locked
NAP DHCP & 802.1x問題請教? RRS feed

  • 問題

  • 請教各位先進

    目前在NAP的應用上,有以下問題請教:

    1.802.1x的部份:
       已將Switch aaa與NAP Server都設定完成,並利用GPO將Network Access Protection Agent & Wire AutoConfig服務
     設定為啟用,並將CA憑証派到ClientPC中的"信任的根憑証"!
     另外,在Client端的區域連線內容\驗証\設定中,需要去勾選"確認伺服器憑証"中的"受信任的根憑証授權單位",這個動作
     是否可以用GPO直接完成!
     其實,如果沒有勾選,在要求取得IP時也會出現提示視窗,只是,怕User會confuse!

    2.DHCP
       如果Clinet端PC是符合條件,且具有完全存取的權限(在NAP強制中為允許完整的網路存取權),在這個原則中,是否可以
     IP篩選器中,再去限制那些IP或網段不能存取呢?有做了一些測試,可是似乎沒有作用!

    以上兩點,請再多多指導,謝謝!
    2009年10月21日 上午 04:14

解答

  • 1.可以透過2008GPO裡面的下面項目去設定

    電腦設定 -> 原則 -> Windows設定 -> 安全性設定 -> 有線網路(IEEE 802.3)原則 , 點右鍵去新增
    (雖然他寫的是Vista..但是我測試過XP SP3也可以支援)

    2.感覺IP篩選器裡面的功能應該可以達成..方便描述一下你做的測試是怎麼設定嗎?
    我在幫你測試看看


    微軟技術支援服務
    • 已標示為解答 Vincent Lin 2009年10月27日 上午 06:14
    2009年10月22日 上午 03:21
  • IP篩選器是給遠端存取及路由的時後使用的
    也就是在使用VPN or 此台在當Router連結其他網段時才能設定

    你有設定路由及遠端存取伺服器的角色嗎?


    微軟技術支援服務
    • 已標示為解答 F.Y 2009年10月27日 上午 03:59
    2009年10月26日 上午 05:51

所有回覆

  • 1.可以透過2008GPO裡面的下面項目去設定

    電腦設定 -> 原則 -> Windows設定 -> 安全性設定 -> 有線網路(IEEE 802.3)原則 , 點右鍵去新增
    (雖然他寫的是Vista..但是我測試過XP SP3也可以支援)

    2.感覺IP篩選器裡面的功能應該可以達成..方便描述一下你做的測試是怎麼設定嗎?
    我在幫你測試看看


    微軟技術支援服務
    • 已標示為解答 Vincent Lin 2009年10月27日 上午 06:14
    2009年10月22日 上午 03:21
  • 謝謝您的回覆

    1.已照您的指導,順利設定完成。不過,發現另一個狀況,當以doamin\users登入,可以順利得到IP
     可是以local\administrator登入,則無法取得IP,這樣似乎不是很方便!

    2.依一般的設定方式,設定NAP DHCP,產生了三個原則,在"符合標準"的這個原則上,
     在設定\IP篩選器\輸入篩選器,新增一筆不允許的網段,但是,當PC取得IP後,還是可以路由至這個網段!!
    2009年10月23日 上午 10:56
  • IP篩選器是給遠端存取及路由的時後使用的
    也就是在使用VPN or 此台在當Router連結其他網段時才能設定

    你有設定路由及遠端存取伺服器的角色嗎?


    微軟技術支援服務
    • 已標示為解答 F.Y 2009年10月27日 上午 03:59
    2009年10月26日 上午 05:51
  • 謝謝您的回覆

    1.使用NAP 802.1x local\administrator無法取得IP的問題,我已經有找到方式解決了

    2.原來IP篩選器僅用於VPN,有在VPN的環境測試過,是可以運作的!

    以上,再次謝謝您的指導! 
    2009年10月27日 上午 03:59
  • 如果可以的話可以把你的方式分享出來
    讓以後有遇到此問題的人可以透過此篇討論找到解決方式囉^^
    微軟技術支援服務
    2009年10月27日 上午 06:15
  • 謝謝您的回覆

    1.在完成相關設定後,利用W2K8 GPO設定:電腦設定 -> 原則 -> Windows設定 -> 安全性設定 -> 有線網路(IEEE 802.3)原則 , 點右鍵新增,
     並在安全性\驗証模式中,選擇僅有電腦,就可以解決local\administrator無法取得合法IP問題

    2.另外請教,在環境中,如何讓某些設備的IP可以bypass呢?例如printer,目前現有的Switch皆為Cisco,有看到一個bypass的設定,可是
     以乎沒有作用?
    2009年11月2日 上午 05:22
  • 你所指的 "讓某些設備IP可以bypass"..是指什麼意思??

    是讓不符合健康條件的Client可以連線某一個IP嗎?還是??

    微軟技術支援服務
    2009年11月2日 上午 08:26
  • 謝謝您的回覆

    例如,某一switch port有啟用dot1.x的驗証,而這個port又串一台Hub,有多種應用串在這Hub上面,例如:PC.NB跟Printer,
    如此,所有在這個switch port上面所申接的Client,所會受到dot1.x的影響,可否只管控PC.NB,讓Printer的固定IP不受影響呢?
    請多多指導,謝謝!

    2009年11月2日 上午 08:59
  • 我沒有辦法建立一個802.1x的環境作測試..@@
    不過我想到下面方式不知道是否可行..你可以測試看看

    你的802.1x環境內..驗證的RADIUS Server應該是2008裡面的NPS server吧
    如果是的話..之前應該有在NPS裡面設定過802.1x的設定精靈

    設定完後..在原則底下的 "連線要求原則" & "網路原則" 裡面應該都會多出一條新的原則


    連線要求原則部分

    1.在連線要求原則裡面對該802.1x原則點右鍵 - 重複原則 , 在對複本的原則點右鍵 - 啟用
    2.點開複本原則 , 條件 - 新增 - "RADIUS用戶端內"裡面的"發出呼叫的工作站識別碼" - 在裡面輸入Printer的MAC Address (格式為 aabbccddeeff , 如有多台請用"|"分隔)
    3.設定標籤 - 驗證 - 選擇"不確認認證及接受使用者"


    網路原則部分

    1.一樣先對802.1x的網路原則進行重複原則的動作,然後啟用該原則
    2.在條件裡面按造先前步驟加入Printer的MAC Address
    3.在限制 - 驗證方法 - 把全部驗證方式刪除 , 把較不安全的驗證方式全部取消勾選 , 然後勾選 "允許用戶端沒有交涉驗證方式仍然可以連線"


    按造上面動作設定完後測試看看是否PC & NB都需要進行802.1x驗證..而Printer則是可以bypass而正常使用網路連線


    微軟技術支援服務
    2009年11月2日 上午 09:32
  • 謝謝您的建議

    試了您提供的方法,無法讓Pinter bypass,在eventviewer中也不會出現任何有關網路存取原則的Log!

    又分別試了幾個方法,似乎都無效;測試的方法為先測試PC bypass,不過,發現一個狀況,因為要測試
    PC bypass,所以將PC網卡的"啟用IEEEE802.1x"關閉,一旦關閉後,NPS Server似乎就收不到驗証請求,
    也不會有Log產生!
    2009年11月11日 上午 02:27