP 客户端计算机的健康,然后单击“确定”

  5. 在细节窗格的“策略名称”下,双击不符合要求的健康策略的名称。如果不存在此策略,请使用以下步骤创建不符合要求的健康策略。

    1. 右键单击“健康策略”,然后单击“新建”

    2. “策略名称”下,键入不符合要求的健康策略的名称(例如,不符合 HRA 的 NAP IPsec)。

    3. “客户端 SHV 检查”下,选择“客户端未能通过一个或多个 SHV 检查”以创建严格的健康策略,或选择“客户端未能通过所有 SHV 检查”以创建更宽松的健康策略。

    4. “此健康策略中使用的 SHV”下,选中将用于评估客户端健康的每个 SHV 旁的复选框。默认情况下,可以使用“Windows 安全健康验证程序”。如果已安装其他 SHV,则可以使用这些 SHV。

    5. 单击“确定”

  6. “客户端 SHV 检查”下,确认已选中“客户端未能通过一个或多个 SHV 检查”“客户端未能通过所有 SHV 检查”。这些条件将分别用于创建相对严格或相对不严格的不符合要求的策略。

  7. “此健康策略中使用的 SHV”下,确认已选中已安装的 SHV 旁的复选框,这些 SHV 将用于评估受 IPsec 保护的 NAP 客户端计算机的健康,然后单击“确定”

  8. 为用于评估受 IPsec 保护的 NAP 客户端计算机的所有健康策略重复这些步骤。

SHV

SHV 为尝试连接到网络的计算机定义软件和配置要求。可使用以下过程验证是否为您的部署正确配置了 SHV。

验证 SHV 的步骤
  1. 在 NPS 控制台中,双击“网络访问保护”,然后单击“系统健康验证程序”

  2. 在细节窗格的“名称”下,双击已安装的 SHV 的名称。

  3. SHV 的配置根据实现方式而有所不同。如果使用的是 Windows 安全健康验证程序,请单击“配置”

    • 若要为运行 Windows Vista 的计算机配置健康要求,请单击 Windows Vista 选项卡。

    • 若要为运行 Windows XP Service Pack 3 的计算机配置健康要求,请单击 Windows XP 选项卡。

  4. 通过选中健康组件旁的复选框来启用健康要求。清除这些复选框可禁用要求。使用 WSHV 时可用的健康要求包括:“防火墙”“病毒防护”“间谍软件保护”“自动更新”“安全更新保护”

  5. 单击“确定”,并为您的部署配置错误代码解析。错误代码解析用于确定如何在列出的错误条件下评估客户端。您可以选择为每个条件返回“符合要求”“不符合要求”状态。

  6. 单击“确定”,然后关闭 NPS 控制台。

验证 NPS 代理配置

使用以下过程验证是否将运行 NPS 的本地服务器配置为 RADIUS 代理。如果将运行 NPS 的本地服务器配置为 NAP 健康策略服务器,则此过程不适用。

验证 NPS 代理配置的步骤
  1. 依次单击「开始」“运行”,键入 nps.msc,然后按 Enter。

  2. 在控制台树中,双击“RADIUS 客户端和服务器”,然后单击“远程 RADIUS 服务器组”

  3. 在细节窗格的“组名称”下,双击远程 RADIUS 服务器组的名称。如果未显示任何远程 RADIUS 服务器组项,请执行以下步骤添加远程 RADIUS 服务器组。

    1. 在控制台树的“RADIUS 客户端和服务器”下,右键单击“远程 RADIUS 服务器组”,然后单击“新建”

    2. “组名称”下,键入远程 RADIUS 服务器组的名称(例如,NAP 健康策略服务器1)。

    3. 单击“添加”,然后在“服务器”下,键入已配置为评估从本地 HRA 服务器转发的 NAP IPsec 客户端连接请求的运行 NPS 的服务器的 DNS 名称或 IP 地址。

    4. 单击“验证”,然后单击“解析”。确认所显示的 IP 地址针对您的部署是正确的,然后单击“确定”

    5. 单击“身份验证/记帐”选项卡。

    6. “共享机密”“确认共享机密”下,键入在 NAP 健康策略服务器上的 NPS 设置中配置的机密。

    7. 单击“确定”两次。

  4. 在服务器组属性窗口的“RADIUS 服务器”下,单击远程 RADIUS 服务器的名称,然后单击“编辑”

  5. “地址”选项卡上,单击“验证”

  6. “验证客户端”对话框中,单击“解析”。验证 RADIUS 客户端的 IP 地址是否与网络上的某个 NAP 健康策略服务器相对应,该 NAP 健康策略服务器已配置了与运行 NPS 的本地服务器相对应的 RADIUS 代理。

  7. 单击“确定”,然后单击“身份验证/记帐”选项卡。

  8. 验证身份验证和记帐端口针对您的部署是否正确。默认身份验证端口为 1812,默认记帐端口为 1813。

  9. 仅当在 NAP 健康策略服务器上启用了消息验证程序属性的相应访问请求消息要求时,验证是否已选中“请求必须包含消息身份验证器属性”复选框。如果 NAP 健康策略服务器不要求此属性,请清除此复选框。

  10. 如果怀疑共享机密不匹配,请在“共享机密”“确认共享机密”旁键入机密,然后单击“确定”两次。

  11. 在 NPS 控制台中,双击“属性”,然后单击“连接请求策略”

  12. 在细节窗格中,双击用于对从受 IPsec 保护的 NAP 客户端传入的网络访问请求进行身份验证的连接请求策略。

  13. 单击“设置”选项卡,并在“转发连接请求”下单击“身份验证”

  14. 确认已选中“把请求转发到下面的远程 RADIUS 服务器组进行身份验证”,并确认选定的远程 RADIUS 服务器组的名称与网络上的正确 NAP 健康策略服务器相对应。

  15. 针对所有组和运行 NPS 的远程服务器重复这些步骤。

  16. 关闭 NPS 控制台。

其他注意事项

如果将连接请求策略和网络策略中的网络访问服务器的类型设置为“未指定”,则 NPS 使用此策略评估源自任何网络访问服务器类型的所有连接请求。如果将网络访问服务器的类型设置为“健康注册机构”,则此策略将仅评估从 HRA 服务器上转发的连接请求。如果已启用的一个或多个策略具有指定的“健康注册机构”源,则处理受 IPsec 保护的 NAP 客户端网络访问请求时,NPS 将忽略具有“未指定”源的所有策略。

其他参考