DHCP và NPS trên máy chủ NAP policy

Trong phần đầu của loạt bài này, chúng tôi đã giới thiệu một số kiến thức cơ
bản về cách làm việc của NAP, sau đó đã cài đặt các dịch vụ DHCP và NPS
trên máy chủ NAP policy. Trong phần này, chúng tôi sẽ giới thiệu về cách sử
dụng NAP policy wizard để tạo tự động các chính sách Network, Health và
Connection nhằm kiểm soát sự truy cập cho mạng của bạn.
Sử dụng NAP Wizard để tạo một chính sách thực thi NAP DHCP
Lúc này chúng ta có thể bắt đầu cho phần chính - tạo chính sách thực thi
NAP DHCP. Sau khi chạy wizard, wizard sẽ tạo các chính sách sau:
 Health Policies
 Connection Request Policies
 Network Policies
 Remediation Server Group policies
Chúng ta hãy xem xét kỹ hơn về mỗi chính sách này sau khi kết thúc wizard.
Mở giao diện điều khiển Network Policy Server từ menu Administrative
Tools. Từ đây, bạn sẽ thấy ở giữa giao diện xuất hiện trang Getting Started.
Trong phần Standard Configuration, hãy chọn tùy chọn Network Access
Protection (NAP) từ Select a configuration scenario from the list and
then click the link below to open the scenario wizard.
Kích vào liên kết Configure NAP.

Hình 1
Trên trang Select Network Connection Method For Use with NAP, phần
Network connection method, bạn hãy chọn tùy chọn Dynamic Host
Configuration Protocol (DHCP) từ danh sách. Nhớ rằng, khi sử dụng NAP

thì chúng ta phải chọn một phương pháp thực thi và đó là những gì chúng ta
đang thực hiện ở đây. DHCP server trở thành “network access server” trong
kịch bản này và DHCP server chịu trách nhiệm cho mức truy cập mạng mà
NAP client có.
Hộp văn bản Policy name sẽ tự động được cư trú với NAP DHCP, phần tên
(name) được nối thêm vào một số các chính sách đã tạo bởi wizard. Chúng ta
sẽ thấy điều này sau khi kết thúc NAP wizard.
Kích Next.

Hình 2
Trên trang Specify NAP Enforcement Server Running DHCP Server, bạn
có thể gộp địa chỉ IP của DHCP server sẽ chịu trách nhiệm máy chủ truy cập
mạng. Sử dụng tùy chọn này khi DHCP server và NPS server cấu hình các
chính sách NAP không nằm trên cùng máy chủ.
Nếu muốn bổ sung thêm các máy chủ thi hành DHCP NAP từ xa, chúng phải
được cấu hình như các RADIUS client, điều đó có nghĩa rằng bạn cần cấu
hình các máy này như NPS server. Sự khác biệt ở đây là NPS server này
không cấu hình các thiết lập chính sách NAP. Chúng chỉ ủy quyền các yêu
cầu RADIUS đến NPS server đang cấu hình các thiết lập chính sách NAP.
Cấu hình đó nên sử dụng trong môi trường sản xuất lớn, nơi DHCP server và
NAP server cả hai đều tương đối bận. Thêm vào đó, rất có thể sẽ có nhiều
DHCP server trong công ty bạn, trong khi đó bạn lại muốn tất cả đều có thể
truyền thông với máy chủ chính sách NAP hoặc các máy chủ.
Trong ví dụ này, mạng mà chúng tôi đặt các máy chủ DHCP và NPS nằm
trên cùng một máy tính, vì vậy chúng ta sẽ không cần bổ sung thêm các máy
chủ DHCP từ xa vào danh sách. Kích Next.

Hình 3
Bạn có một tùy chọn để kích hoạt NAP khi sử dụng thực thi DHCP. Nếu
không muốn sử dụng chính sách thực thi NAP đối với tất cả các phạm vi

DHCP thì bạn có thể nhập vào phạm vi trong đó muốn chính sách NAP áp
dụng cho trong trang Specify DHCP Scopes. Trong mạng ví dụ của chúng
tôi, chúng tôi muốn kích hoạt chính sách NAP trên mọi phạm vi, vì vậy
chúng tôi không nhập vào các phạm vi cụ thể trên trang này. Kích Next.

Hình 4
Bạn có thể cho phép hoặc từ chối truy cập vào các nhóm người dùng nào đó
hoặc các máy tính trong chính sách NAP. Trong ví dụ này, chúng tôi áp dụng
chính sách cho tất cả các máy và người dùng. Kích Next.

Hình 5
Tất cả các máy tính đều cần truy cập vào các máy chủ nào đó trong mạng.
Chúng cần đến các máy chủ sở hạ tầng chẳng hạn như Active Directory,
DNS, DHCP và WINS server. Tất cả các máy tính cần sự truy cập tới các
máy chủ sửa lỗi, đây là các máy mà máy tính không thỏa mãn yêu cầu có thể
truy cập để đạt được sự đồng thuận.
Trong trang Specify a NAP Remediation Server Group and URL, bạn kích
nút Group để mở hộp thoại New Remediation Server Group. Trong hộp
thoại New Remediation Server Group, hãy nhập vào tên nhóm trong hộp
văn bản Group Name. Trong ví dụ này, chúng tôi đặt tên nhóm là Network
Services.
Kích nút Add trong hộp thoại New Remediation Server Group. Khi đó bạn
sẽ thấy hộp thoại Add New Server xuất hiện. Trong hộp thoại Add New
Server, hãy nhập vào tên máy chủ trong hộp Friendly name. Trong ví dụ
này chúng tôi nhập vào một tên cho domain controller, chính vì vậy chúng tôi
sẽ nhập DC vào hộp văn bản này. Địa chỉ IP của domain controller là
10.0.0.2, chính vì vậy chúng ta sẽ nhập địa chỉ đó vào hộp văn bản IP
address or DNS name. Nếu biết tên của máy chủ DNS thì bạn có thể nhập
vào tên đó trong hộp văn bản và sau đó kích nút Resolve.
Kích OK trong hộp thoại Add New Server.


