Sử dụng Group Policy
Filtering để tạo chính
sách thực thi DHCP cho
NAP - Phần 2
Thomas Shinder
Quản trị mạng - Trong phần đầu của loạt bài này, chúng tôi đã
giới thiệu một số kiến thức cơ bản về cách làm việc của NAP, sau
đó đã cài đặt các dịch vụ DHCP và NPS trên máy chủ NAP
policy. Trong phần này, chúng tôi sẽ giới thiệu về cách sử dụng
NAP policy wizard để tạo tự động các chính sách Network, Health
và Connection nhằm kiểm soát sự truy cập cho mạng của bạn.
Sử dụng NAP Wizard để tạo một chính sách thực thi NAP
DHCP
Lúc này chúng ta có thể bắt đầu cho phần chính - tạo chính sách
thực thi NAP DHCP. Sau khi chạy wizard, wizard sẽ tạo các
chính sách sau:
Health Policies
Connection Request Policies
Network Policies
Remediation Server Group policies
Chúng ta hãy xem xét kỹ hơn về mỗi chính sách này sau khi kết
thúc wizard.
Mở giao diện điều khiển Network Policy Server từ
menu Administrative Tools. Từ đây, bạn sẽ thấy ở giữa giao diện
xuất hiện trang Getting Started. Trong phần Standard
Configuration, hãy chọn tùy chọn Network Access Protection
(NAP) từ Select a configuration scenario from the list and then
click the link below to open the scenario wizard.
Kích vào liên kết Configure NAP.
Hình 1
Trên trang Select Network Connection Method For Use with
NAP, phần Network connection method, bạn hãy chọn tùy
chọn Dynamic Host Configuration Protocol (DHCP) từ danh
sách. Nhớ rằng, khi sử dụng NAP thì chúng ta phải chọn một
phương pháp thực thi và đó là những gì chúng ta đang thực hiện ở
đây. DHCP server trở thành “network access server” trong kịch
bản này và DHCP server chịu trách nhiệm cho mức truy cập mạng
mà NAP client có.
Hộp văn bản Policy name sẽ tự động được cư trú với NAP
DHCP, phần tên (name) được nối thêm vào một số các chính sách
đã tạo bởi wizard. Chúng ta sẽ thấy điều này sau khi kết thúc NAP
wizard.
Kích Next.
Hình 2
Trên trang Specify NAP Enforcement Server Running DHCP
Server, bạn có thể gộp địa chỉ IP của DHCP server sẽ chịu trách
nhiệm máy chủ truy cập mạng. Sử dụng tùy chọn này khi DHCP
server và NPS server cấu hình các chính sách NAP không nằm
trên cùng máy chủ.
Nếu muốn bổ sung thêm các máy chủ thi hành DHCP NAP từ xa,
chúng phải được cấu hình như các RADIUS client, điều đó có
nghĩa rằng bạn cần cấu hình các máy này như NPS server. Sự
khác biệt ở đây là NPS server này không cấu hình các thiết lập
chính sách NAP. Chúng chỉ ủy quyền các yêu cầu RADIUS đến
NPS server đang cấu hình các thiết lập chính sách NAP. Cấu hình
đó nên sử dụng trong môi trường sản xuất lớn, nơi DHCP server
và NAP server cả hai đều tương đối bận. Thêm vào đó, rất có thể
sẽ có nhiều DHCP server trong công ty bạn, trong khi đó bạn lại
muốn tất cả đều có thể truyền thông với máy chủ chính sách NAP
hoặc các máy chủ.
Trong ví dụ này, mạng mà chúng tôi đặt các máy chủ DHCP và
NPS nằm trên cùng một máy tính, vì vậy chúng ta sẽ không cần
bổ sung thêm các máy chủ DHCP từ xa vào danh sách.
Kích Next.
Hình 3
Bạn có một tùy chọn để kích hoạt NAP khi sử dụng thực thi
DHCP. Nếu không muốn sử dụng chính sách thực thi NAP đối
với tất cả các phạm vi DHCP thì bạn có thể nhập vào phạm vi
trong đó muốn chính sách NAP áp dụng cho trong trang Specify
DHCP Scopes. Trong mạng ví dụ của chúng tôi, chúng tôi muốn
kích hoạt chính sách NAP trên mọi phạm vi, vì vậy chúng tôi
không nhập vào các phạm vi cụ thể trên trang này. Kích Next.
Hình 4
Bạn có thể cho phép hoặc từ chối truy cập vào các nhóm người
dùng nào đó hoặc các máy tính trong chính sách NAP. Trong ví
dụ này, chúng tôi áp dụng chính sách cho tất cả các máy và người
dùng. Kích Next.
Hình 5
Tất cả các máy tính đều cần truy cập vào các máy chủ nào đó
trong mạng. Chúng cần đến các máy chủ sở hạ tầng chẳng hạn
như Active Directory, DNS, DHCP và WINS server. Tất cả các
máy tính cần sự truy cập tới các máy chủ sửa lỗi, đây là các máy
mà máy tính không thỏa mãn yêu cầu có thể truy cập để đạt được
sự đồng thuận.
Trong trang Specify a NAP Remediation Server Group and
URL, bạn kích nút Group để mở hộp thoại New Remediation
Server Group. Trong hộp thoại New Remediation Server
Group, hãy nhập vào tên nhóm trong hộp văn bản Group Name.
Trong ví dụ này, chúng tôi đặt tên nhóm là Network Services.
