日韩无码专区无码一级三级片|91人人爱网站中日韩无码电影|厨房大战丰满熟妇|AV高清无码在线免费观看|另类AV日韩少妇熟女|中文日本大黄一级黄色片|色情在线视频免费|亚洲成人特黄a片|黄片wwwav色图欧美|欧亚乱色一区二区三区

RELATEED CONSULTING
相關(guān)咨詢
選擇下列產(chǎn)品馬上在線溝通
服務(wù)時(shí)間:8:30-17:00
你可能遇到了下面的問(wèn)題
關(guān)閉右側(cè)工具欄

新聞中心

這里有您想知道的互聯(lián)網(wǎng)營(yíng)銷(xiāo)解決方案
網(wǎng)絡(luò)專家:使用網(wǎng)絡(luò)訪問(wèn)保護(hù)(NAP)實(shí)現(xiàn)DirectAccess

遠(yuǎn)程用戶現(xiàn)在可以通過(guò)更安全的方式訪問(wèn)您公司的網(wǎng)絡(luò)。DirectAccess 是 Windows 7 和 Windows Server 2008 R2 中的新功能。通過(guò)這項(xiàng)功能,遠(yuǎn)程用戶無(wú)需連接到虛擬專用網(wǎng)絡(luò) (VPN),就可以安全地訪問(wèn) Intranet 資源。

我們提供的服務(wù)有:成都網(wǎng)站制作、成都做網(wǎng)站、外貿(mào)營(yíng)銷(xiāo)網(wǎng)站建設(shè)、微信公眾號(hào)開(kāi)發(fā)、網(wǎng)站優(yōu)化、網(wǎng)站認(rèn)證、西工ssl等。為數(shù)千家企事業(yè)單位解決了網(wǎng)站和推廣的問(wèn)題。提供周到的售前咨詢和貼心的售后服務(wù),是有科學(xué)管理、有技術(shù)的西工網(wǎng)站制作公司

此外,Windows Server 2008 R2 和 Windows 7 中還內(nèi)置了網(wǎng)絡(luò)訪問(wèn)保護(hù) (NAP) 功能。當(dāng)客戶端計(jì)算機(jī)嘗試連接網(wǎng)絡(luò)或與網(wǎng)絡(luò)通信時(shí),NAP 可監(jiān)視和評(píng)估該計(jì)算機(jī)的運(yùn)行狀態(tài)。

二者結(jié)合將獲得更強(qiáng)大的功能。使用 NAP 實(shí)現(xiàn) DirectAccess,讓您可以指定只有符合系統(tǒng)健康要求的 DirectAccess 客戶端才能通過(guò) Internet 訪問(wèn) Intranet 資源。

DirectAccess隧道

使用完全 Intranet 訪問(wèn)或選定服務(wù)器訪問(wèn)模式的 DirectAccess 客戶端將創(chuàng)建以下連接到 DirectAccess 服務(wù)器的 Internet 協(xié)議安全性 (IPsec) 隧道:

  • 基礎(chǔ)結(jié)構(gòu)隧道:連接 Intranet 域名系統(tǒng) (DNS) 服務(wù)器和 Active Directory 域服務(wù) (AD DS) 域控制器。默認(rèn)情況下,此隧道要求使用計(jì)算機(jī)證書(shū)和計(jì)算機(jī)帳戶 NT LAN 管理器版本 2 (NTLMv2) 憑據(jù)進(jìn)行身份驗(yàn)證。DirectAccess 客戶端在用戶登錄之前創(chuàng)建此隧道。
  • 管理隧道:在用戶登錄之前連接到其他 Intranet 位置。Intranet 管理服務(wù)器也可以創(chuàng)建此隧道,以便遠(yuǎn)程管理 DirectAccess 客戶端。與基礎(chǔ)結(jié)構(gòu)隧道相同,默認(rèn)情況下此隧道也要求使用計(jì)算機(jī)證書(shū)和計(jì)算機(jī)帳戶 NTLMv2 憑據(jù)進(jìn)行身份驗(yàn)證。
  • Intranet 隧道:在用戶登錄之后連接到不在基礎(chǔ)結(jié)構(gòu)和管理隧道規(guī)則的目標(biāo)地址列表中的 Intranet 位置。默認(rèn)情況下,此隧道要求計(jì)算機(jī)證書(shū)和用戶帳戶 Kerberos 憑據(jù)以進(jìn)行身份驗(yàn)證。

