Phần ii: Nap-vpn (network access protection )
NETWORK ACCESS PROTECTION I. Giới thiệuPHẦN II: NAP-VPN Triển khai NAP đễ bảo mật cho hệ thống VPN, sau khi hoàn tất bài lab hệ thống VPN của bạn sẽ đáp ứng được các nhu cầu sau: - Máy VPN Client nào không bật Windows Firewall, khi kết nối VPN thành công sẽ tự động bật Windows Firewall - Máy VPN Client không có cài chương trình AntiVirus, khi kết nối VPN thành công chỉ được phép liên lạc với 1 vài máy trong hệ thống nội bộ. Bài lab bao gồm các bước: 1. Cài Enterprise root CA 2. Xin Computer Certificate cho Server 3. Cài đặt Network Policy and Access Service 4. Cấu hình Network Policy Server (NPS) 5. Cấu hình VPN 6. Cấu hình Windows Firewall 7. Cấu hình Trusted Root CA 8. Cấu hình NAP Client 9. Tạo VPN Connection 10. Client kiểm tra kết nối VPN 11. Cấu hình System Health Validators 12. Client kiểm tra kết nối VPN II. Mô hình http://msopenlab.com/LAB/NAP-VPN/image001.gif III. Chuẩn bị Bài lab bao gồm 3 máy: - Máy DC: Windows Server 2008 đã nâng cấp Domain Controller - Máy Server: Windows Server 2008 đã Join domain - Máy VPN Client: Windows Vista (Không cần join domain) - Trên máy DC tạo user U1 password P@ssword, và cấp quyền Remote Access Permission Cấu hình TCP/IP cho 3 máy như trong bảng sau: Card LAN Card Cross Máy DC IP: 172.16.1.2 SM: 255.155.255.0 GW: 172.16.1.1 DNS: 172.16.1.2 Máy Server IP: 192.168.10.101 SM: 255.255.255.0 GW: DNS: IP: 172.16.1.1 SM: 255.155.255.0 GW: DNS: 172.16.1.2 Máy VPN Client IP: 192.168.10.150 SM: 255.255.255.0 GW: DNS: IV. Thực hiện 1. Cài Enterprise root CA trên máy DC - Tại máy DC, log on MSOpenLab\Administrator password P@ssword - Mở Server Manager từ Administrative Tools, chuột phải Roles chọn Add Role http://msopenlab.com/LAB/NAP-VPN/image002.jpg - Trong hộp thoại Before You Begin chọn Next - Hộp thoại Select Server Roles, đánh dấu chọn Active Directory Certificate Service, chọn Next http://msopenlab.com/LAB/NAP-VPN/image003.jpg - Hộp thoại Introduction to Active Directory Certificate Services chọn Next http://msopenlab.com/LAB/NAP-VPN/image004.jpg - Hộp thoại Seclect Role Services, đánh dấu chọn Certification Authority Web Enrollment http://msopenlab.com/LAB/NAP-VPN/image005.jpg - Trong hộp thoại Add Roles Wizard, chọn Required Role Services http://msopenlab.com/LAB/NAP-VPN/image006.jpg - Hộp thoại Seclect Role Services, đánh dấu chọn Online Responder, chọn Next http://msopenlab.com/LAB/NAP-VPN/image007.jpg - Hộp thoại Specify Setup Type, chọn Enterprise, chọn Next http://msopenlab.com/LAB/NAP-VPN/image008.jpg - Trong hộp thoại Specify CA Type, chọn Root CA, chọn Next http://msopenlab.com/LAB/NAP-VPN/image009.jpg - Trong hộp thoại Set Up Private Key, chọn Create a new private key, chọn Next http://msopenlab.com/LAB/NAP-VPN/image010.jpg - Trong hộp thoại Configure Cryptography for CA, giữ cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image011.jpg - Trong cửa sổ Configure CA Name, nhập MSOpenLab.com vào ô Common name for this CA, chọn Next http://msopenlab.com/LAB/NAP-VPN/image012.jpg - Trong hộp thoại Set Validity Period, giữ cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image013.jpg - Trong hộp thoại Configure Certificate Database, giữ cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image014.jpg - Trong hộp thoại Web Server (IIS), chọn Next http://msopenlab.com/LAB/NAP-VPN/image015.jpg - Trong hộp thoại Select Role Services, giữ cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image016.jpg - Trong hộp thoại Confirm Installation Selections, chọn Install http://msopenlab.com/LAB/NAP-VPN/image017.jpg - Trong hộp thoại Installation Results, kiểm tra quá trình cài đặt thành công, chọn Close http://msopenlab.com/LAB/NAP-VPN/image018.jpg - Mở Certification Authority từ Administrative Tools, bung MSOpoenLab.com, Chuột phải Certificate Templates chọn Manage http://msopenlab.com/LAB/NAP-VPN/image019.jpg - Trong cửa sổ Certificate Templates Console, chuột phải certificate Computer chọn Properties http://msopenlab.com/LAB/NAP-VPN/image020.jpg - Vào tab Security, cho group Authenticated Users quyền Enroll, chọn OK http://msopenlab.com/LAB/NAP-VPN/image021.jpg 2. Xin Computer Certificate cho Server - Restart máy Server (Để máy Server tự động add Trusted Root CA) - Tại máy Server, logon MSOpenLab\Administrator - Vào Start, Run, gõ lệnh mmc, chọn OK - Trong cửa sổ Console1, vào File, chọn Add/Remove Snap-in… Chọn Certificates, chọn Add http://msopenlab.com/LAB/NAP-VPN/image022.jpg - Hộp thoại Certificates snap-in, chọn Computer Account, Next http://msopenlab.com/LAB/NAP-VPN/image023.jpg - Hộp thoại Seclect Computer, chọn Local Computer, Finish http://msopenlab.com/LAB/NAP-VPN/image024.jpg - Trong cửa sổ Console1, bung Certificates, chuột phải Personal chọn All Tasks, chọn Request New Certificate.. http://msopenlab.com/LAB/NAP-VPN/image025.jpg - Trong hộp thoại Before You Begin, chọn Next http://msopenlab.com/LAB/NAP-VPN/image026.jpg - Trong hộp thoại Request Certificates, đánh dấu chọn Computer, chọn Enroll http://msopenlab.com/LAB/NAP-VPN/image027.jpg - Hộp thoại Certificate Installation Results, chọn Finish http://msopenlab.com/LAB/NAP-VPN/image028.jpg - Trong cửa sổ Console1, kiểm tra đã xin thành công certificate cho máy Server http://msopenlab.com/LAB/NAP-VPN/image029.jpg 3. Cài đặt Network Policy and Access Service - Tại máy Server, logon MSOpenLab\Administrator, password P@ssword - Mở Server Manager từ Administrative Tools, chuột phải Roles chọn Add Roles http://msopenlab.com/LAB/NAP-VPN/image030.jpg - Trong hộp thoại Before You Begin, chọn Next - Trong hộp thoại Select Server Roles, đánh dấu chọn vào ô Network Policy and Access Services, chọn Next http://msopenlab.com/LAB/NAP-VPN/image031.jpg - Trong hộp thoại Network Policy and Access Services, chọn Next - Trong cửa sổ Select Role Services, đánh dấu chọn vào ô Network Policy Server và ô Routing and Remote Access Services , chọn Next http://msopenlab.com/LAB/NAP-VPN/image032.jpg - Trong cửa sổ Confirm Installation Selections, chọn Install - Trong cửa sổ Installation Results, chọn Close 4. Cấu hình Network Policy Server (NPS) - Trên máy Server, mở Network Policy Server từ Administrative Tools, bung Network Access Protection, chọn System Health Validators, right click Windows Security Health Validators chọn Properties http://msopenlab.com/LAB/NAP-VPN/image033.jpg - Trong hộp thoại Windows Security Health Validators Properties, chọn Configure… http://msopenlab.com/LAB/NAP-VPN/image034.jpg - Trong hộp thoại Windows Security Health Validators, bỏ tất cả các ô chọn, trừ ô A firewall is enable for all network connections, chọn OK 2 lần http://msopenlab.com/LAB/NAP-VPN/image035.jpg - Trong hộp thoại Network Policy Server, bung Policies, right click Health Policies chọn New http://msopenlab.com/LAB/NAP-VPN/image036.jpg - Trong hộp thoại Create New Health Policy, nhập