Giới thiệu bổ sung về Network Access Protection – Phần 6

Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách tạo các chính sách thẩm định cho cả các máy không đồng thuận và đồng thuận. Trong phần này, chúng tôi sẽ hòan tất thủ tục cấu hình máy chủ. Bước đầu tiên trong việc thực hiện đó sẽ là tạo một chính sách mạng để có thể áp dụng cho bất cứ máy nào cần thẩm định thông qua máy chủ VPN. Tạo một chính sách mạng Bắt đầu quá trình bằng cách mở giao diện điều khiển Network Policy Server và điều...
Nội dung trích xuất từ tài liệu:
Giới thiệu bổ sung về Network Access Protection – Phần 6Giới thiệu bổ sung về Network Access Protection – Phần 6Trong phần trước của loạt bài này, chúng tôi đã giới thiệu cho các bạn cách tạo cácchính sách thẩm định cho cả các máy không đồng thuận và đồng thuận. Trong phần này,chúng tôi sẽ hòan tất thủ tục cấu hình máy chủ. Bước đầu tiên trong việc thực hiện đó sẽlà tạo một chính sách mạng để có thể áp dụng cho bất cứ máy nào cần thẩm định thôngqua máy chủ VPN.Tạo một chính sách mạngBắt đầu quá trình bằng cách mở giao diện điều khiển Network Policy Server và điềuhướng trong cây giao diện đến NPS (Local) | Policies | Network Policies. Ở đây, panelchi tiết sẽ hiển thị các chính sách mạng đã tồn tại trước đó. Bạn hãy dành một chút đểthẩm định xem các chính sách Compliant – Full Access và Noncompliant – Restrictedcó được kích hoạt hay không, và xem cả chính sách Connections to Microsoft Routingvà Remote Access Server có bị vô hiệu hóa hay không (chi tiết trong hình A bên dưới). Hình A: Bảo đảm rằng các chính sách Compliant – Full Access và Noncompliant – Restricted được kích hoạtĐây chính là lúc tạo một chính sách mạng. Để thực hiện điều này, bạn hãy kích chuộtphải vào mục Network Policies và chọn lệnh New. Khi đó, Windows sẽ khởi chạy NewNetwork Policy Wizard.Thứ đầu tiên mà bạn phải thực hiện là nhập vào tên của một chính sách mới mà chúng tasẽ tạo. Với mục đích hướng dẫn trong bài, chúng ta hãy gọi chính sách là RRAS. Sau khinhập RRAS vào trường Policy Name, bạn hãy chọn tùy chọn Remote Access Server(VPN-Dial up) từ mục chọn Type of Network Access Server, xem thể hiện trong hìnhB. Hình B: Thiết lập kiểu cho Network Access Server là Remote Access Server (VPN- Dial up)Kích Next, khi đó wizard sẽ đưa bạn đến màn hình Specify Conditions. Wizard sẽkhông cho phép bạn tiếp tục cho tới khi bạn chỉ định tối thiểu một điều kiện nào đó cầnphải có. Chúng tôi thích cấu hình chính sách để xem kiểu kết nối gửi đến. Theo cách đó,chúng tôi cần phải thiết lập chính sách để áp dụng cho bất cứ kết nối VPN nào được thiếtlập với máy chủ.Để thiết lập các điều kiện, hãy kích nút Add, sau đó chọn trong phần Select Conditionschọn Tunnel Type. Chọn tùy chọn này và kích Add. Lúc này bạn sẽ thấy một màn hìnhyêu cầu bạn chỉ định các kiểu đường hầm yêu cầu đối với mỗi một chính sách. Bạn có thểchọn bất cứ thứ gì muốn ở đây, tuy nhiên chúng tôi khuyên các bạn nên chọn các tùychọn Layer Two Tunneling Protocol (L2TP) và Point to Point Tunneling Protocol(PPTP), xem thể hiện trong hình C. Hình C: Chọn các tùy chọn PPTP và L2TP, sau đó kích OK.Kích OK và sau đó kích Next. Wizard lúc này sẽ hiển thị màn hình Specify AccessPermission. Chọn nút “Access Granted”, sau đó tích vào hộp kiểm “Access isDetermined by User Dial In Properties”, xem thể hiện trong hình D.Hình D: Chọn nút “Access Granted”, sau đó chọn “Access is Determined by User Dial In”Màn hình tiếp theo mà các bạn sẽ gặp sẽ hỏi bạn về kiểu EAP nào bạn muốn sử dụng choviệc thẩm định. Bạn có thể sử dụng bất cứ kiểu EAP nào muốn có, tuy nhiên ở đây chúngtôi khuyên các bạn nên sử dụng Protected EAP và EAP-MSCHAP-V2. Để chỉ địnhkiểu cho EAP, hãy kích nút Add, sau đó chọn tùy chọn Microsoft: Protected EAP(PEAP) và kích OK. Tiếp theo, kích nút Add lần nữa, chọn tùy chọn Microsoft:Secured Password (EAP-MSCHAP-V2) và kích OK. Khi wizard đưa bạn trở về mànhình Configure Authentication Methods, hãy hủy chọn hộp kiểm MicrosoftEncrypted Authentication (MS-CHAP). Màn hình lúc này sẽ giống như những gì thểhiện trong hình E. Hình E: Màn hình Configure Authentication MethodsKích Next, khi đó wizard sẽ hiển thị màn hình Configure Constraints. Như những gìbạn thấy trong hình E, màn hình này cho phép bạn thiết lập những thứ giống như chu kỳsession timeout hoặc các giới hạn về thời gian mà bạn muốn áp đặt. Với sự phức tạptrong việc triển khai NAP như vậy, chúng tôi khuyên bạn không nên áp đặt bất cứ ràngbuộc nào. Hình F: Chúng tôi khuyên bạn nên để áp đặt các ràng buộc sauKích Next, tiếp theo đó kích Finish để hoàn tát quá trình cấu hình.Chính sách cấu hình máy khách RADIUSTrong kiểu triển khai này, Network Policy Server đóng vai trò như một máy chủRADIUS. Đúng hơn là các máy khách đang thực hiện một sự thẩm định RADIUS trựctiếp đối với máy chủ chính sách mạng, còn máy chủ RRAS đang thực hiện như một máychủ VPN sẽ thực hiện nhiệm vụ như một máy khách RADIUS.Bước cuối cùng trong quá trình cấu hình máy chủ là việc cung cấp cho Network PolicyServer một danh sách các máy khách RADIUS đã được thẩm định. Do chỉ có máy kháchRADIUS sẽ là máy chủ VPN nên bạn chỉ cần nhập vào địa chỉ IP của máy chủ VPN. Cầnlưu ý một điều rằng các dịch vụ RRAS đang chạy trên cùng một máy chủ vật lý vớiNetwork Policy Services, chính vì vậy bạn chỉ cần chỉ định địa chỉ IP ...