Giới thiệu bổ sung về Network Access Protection – Phần 7

Trong phần trước của loạt bài này, chúng ta đã thực hiện một số công việc về Network Policy Server. Tuy nhiên, chúng ta vẫn chưa được thực hiện quá trình cấu hình. Các máy khách Windows Vista của chúng ta sẽ thẩm định trong máy chủ VPN bằng giao thức Protected EAP (PEAP). Trước khi có thể sử dụng PEAP, chúng ta cần phải liên kết chứng chỉ máy tính với máy chủ VPN. Trong các phần trước chúng ta đã tạo một CA doanh nghiệp để có thể sử dụng cho mục đích đó. Trong phần này, chúng...
Nội dung trích xuất từ tài liệu:
Giới thiệu bổ sung về Network Access Protection – Phần 7Giới thiệu bổ sung về Network Access Protection – Phần 7Trong phần trước của loạt bài này, chúng ta đã thực hiện một số công việc về NetworkPolicy Server. Tuy nhiên, chúng ta vẫn chưa được thực hiện quá trình cấu hình. Các máykhách Windows Vista của chúng ta sẽ thẩm định trong máy chủ VPN bằng giao thứcProtected EAP (PEAP). Trước khi có thể sử dụng PEAP, chúng ta cần phải liên kếtchứng chỉ máy tính với máy chủ VPN. Trong các phần trước chúng ta đã tạo một CAdoanh nghiệp để có thể sử dụng cho mục đích đó. Trong phần này, chúng tôi sẽ giới thiệucho các bạn cách yêu cầu chứng chỉ cần thiết và cách liên kết chứng chỉ đó với máy chủVPN.Yêu cầu chứng chỉChúng ta sẽ sử dụng Protected EAP (PEAP) với tư cách là cơ chế thẩm định phía trìnhchủ. Để thực hiện điều đó, chúng ta cần phải có được chứng chỉ máy tính từ CA đã đượctạo trong các phần trước. Hãy nhập vào lệnh MMC tại nhắc lệnh Run. Khi MicrosoftManagement Console xuất hiện, chọn Add / Remove Snap-in command từ File menu.Tiếp đến, chọn tùy chọn Certificates từ danh sách các snap-in và kích nút Add, sau đó làFinish.Giao diện điều khiển lúc này sẽ hiển thị Certificate Templates snap-in. Mở phầnCertificate Templates (có thể mất vài phút để hệ thống mở thành phần này) và sau đó tìmđến Computer template trong phần panel chi tiết. Kích chuột phải vào đó và chọnDuplicate Template.Windows sẽ hỏi bạn có muốn tạo chứng chỉ Windows Server 2003 hay Windows Server2008 không. Hãy chọn tùy chọn Windows Server 2008 và kích OK. Đến đây, Windowssẽ hiển thị hộp thoại Properties of New Template.Thứ đầu tiên mà bạn cần thực hiện là nhập vào tên của mẫu mới. Bạn có thể đặt bất cứtên nào muốn miễn là nó có nghĩa với bạn. Với mục đích của bài này, chúng tôi đã gọimẫu chứng chỉ này là VPN. Tiếp đến là thiết lập tính hiệu lực trước cho mẫu và sau đóchọn hộp kiểm “Publish Certificate in Active Directory” và “Allow Private key to beExported”.Truy cập tab Request Handling và bảo đảm rằng tùy chọn Purpose được thiết lập là“Signature and Encryption”. Bạn cũng nên chọn hộp kiểm “Add Read Permissions toNetwork Service”. Cuối cùng, vào tab Security và kích nút Add. Khi Windows hiển thịhộp thoại Select Users, Computers, or Groups, hãy bảo đảm rằng trường From thisLocation sẽ liệt kê tên của miền. Nhập từ Administrators vào trường “Enter the ObjectNames to Select” và kích nút “Check Names”. Giả dụ rằng Windows có thể giải quyếtnhóm Domain Administrators, khi đó bạn hãy kích OK. Cuối cùng, bổ sung thêm tùychọn Allow Full Control vào nhóm Administrators và kích OK.Lúc này, đóng giao diện điều khiển Certificate Templates, sau đó chọn lệnh CertificationAuthority từ menu Administrative Tools của máy chủ. Khi thực hiện điều đó, Windowssẽ mở giao diện điều khiển Certification Authority. Tại đây, bạn phải mở mục tươngxứng với tên của máy chủ của mình và tìm đên mục Certificate Template bên dưới nó.Kích chuột phải vào mục Certificate Template, sau đó chọn New | Certificate Templateto Issue từ menu chuột phải. Khi thực hiện điều đó, Windows sẽ hiển thị EnableCertificate Templates. Kéo vào tìm trong danh sách các mẫu có sẵn cho tới khi bạn tìmthấy mẫu mà bạn đã tạo. Chọn mẫu đó và kích OK.Bạn có thể liên kết mẫu chứng chỉ với máy chủ. Để thực hiện điều đó, nhập vào lệnhMMC tại Run. Khi đó Microsoft Management Console sẽ được mở, chọn Add / RemoveSnap-ins từ menu File. Khi Windows hiển thị danh sách các snap-in có sẵn, chọnCertificates snap-in từ danh sách và kích nút Add.Lúc này, Windows sẽ hỏi bạn có muốn quản lý các chứng chỉ cho tài khoản người dùng,tài khoản dịch vụ hay tài khoản máy tính không. Bạn nên chọn tùy chọn ComputerAccount. Tiếp đến, kích Finish và OK, khi đó Windows sẽ hiển thị giao diện điều khiểncác chứng chỉ.Phần cuối cùng của quá trình bạn cần phải mở mục Certificates (Local Computer) để tiếtlộ các mục bên dưới nó. Kích chuột phải vào mục Personal và chọn lệnh All Tasks |Request New Certificate. Thao tác này sẽ làm cho Windows khởi chạy CertificateEnrollment Wizard.Kích Next để đi qua màn hình chào của Wizard và bạn sẽ thấy màn hình hiển thị các mẫucó sẵn khác. Chọn hộp kiểm tương ứng với mẫu mà bạn đã tạo sau đó kích nút Enroll.Quá trình Enroll sẽ mất một vài phút để hoàn thành. Khi quá trình này hoàn tất, kích nútFinish. Lúc này bạn có thể đóng giao diện điều khiển Certificates.Chúng ta đã liên kết được chứng chỉ với máy chủ của mình, nhiệm vụ tiếp theo là chúngta phải cấu hình chính sách yêu cầu kết nối để sử dụng nó. Để thực hiện điều đó, mở giaodiện điều khiển Network Policy Server và điều hướng trong cây giao diện đến NPS(Local) } Policies | Connection Request Policies. Khi bạn thực hiện như vậy, panel chitiết sẽ hiển thị một danh sách các chính sách yêu cầu kết nối cư trú trên máy chủ. Bạn sẽcó một chính sách mang tên NAP VPN hoặc gì đó mà bạn đã cấu hình từ trước.Kích phải vào chính sách yêu cầu kết nối NAP VP ...