日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時間:8:30-17:00
你可能遇到了下面的問題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營銷解決方案
網(wǎng)絡(luò)專家:使用網(wǎng)絡(luò)訪問保護(hù)(NAP)實現(xiàn)DirectAccess

遠(yuǎn)程用戶現(xiàn)在可以通過更安全的方式訪問您公司的網(wǎng)絡(luò)。DirectAccess 是 Windows 7 和 Windows Server 2008 R2 中的新功能。通過這項功能,遠(yuǎn)程用戶無需連接到虛擬專用網(wǎng)絡(luò) (VPN),就可以安全地訪問 Intranet 資源。

我們提供的服務(wù)有:成都網(wǎng)站制作、成都做網(wǎng)站、外貿(mào)營銷網(wǎng)站建設(shè)、微信公眾號開發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、西工ssl等。為數(shù)千家企事業(yè)單位解決了網(wǎng)站和推廣的問題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的西工網(wǎng)站制作公司

此外,Windows Server 2008 R2 和 Windows 7 中還內(nèi)置了網(wǎng)絡(luò)訪問保護(hù) (NAP) 功能。當(dāng)客戶端計算機(jī)嘗試連接網(wǎng)絡(luò)或與網(wǎng)絡(luò)通信時,NAP 可監(jiān)視和評估該計算機(jī)的運(yùn)行狀態(tài)。

二者結(jié)合將獲得更強(qiáng)大的功能。使用 NAP 實現(xiàn) DirectAccess,讓您可以指定只有符合系統(tǒng)健康要求的 DirectAccess 客戶端才能通過 Internet 訪問 Intranet 資源。

DirectAccess隧道

使用完全 Intranet 訪問或選定服務(wù)器訪問模式的 DirectAccess 客戶端將創(chuàng)建以下連接到 DirectAccess 服務(wù)器的 Internet 協(xié)議安全性 (IPsec) 隧道:

  • 基礎(chǔ)結(jié)構(gòu)隧道:連接 Intranet 域名系統(tǒng) (DNS) 服務(wù)器和 Active Directory 域服務(wù) (AD DS) 域控制器。默認(rèn)情況下,此隧道要求使用計算機(jī)證書和計算機(jī)帳戶 NT LAN 管理器版本 2 (NTLMv2) 憑據(jù)進(jìn)行身份驗證。DirectAccess 客戶端在用戶登錄之前創(chuàng)建此隧道。
  • 管理隧道:在用戶登錄之前連接到其他 Intranet 位置。Intranet 管理服務(wù)器也可以創(chuàng)建此隧道,以便遠(yuǎn)程管理 DirectAccess 客戶端。與基礎(chǔ)結(jié)構(gòu)隧道相同,默認(rèn)情況下此隧道也要求使用計算機(jī)證書和計算機(jī)帳戶 NTLMv2 憑據(jù)進(jìn)行身份驗證。
  • Intranet 隧道:在用戶登錄之后連接到不在基礎(chǔ)結(jié)構(gòu)和管理隧道規(guī)則的目標(biāo)地址列表中的 Intranet 位置。默認(rèn)情況下,此隧道要求計算機(jī)證書和用戶帳戶 Kerberos 憑據(jù)以進(jìn)行身份驗證。

NAP和IPsec強(qiáng)制

您可以使用很多強(qiáng)制方法部署 NAP,以對連接或通信強(qiáng)制實施系統(tǒng)健康要求。IPsec 強(qiáng)制方法使用健康證書(在增強(qiáng)型密鑰用法 [EKU] 字段中包含系統(tǒng)健康身份驗證對象標(biāo)識符 [OID] 的數(shù)字證書),要求對 Intranet 流量進(jìn)行 IPsec 保護(hù)的 IPsec 連接安全性規(guī)則,以及使用健康證書的 IPsec 對等身份驗證。