Kích nút Add trong hộp thoại New Remediation Server Group.
Khi đó bạn sẽ thấy hộp thoại Add New Server xuất hiện. Trong
hộp thoại Add New Server, hãy nhập vào tên máy chủ trong
hộp Friendly name. Trong ví dụ này chúng tôi nhập vào một tên
cho domain controller, chính vì vậy chúng tôi sẽ nhập DC vào hộp
văn bản này. Địa chỉ IP của domain controller là 10.0.0.2, chính vì
vậy chúng ta sẽ nhập địa chỉ đó vào hộp văn bảnIP address or
DNS name. Nếu biết tên của máy chủ DNS thì bạn có thể nhập
vào tên đó trong hộp văn bản và sau đó kích nút Resolve.
Kích OK trong hộp thoại Add New Server.
Hình 6
Lúc này bạn sẽ thấy tên của nhóm máy chủ sửa lỗi và địa chỉ IP
của máy chủ mà bạn đã bổ sung vào nhóm. Nhớ rằng, mục đích
của nhóm này là remove nó khỏi những hạn chế của chính sách
NAP. Domain controller trong ví dụ này là một máy tính mà tất cả
các thành viên miền cần truyền thông với nó để đăng nhập. Nếu
bạn không cho phép các máy khách NAP của mình, dù đồng
thuận hay không, kết nối với domain controller thì chúng sẽ
không thể đăng nhập vào mạng để trở thành đồng thuận sau khi
đăng nhập.
Kích OK trong hộp thoại New Remediation Server Group.
Hình 7
Kích Next trên trang Specify a NAP Remediation Server Group
and URL. Lưu ý rằng chúng ta cũng có thể nhập
vào Troubleshooting URL trên trang này. Chúng tôi không sử
dụng nào trong ví dụ này, nhưng đôi khi bạn dùng nếu muốn trỏ
người dùng đến trang hiển thị cho họ cách trở thành đồng thuận
sau khi máy tính của họ rơi vào tình trạng không đồng thuận và
không thể tự sửa lỗi.
Hình 8
Trên trang Define NAP Health Policy, bạn có thể chọn chính
sách hợp lệ sức khỏe hệ thống (System Health Validator) nào mà
bạn muốn để định nghĩa một chính sách sức khỏe cho mạng
(Health Policy). Mặc định chỉ có một chính sách System Health
Validator có trong Windows Server 2008, chính sách này
là Windows Security Health Validator. Các hãng phần mềm
khác cũng có thể nhóm các sản phẩm System Health Validator
của họ mà bạn cài đặt vào máy chủ NAP policy.
Bảo đảm rằng có một dấu kiểm trong hộp kiểm Windows
Security Health Validator. Cũng cần tích một dấu kiểm trong
hộp chọn Enable auto-remediation of client computers. Tùy
chọn này cho phép các thành phần của NAP client có thể tự sửa
lỗi một số vấn đề. Với ví dụ này, nếu Windows Firewall bị vô
hiệu hóa thì NAP agent sẽ tự kích hoạt Windows Firewall.
Trong Network Access restrictions for NAP-ineligible client
computers, bạn xác định những gì muốn thực hiện với các máy
tính không có khả năng NAP. Bạn có hai tùy chọn:
Deny full network access to NAP-ineligible client
computers. Allow access to a restricted network only
Từ chối toàn bộ truy cập mạng cho các máy khách NAP
không đủ tư cách. Chỉ cho phép truy cập vào mạng bị hạn chế.
Allow full network access to NAP-ineligible client
computers
Cho phép truy cập vào các máy khách NAP không đủ tư
cách
Tùy chọn đầu tiên an toàn hơn tùy chọn kia, còn tùy chọn thứ hai
là tùy chọn tỏ ra hào phóng hơn. Sự lựa chọn của bạn phụ thuộc
vào mục tiêu thiết kế cho NAP. Bạn có thể cho phép các máy tính
không có khả năng NAP truy cập vào mạng trong suốt quá trình
triển khai NAP và sau đó, khi quá trình triển khai hoàn tất, bạn sẽ
chuyển và thi hành cho các máy đồng thuận NAP.
Kích Next trong trang Define NAP Health Policy.
Hình 9
Trên trang Completing NAP Enforcement Policy and RADIUS
Client Configuration, bạn có thể thấy Health
Policies, Connection Request Policy, Network
Policies và Remediation Server Group sẽ được tạo bởi wizard.
Chúng ta sẽ xem xét sâu hơn về các chính sách này.
Hình 10
Lưu ý rằng chỉ có một liên kết Configuration Details. Khi bạn
kích vào liên kết này, nó sẽ xuất hiện trang cung cấp các thông tin
chi tiết về mỗi chính sách sẽ được tạo bởi wizard.
Hình 11
Kết luận
Trong phần 2 này, chúng tôi đã giới thiệu cho các bạn về NAP
policy wizard và giải thích mỗi tùy chọn được wizard này cung
cấp. Chúng ta đã thấy được rằng NAP policy wizard giúp đơn
giản hơn rất nhiều trong việc tạo một chính sách NAP toàn diện
trong quá trình tạo một số chính sách Network, Health và
Connection để kiểm soát những máy tính có thể tham gia vào
mạng. Trong phần tiếp theo của loạt bài này, chúng ta sẽ xem xét
một cách chi tiết hơn đến các rule và giải thích về chức năng cũng
như nhân tố cơ bản sau mỗi rule này.
