Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 2

Chia sẻ: Nguyenhoang Nhan | Ngày: | Loại File: PDF | Số trang:41

0
181
lượt xem
87
download

Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 2

Mô tả tài liệu
  Download Vui lòng tải xuống để xem tài liệu đầy đủ

Trong phần 1 của loạt bài này chúng tôi đã giới thiệu cho các bạn về cách sử dụng thực thi IPsec với các chính sách “sức khỏe” NAP, trong đó đã giới thiệu một mạng ví dụ và đã chỉ ra các bước cơ bản nhất cần thiết cho NAP để có thể làm việc với chinh sách thực thi IPsec.

Chủ đề:
Lưu

Nội dung Text: Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 2

  1. Triển khai IPsec Server và Domain Isolation bằng Windows Server 2008 Group Policy - Phần 2 Nguồn : quantrimang.com  Thomas Shinder Quản Trị Mạng - Trong phần 1 của loạt bài này chúng tôi đã giới thiệu cho các bạn về cách sử dụng thực thi IPsec với các chính sách “sức khỏe” NAP, trong đó đã giới thiệu một mạng ví dụ và đã chỉ ra các bước cơ bản nhất cần thiết cho NAP để có thể làm việc với chinh sách thực thi IPsec. Dưới đây là danh sách các bước để thực hiện giải pháp. • Cấu hình Domain Controller • Cài đặt và cấu hình Network Policy Server, Health Registration Authority và Subordinate CA (CA cấp dưới) • Cấu hình NAP IPsec Enforcement Policy trên Network Policy Server • Cấu hình VISTASP1 và VISTASP1-2 cho việc kiểm thử • Test Health Certificate và Auto-remediation Configuration • Thẩm định NAP Policy Enforcement trên VISTASP1 • Cấu hình và test các chính sách IPsec Trong phần đầu của loạt bài này, chúng tôi đã giới thiệu các bước cần thiết để cấu hình domain controller trong NAP với môi trường thực thi IPsec. Trong phần 2 này, chúng tôi sẽ chuyển sang bước thứ hai, đây là bước cài đặt và cấu hình Network Policy Server, Health Registration Authority và subordinate CA. Cài đặt và cấu hình Network Policy Server, Health Registration Authority và CA cấp dưới. Chúng ta hãy quan tâm trước tiên về phần Network Policy Server. Network Policy Server hoặc NPS đảm nhận RADIUS server role. NPS là tên mới được thay cho tên trước đây Internet Access Server (IAS) của Microsoft. Có hai thành phần chính đối với máy chủ NPS mới đó là: thành phần RADIUS (đây là thành phần gồm có sự hỗ trợ mới cho NAP) và thành phần RRAS. Chúng ta sẽ không đề cập đến thành phần RRAS trong kịch bản này chính vì vậy sẽ không cài đặt và cấu hình RRAS.Chúng ta cần thực hiện một số bước dưới đây để tạo một máy chủ NPS cùng với Health Registration Authority và CA cấp dưới cung được cài đặt và được cấu hình trên máy này: • Bổ sung thêm máy chủ chính sách mạng vào NAP Exempt Group • Khởi động lại máy chủ Network Policy Server
  2. • Yêu cầu một chứng chỉ máy tính cho Network Policy Server • Xem chứng chỉ máy tính và chứng chỉ sức khỏe đã được cài đặt trên Network Policy Server. • Cài đặt Network Policy Server, Health Registration Authority và Subordinate CA (CA cấp dưới). • Cấu hình Subordinate CA trên Network Policy Server • Kích hoạt các điều khoản cho Health Registration Authority để yêu cầu, phát hành và quản lý các chứng chỉ. • Cấu hình Health Registration Authority để sử dụng CA cấp dưới để phát hành các chứng chỉ “sức khỏe”. Chúng ta hãy xem xét chi tiết đến từng bước này. Bổ sung Network Policy Server vào nhóm NAP Exempt Group Chúng ta cần phải thiết lập sao