Tìm hiểu tính năng Network Policy Server mới trong Windows Server
2008
Mặc dùng chúng ta đã khá quen với các khái niệm và thuật ngữ có liên quan
đến Network Access Protection (NAP) của Microsoft và các công nghệ NAC
của Cisco nhưng chúng ta vẫn phải xem xét đến tính năng Network Policy
Server mới của Windows Server 2008. Sự quan tâm của chúng tôi Windows
2008 Network Policy Server (NPS) là có thể sử dụng RADIUS trên Windows
2008 System. Hay có thể sử dụng Windows 2008 Server để chứng thực các
máy tính bằng cách dùng 802.1x và người dùng đăng nhập vào thiết bị mạng
như các bộ định tuyến của Cisco không.

Theo thường lệ, nếu bạn muốn thực hiện một trong các nhiệm vụ này với
Windows 2000 hay 2003 Server thì cần sử dụng Internet Authentication
Service (IAS) của Microsoft. Trước đây, chúng tôi đã giới thiệu một số bài về
sử dụng IAS nhưng đối với Windows 2003 c
òn trong Windows Server 2008 thì
chưa, và trong bài viết này, chúng tôi muốn giới thiệu đến các bạn về IAS đã
được thay thế bằng tính năng Network Policy Server (NPS) mới. Vậy NPS là
gì và nó có những điểm gì mới so với thành phần mà nó thay thế.

Network Policy Server trong Windows Server 2008 là gì?


NPS không ch
ỉ là một sự thay thế cho IAS mà nó còn thực hiện nhiều hơn
những gì IAS đã từng làm. Trong khi nhiều bạn trong số chúng ta có thể mới
chỉ xem để thực hiện những thứ tương tự mà IAS đã thực hiện được trong
Windows 2003 thì khi cài đặt NPS bạn sẽ thấy được rất nhiều chức năng mới
trong đó.

Đây là những gì mà NPS thực hiện giống như ở IAS đã từng có:



Định tuyến lưu lượng cho LAN và WAN


Cho phép truy cập vào các tài nguyên nội bộ thông qua kết nối VPN
hoặc dial-up.


Tạo và ép buộc sự truy cập mạng thông qua các kết nối VPN hoặc dial-
up.
Tuy nhiên NPS còn có thể cung cấp các chức năng khác như:


Các dịch vụ VPN


Các dịch vụ Dial-up


Truy cập được bảo vệ 802.11


Routing & Remote Access (RRAS)


Đăng ký chứng thực thông qua Windows Active Directory


Điều khiển truy cập mạng bằng các chính sách

Nh
ững gì mà NPS thực hiện trên là tất cả các chức năng có liên quan đ
ến NAP.
Ví dụ - System Health Validators, Remediation Server Groups, Health
Polices,… Để có thêm được kiến thức từng bước về cách sử dụng NPS để thực
hiện NAP bạn có thể tham khảo tạo các bài viết mà chúng tôi đã giới thiệu
trước đây “Giới thiệu về NAP”.

Cách cài đặt NPS

NPS là m
ột thành phần của Windows Server 2008. Điều đó có nghĩa rằng bạn
chỉ cần cài đặt nó bằng thành phần “Adding a Component”, như hình dư
ới đây:

Hình 1: Bổ sung thêm thành phần NPS
Tiếp theo bạn chọn Network Policy and Access Services:

Hình 2: Chọn Role NPS
Bạn sẽ nhận được một màn hình chứa các thông tin tổng quan về NPS:

Hình 3: Màn hình tổng quan về NPS
Bây giờ, chọn các dịch vụ cho role mà bạn muốn cài đặt. Lưu ý rằng nếu bạn
chọn giao thức Health Registration Authority hay Host Credential
Authorization thì sẽ được nhắc nhở cài đặt thêm các role đối với máy chủ của
mình (như máy chủ web IIS). Cả hai dịch vụ này đều liên quan đến NAP của
Microsoft và NAC của Cisco.

Để vào được trong danh sách này sâu hơn nữa, Network Policy Service quả
thực là một máy chủ RADIUS mà bạn đã được sử dụng để xem với IAS. Các

dịch vụ RRAS là phần thứ hai mà trước đó đã có trong IAS. Mở ra điều này,
bạn có thể chọn cài đặt những gì bạn muốn.

Hình 4: Chọn thành phần cài đặt của NPS
Sau khi đã chọn xong, kích Next, lúc này bạn sẽ thấy được màn hình xác nhận
cuối cùng để có thể kích Install.