這種組合可強(qiáng)制使 Intranet 上計算機(jī)之間的通信符合系統(tǒng)健康要求。不符合系統(tǒng)健康要求和缺少健康證書的計算機(jī)無法在 Intranet 上發(fā)起通信。

IPsec 強(qiáng)制部署需要以下內(nèi)容:

  • 健康注冊機(jī)構(gòu) (HRA):一臺 Web 服務(wù)器,接收并響應(yīng) NAP 客戶端以及客戶端發(fā)出的驗證系統(tǒng)健康并獲得健康證書的請求。
  • NAP 證書頒發(fā)機(jī)構(gòu) (CA):公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 中的 CA(通常是專用的),負(fù)責(zé)為合規(guī)的 NAP 客戶端頒發(fā)健康證書。
  • NAP 健康策略服務(wù)器:負(fù)責(zé)驗證系統(tǒng)健康請求的網(wǎng)絡(luò)策略服務(wù)器 (NPS)。
  • 更新服務(wù)器:包含資源的服務(wù)器。NAP 客戶端需要這些資源來更正其不合規(guī)的系統(tǒng)健康狀態(tài)。

通過 HRA 獲得的健康證書的生命期很短,通常為數(shù)個小時。您也可以向需要健康證書以進(jìn)行 IPsec 對等身份驗證但不需要執(zhí)行系統(tǒng)健康驗證的服務(wù)器頒發(fā)生命期更長的豁免健康證書。

使用NAP實現(xiàn)DirectAccess

使用 NAP 實現(xiàn) DirectAccess 是將系統(tǒng)健康合規(guī)性與 DirectAccess 連接過程相集成。當(dāng)您結(jié)合使用 DirectAccess 和 NAP,以便在允許訪問 Intranet 資源之前強(qiáng)制實施系統(tǒng)健康要求時,實際上是利用 NAP 基礎(chǔ)結(jié)構(gòu)來頒發(fā)健康證書(HRA、NAP C、NAP 健康策略服務(wù)器)并更正系統(tǒng)健康狀態(tài)(更新服務(wù)器)。您還針對基礎(chǔ)結(jié)構(gòu)、管理和 Intranet 隧道使用 DirectAccess 連接安全性規(guī)則。

默認(rèn)情況下,在 DirectAccess 客戶端和服務(wù)器上為基礎(chǔ)結(jié)構(gòu)、管理和 Intranet 隧道配置的連接安全性規(guī)則不需要在進(jìn)行身份驗證時使用健康證書。是否需要修改規(guī)則集以便要求健康證書,取決于以下內(nèi)容:

  • NAP 部署模式(報告或完全強(qiáng)制)

報告模式不要求系統(tǒng)健康合規(guī)。不合規(guī)的 DirectAccess 客戶端可以訪問 Intranet。因此,不需要更改 DirectAccess 連接安全性規(guī)則。

完全強(qiáng)制模式要求系統(tǒng)健康合規(guī)。在此模式中,您必須配置連接安全性規(guī)則以要求健康證書,而不是要求普通的計算機(jī)證書。

  • HRA 和更新服務(wù)器的位置

您可以在 Intranet 或 Internet 上找到 HRA 和更新服務(wù)器。

下文將分別介紹 HRA 和更新服務(wù)器的這兩種位置,以及您因此需要做出的更改,以便連接安全性規(guī)則要求健康證書。

基于Intranet的HRA和更新服務(wù)器

當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時,DirectAccess 客戶端必須能夠使用計算機(jī)證書(而不是健康證書)來訪問它們。健康驗證發(fā)生在創(chuàng)建基礎(chǔ)結(jié)構(gòu)和管理隧道之后。DirectAccess 客戶端需要基礎(chǔ)結(jié)構(gòu)隧道來訪問 Intranet DNS 服務(wù)器以解析 Intranet 名稱,并需要管理隧道來訪問 HRA 和更新服務(wù)器。

圖 1 當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時,使用 NAP 實現(xiàn)的 DirectAccess。

