网络访问保护 (NAP) 包括客户端组件和服务器组件,使您可以定义连接到您的网络的计算机所需的软件和系统配置。NAP 通过检查和评估客户端计算机的运行状况、在客户端计算机不兼容时限制网络访问以及修正不兼容的客户端计算机以进行无限制网络访问,来强制运行状况要求。NAP 在尝试连接到网络的客户端计算机上强制运行状况要求。如果兼容的客户端计算机连接到网络上,NAP 还提供即时的运行状况遵从性强制。
NAP 强制在客户端计算机尝试通过网络访问服务器(例如提供 VPN 服务的 RRAS 服务器)访问网络时或客户端尝试与其他网络资源进行通信时进行。
VPN 的 NAP 强制使用 VPN 强制服务器组件和 VPN 强制客户端组件进行部署。VPN 服务器可以在客户端计算机尝试使用 VPN 连接来连接到网络时强制运行状况策略。VPN 强制为通过 VPN 连接访问网络的所有计算机提供强大的有限网络访问。
 | 注意 |
VPN 强制与 Network Access Quarantine Control 不同,后者是 Windows Server 2003 和 Internet Security and Acceleration (ISA) Server 2004 中的一项功能。 |
有关 NAP 的详细信息,请参阅
使用 VPN 部署 NAP
若要使用 VPN 部署 NAP,必须进行下列配置:
- 安装 RRAS 并配置为 VPN 服务器。
- 在网络策略服务器 (NPS) 中,将 VPN 服务器配置为 RADIUS 客户端。此外,还要配置连接请求策略、网络策略和 NAP 运行状况策略。可以使用 NPS 控制台单独配置这些策略,也可以使用网络访问保护向导。
- 在支持 NAP 的客户端计算机上启用 NAP VPN 强制客户端和 NAP 服务。
- 配置 Windows 安全健康验证程序 (WSHV),或安装并配置其他系统健康代理 (SHA) 和系统健康验程序 (SHV),具体取决于您的 NAP 部署。
- 如果使用的是带智能卡或证书的 PEAP-TLS 或 EAP-TLS,则使用 Active Directory(R) 证书服务 (AD CS) 部署公钥基础结构 (PKI)。
- 如果使用的是 PEAP-MS-CHAP v2,则使用 AD CS 颁发服务器证书,或向受信任的根证书颁发机构 (CA) 购买服务器证书。
配置远程访问策略
必须使用 NPS 创建和配置远程访问策略。使用下列步骤设置远程访问策略,以便为用户授予访问权限。
本地 Administrators 组中的成员身份或同等身份是完成此过程所需的最低要求。
 | 配置远程访问策略的步骤 |
右键单击“远程访问日志记录和策略”,然后单击“启动 NPS”。
单击“网络策略”。
双击“到 Microsoft 路由和远程访问服务器的连接”。
在“概述”选项卡的“访问权限”下,单击“授权访问”,然后单击“确定”。