網路原則伺服器 (NPS) 是與所有網路存取保護 (NAP) 強制方法搭配使用的中央伺服器,以評估 NAP 用戶端存取要求。網路健康需求是根據其健康情況,使用授與或限制 NAP 用戶端電腦存取權的原則,在 NPS 上定義。執行 NPS 的伺服器 (管理這些 NAP 原則的 NPS) 稱為 NAP 健康原則伺服器。視您的部署而定,網路上可以有一或多個 NAP 健康原則伺服器。NAP 健康原則伺服器使用 RADIUS 用戶端、連線要求原則、網路原則、健康原則和系統健康情況驗證程式 (SHV) 來定義和強制網路健康需求。

當您安裝健康情況登錄授權 (HRA) 時,會自動在相同電腦上安裝 NPS。如果您部署多個 HRA,而且偏好將 NAP 健康原則放在另一部電腦上以便集中處理原則評估,則必須將執行 NPS 的本機伺服器設定為 RADIUS Proxy。當您使用 NPS 做為 RADIUS Proxy 時,會將連線要求原則設定為告知執行 NPS 的本機伺服器將網路存取要求轉寄給遠端 RADIUS 伺服器群組進行評估。

如需 NPS 的相關資訊,請參閱 https://go.microsoft.com/fwlink/?LinkId=94389 (可能為英文網頁)

若要完成此程序,至少需要 Domain Admins 的成員資格或同等權限。請至下列網頁檢視關於使用適當帳戶和群組成員資格的詳細資料:https://go.microsoft.com/fwlink/?LinkId=83477 (可能為英文網頁)

確認 NAP 健康原則伺服器設定

使用下列程序確認將執行 NPS 的本機伺服器設定為 NAP 健康原則伺服器。如果將本機 HRA 伺服器設為 RADIUS Proxy,請參閱確認 NPS Proxy 設定

RADIUS 用戶端

如果您已經設定遠端 HRA 伺服器做為 RADIUS Proxy 以將連線要求轉寄給執行 NPS 的本機伺服器進行評估,則執行 NPS 的本機伺服器必須在每個遠端 HRA 伺服器都有一個對應的 RADIUS 用戶端項目。如果所有 HRA 伺服器都有 NAP 健康原則伺服器,則具有 IPsec 強制的 NAP 不需要 RADIUS 用戶端。如果您使用的 HRA 伺服器將 NPS 設定為 RADIUS Proxy,請使用下列程序確認已在執行 NPS 的本機伺服器上正確設定 RADIUS 用戶端,如此才能處理遠端 HRA 伺服器接收的用戶端連線要求。

確認 RADIUS 用戶端
  1. 依序按一下 [開始][執行],輸入 nps.msc,然後按 ENTER 鍵。

  2. 在 NPS 主控台樹狀目錄中,按兩下 [RADIUS 用戶端及伺服器],然後按一下 [RADIUS 用戶端]

  3. 在詳細資料窗格中,按兩下 RADIUS 用戶端的好記名稱,此用戶端對應到已安裝 NPS 並設定為 RADIUS Proxy 的 HRA 伺服器。如果沒有出現 RADIUS 用戶端項目,請使用下列程序建立新的 RADIUS 用戶端。只有在您的遠端 HRA 伺服器設定為將連線要求轉寄給執行 NPS 的本機伺服器時,才適用此程序。

    1. [RADIUS 用戶端] 上按一下滑鼠右鍵,然後按一下 [新增]

    2. [好記的名稱] 之下,輸入 RADIUS 用戶端的名稱 (例如,HRA-1)。

    3. [位址 (IP 或 DNS)] 之下,輸入遠端 HRA 伺服器的 IP 位址或 DNS 名稱,按一下 [驗證],然後按一下 [解析]

    4. 確認顯示的 IP 位址對應到正確的遠端 HRA 伺服器,然後按一下 [確定]

    5. [共用密碼][確認共用密碼] 之下,輸入在遠端 HRA 伺服器的遠端 RADIUS 伺服器群組設定中設定的密碼。

    6. 如果遠端 HRA 伺服器在其遠端 RADIUS 伺服器群組組態設定中已經啟用訊息驗證者屬性,請選取 [Access-Request 訊息必須包含 Message-Authenticator 屬性] 核取方塊。如果遠端 HRA 上沒有啟用此選項,則請確認已清除此核取方塊。