NAP和IPsec強(qiáng)制

您可以使用很多強(qiáng)制方法部署 NAP,以對(duì)連接或通信強(qiáng)制實(shí)施系統(tǒng)健康要求。IPsec 強(qiáng)制方法使用健康證書(shū)(在增強(qiáng)型密鑰用法 [EKU] 字段中包含系統(tǒng)健康身份驗(yàn)證對(duì)象標(biāo)識(shí)符 [OID] 的數(shù)字證書(shū)),要求對(duì) Intranet 流量進(jìn)行 IPsec 保護(hù)的 IPsec 連接安全性規(guī)則,以及使用健康證書(shū)的 IPsec 對(duì)等身份驗(yàn)證。

這種組合可強(qiáng)制使 Intranet 上計(jì)算機(jī)之間的通信符合系統(tǒng)健康要求。不符合系統(tǒng)健康要求和缺少健康證書(shū)的計(jì)算機(jī)無(wú)法在 Intranet 上發(fā)起通信。

IPsec 強(qiáng)制部署需要以下內(nèi)容:

  • 健康注冊(cè)機(jī)構(gòu) (HRA):一臺(tái) Web 服務(wù)器,接收并響應(yīng) NAP 客戶端以及客戶端發(fā)出的驗(yàn)證系統(tǒng)健康并獲得健康證書(shū)的請(qǐng)求。
  • NAP 證書(shū)頒發(fā)機(jī)構(gòu) (CA):公鑰基礎(chǔ)結(jié)構(gòu) (PKI) 中的 CA(通常是專用的),負(fù)責(zé)為合規(guī)的 NAP 客戶端頒發(fā)健康證書(shū)。
  • NAP 健康策略服務(wù)器:負(fù)責(zé)驗(yàn)證系統(tǒng)健康請(qǐng)求的網(wǎng)絡(luò)策略服務(wù)器 (NPS)。
  • 更新服務(wù)器:包含資源的服務(wù)器。NAP 客戶端需要這些資源來(lái)更正其不合規(guī)的系統(tǒng)健康狀態(tài)。

通過(guò) HRA 獲得的健康證書(shū)的生命期很短,通常為數(shù)個(gè)小時(shí)。您也可以向需要健康證書(shū)以進(jìn)行 IPsec 對(duì)等身份驗(yàn)證但不需要執(zhí)行系統(tǒng)健康驗(yàn)證的服務(wù)器頒發(fā)生命期更長(zhǎng)的豁免健康證書(shū)。

使用NAP實(shí)現(xiàn)DirectAccess

使用 NAP 實(shí)現(xiàn) DirectAccess 是將系統(tǒng)健康合規(guī)性與 DirectAccess 連接過(guò)程相集成。當(dāng)您結(jié)合使用 DirectAccess 和 NAP,以便在允許訪問(wèn) Intranet 資源之前強(qiáng)制實(shí)施系統(tǒng)健康要求時(shí),實(shí)際上是利用 NAP 基礎(chǔ)結(jié)構(gòu)來(lái)頒發(fā)健康證書(shū)(HRA、NAP C、NAP 健康策略服務(wù)器)并更正系統(tǒng)健康狀態(tài)(更新服務(wù)器)。您還針對(duì)基礎(chǔ)結(jié)構(gòu)、管理和 Intranet 隧道使用 DirectAccess 連接安全性規(guī)則。

默認(rèn)情況下,在 DirectAccess 客戶端和服務(wù)器上為基礎(chǔ)結(jié)構(gòu)、管理和 Intranet 隧道配置的連接安全性規(guī)則不需要在進(jìn)行身份驗(yàn)證時(shí)使用健康證書(shū)。是否需要修改規(guī)則集以便要求健康證書(shū),取決于以下內(nèi)容:

  • NAP 部署模式(報(bào)告或完全強(qiáng)制)

報(bào)告模式不要求系統(tǒng)健康合規(guī)。不合規(guī)的 DirectAccess 客戶端可以訪問(wèn) Intranet。因此,不需要更改 DirectAccess 連接安全性規(guī)則。

完全強(qiáng)制模式要求系統(tǒng)健康合規(guī)。在此模式中,您必須配置連接安全性規(guī)則以要求健康證書(shū),而不是要求普通的計(jì)算機(jī)證書(shū)。

