此外,Windows Server 2008 R2 和 Windows 7 中還內置了網絡訪問保護 (NAP) 功能。當客戶端計算機嘗試連接網絡或與網絡通信時,NAP 可監視和評估該計算機的運行狀態。
二者結合將獲得更強大的功能。使用 NAP 實現 DirectAccess,讓您可以指定只有符合系統健康要求的 DirectAccess 客戶端才能通過 Internet 訪問 Intranet 資源。
DirectAccess隧道
使用完全 Intranet 訪問或選定服務器訪問模式的 DirectAccess 客戶端將創建以下連接到 DirectAccess 服務器的 Internet 協議安全性 (IPsec) 隧道:
基礎結構隧道:連接 Intranet 域名系統 (DNS) 服務器和 Active Directory 域服務 (AD DS) 域控制器。默認情況下,此隧道要求使用計算機證書和計算機帳戶 NT LAN 管理器版本 2 (NTLMv2) 憑據進行身份驗證。DirectAccess 客戶端在用戶登錄之前創建此隧道。
管理隧道:在用戶登錄之前連接到其他 Intranet 位置。Intranet 管理服務器也可以創建此隧道,以便遠程管理 DirectAccess 客戶端。與基礎結構隧道相同,默認情況下此隧道也要求使用計算機證書和計算機帳戶 NTLMv2 憑據進行身份驗證。
Intranet 隧道:在用戶登錄之后連接到不在基礎結構和管理隧道規則的目標地址列表中的 Intranet 位置。默認情況下,此隧道要求計算機證書和用戶帳戶 Kerberos 憑據以進行身份驗證。
NAP和IPsec強制
您可以使用很多強制方法部署 NAP,以對連接或通信強制實施系統健康要求。IPsec 強制方法使用健康證書(在增強型密鑰用法 [EKU] 字段中包含系統健康身份驗證對象標識符 [OID] 的數字證書),要求對 Intranet 流量進行 IPsec 保護的 IPsec 連接安全性規則,以及使用健康證書的 IPsec 對等身份驗證。
這種組合可強制使 Intranet 上計算機之間的通信符合系統健康要求。不符合系統健康要求和缺少健康證書的計算機無法在 Intranet 上發起通信。
IPsec 強制部署需要以下內容:
健康注冊機構 (HRA):一臺 Web 服務器,接收并響應 NAP 客戶端以及客戶端發出的驗證系統健康并獲得健康證書的請求。
NAP 證書頒發機構 (CA):公鑰基礎結構 (PKI) 中的 CA(通常是專用的),負責為合規的 NAP 客戶端頒發健康證書。
NAP 健康策略服務器:負責驗證系統健康請求的網絡策略服務器 (NPS)。
更新服務器:包含資源的服務器。NAP 客戶端需要這些資源來更正其不合規的系統健康狀態。
通過 HRA 獲得的健康證書的生命期很短,通常為數個小時。您也可以向需要健康證書以進行 IPsec 對等身份驗證但不需要執行系統健康驗證的服務器頒發生命期更長的豁免健康證書。
使用NAP實現DirectAccess
使用 NAP 實現 DirectAccess 是將系統健康合規性與 DirectAccess 連接過程相集成。當您結合使用 DirectAccess 和 NAP,以便在允許訪問 Intranet 資源之前強制實施系統健康要求時,實際上是利用 NAP 基礎結構來頒發健康證書(HRA、NAP C、NAP 健康策略服務器)并更正系統健康狀態(更新服務器)。您還針對基礎結構、管理和 Intranet 隧道使用 DirectAccess 連接安全性規則。
默認情況下,在 DirectAccess 客戶端和服務器上為基礎結構、管理和 Intranet 隧道配置的連接安全性規則不需要在進行身份驗證時使用健康證書。是否需要修改規則集以便要求健康證書,取決于以下內容:
NAP 部署模式(報告或完全強制)
報告模式不要求系統健康合規。不合規的 DirectAccess 客戶端可以訪問 Intranet。因此,不需要更改 DirectAccess 連接安全性規則。
完全強制模式要求系統健康合規。在此模式中,您必須配置連接安全性規則以要求健康證書,而不是要求普通的計算機證書。
HRA 和更新服務器的位置
您可以在 Intranet 或 Internet 上找到 HRA 和更新服務器。
下文將分別介紹 HRA 和更新服務器的這兩種位置,以及您因此需要做出的更改,以便連接安全性規則要求健康證書。
基于Intranet的HRA和更新服務器
當 HRA 和更新服務器位于 Intranet 上時,DirectAccess 客戶端必須能夠使用計算機證書(而不是健康證書)來訪問它們。健康驗證發生在創建基礎結構和管理隧道之后。DirectAccess 客戶端需要基礎結構隧道來訪問 Intranet DNS 服務器以解析 Intranet 名稱,并需要管理隧道來訪問 HRA 和更新服務器。
圖 1 當 HRA 和更新服務器位于 Intranet 上時,使用 NAP 實現的 DirectAccess。
但是,對于完全強制模式,DirectAccess 客戶端需要健康證書才能訪問其他 Intranet 資源。因此,健康證書要求只適用于 Intranet 隧道的連接安全性規則。
配置步驟
當 HRA 和更新服務器位于 Intranet 上時,若要配置使用 NAP 的 DirectAccess,您需要:
向管理服務器列表中添加 HRA 和更新服務器的 IPv6 地址。您可以使用 DirectAccess 安裝向導中的第三步或使用 Netsh.exe 命令來完成添加。
使用 Netsh.exe 命令在 DirectAccess 服務器組策略對象 (GPO) 中配置 Intranet 隧道規則以要求健康證書。
有關詳細步驟,請參見為 NAP 配置 DirectAccess 連接安全性規則。
您使用 Netsh.exe 自定義 DirectAccess 連接安全性規則時,所做的更改將在您下次應用 DirectAccess 安裝向導的設置時被覆蓋。若要確保保留這些自定義設置,您要么放棄使用 DirectAccess 安裝向導來更改配置,要么在腳本中編譯自定義更改列表,然后在每次應用 DirectAccess 安裝向導的設置時運行該腳本。
工作原理
以下過程描述了當 HRA 和更新服務器只位于 Intranet 上時,使用 NAP 的 DirectAccess 如何作用于 DirectAccess 客戶端:
當 DirectAccess 客戶端啟動并嘗試使用其計算機帳戶登錄 AD DS 域時,它使用其計算機證書創建基礎結構隧道。