Compliant vào ô Policy name, trong ô Client SHV checks chọn Client passes all SHV checks, đánh dấu chọn ô Windows Security Health Validator, chọn OK http://msopenlab.com/LAB/NAP-VPN/image037.jpg - Trong hộp thoại Network Policy Server, bung Policies, right click Health Policies chọn New http://msopenlab.com/LAB/NAP-VPN/image038.jpg - Trong hộp thoại Create New Health Policy, nhập NonCompliant vào ô Policy name, trong ô Client SHV checks chọn Client fails one or more SHV checks, đánh dấu chọn ô Windows Security Health Validator, chọn OK http://msopenlab.com/LAB/NAP-VPN/image039.jpg - Kiểm tra đã tạo thành công 2 Health Policies: Compliant và NonCompliant http://msopenlab.com/LAB/NAP-VPN/image040.jpg - Trong hộp thoại Network Policy Server, bung Policies, vào Network Policies, lần lượt disable 2 policy đang có http://msopenlab.com/LAB/NAP-VPN/image041.jpg - Chuột phải Network Policies chọn New http://msopenlab.com/LAB/NAP-VPN/image042.jpg - Trong hộp thoại Specify Network Policy Name and Connection Type, nhập Complian Full Access vào ô Policy name, chọn Next http://msopenlab.com/LAB/NAP-VPN/image043.jpg - Hộp thoại Specify Conditions, chọn Add http://msopenlab.com/LAB/NAP-VPN/image044.jpg - Trong hộp thoại Select condition, chọn mục Health Policies, chọn Add http://msopenlab.com/LAB/NAP-VPN/image045.jpg - Hộp thoại Health Policies, bung Health policies chọn Compliant, chọn OK http://msopenlab.com/LAB/NAP-VPN/image046.jpg - Hộp thoại Specify Conditions, chọn Next http://msopenlab.com/LAB/NAP-VPN/image047.jpg - Trong hộp thoại Specify Access Permission, chọn Access granted, chọn Next http://msopenlab.com/LAB/NAP-VPN/image048.jpg - Trong hộp thoại Configure Authentication Methods, giữ nguyên cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image049.jpg - Hộp thoại Configure Constraints, giữ cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image050.jpg - Hộp thoại Configure Settings, chọn mục NAP Enforcement, kiểm tra đảm bảo đang chọn Allow full network access, chọn Next http://msopenlab.com/LAB/NAP-VPN/image051.jpg - Hộp thoại Completing New Network Policy, chọn Finish http://msopenlab.com/LAB/NAP-VPN/image052.jpg - Chuột phải Network Policies chọn New http://msopenlab.com/LAB/NAP-VPN/image053.jpg - Trong hộp thoại Specify Network Policy Name and Connection Type, nhập NonCompliant Restricted vào ô Policy name, chọn Next http://msopenlab.com/LAB/NAP-VPN/image054.jpg - Trong hộp thoại Specify Conditions, chọn Add http://msopenlab.com/LAB/NAP-VPN/image055.jpg - Hộp thoại Select condition, chọn mục Health Policies, chọn Add http://msopenlab.com/LAB/NAP-VPN/image056.jpg - Hộp thoại Health Policies, bung Health policies chọn NonCompliant, chọn OK http://msopenlab.com/LAB/NAP-VPN/image057.jpg - Trong cửa sổ Specify Conditions, chọn Next http://msopenlab.com/LAB/NAP-VPN/image058.jpg - Trong cửa sổ Specify Access Permission, chọn Access granted, chọn Next http://msopenlab.com/LAB/NAP-VPN/image048.jpg - Trong cửa sổ Configure Authentication Methods, giữ cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image049.jpg - Trong hộp thoại Configure Constraints, giữ cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image050.jpg - Trong hộp thoại Configure Settings, chọn mục NAP Enforcement, chọn Allow limited access, đánh dấu chọn ô Enable auto-remediation of client computers, chọn Next http://msopenlab.com/LAB/NAP-VPN/image059.jpg - Trong cửa sổ Configure