    7. 選取 [RADIUS 用戶端可支援 NAP] 核取方塊,然後按一下 [確定]

    8. 繼續目前的程序,以驗證新的 RADIUS 用戶端設定。

  4. [內容] 視窗中,確認已選取 [啟用此 RADIUS 用戶端] 核取方塊。

  5. 確認已選取 [RADIUS 用戶端可支援 NAP] 核取方塊。

  6. 如果遠端 HRA 伺服器設為存取要求必須包含訊息驗證者屬性,請確認已選取 [Access-Request 訊息必須包含 Message-Authenticator 屬性] 核取方塊。否則,請確認已清除此核取方塊。

  7. [廠商名稱] 旁邊,確認已選取 [RADIUS 標準]

  8. [位址 (IP 或 DNS)] 之下,確認列出的 DNS 名稱或 IP 位址對應到正確的遠端 HRA 伺服器,然後按一下 [驗證]

  9. [確認用戶端] 對話方塊中,按一下 [解析]

  10. [IP 位址] 之下,確認列出的 IP 位址對應到已設定為將要求轉寄給執行 NPS 之本機伺服器的 HRA 伺服器,且執行 NPS 的本機伺服器具有到這個 IP 位址的網路連線。

  11. 按一下 [確定]。如果懷疑共用密碼不相符,請在 [共用密碼][確認共用密碼] 旁邊輸入密碼,然後按一下 [確定]

  12. 針對網路上設定為將連線要求轉寄給執行 NPS 的本機伺服器進行處理的每部 HRA 伺服器,重複這個程序。

連線要求原則

連線要求原則是驗證網路存取的要求和控制在何處執行此驗證的條件和設定。使用下列程序確認已設定執行 NPS 的本機伺服器上的連線要求原則以進行 NAP IPsec 強制。

確認連線要求原則
  1. 在 NPS 主控台樹狀目錄中,連按兩下 [原則],再按一下 [連線要求原則]

  2. 在詳細資料窗格中,連按兩下連線要求原則,此連線要求原則用來驗證來自受 IPsec 保護的 NAP 用戶端的連入網路存取要求。如果沒有出現此原則,請執行下列步驟建立連線要求原則。

    1. [連線要求原則] 上按一下滑鼠右鍵,然後按一下 [新增]

    2. [原則名稱] 之下,輸入連線要求原則的名稱 (例如,NAP IPsec with HRA)。

    3. [網路存取伺服器類型] 之下,選取 [健康情況登錄授權],然後按 [下一步]

    4. 連線要求原則至少必須指定一個條件。若要新增不拒絕任何連入存取要求的條件,請按一下 [指定條件] 頁面上的 [新增]

    5. [選取條件] 視窗中,按一下 [日期和時間限制],然後按一下 [新增]

    6. [當天時間限制] 視窗中,選取 [已許可]。確認所有日期和時間都已許可,按一下 [確定],然後按 [下一步]

    7. 如果執行 NPS 的本機伺服器是 NAP 健康原則伺服器,請確認已選取 [驗證這個伺服器上的要求],並按三次 [下一步],然後按一下 [完成]。如果執行 NPS 的本機伺服器會將要求轉寄給另一部伺服器進行評估,請參閱確認 NPS Proxy 設定

  3. [概觀] 索引標籤上,確認已選取 [啟用原則] 核取方塊。

  4. [概觀] 索引標籤上,確認 [網路存取伺服器類型][健康情況登錄授權][未指定]。如需指定存取伺服器類型的相關資訊,請參閱本主題稍後提及的「其他考量」。

  5. 按一下 [條件] 索引標籤,並確認相容和不相容的 NAP 用戶端都符合所有設定的條件。例如,[日期和時間限制] 可以設定為只能在指定日期的指定時間允許網路存取。