  • HRA 和更新服務(wù)器的位置

您可以在 Intranet 或 Internet 上找到 HRA 和更新服務(wù)器。

下文將分別介紹 HRA 和更新服務(wù)器的這兩種位置,以及您因此需要做出的更改,以便連接安全性規(guī)則要求健康證書(shū)。

基于Intranet的HRA和更新服務(wù)器

當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時(shí),DirectAccess 客戶端必須能夠使用計(jì)算機(jī)證書(shū)(而不是健康證書(shū))來(lái)訪問(wèn)它們。健康驗(yàn)證發(fā)生在創(chuàng)建基礎(chǔ)結(jié)構(gòu)和管理隧道之后。DirectAccess 客戶端需要基礎(chǔ)結(jié)構(gòu)隧道來(lái)訪問(wèn) Intranet DNS 服務(wù)器以解析 Intranet 名稱,并需要管理隧道來(lái)訪問(wèn) HRA 和更新服務(wù)器。

圖 1 當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時(shí),使用 NAP 實(shí)現(xiàn)的 DirectAccess。

但是,對(duì)于完全強(qiáng)制模式,DirectAccess 客戶端需要健康證書(shū)才能訪問(wèn)其他 Intranet 資源。因此,健康證書(shū)要求只適用于 Intranet 隧道的連接安全性規(guī)則。

配置步驟

當(dāng) HRA 和更新服務(wù)器位于 Intranet 上時(shí),若要配置使用 NAP 的 DirectAccess,您需要:

  • 向管理服務(wù)器列表中添加 HRA 和更新服務(wù)器的 IPv6 地址。您可以使用 DirectAccess 安裝向?qū)е械牡谌交蚴褂?Netsh.exe 命令來(lái)完成添加。
  • 使用 Netsh.exe 命令在 DirectAccess 服務(wù)器組策略對(duì)象 (GPO) 中配置 Intranet 隧道規(guī)則以要求健康證書(shū)。

有關(guān)詳細(xì)步驟,請(qǐng)參見(jiàn)為 NAP 配置 DirectAccess 連接安全性規(guī)則。

您使用 Netsh.exe 自定義 DirectAccess 連接安全性規(guī)則時(shí),所做的更改將在您下次應(yīng)用 DirectAccess 安裝向?qū)У脑O(shè)置時(shí)被覆蓋。若要確保保留這些自定義設(shè)置,您要么放棄使用 DirectAccess 安裝向?qū)?lái)更改配置,要么在腳本中編譯自定義更改列表,然后在每次應(yīng)用 DirectAccess 安裝向?qū)У脑O(shè)置時(shí)運(yùn)行該腳本。

工作原理

以下過(guò)程描述了當(dāng) HRA 和更新服務(wù)器只位于 Intranet 上時(shí),使用 NAP 的 DirectAccess 如何作用于 DirectAccess 客戶端:

  1. 當(dāng) DirectAccess 客戶端啟動(dòng)并嘗試使用其計(jì)算機(jī)帳戶登錄 AD DS 域時(shí),它使用其計(jì)算機(jī)證書(shū)創(chuàng)建基礎(chǔ)結(jié)構(gòu)隧道。[基礎(chǔ)結(jié)構(gòu)隧道]
  2. 當(dāng) NAP 代理啟動(dòng)時(shí),DirectAccess 客戶端解析已配置的 HRA 統(tǒng)一資源定位器 (URL) 的完全限定域名 (FQDN),使用其計(jì)算機(jī)證書(shū)創(chuàng)建管理隧道,然后將其目前的健康狀態(tài)信息發(fā)送給 HRA。[管理隧道]
  3. HRA 將 DirectAccess 客戶端的健康狀態(tài)信息發(fā)送到 NAP 健康策略服務(wù)器。[Intranet 流量]
  4. NAP 健康策略服務(wù)器評(píng)估 DirectAccess 客戶端的健康狀態(tài)信息,確定該客戶端是否合規(guī),然后將結(jié)果發(fā)送給 HRA。[Intranet 流量]
  5. HRA 將健康評(píng)估結(jié)果發(fā)送給 DirectAccess 客戶端。[管理隧道]
  6. 假設(shè)健康狀態(tài)合規(guī),HRA 將從 NAP CA 獲取健康證書(shū),并發(fā)送給 DirectAccess 客戶端。[管理隧道]
  7. 當(dāng) DirectAccess 客戶端嘗試訪問(wèn) Intranet 上的資源時(shí),它首先使用健康證書(shū)創(chuàng)建 Intranet 隧道。[Intranet 隧道]

如果 DirectAccess 客戶端不合規(guī):