但是,對于完全強(qiáng)制模式,DirectAccess 客戶端需要健康證書才能訪問其他 Intranet 資源。因此,健康證書要求只適用于 Intranet 隧道的連接安全性規(guī)則。

配置步驟

當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時,若要配置使用 NAP 的 DirectAccess,您需要:

  • 向管理服務(wù)器列表中添加 HRA 和更新服務(wù)器的 IPv6 地址。您可以使用 DirectAccess 安裝向?qū)е械牡谌交蚴褂?Netsh.exe 命令來完成添加。
  • 使用 Netsh.exe 命令在 DirectAccess 服務(wù)器組策略對象 (GPO) 中配置 Intranet 隧道規(guī)則以要求健康證書。

有關(guān)詳細(xì)步驟,請參見為 NAP 配置 DirectAccess 連接安全性規(guī)則。

您使用 Netsh.exe 自定義 DirectAccess 連接安全性規(guī)則時,所做的更改將在您下次應(yīng)用 DirectAccess 安裝向?qū)У脑O(shè)置時被覆蓋。若要確保保留這些自定義設(shè)置,您要么放棄使用 DirectAccess 安裝向?qū)砀呐渲?,要么在腳本中編譯自定義更改列表,然后在每次應(yīng)用 DirectAccess 安裝向?qū)У脑O(shè)置時運(yùn)行該腳本。

工作原理

以下過程描述了當(dāng) HRA 和更新服務(wù)器只位于 Intranet 上時,使用 NAP 的 DirectAccess 如何作用于 DirectAccess 客戶端:

  1. 當(dāng) DirectAccess 客戶端啟動并嘗試使用其計算機(jī)帳戶登錄 AD DS 域時,它使用其計算機(jī)證書創(chuàng)建基礎(chǔ)結(jié)構(gòu)隧道。[基礎(chǔ)結(jié)構(gòu)隧道]
  2. 當(dāng) NAP 代理啟動時,DirectAccess 客戶端解析已配置的 HRA 統(tǒng)一資源定位器 (URL) 的完全限定域名 (FQDN),使用其計算機(jī)證書創(chuàng)建管理隧道,然后將其目前的健康狀態(tài)信息發(fā)送給 HRA。[管理隧道]
  3. HRA 將 DirectAccess 客戶端的健康狀態(tài)信息發(fā)送到 NAP 健康策略服務(wù)器。[Intranet 流量]
  4. NAP 健康策略服務(wù)器評估 DirectAccess 客戶端的健康狀態(tài)信息,確定該客戶端是否合規(guī),然后將結(jié)果發(fā)送給 HRA。[Intranet 流量]
  5. HRA 將健康評估結(jié)果發(fā)送給 DirectAccess 客戶端。[管理隧道]
  6. 假設(shè)健康狀態(tài)合規(guī),HRA 將從 NAP CA 獲取健康證書,并發(fā)送給 DirectAccess 客戶端。[管理隧道]
  7. 當(dāng) DirectAccess 客戶端嘗試訪問 Intranet 上的資源時,它首先使用健康證書創(chuàng)建 Intranet 隧道。[Intranet 隧道]

如果 DirectAccess 客戶端不合規(guī):