  6. 按一下 [設定] 索引標籤。在 [必要的驗證方法] 之下,按一下 [驗證方法],確認已清除 [覆寫網路原則驗證設定] 核取方塊。

  7. [轉寄連線要求] 之下,按一下 [驗證]

  8. 若要啟用執行 NPS 的本機伺服器做為 NAP 健康原則伺服器,請確認已選取 [驗證這個伺服器上的要求]

  9. 按一下 [確定] 以關閉內容視窗。

網路原則

網路原則使用條件、設定和限制,判斷誰可以連線到網路。若要評估 NAP 用戶端的健康狀態,至少必須要有一個網路原則套用在與健康需求相容的電腦上,且至少要有一個網路原則套用在不相容的電腦上。使用下列程序確認已經建立這些原則,並且為 NAP IPsec 強制設定。

確認網路原則
  1. 在 NPS 主控台樹狀目錄中,連按兩下 [原則],再按一下 [網路原則]

  2. 在詳細資料窗格中,確認至少有一個原則用於相容的電腦,以及一個原則用於不相容的電腦,而且這些原則的 [狀態][已啟用]。若要啟用原則,請在原則名稱上按一下滑鼠右鍵,然後按一下 [啟用]。如果沒有出現這些原則,請執行下列步驟建立網路原則。

    1. 以滑鼠右鍵按一下 [網路原則],然後按一下 [新增]

    2. [原則名稱] 之下,輸入網路原則的名稱 (例如,NAP IPsec with HRA CompliantNAP IPsec with HRA Noncompliant)。

    3. [網路存取伺服器類型] 之下,選取 [健康情況登錄授權],然後按 [下一步]

    4. [指定條件] 頁面上,按一下 [新增]

    5. [選取條件] 中,按一下 [健康原則],然後按一下 [新增]

    6. 如果這個網路原則會套用到相容的用戶端電腦,請在 [健康原則] 之下,選擇已經設定為符合相容用戶端健康狀態的健康原則,然後按一下 [確定]

    7. 如果這個網路原則會套用到不相容的用戶端電腦,請在 [健康原則] 之下,選擇已經設定為符合不相容用戶端健康狀態的健康原則,然後按一下 [確定]

    8. [下一步],選取 [授與存取權],然後按 [下一步]

    9. [設定驗證方法] 頁面上,選取 [僅執行電腦健康情況檢查] 核取方塊,然後按兩次 [下一步]

    10. [設定設定值] 頁面上,按一下 [NAP 強制]

    11. 選擇此原則的強制模式。如需相關資訊,請參閱本主題稍後提及的 NAP 強制模式

    12. 若要啟用不合格用戶端的自動修復功能,請選取 [啟用用戶端電腦的自動修復功能] 核取方塊。如果您不想啟用自動修復功能,請清除此核取方塊。

    13. [下一步],再按一下 [完成]

    14. 繼續目前的程序,以驗證新的網路原則設定。

  3. 在詳細資料窗格中,確認部署已正確設定原則的 [處理順序]。會先處理較特定的原則,再處理一般原則。若要變更原則的順序,請在原則名稱上按一下滑鼠右鍵,然後按一下 [上移][下移]

  4. 在詳細資料窗格中,確認相容和不相容的 NAP 原則都將 [存取類型] 設定為 [授與存取權]。若要設定存取權限,請在原則名稱上按一下滑鼠右鍵,依序按一下 [內容][概觀] 索引標籤,然後選取 [授與存取權]

  5. 在詳細資料窗格中,確認用來處理受 IPsec 保護的 NAP 用戶端的原則 [來源][健康情況登錄授權][未指定]。如需指定存取伺服器類型的相關資訊,請參閱本主題稍後提及的「其他考量」。

  6. 在詳細資料窗格中,連按兩下用於符合合格用戶端電腦的網路原則名稱,然後按一下 [條件] 索引標籤。

  7. 確認至少有一個條件指定為 [健康原則],而且其 [值] 對應到已經設定為符合合格用戶端健康狀態的健康原則。如果沒有出現此條件,請執行下列步驟。

    1. 依序按一下 [新增][健康原則],然後按一下 [新增]

