winnap

1

DHCPNAP实验（1）

【实验目的】：通过NAP健康策略来强制NAP客户端DHCP客户机（Win7a）必须启用Windows防火墙。

（注意：NAPDHCP客户机只能是:Win7、Vista、WinXP！）

（注意：在使用ipconfig/renew进行更新时，往往会很多次才会生效。）

【实验环境】：

需要3台计算机，其中PC1和PC2在一个AD域（域名：）中，Win7a作为一台DHCP客户

机。PC1的IP地址：192.168.1.1，PC2的IP地址：192.168.1.2。PC1为DC、NAPHealthPolicyServer、

RADIUSServer、DNSServer；PC2为NAP强制执行点、DHCPServer和RADIUSClient。

【实验步骤】：

1.在PC1上配置NAPHealthPolicyServer。

（1）安装“NetworkPolicyServer”角色。

*在Win08R2的“角色”中安装“NetworkPolicyServer”。

（速度与激情8剧情 2）配置“NAP健康策略服务器”（在PC1上）

*“开始”→“程序”→“管理工具”→“网络策略服务器”，在左侧窗格最上部选中“NPS（本地）”，

在右侧“GettingStarted”中的“StandardConfiguration”中选择“NetworkAccessProtection（NAP）”，然后

点击下面的“ConfigureNAP”。

*在“NetworkConnectionMethod”中选择“DHCP”。

*在“添加RADIUS客户端”时，需要把PC2添加进四六级考试查询 来，并且设置一个共享密钥。

*在“指定DHCPScope”时，如果希望仅对PC2上的某个Scope启动NAP，则添加该Scope；如果

希望对PC2上的所有Scope启动NAP，则直接单击“下一步”。

*在“配置计算机组”时，直接跳过去。

*在“指定NAP补救服务器组和URL”时，保留默认。

*在“定义NAP健康策略”时，保留默认。

【注意】：配置结束后，会同时创建：RADIUS客户端、ConnectionRequestPolicy（连接请求策略）、Health

Policy（健康策略）、NetworkPolicy（网络策略）。

（3）ConnectionRequestPolicy（连接请求策略）（【注意】：需要把该策略提升到最前面！）

*NAP创建的ConnectionRequestPolicy名为“NAPDHCP”，该策略保留默认即可。如果需要，应该

把该策略升至最高。

*ConnectionRequestPolicy用来指定客户机的请求是在本地处理（此时，该计算机为RADIUSServer）

还是应该转发到其他RADIUSServer（此时，该计算机相当于RADIUS转发器）。

（4）SystemHealthValidators（SHV）

*SHV用于指定客户机所需要满足的健康要求，如：安装防火墙、安装防病毒软件等。

2

*为了做实验方便，在本例的SHV中，可以只选中一项——“FirewallSetting”。

（5）HealthPolicy

*HealthPolicy可以有多条，用于定义符合健康策略与不符合健康策略的条件，即：用于指定满足何

种SHV要求的客户机是健康的或者不满足何种SHV要求的客户机是不健康的，例如：如果客户机满足了

全部SHV要求则被认为是健康的，或者，如果客户机满足了一部分SHV要求则被认为是健康的，等等；

或者，如果所有SHV要求均不满足则被认为是不健康的，等等。

（6）NetworkPolicy

*NetworkPolicy则用于指定当客户机满足了特定HealthPolicy之后，到底如何访问网络资源（是

访问全部网络资源，还是只能访问部分网络资源），以及是否允许客户机进行自动更新（如果设置允许客

户机自动更新，那么当NAP客户机上关闭了防火墙，一会儿又会被本地的WindowsSecurityHealthAgent

自动开启。）。

*NAP配置向导会自动创建3个网络策略，分别是“NAPDHCPCompliant”（针对符合健康要求的客

户端）、“NAPDHCPNoncompliant”（针对不符合健康要求的客户端）、“NAPDHCPNonNAP-Capable”（针

对不支持NAP的客户端）。

*在“NAPDHCPNoncompliant火星文昵称 ”策略女性妇科病 中的“Settings”选项卡中，在“NAPEnforcement”中，“Allow

limitedaccess”被选中了，“Enableauto-remediationofclientcomputers”被选中了。

2.在PC2上配置NAP强制执行点（DHCPServer）

（1）安装DHCPServer

（2）在AD中授权该DHCPServer

（3）安装“网络策略与访问服务”中的“网络策略服务器”，然后把该计算机配置为RAIDUS代理服务器，

使其能够通过RADIUS协议把客户端的健康状态SoH传给NAP健康策略服务器（PC1）。

*新建“RemoteRADIUSServerGroup”。（假设：组名为group1）

*在“Address”选项卡中，输入NAP健康策略服务器（PC1）的IP地址：192泾渭分明 .168.1.1。

*在“Authentication/Accounting”选项卡中，设置共享密钥（与NAP健康策略服务器上设置的RADIUS

客户端杂文 的密钥相同）。

*在“Connectionrequestpolicy”中，打开策略“UWindowsauthenticationforallurs”。在“Settings”