  1. HRA 將健康評(píng)估結(jié)果發(fā)送給 DirectAccess 客戶端,其中包括健康更正指令;但 HRA 不會(huì)獲得健康證書(shū)。[管理隧道]
  2. 根據(jù)已安裝的健康評(píng)估組件,DirectAccess 客戶端可能需要訪問(wèn)更新服務(wù)器以更正其健康狀態(tài)。如果是這樣,DirectAccess 客戶端將向合適的更新服務(wù)器發(fā)送更新請(qǐng)求。[管理隧道]
  3. 更新服務(wù)器向 DirectAccess 客戶端提供所需的設(shè)置或更新,以便符合系統(tǒng)健康要求。[管理隧道]
  4. DirectAccess 客戶端將更新后的健康狀態(tài)信息發(fā)送給 HRA。[管理隧道]
  5. HRA 將更新后的健康狀態(tài)信息發(fā)送給 NAP 健康策略服務(wù)器。假設(shè)已進(jìn)行了所有必需的更新,NAP 健康策略服務(wù)器將確定 DirectAccess 客戶端是合規(guī)的,并將結(jié)果發(fā)送給 HRA。[Intranet 流量]
  6. HRA 從 NAP CA 獲得健康證書(shū)。[Intranet 流量]
  7. HRA 將健康證書(shū)發(fā)送給 DirectAccess 客戶端。[管理隧道]
  8. 當(dāng) DirectAccess 客戶端嘗試訪問(wèn) Intranet 上的資源時(shí),它將使用健康證書(shū)創(chuàng)建 Intranet 隧道。[Intranet 隧道]

HRA和更新服務(wù)器位于Internet 上

當(dāng) HRA 和更新服務(wù)器僅位于 Internet 上時(shí),DirectAccess 客戶端始終可以訪問(wèn)它們,而且系統(tǒng)健康驗(yàn)證會(huì)獨(dú)立于 DirectAccess 隧道進(jìn)行。

圖 2 顯示了 HRA 和更新服務(wù)器僅位于 Internet 上時(shí)的配置。有關(guān)此配置的詳細(xì)信息,請(qǐng)參見(jiàn) 2009 年 6 月的網(wǎng)絡(luò)專家專欄文章 Internet 上的 NAP。

圖 2 當(dāng) HRA 和更新服務(wù)器位于 Internet 上時(shí),使用 NAP 實(shí)現(xiàn)的 DirectAccess。

對(duì)于完全強(qiáng)制模式,DirectAccess 客戶端需要先獲得健康證書(shū),之后才能訪問(wèn)除管理服務(wù)器之外的任何 Intranet 資源。管理服務(wù)器是從 Intranet 進(jìn)行遠(yuǎn)程管理和支持不合規(guī)的DirectAccess 客戶端所必需的。因此,針對(duì)基礎(chǔ)結(jié)構(gòu)、Intranet 和管理(可選)隧道的連接安全性規(guī)則都需要健康證書(shū)。

配置步驟

當(dāng) HRA 和更新服務(wù)器都位于 Internet 上時(shí),若要配置使用 NAP 的 DirectAccess,您需要使用 Netsh.exe 命令在 DirectAccess 服務(wù)器 GPO 中更改基礎(chǔ)結(jié)構(gòu)、Intranet 和管理隧道規(guī)則以便要求健康證書(shū)。

以下命令使用 Windows Server 2008 R2 中的 DirectAccess 安裝向?qū)?GPO 和連接安全性規(guī)則配置的默認(rèn)名稱:

  1. 在管理員級(jí)別的命令提示符下,運(yùn)行 netsh –c advfirewall 命令。
  2. 在 netsh advfirewall 提示符下,運(yùn)行以下命令:
set store gpo="DomainName\DirectAccess Policy-{ab991ef0-6fa9-4bd9-bc42-3c397e8ad300}"

consec set rule "DirectAccess Policy-DaServerToDnsDC" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToCorp" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

consec set rule "DirectAccess Policy-DaServerToMgmt" new auth1=computercert auth1ca=CANameString auth1healthcert=yes applyauthz=yes

注意:DomainName 是 AD DS 域的 FQDN。CANameString 是顯示 consec show rule name="DirectAccess Policy-DaServerToCorp" 命令時(shí) Auth1CAName 字段的值。

只有當(dāng)您已定義管理服務(wù)器且希望阻止不合規(guī)的 DirectAccess 客戶端訪問(wèn)它們時(shí),才需要運(yùn)行最后一個(gè)命令。

工作原理

以下過(guò)程描述了當(dāng) HRA 和更新服務(wù)器都位于 Internet 上時(shí),使用 NAP 的 DirectAccess 如何作用于 DirectAccess 客戶端:

  1. 當(dāng) DirectAccess 客戶端啟動(dòng)后,將嘗試使用其計(jì)算機(jī)帳戶登錄 AD DS 域并創(chuàng)建基礎(chǔ)結(jié)構(gòu)隧道。由于 DirectAccess 客戶端沒(méi)有健康證書(shū),因此嘗試將失敗。[Internet 流量]
  2. 當(dāng) NAP 代理啟動(dòng)后,DirectAccess 客戶端解析 HRA URL 的 FQDN,然后將其當(dāng)前的健康狀態(tài)信息發(fā)送給 Internet 上的 HRA。[Internet 流量]
  3. HRA 將 DirectAccess 客戶端的健康狀態(tài)信息發(fā)送給 NAP 健康策略服務(wù)器。[Intranet 流量]
  4. NAP 健康策略服務(wù)器評(píng)估 DirectAccess 客戶端的健康狀態(tài)信息,確定該客戶端是否合規(guī),并將結(jié)果發(fā)送給 HRA。[Intranet 流量]
  5. HRA 將健康評(píng)估結(jié)果發(fā)送給 DirectAccess 客戶端。[Internet 流量]
  6. 假設(shè)健康狀態(tài)合規(guī),HRA 將從 NAP CA 獲取健康證書(shū),并發(fā)送給 DirectAccess 客戶端。[Internet 流量]
  7. 當(dāng) DirectAccess 客戶端計(jì)算機(jī)下次嘗試使用其計(jì)算機(jī)帳戶登錄 AD DS 域或解析 Intranet FQDN 時(shí),它會(huì)首先使用健康證書(shū)創(chuàng)建基礎(chǔ)結(jié)構(gòu)隧道。[基礎(chǔ)結(jié)構(gòu)隧道]
  8. 當(dāng) DirectAccess 客戶端需要訪問(wèn) Intranet 上的資源時(shí),它將首先使用健康證書(shū)創(chuàng)建 Intranet 隧道。[Intranet 隧道]

如果 DirectAccess 客戶端不合規(guī):

  1. HRA 將健康評(píng)估結(jié)果發(fā)送給 DirectAccess 客戶端,其中包括健康更正指令;但 HRA 不會(huì)獲得健康證書(shū)。[Internet 流量]
  2. 根據(jù)已安裝的健康評(píng)估組件,DirectAccess 客戶端可能需要訪問(wèn)更新服務(wù)器以更正其健康狀態(tài)。如果是這樣,DirectAccess 客戶端將向合適的更新服務(wù)器發(fā)送更新請(qǐng)求。[Internet 流量]
  3. 更新服務(wù)器向 DirectAccess 客戶端提供所需的設(shè)置或更新,以便符合系統(tǒng)健康要求。[Internet 流量]
  4. DirectAccess 客戶端將更新后的健康狀態(tài)信息發(fā)送給 HRA。[Internet 流量]
  5. HRA 將更新后的健康狀態(tài)信息發(fā)送給 NAP 健康策略服務(wù)器。假設(shè)已進(jìn)行了所有必需的更新,NAP 健康策略服務(wù)器將確定 DirectAccess 客戶端是合規(guī)的,并將結(jié)果發(fā)送給 HRA。[Intranet 流量]
  6. HRA 從 NAP CA 獲得健康證書(shū)。[Intranet 流量]
  7. HRA 將健康證書(shū)發(fā)送給 DirectAccess 客戶端。[Internet 流量]
  8. 當(dāng) DirectAccess 客戶端計(jì)算機(jī)下次嘗試使用其計(jì)算機(jī)帳戶登錄 AD DS 域或解析 Intranet FQDN 時(shí),它會(huì)首先使用健康證書(shū)創(chuàng)建基礎(chǔ)結(jié)構(gòu)隧道。[基礎(chǔ)結(jié)構(gòu)隧道]
  9. 當(dāng) DirectAccess 客戶端需要訪問(wèn) Intranet 上的資源時(shí),它將使用健康證書(shū)創(chuàng)建 Intranet 隧道。[Intranet 隧道]

本文地址

本文來(lái)源:微軟TechNet中文站

【編輯推薦】

  1. 如何為Windows Server 2008配置NAP服務(wù)
  2. FreeBSD mksnap_ffs文件系統(tǒng)Option重設(shè)漏洞
  3. Microsoft Access Snapshot Viewer遠(yuǎn)程緩沖區(qū)溢出漏洞

網(wǎng)站欄目:網(wǎng)絡(luò)專家:使用網(wǎng)絡(luò)訪問(wèn)保護(hù)(NAP)實(shí)現(xiàn)DirectAccess
文章路徑:http://www.5511xx.com/article/dhecphg.html