    2. [健康原則] 之下,選擇對應到合格用戶端健康狀態的原則,然後按一下 [確定]。如果沒有可用的健康原則,則請確認健康原則,再重複此程序。

  8. 按一下 [限制] 索引標籤,然後按一下 [驗證方法]

  9. 確認已選取 [僅執行電腦健康情況檢查] 核取方塊。

  10. 按一下 [設定] 索引標籤,然後按一下 [NAP 強制]

  11. 確認已為此相容網路原則選取 [允許完整的網路存取權],然後按一下 [確定]。如此即完成相容網路原則的確認。

  12. 在詳細資料窗格中,連按兩下用於符合不相容用戶端電腦的網路原則名稱,然後按一下 [條件] 索引標籤。

  13. 確認至少有一個條件指定為 [健康原則],而且其 [值] 對應到已經設定為符合不相容用戶端健康狀態的健康原則。如果沒有出現此條件,請執行下列步驟。

    1. 依序按一下 [新增][健康原則],然後按一下 [新增]

    2. [健康原則] 之下,選擇對應到不合格用戶端健康狀態的原則,然後按一下 [確定]。如果沒有可用的健康原則,則請確認健康原則,再重複此程序。

  14. 按一下 [限制] 索引標籤,然後按一下 [驗證方法]

  15. 確認已選取 [僅執行電腦健康情況檢查] 核取方塊。

  16. 按一下 [設定] 索引標籤,然後按一下 [NAP 強制]

    • 如果您在完全強制模式中部署 NAP,確認已為此不相容網路原則選取 [允許有限的存取]

    • 如果您在順延強制模式中部署 NAP,確認已為此不相容網路原則選取 [允許有限的時間內具有完整的網路存取權]

    • 如果您在報告模式中部署 NAP,確認已為此不相容網路原則選取 [允許完整的網路存取權]

    • 如果您想要啟用不相容 NAP 用戶端的自動修復功能,確認已選取 [啟用用戶端電腦的自動修復功能] 核取方塊。

  17. 按一下 [確定]

  18. 視需要重複這些步驟,以確認用來評估來自受 IPsec 保護的 NAP 用戶端的存取要求的每個網路原則設定。

NAP 強制模式

當您在網路上啟用 NAP 時,有三種可用的強制模式。這些強制模式可用於安裝您的 NAP 部署。

  • 若要啟用報告模式,請為相容與不相容 NAP 用戶端電腦選取 [允許完整的網路存取權]。在報告模式中,會記錄用戶端電腦的健康狀態,但網路存取不受限制。相容和不相容電腦都會接收到健康情況憑證。

  • 若要啟用順延強制模式,請在相容網路原則中選取 [允許完整的網路存取權],並在不相容網路原則中選取 [允許有限的時間內具有完整的網路存取權]。您也必須指定將會限制不相容用戶端存取的日期和時間。在順延強制模式中,如果用戶端電腦不符合網路健康需求,就會立即收到 NAP 通知,但是在指定的時間和日期之前,它們的存取權將不受限制。

  • 若要啟用完全強制模式,請在相容網路原則中選取 [允許完整的網路存取權],並在不相容網路原則中選取 [允許有限的存取]。在完全強制模式中,如果用戶端電腦不符合網路健康需求,則會立即限制它們的網路存取權。

健康原則

健康原則定義要評估哪些 SHV,以及如何使用 SHV 驗證嘗試連線到網路的電腦設定。健康原則以 SHV 檢查的結果為基礎,分類用戶端健康狀態。至少要有一個健康原則對應到合格用戶端健康狀態,以及一個健康原則對應到不合格用戶端健康狀態。使用下列程序確認已經在 NAP 健康原則伺服器上設定相容與不相容的健康原則。

確認健康原則
  1. 在 NPS 主控台中,按兩下 [原則],然後按一下 [健康原則]

  2. 在詳細資料窗格的 [原則名稱] 之下,連按兩下相容健康原則的名稱。如果沒有出現此原則,請使用下列步驟建立相容的健康原則。

    1. [健康原則] 上按一下滑鼠右鍵,然後按一下 [新增]