Hình 6
Lúc này bạn sẽ thấy tên của nhóm máy chủ sửa lỗi và địa chỉ IP của máy chủ
mà bạn đã bổ sung vào nhóm. Nhớ rằng, mục đích của nhóm này là remove
nó khỏi những hạn chế của chính sách NAP. Domain controller trong ví dụ
này là một máy tính mà tất cả các thành viên miền cần truyền thông với nó để
đăng nhập. Nếu bạn không cho phép các máy khách NAP của mình, dù đồng
thuận hay không, kết nối với domain controller thì chúng sẽ không thể đăng
nhập vào mạng để trở thành đồng thuận sau khi đăng nhập.
Kích OK trong hộp thoại New Remediation Server Group.

Hình 7
Kích Next trên trang Specify a NAP Remediation Server Group and URL.
Lưu ý rằng chúng ta cũng có thể nhập vào Troubleshooting URL trên trang
này. Chúng tôi không sử dụng nào trong ví dụ này, nhưng đôi khi bạn dùng
nếu muốn trỏ người dùng đến trang hiển thị cho họ cách trở thành đồng thuận
sau khi máy tính của họ rơi vào tình trạng không đồng thuận và không thể tự
sửa lỗi.

Hình 8
Trên trang Define NAP Health Policy, bạn có thể chọn chính sách hợp lệ
sức khỏe hệ thống (System Health Validator) nào mà bạn muốn để định nghĩa
một chính sách sức khỏe cho mạng (Health Policy). Mặc định chỉ có một
chính sách System Health Validator có trong Windows Server 2008, chính
sách này là Windows Security Health Validator. Các hãng phần mềm khác
cũng có thể nhóm các sản phẩm System Health Validator của họ mà bạn cài
đặt vào máy chủ NAP policy.
Bảo đảm rằng có một dấu kiểm trong hộp kiểm Windows Security Health
Validator. Cũng cần tích một dấu kiểm trong hộp chọn Enable auto-
remediation of client computers. Tùy chọn này cho phép các thành phần

của NAP client có thể tự sửa lỗi một số vấn đề. Với ví dụ này, nếu Windows
Firewall bị vô hiệu hóa thì NAP agent sẽ tự kích hoạt Windows Firewall.
Trong Network Access restrictions for NAP-ineligible client computers,
bạn xác định những gì muốn thực hiện với các máy tính không có khả năng
NAP. Bạn có hai tùy chọn:
 Deny full network access to NAP-ineligible client computers. Allow
access to a restricted network only
 Từ chối toàn bộ truy cập mạng cho các máy khách NAP không đủ tư
cách. Chỉ cho phép truy cập vào mạng bị hạn chế.
 Allow full network access to NAP-ineligible client computers
 Cho phép truy cập vào các máy khách NAP không đủ tư cách
Tùy chọn đầu tiên an toàn hơn tùy chọn kia, còn tùy chọn thứ hai là tùy chọn
tỏ ra hào phóng hơn. Sự lựa chọn của bạn phụ thuộc vào mục tiêu thiết kế
cho NAP. Bạn có thể cho phép các máy tính không có khả năng NAP truy
cập vào mạng trong suốt quá trình triển khai NAP và sau đó, khi quá trình
triển khai hoàn tất, bạn sẽ chuyển và thi hành cho các máy đồng thuận NAP.
Kích Next trong trang Define NAP Health Policy.

Hình 9
Trên trang Completing NAP Enforcement Policy and RADIUS Client
Configuration, bạn có thể thấy Health Policies, Connection Request
Policy, Network Policies và Remediation Server Group sẽ được tạo bởi
wizard. Chúng ta sẽ xem xét sâu hơn về các chính sách này.

Hình 10
Lưu ý rằng chỉ có một liên kết Configuration Details. Khi bạn kích vào liên
kết này, nó sẽ xuất hiện trang cung cấp các thông tin chi tiết về mỗi chính
sách sẽ được tạo bởi wizard.

Hình 11

Kết luận
Trong phần 2 này, chúng tôi đã giới thiệu cho các bạn về NAP policy wizard
và giải thích mỗi tùy chọn được wizard này cung cấp. Chúng ta đã thấy được
rằng NAP policy wizard giúp đơn giản hơn rất nhiều trong việc tạo một chính
sách NAP toàn diện trong quá trình tạo một số chính sách Network, Health và
Connection để kiểm soát những máy tính có thể tham gia vào mạng. Trong
phần tiếp theo của loạt bài này, chúng ta sẽ xem xét một cách chi tiết hơn đến
các rule và giải thích về chức năng cũng như nhân tố cơ bản sau mỗi rule này.
v