cho máy tính WIN2008SRV1 trở thành một thành viên của nhóm NAP Exempt Group để từ đó nó có thể tự động kết nạp chứng chỉ sức khỏe đã tạo. Điều này sẽ cho phép máy tính này hành động như một máy chủ chính sách NAP và Health Registration Authority trong việc truyền thông với các máy tính khác ở một mạng an toàn, thậm chí máy tính này không là có đủ các yêu cầu của NAP. Thực hiện các bước dưới đây trên domain controller của máy tính WIN2008DC: 1. Trên WIN2008DC, click Start, trỏ đến Administrative Tools, sau đó kích Active Directory Users and Computers. 2. Trong phần Panel bên trái của giao diện điều khiển Active Directory Users and Computers, hãy mở rộng phần msfirewall.org, sau đó kích nút Users. 3. Kích đúp vào nhóm NAP Exempt trong phần panel bên phải của giao diện điều khiển. 4. Kích tab Members, kích Add, kích Object Types, chọn hộp kiểm Computers, sau đó kích OK.
  3. Hình 1 5. Trong Enter the object names to select (examples), đánh WIN2008SRV1, sau đó kích Check Names. Kích OK, sau đó kích tiếp OK trong hộp thoại NAP Exempt Properties.
  4. Hình 2
  5. Hình 3 6. Đóng giao diện điều khiển Active Directory Users and Computers Khởi động lại Network Policy Server Để kích hoạt các thiết lập thành viên miền nmới và thành viên nhóm bảo mật, hãy khởi động lại WIN2008SRV1. 1. Khởi động lại WIN2008SRV1. 2. Sau khi máy tính của bạn khởi động lại, đăng nhập vào máy tính dưới tài khoản quản trị viên. Yêu cầu chứng chỉ máy tính cho máy chủ chính sách mạng Máy WIN2008SRV1 cần một chứng chỉ để hỗ trợ các kết nối SSL cho máy chủ. Các kết nối SSL sẽ đến từ các máy khách NAP khi chúng kết nối đến Web server Health Registration Authority trên máy chủ NPS. Lưu ý rằng trong ví dụ này, máy chủ NPS và Health Registration Authority nằm trên cùng một máy. Tuy
  6. nhiên không bắt buộc phải thực hiện theo cách đó – bạn hoàn toàn có thể đặt Health Registration Authority và NPS server trên các máy khác nhau. Trong kịch bản đó, bạn cần phải cài đặt dịch vụ NPS trên máy tính HRA và cấu hình máy tính đó là một RADIUS proxy, do HRA là một máy chủ truy cập mạng trong kịch bản này và NAS cần khai báo dịch vụ NPS về trạng thái máy khách. Thực hiện các bước dưới đây trên máy WIN2008SRV1 NPS: 1. Trên máy WINS2008SRV1, kích Start, kích Run, đánh mmc, sau đó nhấn ENTER. 2. Kích File, sau đó kích Add/Remove Snap-in. 3. Trong hộp thoại Add or Remove Snap-ins, kích Certificates sau đó kích Add. Trong hộp thoại Certificates snap-in, chọn tùy chọn Computer account và kích Next. Hình 4
  7. 4. Trong hộp kiểm Select Computer, chọn tùy chọn Local Computer và kích Finish. Hình 5 5. Kích OK trong hộp kiểm Add or Remove Snap-ins.
  8. Hình 6 6. Trong giao diện điều khiển Certificates, mở nút Certificates (Local Computer), sau đó mở Personal. Kích nút Certificates, tiếp đó kích chuột phải vào đó và trỏ đến All Tasks sau đó kích Request New Certificate.
  9. Hình 7 7. Kích Next trong trang Certificate Enrollment. Trong trang Request Certificates, bạn có thể bắt gặp một danh sách các mẫu chứng chỉ có sẵn trên máy tính này. Lưu ý rằng, tuy có nhiều các mẫu chứng chỉ có sẵn nhưng chỉ có một số mẫu cho máy này, các mẫu này dựa trên các điều khoản được cấu hình cho các mẫu chứng chỉ. Tích vào hộp kiểm Computer và kích Enroll. Lưu ý rằng bạn có thể thực hiện các chi tiết về chứng chỉ này bằng cách kích nút Properties.