    2. [原則名稱] 之下,輸入相容健康原則的名稱 (例如,NAP IPsec with HRA Compliant)。

    3. [用戶端 SHV 檢查] 之下,選取 [用戶端通過所有 SHV 檢查] 以建立嚴謹的健康原則,或者選取 [用戶端通過一或多個 SHV 檢查] 以建立較寬鬆的健康原則。

    4. [這個健康原則中使用的 SHV] 之下,選取要用來評估用戶端健康情況的每個 SHV 旁邊的核取方塊。預設可以使用 Windows 安全性健康情況驗證程式。如果已安裝其他 SHV,也可以使用這些 SHV。

    5. 按一下 [確定]

  3. [用戶端 SHV 檢查] 之下,確認已選取 [用戶端通過所有 SHV 檢查][用戶端通過一或多個 SHV 檢查]。這些條件可分別用來建立較嚴格或較寬鬆的相容原則。

  4. [這個健康原則中使用的 SHV] 之下,確認已選取安裝的 SHV 旁邊的核取方塊 (這些 SHV 是用來評估受 IPsec 保護的 NAP 用戶端電腦的健康情況),然後按一下 [確定]

  5. 在詳細資料窗格的 [原則名稱] 之下,連按兩下不相容健康原則的名稱。如果沒有出現此原則,請使用下列步驟建立不相容的健康原則。

    1. [健康原則] 上按一下滑鼠右鍵,然後按一下 [新增]

    2. [原則名稱] 之下,輸入不相容健康原則的名稱 (例如,NAP IPsec with HRA Noncompliant)。

    3. [用戶端 SHV 檢查] 之下,選取 [用戶端未通過一或多個 SHV 檢查] 以建立嚴謹的健康原則,或者選取 [用戶端未通過任何 SHV 檢查] 以建立較寬鬆的健康原則。

    4. [這個健康原則中使用的 SHV] 之下,選取要用來評估用戶端健康情況的每個 SHV 旁邊的核取方塊。預設可以使用 Windows 安全性健康情況驗證程式。如果已安裝其他 SHV,也可以使用這些 SHV。

    5. 按一下 [確定]

  6. [用戶端 SHV 檢查] 之下,確認已選取 [用戶端未通過一或多個 SHV 檢查][用戶端未通過任何 SHV 檢查]。這些條件可分別用來建立較嚴格或較寬鬆的不相容原則。

  7. [這個健康原則中使用的 SHV] 之下,確認已選取安裝的 SHV 旁邊的核取方塊 (這些 SHV 是用來評估受 IPsec 保護的 NAP 用戶端電腦的健康情況),然後按一下 [確定]

  8. 對用來評估受 IPsec 保護的 NAP 用戶端電腦的所有健康原則重複這些步驟。

SHV

SHV 定義嘗試連線到網路的電腦軟體與設定需求。使用下列程序確認部署的 SHV 已正確設定。

確認 SHV
  1. 在 NPS 主控台中,按兩下 [網路存取保護],然後按一下 [系統健康情況驗證程式]

  2. 在詳細資料窗格的 [名稱] 之下,連按兩下已安裝 SHV 的名稱。

  3. SHV 的設定會因實作而有不同。如果您使用的是 Windows 安全性健康情況驗證程式,請按一下 [設定]

    • 若要為執行 Windows Vista 的電腦設定健康需求,按一下 [Windows Vista] 索引標籤。

    • 若要為執行 Windows XP (含 Service Pack 3) 的電腦設定健康需求,按一下 [Windows XP] 索引標籤。

  4. 選取健康情況元件旁邊的核取方塊,以啟用健康需求。清除這些核取方塊可停用需求。使用 WSHV 時可用的健康需求包括:[防火牆][防毒保護][間諜軟體防護][自動更新][安全性更新保護]

  5. 按一下 [確定],再設定部署的錯誤碼解析。錯誤碼解析可決定在列出的錯誤條件之下,如何評估用戶端。您可以為每一個條件選取傳回 [相容][不相容] 的狀態。

  6. 按一下 [確定],再關閉 NPS 主控台。

確認 NPS Proxy 設定

使用下列程序確認將執行 NPS 的本機伺服器設定為 RADIUS Proxy。如果將執行 NPS 的本機伺服器設定為 NAP 健康原則伺服器,則不適用此程序。

確認 NPS Proxy 設定
  1. 依序按一下 [開始][執行],輸入 nps.msc,然後按 ENTER 鍵。

  2. 在主控台樹狀目錄中,按兩下 [RADIUS 用戶端及伺服器],然後按一下 [遠端 RADIUS 伺服器群組]

