Sử dụng Group Policy Filtering để tạo sách thực thi DHCP cho NAP Phần Nguồn : quantrimang.com  Thomas Shinder Quản trị mạng - Network Access Protection (NAP) tính truy cập mạng Windows Server 2008 NAP cho phép bạn điều khiển máy tính tham gia vào mạng Khả tham gia vào mạng xác định máy khách NAP có hội tụ đủ yếu tố bảo mật cần thiết cho sách NAP bạn hay khơng NAP có số “phần động”, thành phần làm cho phức tạp việc cấu hình Thêm vào vấn đề kiểu thi hành NAP mà bạn muốn kích hoạt Cho ví dụ, có số NAP Enforcement Client điều khiển truy cập vào mạng dựa thông tin địa IP, dựa máy khách có chứng trạng thái tốt phép kết nối với mạng hay không Trong giúp bạn thực giải pháp thi hành DHCP NAP đơn giản Khi bạn sử dụng thi hành DHCP NAP, máy chủ DHCP trở thành máy chủ truy cập mạng Điều có nghĩa chịu trách nhiệm máy chủ DHCP để cung cấp cho máy khách NAP thông tin tương xứng với mức thi hành chúng Nếu máy khách NAP có đầy đủ tiêu chuẩn, nhận thơng tin định địa IP phép kết nối với máy tính khác mạng Trong trường hợp máy khách NAP khơng có đủ tiêu chuẩn với sách sức khỏe mạng bạn máy khách NAP gán thông tin định địa IP để hạn khả kết nối máy tính Điển hình, sách NAP bạn cho phép máy tính khơng có đủ tiêu chuẩn kết nối với domain controller máy chủ sở hạ tầng mạng, máy cho phép máy tính khơng đủ tiêu chuẩn điều đình lại trở thành đủ tiêu chuẩn Trong kịch thi hành DHCP NAP, dịch vụ khác yêu cầu Nếu máy chủ DHCP máy chủ truy cập mạng kịch phải cần đến máy chủ RADIUS để chứa sách NAP Có số sách lưu máy chủ RADIUS tương thích NAP, chẳng hạn sách sức khỏe, sách mạng, sách yêu cầu kết nối Trong Windows Server 2008, Network Policy Server (NPS) sử dụng máy chủ RADIUS để chứa sách NAP Máy chủ NPS làm việc với máy chủ DHCP khai báo máy chủ DHCP bạn xem máy khách có đủ tiêu chuẩn NAP với sách bạn hay khơng Để thiết lập sách sức khỏe, bạn cần tối thiểu cài đặt Security Health Validator (SHV) máy chủ NPS Mặc định, Windows Server 2008 cung cấp cho bạn Security Health Validator Windows để bạn sử dụng nhằm thiết lập sách sức khỏe cho mạng Trên phía trình khách, có hai thành phần mà bạn cần kích hoạt - NAP Agent máy khách thi hành NAP NAP Agent thu thập thông tin trạng thái bảo mật máy khách NAP, NAP Enforcement Agent sử dụng để thi hành sách NAP, điều phụ thuộc vào kiểu thi hành NAP mà bạn chọn Trong kịch sử dụng loạt này, kích hoạt NAP Enforcement Agent.Mạng ví dụ mạng đơn giản Nó gồm có ba máy: • • • • • • • • • • • • • • Windows Server 2008 Domain Controller Khơng có dịch vụ khác cài đặt máy chủ Địa IP gán cho máy tính tính 10.0.0.2, máy tính domain controller miền msfirewall.org Thành viên Windows Server 2008 miền msfirewall.org Địa IP máy tính 10.0.0.3 Máy tính cài đặt dịch vụ DHCP NPS, hai dịch vụ thực suốt loạt Máy khách Windows Vista thành viên msfirewall.org Trong loạt này, thực thiện theo thủ tục đây: Tạo nhóm bảo mật để máy khách NAP thiết lập cách Cài đặt dịch vụ NPS DHCP máy chủ thành viên Sử dụng NAP wizard để tạo sách thi hành NAP DHCP Xem lại sách yêu cầu kết nối Xem lại sách mạng Xem lại sách sức khỏe Cấu hình máy chu DHCP để truyền thơng với máy chủ NPS nằm thực thi NAP Cấu hình thiết lập NAP Group Policy Nhập máy tính Vista vào nhóm máy tính thực thi NAP Kiểm tra giải pháp Tạo nhóm bảo mật cho máy khách NAP Thứ mà thực tạo nhóm bảo mật cho máy tính có sử dụng sách NAP Mở giao diện điều khiển Active Directory Users and Computers, sau kích chuột phải vào nút Users Trỏ tới New kích Group Hình Trong hộp thoại New Object – Group, bạn nhập NAP Enforced Computers hộp nhập liệu Group Name Chọn tùy chọn Global từ danh sách Group scope chọn tùy chọn Security từ danh sách Group type Kích OK Hình Cài đặt NPS DHCP máy chủ NPS Máy tính NPS trì role Network Policy Server DHCP server Lưu ý rằng, bạn thiết lập máy chủ DHCP máy