locked
請教關於Windows Server 2008 的NAP!! RRS feed

  • 問題

  • 請教各位先進

    NAP整合802.1x應用中,是否只能應用到網域中的電腦,沒有加入網域的電腦,是不是就無法管控;
    目前的需求是希望可以利用這個服務,管控到無加入網域的電腦,例如:RD測試平台.訪客電腦與User
    自行帶來公司的電腦,不僅要可以作到限制,也要可以作到開放,請問有辦法嗎?請多指導,謝謝!

    2009年9月21日 上午 02:41

解答

  • 沒有加入Domain的電腦..基本上是不會啟動NAP Agent的服務
    沒有啟動該服務就無法傳送該電腦的健康狀態給NPS server做健康狀態的判斷
    這樣的情況下會被視為 Non-NAP Capable的機器

    在NPS Server裡面設定完每一種的設定後..應該都會在Network Policy裡面看到下面三種Policy

    1.NAP-Comliant -> 符合健康狀態的
    2.Non-NAP Comliant -> 不符合健康狀態的
    3.Non-NAP Capable -> 不支援NAP的

    在Non-NAP Capable的Policy裡面你就可以設定是否要讓他有完整的網路存取權限或是只有限制的群取權限


    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月22日 下午 01:32

所有回覆

  • 沒有加入Domain的電腦..基本上是不會啟動NAP Agent的服務
    沒有啟動該服務就無法傳送該電腦的健康狀態給NPS server做健康狀態的判斷
    這樣的情況下會被視為 Non-NAP Capable的機器

    在NPS Server裡面設定完每一種的設定後..應該都會在Network Policy裡面看到下面三種Policy

    1.NAP-Comliant -> 符合健康狀態的
    2.Non-NAP Comliant -> 不符合健康狀態的
    3.Non-NAP Capable -> 不支援NAP的

    在Non-NAP Capable的Policy裡面你就可以設定是否要讓他有完整的網路存取權限或是只有限制的群取權限


    年度軟體技術盛會微軟Tech.Days 9月22日全新登場, 您還在等什麼? 快報名就對了.


    2009年9月22日 下午 01:32
  • 如果您對這方面有興趣的話,
    我記得台灣微軟TechNet 於2008年6月有請顧武雄老師教授相關課程:NAP整合802.1x網路安全控管
    可以直接下載影片檔及簡報檔來多瞭解。
    蘇老碎碎念
    資訊無涯,回頭已不見岸
    2009年9月23日 上午 07:37
  • 謝謝您的回覆

    是的,我是參考顧老師的作法來設定NAP的(802.1x的部份)!
    仍然有些疑問:

    1.目前測試的電腦為XP with sp3,但是每次拿到的IP都是設定為隔離區的IP,健康狀況是有符合的,應該是要拿到合法區域的IP才對,
     Log中顯示:
       網路原則名稱:NAP802.1X(有線)不支援NAP
       結果:已隔離
     XP with XP3不是有支援NAP嗎?

    2.是否一定要將憑証餵到Client中,才有辦法套用NAP,測試中,如果沒有將憑証餵入Client中,
     就無法拿到IP

    請多多指導,謝謝!
    2009年9月25日 上午 11:20
  • 要不要在Client端使用憑證是要依據你的802.1X驗證方式來決定

    如果是使用 EAP-TLS or PEAP-TLS的話就需要使用憑證
    如果是使用 PEAP-MS-CHAP v2的話..就是不用的(但需要安裝根CA的憑證)

    我覺得問題1應該是802.1x驗證不過的關係
    2009年9月28日 上午 05:33