使用微软NAP避免五大访问难题

发表时间:2013-02-06

Microsoft的Network Access Protection能否限制错误的用户?这完全取决于配置。
 
员工走进办公室使用公司发布的桌面计算机艰难地登陆到单片LAN,这样的日子已经一去不复返了。现如今,各种各样的网络用户,包括:员工、客户和厂商伙伴,无论他们在哪里都会通过五花八门的桌面、笔记本电脑、平板电脑和智能设备访问数据中心。
 
但这样可能对管理员产生严重的威胁。在没有适当的操作系统补丁程序、反恶意软件工具或远程系统的关键安全设置,企业网络的安全将岌岌可危。
 
网络访问保护(NAP)在Windows Server 2008 R2和更高版本的Windows 7中为管理员提供了安全工具,弥补安全漏洞,保证远程系统的完整性。登陆远程系统过程中,要对系统的健康进行检查核对,如果系统满足健康要求,那么您可以正常访问网络。系统也可以限制或完全禁止用户访问。
 
虽然NAP已经成为数据中心安全的热门技术,但有一些常见问题会影响系统健康导致客户端计算机不能正常登陆。下面我们一起看看NAP几个常见的问题。
 
用户被拒绝通过认证
 
这是因为向服务器发出链接请求策略时,客户端系统使用802.1x或虚拟专用网(VPN)强制。必须配置连接请求策略,以覆盖网络策略的身份验证设置。如果网络策略的身份验证设置不被覆盖,那么企业的网络策略服务器 (NPS) 将拒绝使用 802.1 X 和 VPN连接。解决此问题最好的方法是:访问 NPS 和配置 802.1 X 和 VPN 连接请求,以覆盖网络策略的身份验证。
 
认证机构类型的错误
 
这个问题通常由于服务器端与认证机构(CA)不匹配导致的,只有企业在默认CA 安装健康注册机构的情况下,安装了NAP与Active Directory Certificate Services。两种CA类型不兼容。解决这个问题最简单的方法是:重新安装健康注册机构并选择正确的认证或匿名企业CA。
 
客户端发生non-NAP类型的错误
 
客户端计算机应支持网络访问保护,但在服务器端上表示客户端是non-NAP,并且拒绝客户端访问网络的权限。相反,客户端被迫遵守non-NAP政策。这个问题是由于客户端混乱造成的,通常是由于NAP 代理服务、 NAP 强制客户端或客户端健康检查未启用造成的。
 
首先,检查NAP代理。管理员需要检查正在运行的客户端计算机并验证NAP代理。如果问题没有解决,那么管理员需要启动NAP代理。这可以通过命令或在客户端上使用组策略来完成。
 
第二,在检查从NAP Agent输出的命令时,同样也要检查NAP强制客户端初始化。如果问题没有解决,那么管理员一定要启用客户端计算机强制本地设置或使用组策略强制客户端。
 
第三,当使用NAP强制 802.1x或VPN时,一定要检查Protected EAP(PEAP)网络连接的属性,并确保客户端健康检查选项处于启用状态。
 
网络策略服务器忽略客户端访问请求
 
当处理远程认证拨号用户服务(RADIUS) 客户时,会导致NPS配置发生错误问题。正常情况下,客户端NAP访问链接请求是创建在一个NPS上。当RADIUS客户端不执行本地授权或身份验证访问请求时,那些客户端必须将连接请求转发到具体配置上。如果RADIUS 客户端不转发连接请求,或将请求转发给RADIUS 服务器时出现了错误,NPS将显示没有连接请求。实际上,连接请求被忽略了。
 
解决此问题的最佳途径是:访问NPS 找到 NAP 客户端计算机的连接请求策略,确保请求转发到正确的RADIUS服务器上进行身份验证。
 
无法发行新系统健康验证模板
 
当您尝试通过证书服务控制台发出新的服务器端健康证书模板时,您发现系统健康身份验证模板不可用。通常情况下,这是由于操作系统版本不匹配造成的。为了能够发出新的模板,NAP CA 必须使用企业版的 Windows 服务器,如有要使用标准版,它将无法发出新的证书模板。如果有必要,将OS操作系统升级到OS企业级版本,来纠正这一问题。
 
虽然,NAP常常是简单的安装和管理。但常常因为疏忽服务器端可能导致客户端发生连接问题。IT管理员应该具备一些基本知识的了解和简单服务器配置技术,并且在几分钟之内更正这些基本问题