tính khác thay cho máy chủ NPS cấu hình sách NAP, bạn cần phải cấu hình máy chủ DHCP “remote” máy chủ DHCP máy chủ NPS, sau cấu hình máy chủ NPS để gửi yêu cầu thẩm định đến máy chủ NAP Để bảo đảm thứ dễ dàng hơn, cần thiết lập máy chủ NPS DHCP máy Trong giao diện Server Manager, kích nút Roles, sau kích vào liên kết Add Roles, xem thể hình bên Hình Kích Next trang Before You Begin Hình Trong trang, tích vào hộp kiểm DHCP Server and Network Policy and Access Services Kích Next Hình Đọc thơng tin trang Network Policy and Access Services, sau kích Next Hình Chúng ta không cần tất dịch vụ role cung cấp Network Policy and Access Services role mà cần đến role RADIUS (Network Policy Server) Hãy tích vào hộp kiểm Network Policy Server Khơng chọn tùy chọn khác, sau kích Next Hình Đọc thơng tin trang DHCP Server kích Next Hình Server Manager làm chọn bạn cảm thấy dễ dàng so với trình quản lý trước đây, cho phép bạn cấu hình máy chủ DHCP suốt trình cài đặt Trong trang Select Network Connection Bindings, chọn địa IP mà bạn muốn máy chủ DHCP kiểm tra Sự lựa chọn mà bạn thực phụ thuộc vào độ phức tạp mơi trường DHCP bạn cấu hình nhiều chuyển tiếp DHCP tổ chức, có nhiều địa IP gán cho máy chủ DHCP Tuy nhiên điều khơng nằm kịch có địa IP gán cho máy tính Hãy tích vào hộp kiểm hộp địa IP, sau kích Next Hình Trong trang Specify IPv4 DNS Server Settings, bạn thay đổi cấu hình số tùy chọn DHCP Nhập tên miền vào hộp văn Parent Domain nhập vào địa IP máy chủ DNS hộp văn Preferred DNS Server IPv4 Address Trong ví dụ này, tên miền msfirewall.org nhập vào tên miền Địa IP máy chủ DNS 10.0.0.2, nhập địa IP Do khơng có máy chủ DNS ln phiên ví dụ nên kích Next Hình 10 Chúng ta khơng có máy chủ WINS mạng ví dụ nên khơng nhập vào thứ trang Specify IPv4 WINS Server Settings Chỉ chọn tùy chọn WINS is not required for applications on this network kích Next Hình 11 Trong trang Add or Edit DHCP Scopes, kích nút Add Trong hộp thoại Add Scope, nhập vào Scope Name, Starting IP Address, Ending IP Address, Subnet Mask, Default Gateway, chọn khoảng thời gian phóng thích Hình bên thể entry cho tùy chọn mạng ví dụ Kích OK hộp thoại Add Scope Hình 12 Kích Next hộp thoại Add or Edit DHCP Scopes Hình 13 Chúng ta khơng sử dụng IPv6 mạng ví dụ này, chọn tùy chọn Disable DHCPv6 stateless mode for this server kích Next Hình 14 Để hoạt động miền chúng ta, máy chủ DHCP cần thẩm định Active Directory Chọn tùy chọn Use current credentials bạn đăng nhập với tư cách quản trị viên miền Nếu không, chọn tùy chọn Use alternate credentials kích Specify Trong ví dụ này, đăng nhập với tư cách quản trị viên miền chọn tùy chọn Use current credentials tiếp đến kích Next Hình 15 Xem lại thiết lập bạn trang Confirm Installation Selections kích Install Hình 16 Kích Close trang Installation Results sau bạn thấy trình cài đặt máy chủ NPS DHCP thực thành cơng Hình 17 Kết luận Trong phần loạt sử dụng thi hành NAP DHCP này, giới thiệu cho bạn số khái niệm NAP Sau hướng dấn tạo nhóm bảo mật cho máy khách NAP kết thúc việc cài đặt thành phần máy chủ NPS DHCP giải pháp Trong phần thứ hai loạt này, sử dụng NAP wizard để tạo sách thực thi NAP DHCP, sau giới thiệu sâu thiết lập tạo wizard   ... viên Sử dụng NAP wizard để tạo sách thi hành NAP DHCP Xem lại sách yêu cầu kết nối Xem lại sách mạng Xem lại sách sức khỏe Cấu hình máy chu DHCP để truyền thông với máy chủ NPS nằm thực thi NAP. .. thi? ??t lập NAP Group Policy Nhập máy tính Vista vào nhóm máy tính thực thi NAP Kiểm tra giải pháp Tạo nhóm bảo mật cho máy khách NAP Thứ mà thực tạo nhóm bảo mật cho máy tính có sử dụng sách NAP. .. luận Trong phần loạt sử dụng thi hành NAP DHCP này, giới thi? ??u cho bạn số khái niệm NAP Sau hướng dấn tạo nhóm bảo mật cho máy khách NAP kết thúc việc cài đặt thành phần máy chủ NPS DHCP giải