  10. Hình 8 8. Kích Finish trong hộp thoại Certificate Installation Result.
  11. Hình 9 9. Để lại cửa sổ này cho thủ tục tiếp dưới đây.
  12. Hình 10 Xem máy tính và chứng chỉ sức khỏe đã được cài đặt trên Network Policy Server Tiếp đến, thẩm định rằng WIN2008SRV1 có một chứng chỉ SSL và một chứng chỉ NAP exemption. 1. Trong panel bên trái của giao diện điều khiển Certificates, mở Certificates (Local Computer)\Personal\Certificates. Trong panel bên phải, thẩm định rằng chứng chỉ đã được tự động kết nạp bởi WIN2008SRV1 với Intended Purposes của System Health Authentication và Client Authentication. Chứng chỉ này sẽ được sử dụng cho IPsec exemption của máy khách NAP.
  13. Hình 11 2. Trong panel bên phải, hãy thẩm định rằng chứng chỉ đã được kết nạp với Intended Purposes của Client Authentication và Server Authentication. Chứng chỉ này sẽ được sử dụng cho thẩm định SSL bên phía trình chủ.
  14. Hình 12 3. Đóng giao diện điều khiển Certificates. Nếu bạn gặp nhắc nhở cần lưu các thiết lập, hãy kích No. Cài đặt các role Network Policy Server, Health Registration Authority, và Subordinate Certificate Server. Tiếp đến, cài đặt các dịch vụ role để thiết lập WIN2008SRV1 thành một máy chủ chính sách sức khỏe NAP, máy chủ thực thi NAP và máy chủ NAP CA.
  15. Thực hiện các bước dưới đây trên WIN2008SRV1: 1. Trong Server Manager, phần Roles Summary, bạn hãy kích Add Roles, sau đó kích Next. Hình 13 2. Trong trang Select Server Roles, chọn các hộp kiểm Active Directory Certificate Services và Network Policy and Access Services, sau đó kích Next hai lần.
  16. Hình 14 3. Trong trang Select Role Services, hãy chọn hộp kiểm Health Registration Authority, kích Add Required Role Services trong cửa sổ Add Roles Wizard và kích Next.
  17. Hình 15 4. Trong trang Choose the Certification Authority to use with the Health Registration Authority, chọn Install a local CA to issue health certificates for this HRA server, sau đó kích Next.
  18. Hình 16 5. Trong trang Choose Authentication Requirements for the Health Registration Authority, chọn No, allow anonymous requests for health certificates, sau đó kích Next. Lựa chọn này sẽ cho phép các máy tính có thể được kết nạp các chính sách sức khỏe trong môi trường workgroup. Chúng ta sẽ xem xét một ví dụ về một máy tính của workgroup đang nhận chứng chỉ “sức khỏe” sau.
  19. Hình 17 6. Trong trang Choose a Server Authentication Certificate for SSL Encryption, bạn hãy chọn Choose an existing certificate for SSL encryption (recommended), kích chứng chỉ được hiển thị trong tùy chọn này, sau đó kích Next. Lưu ý: Bạn có thể xem các thuộc tính của các chứng chỉ trong kho lưu trữ chứng chỉ của máy tính nội bộ bằng cách kích vào một chứng chỉ, chọn Properties sau đó kích tab Details. Một chứng chỉ được sử dụng cho thẩm định SSL phải có giá trị của trường Subject tương ứng với tên miền đầy đủ của máy chủ HRA (cho ví dụ như NPS1.Contoso.com) và giá trị trường Enhanced Key Usage của Server Authentication. Chứng chỉ cũng phải được phát hành từ một CA gốc được tin tưởng bởi máy khách.
  20. Hình 18 7. Trong trang Introduction to Active Directory Certificate Services, kích Next. 8. Trong trang Select Role Services, thẩm định rằng các hộp kiểm Certification Authority đã được chọn, sau đó kích Next.
Đồng bộ tài khoản