任务2：为DHCP客户端配置NAP强制.doc

Windows网络操作系统配置与管理 实 验 报 告 专业 班级 成绩评定______ 学号 姓名 (合作者____号____) 教师签名 单元 十五 任务2： 为 DHCP 客户端配置 NAP 第 周星期 第 节 实验目的与要求 为 DHCP 客户端配置 NAP 实验方案与步骤 任务2.1为 DHCP 客户端配置 NAP 工作场景 你是时讯公司的网络管理员，时讯公司客户端计算机采用的是DHCP动态获取IP地址，为了保证内网的安全，需要监控内网客户端计算机的安全状况，特别是临时接入公司内网的计算机，更需要控制其对资源的访问，为此，公司决定采用基于DHCP的NAP强制保护内网。你需要配置基于DHCP的NAP强制架构。 步骤 （1）启动 SH-DC1、SH-SVR1 和 SH-CL1 虚拟机 （2）打开 SH-SVR1 中的服务器管理器工具 在 SH-SVR1中通过“管理工具”菜单打开“服务器管理器”。 （3）安装 DHCP 和 NPS 服务器角色；注册NPS服务器。 在 SH-SVR1的服务器管理器中，右键单击“角色”，选择“添加角色”。 在“开始之前”页面中，单击“下一步”。 在“选择服务器角色”页面上，选择“DHCP 服务器”、“网络策略和访问服务”复选框，然后单击“下一步”2 次。 在 “选择角色服务”页面上，选择“网络策略服务器”复选框，然后单击“下一步”两次。 在“选择网络连接绑定”页面上，确认选择了“0”，取消 “00”旁边的复选框选择，然后单击“下一步”。 在“指定Ipv4 DNS 服务器设置”页面上，验证 S 列在父域中。 在“首选 DNS 服务器Ipv4地址”框中输入“0”，然后单击“验证”。 验证返回的结果是“有效”，然后单击“下一步”。 在“指定Ipv4WINS 服务器设置”页面上，接受此网络上的应用程序不需要WINS的默认设置，然后单击“下一步”。 在“添加或编辑 DHCP 作用域”页面上，单击“添加”。 在“添加作用域”对话框“作用域名称”框中输入“NAP Scope”。在“起始IP 地址”后输入“00”，在“结束IP 地址”框中输入“99”，在子网掩码 后输入“”。 选择“激活此作用域”复选框，单击“确定”，然后单击“下一步”。 在“配置 DHCPv6 无状态模式”页面上，选择对此服务器禁用DHCPv6 无状态模式，然后单击“下一步”。 在“授权 DHCP 服务器”页面上，选择“使用当前凭据”。验证 Shixun\Administrator 显示在用户名后面，然后单击“下一步”。 在“确认安装选择”页面上，单击“安装”。 验证安装成功，然后单击“关闭”。 关闭“服务器管理器”窗口。 （4）SH-SVR1 配置成 NAP 健康策略服务器 在 SH-SVR1 上从开始菜单的管理工具中打开网络策略服务器管理控制台。 右键单击“NPS”，选择“在active directory中注册服务器” 配置 SHV： 展开“网络访问保护”，然后单击“系统健康验证器”。 在名称下的中间方格中，双击“Windows 安全健康验证程序”。 在“Windows 安全健康验证程序”属性对话框中，单击“配置”。 在 Windows Vista 选项卡上，清除除已为所有网络连接启用防火墙之外的所有复选框。 单击“确定”关闭 Windows 安全健康验证程序对话框，然后单击“确定”关闭Windows 安全健康验证程序属性对话框。 配置更新服务器组： 在控制台树中“网络访问保护”下，右键单击“更新服务器组”，然后单击“新建”。 在“组名”中输入“Rem1”。 在“更新服务器”后单击“添加”。 在“添加新服务器”对话框的“IP 地址或 DNS 名称”中输入 “0”，然后单击“确定”2 次。 配置健康策略： 展开“策略”。 右键单击“健康策略”，然后单击“新建”。 在“新建健康策略”对话框的“策略名称”下面输入“Compliant”。 在“客户端 SHV 检查”中，验证已选择了“客户端通过了所有SHV检查”。 在“此健康策略中使用的 SHV”中，选择“Windows 安全健康验证程序”复选框，然后单击“确定”。 右键单击“健康策略”，然后单击“新建”。 在“新建健康策略”对话框的“策略名称”下面输入“Noncompliant”。 在客户端SHV 检查中，选择“客户端未能通过一个或多个SHV 检查”。 在此健康策略中使用的SHV中，选择“Windows 安全健康验证程序”复选框，然后单击“确定”。 为符合计算机配置网络策略： 在控制台树的“策略”下面单击“网络策略”。 要禁用两个默认策略，在“策略名称”下右键