Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 2

Trong phần 1 của loạt bài này chúng tôi đã giới thiệu cho các bạn về cách sử dụng thực thi IPsec với các chính sách “sức khỏe” NAP, trong đó đã giới thiệu một mạng ví dụ và đã chỉ ra các bước cơ bản nhất cần thiết cho NAP để có thể làm việc với chinh sách thực thi IPsec.
Nội dung trích xuất từ tài liệu:
Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 2Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008Group Policy - Phần 2Nguồn:quantrimang.com Thomas ShinderQuản Trị Mạng - Trong phần 1 của loạt bài này chúng tôi đã giới thiệu cho cácbạn về cách sử dụng thực thi IPsec với các chính sách “sức khỏe” NAP, trong đóđã giới thiệu một mạng ví dụ và đã chỉ ra các bước cơ bản nhất cần thiết choNAP để có thể làm việc với chinh sách thực thi IPsec.Dưới đây là danh sách các bước để thực hiện giải pháp.• Cấu hình Domain Controller• Cài đặt và cấu hình Network Policy Server, Health Registration Authority vàSubordinate CA (CA cấp dưới)• Cấu hình NAP IPsec Enforcement Policy trên Network Policy Server• Cấu hình VISTASP1 và VISTASP1-2 cho việc kiểm thử• Test Health Certificate và Auto-remediation Configuration• Thẩm định NAP Policy Enforcement trên VISTASP1• Cấu hình và test các chính sách IPsecTrong phần đầu của loạt bài này, chúng tôi đã giới thiệu các bước cần thiết đểcấu hình domain controller trong NAP với môi trường thực thi IPsec. Trong phần2 này, chúng tôi sẽ chuyển sang bước thứ hai, đây là bước cài đặt và cấu hìnhNetwork Policy Server, Health Registration Authority và subordinate CA.Cài đặt và cấu hình Network Policy Server, Health Registration Authority vàCA cấp dưới.Chúng ta hãy quan tâm trước tiên về phần Network Policy Server. NetworkPolicy Server hoặc NPS đảm nhận RADIUS server role. NPS là tên mới đượcthay cho tên trước đây Internet Access Server (IAS) của Microsoft. Có hai thànhphần chính đối với máy chủ NPS mới đó là: thành phần RADIUS (đây là thànhphần gồm có sự hỗ trợ mới cho NAP) và thành phần RRAS. Chúng ta sẽ khôngđề cập đến thành phần RRAS trong kịch bản này chính vì vậy sẽ không cài đặtvà cấu hình RRAS.Chúng ta cần thực hiện một số bước dưới đây để tạo mộtmáy chủ NPS cùng với Health Registration Authority và CA cấp dưới cung đượccài đặt và được cấu hình trên máy này:• Bổ sung thêm máy chủ chính sách mạng vào NAP Exempt Group• Khởi động lại máy chủ Network Policy Server• Yêu cầu một chứng chỉ máy tính cho Network Policy Server• Xem chứng chỉ máy tính và chứng chỉ sức khỏe đã được cài đặt trên NetworkPolicy Server.• Cài đặt Network Policy Server, Health Registration Authority và Subordinate CA(CA cấp dưới).• Cấu hình Subordinate CA trên Network Policy Server• Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, pháthành và quản lý các chứng chỉ.• Cấu hình Health Registration Authority để sử dụng CA cấp dưới để phát hànhcác chứng chỉ “sức khỏe”.Chúng ta hãy xem xét chi tiết đến từng bước này.Bổ sung Network Policy Server vào nhóm NAP Exempt GroupChúng ta cần phải thiết lập sao cho máy tính WIN2008SRV1 trở thành một thànhviên của nhóm NAP Exempt Group để từ đó nó có thể tự động kết nạp chứng chỉsức khỏe đã tạo. Điều này sẽ cho phép máy tính này hành động như một máychủ chính sách NAP và Health Registration Authority trong việc truyền thông vớicác máy tính khác ở một mạng an toàn, thậm chí máy tính này không là có đủcác yêu cầu của NAP.Thực hiện các bước dưới đây trên domain controller của máy tính WIN2008DC:1. Trên WIN2008DC, click Start, trỏ đến Administrative Tools, sau đó kíchActive Directory Users and Computers.2. Trong phần Panel bên trái của giao diện điều khiển Active Directory Usersand Computers, hãy mở rộng phần msfirewall.org, sau đó kích nút Users.3. Kích đúp vào nhóm NAP Exempt trong phần panel bên phải của giao diệnđiều khiển.4. Kích tab Members, kích Add, kích Object Types, chọn hộp kiểm Computers,sau đó kích OK. Hình 15. Trong Enter the object names to select (examples), đánh WIN2008SRV1,sau đó kích Check Names. Kích OK, sau đó kích tiếp OK trong hộp thoại NAPExempt Properties.Hình 2 Hình 36. Đóng giao diện điều khiển Active Directory Users and ComputersKhởi động lại Network Policy ServerĐể kích hoạt các thiết lập thành viên miền nmới và thành viên nhóm bảo mật,hãy khởi động lại WIN2008SRV1.1. Khởi động lại WIN2008SRV1.2. Sau khi máy tính của bạn khởi động lại, đăng nhập vào máy tính dưới tàikhoản quản trị viên.Yêu cầu chứng chỉ máy tính cho máy chủ chính sách mạngMáy WIN2008SRV1 cần một chứng chỉ để hỗ trợ các kết nối SSL cho máy chủ.Các kết nối SSL sẽ đến từ các máy khách NAP khi chúng kết nối đến Webserver Health Registration Authority trên máy chủ NPS. Lưu ý rằng trong ví dụnày, máy chủ NPS và Health Registration Authority nằm trên cùng một máy. Tuynhiên không bắt buộc phải thực hiện theo cách đó – bạn hoàn toàn có thể đặtHealth Registration Authority và NPS server trên các máy khác nhau. Trong kịchbản đó, bạn cần phải cài đặt dịch vụ NPS trên máy tính HRA và cấu hình máytính đó là một RADIUS proxy, do HRA là một máy chủ truy cập mạng tron ...