Giới thiệu về Network Access Protection (Phần 2)

Trong phần đầu của loạt bài viết này, chúng tôi đã giới thiệu cho các bạn một số khái niệm liên quan đến Network Access Protection. Trong phần hai này chúng tôi muốn bắt đầu việc thảo luận về mộ số yêu cầu mạng cơ bản và các điều kiện quyết định khác
Nội dung trích xuất từ tài liệu:
Giới thiệu về Network Access Protection (Phần 2)Giới thiệu về Network Access Protection (Phần 2)Nguồn:quantrimang.comTrong phần đầu của loạt bài viết này, chúng tôi đã giới thiệu cho các bạnmột số khái niệm liên quan đến Network Access Protection. Trong phần hainày chúng tôi muốn bắt đầu việc thảo luận về mộ số yêu cầu mạng cơ bảnvà các điều kiện quyết định khác. Sau đó là quá trình cấu hình như thế nào.Cơ sở hạ tầng Network Access ProtectionViệc thi hành NAP cần sử dụng một số máy chủ, mỗi một máy chủ có một vai tròriêng. Bạn có thể xem ở hình A để có cái nhìn tổng quát về vấn đề này. Hình A: Việc thi hành NAP yêu cầu một số máy chủ để sử dụngNhư bạn thấy trong sơ đồ, client Windows Vista đang kết nối đến một LonghornServer đang chạy dịch vụ truy cập từ xa (RRAS). Máy chủ này làm việc như máychủ VPN cho mạng. Client Windows Vista thiết lập một kết nối đến máy chủ VPNnày theo cách thông thường.Khi người dùng từ xa kết nối đến máy chủ VPN thì bộ kiểm tra miền sẽ kiểm tratính hợp lệ của máy tính người dùng xem nó có đáp ứng được với chính sáchmạng và chỉ ra những chính sách an toàn nào đã được đáp ứng, một máy chủđược sử dụng để cấu hình cả Remote Access Service và Network Policy Server.Trong thế giới thực, các máy chủ VPN hoạt động ở lớp vành đai mạng và khôngnên cấu hình máy chủ chính sách mạng trên máy chủ vành đai.Bộ điều khiển miềnNếu nhìn vào sơ đồ hiển thị trong hình A thì bạn sẽ thấy được rằng một trongnhững máy chủ yêu cầu là bộ điều khiển miền. Không nên nghĩ nó chỉ là mộtmáy chủ riêng lẻ, nó có thể khá như một cơ sở hạ tầng Active Directory trọn vẹn.Một Active Directory không thể hoạt động mà không có máy chủ DNS, nếu sơ đồđã trình bày biểu diễn đúng một mạng thì bộ điều khiển miền sẽ đang cấu hìnhcác dịch vụ DNS. Tất nhiên trong các tổ chức thế giới thực sử dụng điển hìnhnhiều bộ điều khiển miền và các máy chủ DNS chuyên dụng.Nhân tố khác cần xem xét cho sự không rõ ràng ở sơ đồ là quyền cấp chứng chỉhoạt động kinh doanh cũng được yêu cầu. Trong trường hợp sơ đồ này, các dịchvụ cấp chứng chỉ có thể dễ dàng được cấu hình trên bộ điều khiển miền. Trongthế giới thực, một máy chủ chuyên dụng thường được sử dụng như quyền cấpchứng chỉ bởi vì tính chất nhạy cảm của các chứng chỉ số.Trong trường hợp bạn đang phân vân, lý do tại sao quyền cấp chứng chỉ hoạtđộng kinh doanh được yêu cầu là bởi vì máy chủ VPN sử dụng giao thức PEAP-MSCHAPv2 để thẩm định. Giao thức PEAP là chứng chỉ gốc. Máy chủ VPN sẽsử dụng một chứng chỉ máy bên cạnh máy chủ, nhưng ngược lại các client lạisử dụng các chứng chỉ người dùng.Cài đặt quyền cấp chứng chỉ hoạt động kinh doanhThủ tục cho việc triển khai một quyền cấp chứng chỉ hoạt động kinh doanh thayđổi phụ thuộc vào việc bạn đang cài đặt các dịch vụ trên Windows 2003 Serverhay Longhorn Server. Một trong những mục đích của tôi trong bài viết nàyhướng tới cho các bạn đọc đã khá thân thiện với Longhorn Server. Các thủ tụcdưới đây được dự định cho việc cài đặt các dịch vụ chứng chỉ trên LonghornServer.Trước khi trình bày cách làm thế nào để cài đặt các dịch vụ chứng chỉ thì bạncần phải ghi nhớ 2 điều. Đầu tiên đó là, Longhorn Server vẫn là bản chạy thửnghiệm, do vậy nó có thể thay đổi cho tới khi sản phẩm cuối cùng được pháthành, một thay đổi lớn trong quá trình phát triển ứng dụng này là khó có thể xảyra.Điều thứ hai cần phải lưu ý đó là khi triển khai trong thế giới thực thì bạn luônmuốn có được các phép đo hiệu quả để bảo đảm quyền cấp chứng chỉ hoạtđộng kinh doanh là an toàn. Hơn tất cả, nếu ai đó đã đoạt được quyền cấpchứng chỉ hoạt động kinh doanh của bạn thì họ có thể làm chủ được mạng. Dobài viết này chỉ tập trung vào NAP nên chúng tôi sẽ giới thiệu cho các bạn mộtchút về dịch vụ cấp chứng chỉ này và hoạt động của nó. Trong triển khai thế giớithực, bạn sẽ muốn có được về cấu hình của máy chủ.Bắt đầu quá trình triển khai bằng việc mở Server Manager của Longhorn Servervà chọn tùy chọn Manage Roles. Tiếp theo, nhấn liên kết Add Roles đã tìm thấytrong phần Roles Summary. Việc này sẽ là cho Windows khởi động Add RolesWizard. Nhấn Next để bỏ qua của sổ này. Bạn sẽ thấy một danh sách chứa tấtcả các thành phần sẵn có. Chọn tùy chọn Active Directory Certificate Servertừ danh sách. Đôi khi có thể không xuất hiện các thành phần được liệt kê theothứ tự alphabe, chính vì vậy bạn có thể phải đọc thông qua toàn bộ danh sáchđể tìm dịch vụ thích hợp. Nhấn Next để tiếp tục.Cửa sổ này sẽ giới thiệu cho bạn về các dịch vụ cấp chứng chỉ và cung cấp mộtsố chú ý. Nhấn Next, bạn sẽ thấy một cửa sổ khác hỏi về thành phần nào muốncài đặt. Chọn các hộp checkbox Certification Authority và CertificateAuthority Web Enrollment và nhấn Next.Bây giờ bạn sẽ thấy một cửa sổ hỏi có muốn tạo một quyền cấp chứng chỉ hoạtđộng kinh doanh hay không hay một quyền chứng chỉ độc lập. Chọn tùy chọnEnterprise Certificate Authority và nhấn Next. Bạn sẽ được nhắc nhở xemmáy chủ này ...