  1. HRA 將健康評估結(jié)果發(fā)送給 DirectAccess 客戶端,其中包括健康更正指令;但 HRA 不會獲得健康證書。[管理隧道]
  2. 根據(jù)已安裝的健康評估組件,DirectAccess 客戶端可能需要訪問更新服務(wù)器以更正其健康狀態(tài)。如果是這樣,DirectAccess 客戶端將向合適的更新服務(wù)器發(fā)送更新請求。[管理隧道]
  3. 更新服務(wù)器向 DirectAccess 客戶端提供所需的設(shè)置或更新,以便符合系統(tǒng)健康要求。[管理隧道]
  4. DirectAccess 客戶端將更新后的健康狀態(tài)信息發(fā)送給 HRA。[管理隧道]
  5. HRA 將更新后的健康狀態(tài)信息發(fā)送給 NAP 健康策略服務(wù)器。假設(shè)已進(jìn)行了所有必需的更新,NAP 健康策略服務(wù)器將確定 DirectAccess 客戶端是合規(guī)的,并將結(jié)果發(fā)送給 HRA。[Intranet 流量]
  6. HRA 從 NAP CA 獲得健康證書。[Intranet 流量]
  7. HRA 將健康證書發(fā)送給 DirectAccess 客戶端。[管理隧道]
  8. 當(dāng) DirectAccess 客戶端嘗試訪問 Intranet 上的資源時,它將使用健康證書創(chuàng)建 Intranet 隧道。[Intranet 隧道]

HRA和更新服務(wù)器位于Internet 上

當(dāng) HRA 和更新服務(wù)器僅位于 Internet 上時,DirectAccess 客戶端始終可以訪問它們,而且系統(tǒng)健康驗證會獨(dú)立于 DirectAccess 隧道進(jìn)行。

圖 2 顯示了 HRA 和更新服務(wù)器僅位于 Internet 上時的配置。有關(guān)此配置的詳細(xì)信息,請參見 2009 年 6 月的網(wǎng)絡(luò)專家專欄文章 Internet 上的 NAP。

圖 2 當(dāng) HRA 和更新服務(wù)器位于 Internet 上時,使用 NAP 實現(xiàn)的 DirectAccess。

對于完全強(qiáng)制模式,DirectAccess 客戶端需要先獲得健康證書,之后才能訪問除管理服務(wù)器之外的任何 Intranet 資源。管理服務(wù)器是從 Intranet 進(jìn)行遠(yuǎn)程管理和支持不合規(guī)的DirectAccess 客戶端所必需的。因此,針對基礎(chǔ)結(jié)構(gòu)、Intranet 和管理(可選)隧道的連接安全性規(guī)則都需要健康證書。

配置步驟

當(dāng) HRA 和更新服務(wù)器都位于 Internet 上時,若要配置使用 NAP 的 DirectAccess,您需要使用 Netsh.exe 命令在 DirectAccess 服務(wù)器 GPO 中更改基礎(chǔ)結(jié)構(gòu)、Intranet 和管理隧道規(guī)則以便要求健康證書。

以下命令使用 Windows Server 2008 R2 中的 DirectAccess 安裝向?qū)?GPO 和連接安全性規(guī)則配置的默認(rèn)名稱:

  1. 在管理員級別的命令提示符下,運(yùn)行 netsh –c advfirewall 命令。
  2. 在 netsh advfirewall 提示符下,運(yùn)行以下命令:
set store gpo="DomainName\DirectAccess Policy-{ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}"

consec set rule "DirectAccess Policy-DaServerToDnsDC" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToCorp" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToMgmt" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

注意:DomainName 是 AD DS 域的 FQDN。CANameString 是顯示 consec show rule name="DirectAccess Policy-DaServerToCorp" 命令時 Auth1CAName 字段的值。

只有當(dāng)您已定義管理服務(wù)器且希望阻止不合規(guī)的 DirectAccess 客戶端訪問它們時,才需要運(yùn)行最后一個命令。

工作原理

以下過程描述了當(dāng) HRA 和更新服務(wù)器都位于 Internet 上時,使用 NAP 的 DirectAccess 如何作用于 DirectAccess 客戶端:

  1. 當(dāng) DirectAccess 客戶端啟動后,將嘗試使用其計算機(jī)帳戶登錄 AD DS 域并創(chuàng)建基礎(chǔ)結(jié)構(gòu)隧道。由于 DirectAccess 客戶端沒有健康證書,因此嘗試將失敗。[Internet 流量]
  2. 當(dāng) NAP 代理啟動后,DirectAccess 客戶端解析 HRA URL 的 FQDN,然后將其當(dāng)前的健康狀態(tài)信息發(fā)送給 Internet 上的 HRA。[Internet 流量]
  3. HRA 將 DirectAccess 客戶端的健康狀態(tài)信息發(fā)送給 NAP 健康策略服務(wù)器。[Intranet 流量]
  4. NAP 健康策略服務(wù)器評估 DirectAccess 客戶端的健康狀態(tài)信息,確定該客戶端是否合規(guī),并將結(jié)果發(fā)送給 HRA。[Intranet 流量]
  5. HRA 將健康評估結(jié)果發(fā)送給 DirectAccess 客戶端。[Internet 流量]
  6. 假設(shè)健康狀態(tài)合規(guī),HRA 將從 NAP CA 獲取健康證書,并發(fā)送給 DirectAccess 客戶端。[Internet 流量]
  7. 當(dāng) DirectAccess 客戶端計算機(jī)下次嘗試使用其計算機(jī)帳戶登錄 AD DS 域或解析 Intranet FQDN 時,它會首先使用健康證書創(chuàng)建基礎(chǔ)結(jié)構(gòu)隧道。[基礎(chǔ)結(jié)構(gòu)隧道]
  8. 當(dāng) DirectAccess 客戶端需要訪問 Intranet 上的資源時,它將首先使用健康證書創(chuàng)建 Intranet 隧道。[Intranet 隧道]

如果 DirectAccess 客戶端不合規(guī):

  1. HRA 將健康評估結(jié)果發(fā)送給 DirectAccess 客戶端,其中包括健康更正指令;但 HRA 不會獲得健康證書。[Internet 流量]
  2. 根據(jù)已安裝的健康評估組件,DirectAccess 客戶端可能需要訪問更新服務(wù)器以更正其健康狀態(tài)。如果是這樣,DirectAccess 客戶端將向合適的更新服務(wù)器發(fā)送更新請求。[Internet 流量]
  3. 更新服務(wù)器向 DirectAccess 客戶端提供所需的設(shè)置或更新,以便符合系統(tǒng)健康要求。[Internet 流量]
  4. DirectAccess 客戶端將更新后的健康狀態(tài)信息發(fā)送給 HRA。[Internet 流量]
  5. HRA 將更新后的健康狀態(tài)信息發(fā)送給 NAP 健康策略服務(wù)器。假設(shè)已進(jìn)行了所有必需的更新,NAP 健康策略服務(wù)器將確定 DirectAccess 客戶端是合規(guī)的,并將結(jié)果發(fā)送給 HRA。[Intranet 流量]
  6. HRA 從 NAP CA 獲得健康證書。[Intranet 流量]
  7. HRA 將健康證書發(fā)送給 DirectAccess 客戶端。[Internet 流量]
  8. 當(dāng) DirectAccess 客戶端計算機(jī)下次嘗試使用其計算機(jī)帳戶登錄 AD DS 域或解析 Intranet FQDN 時,它會首先使用健康證書創(chuàng)建基礎(chǔ)結(jié)構(gòu)隧道。[基礎(chǔ)結(jié)構(gòu)隧道]
  9. 當(dāng) DirectAccess 客戶端需要訪問 Intranet 上的資源時,它將使用健康證書創(chuàng)建 Intranet 隧道。[Intranet 隧道]

本文地址

本文來源:微軟TechNet中文站

【編輯推薦】

  1. 如何為Windows Server 2008配置NAP服務(wù)
  2. FreeBSD mksnap_ffs文件系統(tǒng)Option重設(shè)漏洞
  3. Microsoft Access Snapshot Viewer遠(yuǎn)程緩沖區(qū)溢出漏洞

當(dāng)前題目:網(wǎng)絡(luò)專家:使用網(wǎng)絡(luò)訪問保護(hù)(NAP)實現(xiàn)DirectAccess
轉(zhuǎn)載來源:http://www.5511xx.com/article/dhecphg.html