选项卡中，在“Authentication”中，选中“ForwardrequeststothefollowingRADIUSrvergroupfor

authentication”，选中刚才创建的“RemoteRADIUSServerGroup”。（假设：组名为group1）。

（4）在PC2上对DHCP作用域设置NAP

*在PC2上，创建一个DHCPScope（如：192.168.1.101—192.168.1.130），在该Scope的“属性”中，

选择“网络保护”中国国家公园 并对此Scope启用NAP。

*在DHCPOption处，设置健康的DHCP客户机能够获得DNSServer的IP地址：1.1.1.1，DNSDomain

Name：；设置不健康的DHCP客户机能够获得DNSServer的IP地址：2.2.2.2，DNSDomainName：

（需要在“高级”选项卡的“用户类别”处选择“默认的网络访问保护级别”）

3

3.在DHCP客户机（Win7a）上进行DHCP功能测试（Win7a未启用NAP）

*由于Win7a目前并未启用与NAP有关的功能，因此属于不支持NAP的客户机。故向DHCP服务器

获取IP地址等设置时，作为NAP强制执行点的DHCP服务器虽然会给此客户机分配IP地址，但是它获白酒啤酒

得的DHCP选项设置的DNSServer地址是2.2.2.2、DNSDomainName是，而且所获得的IP地址

的子网掩码是255.255.255.255（正确的子网掩码是255.255.255.0），所以在路由表中没有通往192.168.1.0

的路径，因而无法与该网络中的计算机进行正常通信，但是为了让此客户机能够与DHCP服务器（PC2）

通信，路由表中自动建立了一条目标网络为PC1的IP地址（192.168.1.2）的路径，所以Win7a能够访问

到PC1。

4.在DHCP客户机（Win7b）上进行DHCP功能测试（Win7b启用NAPClient功能）

（1）把Win7b配置为NAPClient

*为了把Win7b配置为NAPClient，需要在Win7b上启动“NetworkAccessProtectionAgent服务”（设

置为“自动启动”）以及启动“DHCPE不再犹豫吉他谱 nforcementClient”。

①对于一台独立的计算机（非域成员计算机）而言，可以在MMC中添加“NAPClientConfiguration”

Snap-In然后在“Enforcementclients”文件夹中进行启用“DHCPQuarantineEnforcementClient”（或者，执

行命令“”）。然后，使用“Service”管理工具，启动“NetworkAccessProtectionAgent服务”

（设置为“自动启动”）。

②对于AD域中的计算机可以使用组策略，具体为：

a)计算机配置→策略→Windows设置→安全设置→系统服务→将“NetworkAccessProtection

Agent”服务的启动类型设置为“自动”。

b)计算机配置→策略→Windows设置→安全设置→NetworkAccessProtection→NAP客户端

配置→强制客户端→启用“DHCP隔离强制客户端”。

【注释】：“NAPenforcementclient”（NAP强制客户端）负责请求访问网络、与授权网络访问的NAP服务什么的学校

器交流客户机的健康状态、与NAP客户端体系结构的其它组件交流客户机的连接状态。一共有五种内置

的NAP强制客户端。其中，“DHCP强制客户端”——当客户端计算机试图向DHCP服务器获取IP地址

时，会强制使用健康策略。“EAP强制客户端”——当客户端计算机尝试通过802.1X无线连接或身份验

证切换连接访问网络时，会强制使用健康策略。“远程访问强制客户端”——当客户端计算机尝试通过虚

拟专用网络(VPN)连接获取网络访问权限时，会强制使用健康策略。“IPSec强制客户端”——当客户端

计算机尝试使用IPc与其他计算机通信时，会强制使用健康策略。“TS网关强制客户端”——当客户端

计算机尝试访问一台终端服务器时，会强制使用健康策略。

（2）在Win7b上关闭Windows防火墙，然后进行测试。

*此时，虽然Win7b是NAPDHCPClient，但是由于没有启用Windows防火墙所以属于“不健康的

NAPDHCPClient”，因此与步骤3的实验结果相同，所获得的DHCP选项设置的DNSServer地址是2.2.2.2、

DNSDomainName是，而且所获得的IP地址的子网掩码是255.255.255.255。如果运行命令：netsh

napclientshowstate，可以看到“DHCP隔离强制客户端”已经启用，“RestrictionState”（限制状态）变为

“受限制”。（【注意】：由于默认时在NAP策略服务器（PC1）上的网络策略“NAPDHCPNoncompliant”

4

的“Settings”选项卡中的“NAPEnforcement”中选中了“Autoremediation”，所以Win7b的防火墙又会很

快被启用。）

如果在Win7b上启用Windows防火墙，再进行测试。此时，Win7b属于“健康的NAPDHCPClient”。

因此，输入“ipconfig/renew”后，所获得的DHCP选项设置的DNSServer地址是1.1.1.1、DNSDomainName

是，而且所获得的IP地址的子网掩码是255.255.255.0。如果运行命令：netshnapclientshowstate，

可以看到“DHCP隔离强制客户端”已经启用，限制状态变为“未受限制”。

DHCPNAP实验（2）

【实验目的】：在实验（1）的基础上，在PC2上配置NAP更新服务器，以便让不健康的NAP客户端与不

支持NAP的客户端都可以通过NAP更新服务器自动变成健康的NAP客户端。

【实验步骤】：

1.在NAP健康策略服务器（PC1）上把域控制器（PC2）指定为NAP更新服务器。

*所谓“更新服务器”，是指能够被不健康的NAP客户机和非NAP的客户机所访问到的一台服务器。

这样，如果在这台服务器上放置了一些诸如防病毒软件的源文件后，这些客户机就可以从这台服务器上安

装这些程序从而使自己变得健康。（也可以通过设置IP筛选器来完成同样的工作）。

*在NPS管理控制台中，在“NetworkPolicies”中双击“NAPDHCPNoncompliant”策略，在“Settings”

选项卡中的“NAPEnforcement”中单击“Configure”，然后创建一个“RemediationServerGroup”，并且把

PC2的FQDN加入进去。这样，PC2就成为了RemediationServer（更新服务器）了。

*这样，当不健康的客户机和非NAP的客户机访问DHCP服务器后，在路由表中除了添加路由器的IP

地址以外，还会自动添加上通往这台更新服务器的IP地址的路径，所以这些计算机就能够访问到这台更新

服务器了，但是其它服务器还是无法访问。