Hình 5: Màn hình xác nhận cài đặt
Tại phần cuối của quá trình cài đặt, bạn sẽ thấy màn hình tương tự như dưới
đây:

Hình 6: Cài đặt kết thúc
Lúc này chúng ta hãy chuyển sang cách quản lý Network Policy Server mới

Cách quản lý NPS

N
ếu bạn đang xem xét để thực hiện các chức năng ISA truyền thống, thì cách
đơn giản nhất để quản lý các dịch vụ NPS mới là sử dụng Windows 2008
Server Manager. Bên trong Server Manager, bạn sẽ thấy Roles và role bên
trong, cũng vậy bạn sẽ thấy cả Network Policy and Access Services, như dưới
đây:

Hình 7: Các dịch vụ của NPS trong Server Manager
Như nh
ững gì bạn có thể nhìn thấy, có 3 dịch vụ liên quan đến NPS, máy chủ
chính sách mạng - network policy server (được đặt tên IAS), quản lý kết nối
truy cập từ xa - remote access connection manager (RasMan) và các dịch vụ
truy cập từ xa và định tuyến - routing and remote access service (được đặt tên
là RemoteAccess). Với những người sử dụng IAS, tên của các dịch vụ này sẽ

không có gì mới mẻ.

Để cấu hình và quản lý dịch vụ Network Policy Server (NPS) riêng lẻ, có một
công cụ quản trị mới Windows 2008 Server có tên gọi là Network Policy
Server.

Hình 8: Gọi công cụ NPS Management
Khi đã được load, bạn sẽ thấy giao diện như sau:

Hình 9: Công cụ quản lý NPS
Phần RADIUS Clients and Servers là phần mà các bạn có thể đã quen, như
phần Polices. Những điểm mới ở đây là “Remote Access Logging” của IAS cũ
đã được đặt lại tên là “Accounting” và thư mục Network Access Protection
mới.

Tuy vậy nó vẫn chỉ là chút xíu về mặt giao diện và tên của IAS mới, những gì
khác hoàn toàn là chức năng của NAP mà NPS cung cấp.

Kiến trúc NPS

Có một số phần trong kiến trúc của Network Policy Server. Dưới đây là hình
minh họa.

Hình 10: Toàn bộ kiến trúc của NPS (nguồn Microsoft)
Như nh
ững gì bạn có thể thấy từ hình minh họa trên, NPS server mà chúng ta
đã cài đặt trong bài này chỉ là một trong những phần nằm trong cơ sở hạ tầng
NPS. Không ph
ải tất cả các thành phần này đều được yêu cầu. Những thành
phần nào của cơ sở hạ tầng này được yêu cầu hoàn toàn dựa vào chức năng mà

bạn đang muốn thực hiện.

Ví dụ, trong hướng dẫn, chúng tôi đã nói về cách sử dụng NPS để chứng thực
các thiết bị mạng của Cisco bằng RADIUS. Để thực hiện điều đó, tất cả những
gì chúng ta cần thực hiện là NPS RADIUS Server này và Network Policy
Server (NPS). Cisco router (hoặc thiết bị mạng khác) sẽ là NPS RADIUS
Client. NPS RADIUS Server là những gì chấp nhận yêu c
ầu đối với việc chứng
thực thông tin người dùng từ thiết bị mạng. NPS RADIUS Server thường kiểm
tra Network Policy Server để xem xem nó có đang chấp nhận các yêu cầu
chứng thực từ RADIUS Client hay không và nếu có chính sách này và các
thông tin được gửi thường là đến Active Directory để được hợp lệ hóa. Nếu
chúng được hợp lệ hóa thì yêu cầu đã chấp nhận chứng thực được gửi lại về
NPS RADIUS Client (thi
ết bị mạng như Cisco router trong ví dụ).

Kết luận

Khi kết hợp với Microsoft NAP client, Microsoft gọi Network Policy Server là
một “nền tảng thực thi chính sách sức khỏe hệ thống”. Tuy nhiên chúng tôi v
ẫn
coi NPS như một máy chủ thực hiện các chức năng (chứng thực, thẩm định và
tính toán). Nếu bạn chỉ cần RADIUS server trước đây, thì sẽ không thấy được
nhiều sự khác nhau khi sử dụng NPS. Mặc dù vậy, chúng tôi khuyên bạn nên
xem xét một chút về cách NPS có thể có ích như thế nào trong giải pháp
Network Access Protection (NAP) t
ổng thể đối với công ty của bạn. Bằng cách
chỉ cho phép các máy tính đã được cập nhật bản vá lỗi một cách kịp thời,
những nâng cấp mới về chữ ký virus và thiết lập tường lửa để có thể truy cập
vào mạng thì điều đó có nghĩa là toàn bộ mạng công ty của bạn sẽ trở lên r

ất an
toàn.

Văn Linh (Theo Windows Networking)