  3. 在詳細資料窗格的 [群組名稱] 之下,連按兩下遠端 RADIUS 伺服器群組的名稱。如果沒有顯示遠端 RADIUS 伺服器群組項目,請執行下列步驟新增遠端 RADIUS 伺服器群組。

    1. 在主控台樹狀目錄的 [RADIUS 用戶端及伺服器] 之下,使用滑鼠右鍵按一下 [遠端 RADIUS 伺服器群組],然後按 [新增]

    2. [群組名稱] 之下,輸入遠端 RADIUS 伺服器群組的名稱 (例如,NAP Health Policy Server1)。

    3. 按一下 [新增],然後在 [伺服器] 之下輸入執行 NPS 之伺服器的 DNS 名稱或 IP 位址,此伺服器設定為評估轉寄自本機 HRA 伺服器的 NAP IPsec 用戶端連線要求。

    4. 按一下 [驗證],然後按一下 [解析]。確認顯示的 IP 位址是正確的部署,然後按一下 [確定]

    5. 按一下 [驗證/帳戶處理] 索引標籤。

    6. [共用密碼][確認共用密碼] 之下,輸入在 NAP 健康原則伺服器的 NPS 設定中所設的密碼。

    7. 按兩次 [確定]

  4. 在伺服器群組內容視窗的 [RADIUS 伺服器] 之下,按一下遠端 RADIUS 伺服器的名稱,然後按一下 [編輯]

  5. [位址] 索引標籤上,按一下 [驗證]

  6. [確認用戶端] 對話方塊中,按一下 [解析]。確認 RADIUS 用戶端的 IP 位址對應到網路上的 NAP 健康原則伺服器,此伺服器是使用與執行 NPS 之本機伺服器對應的 RADIUS Proxy 所設定。

  7. 按一下 [確定],然後按一下 [驗證/帳戶處理] 索引標籤。

  8. 確認您所部署的驗證和帳戶處理連接埠是正確的。預設驗證連接埠是 1812,而預設帳戶處理連接埠是 1813。

  9. 確認只有 NAP 健康原則伺服器上啟用訊息驗證者屬性的對應 Access-Request 訊息要求時,才選取 [要求必須包含訊息驗證者屬性] 核取方塊。如果 NAP 健康原則伺服器不需要此屬性,請清除此核取方塊。

  10. 如果懷疑共用密碼不相符,請在 [共用密碼][確認共用密碼] 旁邊輸入密碼,然後按兩次 [確定]

  11. 在 NPS 主控台中,按兩下 [原則],然後按一下 [連線要求原則]

  12. 在詳細資料窗格中,連按兩下連線要求原則,此連線要求原則用來驗證來自受 IPsec 保護的 NAP 用戶端的連入網路存取要求。

  13. 按一下 [設定] 索引標籤,然後在 [轉寄連線要求] 之下,按一下 [驗證]

  14. 確認已選取 [轉送要求到下列遠端 RADIUS 伺服器群組做驗證],並確認選取的遠端 RADIUS 伺服器群組的名稱對應到網路上正確的 NAP 健康原則伺服器。

  15. 針對執行 NPS 的所有群組和遠端伺服器重複這些步驟。

  16. 關閉 NPS 主控台。

其他考量

如果連線要求原則和網路原則中的網路存取伺服器類型設為 [未指定],NPS 會使用此原則評估從任何類型網路存取伺服器起始的所有連線要求。如果網路存取伺服器的類型設為 [健康情況登錄授權],則此原則只會評估從 HRA 伺服器轉寄的連線要求。如果一或多個啟用的原則的指定來源為 [健康情況登錄授權],則當 NPS 處理受 IPsec 保護的 NAP 用戶端網路存取要求時,會略過所有 [未指定] 來源的原則。

其他參考資料