Windows 2008的NAP配置功略

　　NAP可提高移动计算机和内部网络的安全性。通常，带着计算机旅行或者出差的用户不会连续几个星期与内部网络相连。当他们通过VPN或者其他方式连接公司内网时，连接时间可能会非常短，以至于其计算机还没来得及下载最新的更新内容、安全配置设置和病毒签名。因此，移动计算机所处的安全状态往往不及其他计算机。“网络访问保护”可提高这些移动计算机的安全性，因为它可确保在用户连接到网络前安装最新的更新内容。

　　在整个保护过程中，NAP针对存在风险的客户提供了3种解决方案，第一种是通过策略限制他们在内网中的访问，第二种是将这些用户隔离到一个指定的网段以等待下一步处理，而第三种则是直接为这些用户下载最新的更新内容、安全配置设置、防火墙设置和病毒签名等等。这些“查缺补漏”的工作则可以通过微软的一些管理软件来完成，比如SMS (Systems Management Server) ，同时这些受限的用户也可以通过策略配置的URL去访问到公司内网的一些补丁分发服务器等等。

　　在NAP中，Windos server 2008 扩展了Windows Server 2003中的网络访问隔离功能，原先的这一特性只能针对远程访问的用户加以防护，而在NAP中，Windos server 2008 可以保护所有通过VPN、DHCP以及IPsec进行连接的通信，由于篇幅有限，我们在这篇文章中之针对DHCP的客户端进行讲解。

　　要搭建NAP的环境，我们需要两台Windos server 2008 Beta 2的计算机，一台Windows XP或者Windows Vista的计算机;如果客户端是Windows XP的计算机，那么还必须安装NAPClient软件。

　　第一步：配置全新的DHCP服务器

　　要想实现NAP功能，我们首先要有一个域环境，我们选择其中的一台Windos server 2008，将它设置为DC，域的名称为NAP.com。并在此计算机上安装AD、DNS和Network Access Services，在安装Network Access Services时，只选择安装其中的Router and remote access。

　　将另外一台Windos server 2008加入到NAP.com域，配置称为成员服务器。然后在其上安装DHCP和Network Access Services。在安装的过程中系统将会询问是否安装WAS和IIS，点击确定，安装完成。环境配置好后，我们需要配置的顺序是先配置DHCP，然后配置Network Policy Service。首先在计算机服务中启动DHCP服务，因为DHCP服务默认是不启动的。然后在“Administrative tools”中打开DHCP控制台。首先对DHCP进行授权，右键点击服务器，选择“Authorizes”进行授权验证。接下来，右键点击 “IPv4”，然后选择“New Scope”来新建一个范围，范围的IP地址可以根据现实的情况来设置。配置完IP范围后，在“IP4”下面会出现一个“Scope options”，右键点击，然后选择“Configure options”，打开配置对话框，在这个对话框中有两个标签，首先选择“General”。在下面我们需要配置三个选项，首先选择“Router”，然后在下面输入Router的IP地址;其次选择“DNS Server”选项，输入DNS的IP地址;最后选择“DNS Domain Name”，输入域的名称。如图：

　　然后选择“Advanced”标签，在这里我们配置关于NAP的一些选项。首选，在User class下拉列表中选择“Default Network Access Protection Class”，表明我们在配置NAP的选项。然后选择“Router”，在下面输入IP地址;接下来选择“DNS Server”，输入IP地址;最后选择“DNS Domain Name”，在下面输入一个域的名称，如unsecure.nap.com，注意这个域名和之前输入的那个域名并没有什么实际的作用，它们只是方便管理员来区分连到网络中的计算机哪些是安全的，哪些是不安全的。比如，如果计算机是安全的，那么它们就会在NAP.com这个域名下，如果计算机不是安全的，那么它们就会在unsecure.nap.com下。这只是为了方便管理员管理。

服务器租用/服务器托管中国五强！虚拟主机域名注册顶级提供商！15年品质保障！--亿恩科技[ENKJ.COM]