虛擬私人網路 (VPN) 的網路存取保護 (NAP) 強制是使用 VPN 強制伺服器元件與 VPN 強制用戶端元件來部署。透過此強制方法,VPN 伺服器可在用戶端電腦使用 VPN 連線嘗試連線到網路時強制健康原則。VPN 強制會嚴密限制使用 VPN 連線來存取網路的所有電腦之網路存取。
 | 附註 |
|
VPN 強制與網路存取隔離控制不同,它是 Windows Server(R) 2003 與 Internet Security and Acceleration (ISA) Server 2004 中的功能。 |
需求
若要使用 VPN 來部署 NAP,您必須設定下列各項:
-
安裝和設定 [路由及遠端存取] 服務做為 VPN 伺服器。將執行網路原則伺服器 (NPS) 的伺服器設定為 [路由及遠端存取] 中的主要遠端驗證撥號使用者服務 (RADIUS) 伺服器。
-
在 NPS 中,將 VPN 伺服器設定為 RADIUS 用戶端。同時設定連線要求原則、網路原則以及 NAP 健康原則。您可以使用 NPS 主控台分別設定這些原則,或是使用 [新增網路存取保護] 精靈。
-
在支援 NAP 的用戶端電腦上,啟用 NAP 遠端存取及 EAP 強制用戶端。
-
在支援 NAP 的用戶端電腦上啟用 NAP 服務。
-
根據您的 NAP 部署而定,設定 Windows 安全性健康情況驗證程式 (WSHV) 或安裝並設定其他系統健康情況代理程式 (SHA) 以及系統健康狀態驗證 (SHV)。
-
如果您將智慧卡或憑證與受保護的可延伸驗證通訊協定-傳輸層安全性 (PEAP-TLS) 或 EAP-TLS 搭配使用,請透過 Active Directory(R) 憑證服務 (AD CS) 部署公開金鑰基礎結構 (PKI)。
-
如果您使用受保護的可延伸驗證通訊協定-Microsoft Challenge Handshake 驗證通訊協定第 2 版 (PEAP-MS-CHAP v2),請使用 AD CS 簽發伺服器憑證,或向受信任的根憑證授權單位 (CA) 購買伺服器憑證。
其他考量
如果您部署 NAP VPN 強制方法,並使用 [允許有限的時間內具有完整的網路存取權] 選項設定 NAP 強制,到達過期時間時,連線到網路的 VPN 用戶端會自動中斷連線,不論它們是否符合健康原則。
在過期日期和時間之後,嘗試連線到網路的 VPN 用戶端如果不符合健康原則,會被放在受限的網路上,而符合的用戶端則允許完整的網路存取權。