Settings, chọn mục IP Filters, trong phần IPv4 chọn Input Filters… http://msopenlab.com/LAB/NAP-VPN/image060.jpg - Hộp thoại Inbound Filter, chọn New http://msopenlab.com/LAB/NAP-VPN/image061.jpg - Hộp thoại Add IP Filter, đánh dấu chọn Destination network IP Address: 172.16.1.2 (địa chỉ của máy DC) Subnet mask: 255.255.255.255 Protocol: Any Chọn OK http://msopenlab.com/LAB/NAP-VPN/image062.jpg - Trong hộp thoại Inbound Filters, chọn Permit only the packetd listed below, chọn OK http://msopenlab.com/LAB/NAP-VPN/image063.jpg - Trong cửa sổ Configure Settings, mục IP Filters, trong phần IPv4 chọn Outbound Filters… http://msopenlab.com/LAB/NAP-VPN/image064.jpg - Trong hộp thoại Outbound Filters, chọn New http://msopenlab.com/LAB/NAP-VPN/image065.jpg - Hộp thoại Add IP Filter, đánh dấu chọn Source network IP Address: 172.16.1.2 (địa chỉ của máy DC) Subnet mask: 255.255.255.255 Protocol: Any Chọn OK http://msopenlab.com/LAB/NAP-VPN/image066.jpg - Trong hộp thoại Outbound Filters, chọn Permit only the packetd listed below, chọn OK http://msopenlab.com/LAB/NAP-VPN/image067.jpg - Hộp thoại Configure Settings, chọn Next http://msopenlab.com/LAB/NAP-VPN/image064.jpg - Trong hộp thoại Completing New Network Policy, chọn Finish http://msopenlab.com/LAB/NAP-VPN/image068.jpg - Kiểm tra đã tạo thành công 2 Network Policies http://msopenlab.com/LAB/NAP-VPN/image069.jpg - Trong hộp thoại Network Policy Server, bung Policies, vào Connection Request Policies, Chuột phải Use Windows authentication for all users chọn Disable http://msopenlab.com/LAB/NAP-VPN/image070.jpg - Trong hộp thoại Network Policy Server, vào Policies, chuột phải Connection Request Policies chọn New http://msopenlab.com/LAB/NAP-VPN/image071.jpg - Trong hộp thoại Specify Connection Request Policy Name and Connection Type, nhập VPN Connection vào ô Policy name, trong mục Type of naetwork access server, chọn Remote Access Server (VPN-Dial up), chọn Next http://msopenlab.com/LAB/NAP-VPN/image072.jpg - Hộp thoại Specify Conditions, chọn Add http://msopenlab.com/LAB/NAP-VPN/image073.jpg - Trong hộp thoại Select conditions, chọn Tunnel Type, chọn Add http://msopenlab.com/LAB/NAP-VPN/image074.jpg - Hộp thoại Tunnel Type, đánh dấu chọn vào 2 ô: Layer Two Tunneling Protocol (L2TP) và Point-to-Point Tunneling Protocol (PPTP), chọn OK http://msopenlab.com/LAB/NAP-VPN/image075.jpg - Trong hộp thoại Specify Conditions, chọn Next http://msopenlab.com/LAB/NAP-VPN/image076.jpg - Hộp thoại Specify Connection Request Forwarding, giữ cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image077.jpg - Hộp thoại Specify Authentication Methods, chọn Add http://msopenlab.com/LAB/NAP-VPN/image078.jpg - Hộp thoại Add EAP, chọn Microsoft: Protected EAP (PEAP), chọn OK http://msopenlab.com/LAB/NAP-VPN/image079.jpg - Hộp thoại Specify Authentication Methods, chọn Add http://msopenlab.com/LAB/NAP-VPN/image080.jpg - Hộp thoại Add EAP, chọn Microsoft: Secured password (EAP-MSCHAP v2), chọn OK http://msopenlab.com/LAB/NAP-VPN/image081.jpg - Hộp thoại Specify Authentication Methods, chọn Microsoft: Protected EAP (PEAP), chọn Edit… http://msopenlab.com/LAB/NAP-VPN/image082.jpg - Trong hộp thoại Configure Protected EAP Properties, đánh dấu chọn vào 2 ô: Enable Fast Reconnect và Enable Quarantine checks, chọn OK http://msopenlab.com/LAB/NAP-VPN/image083.jpg - Hộp thoại Specify Authentication Methods, chọn Next http://msopenlab.com/LAB/NAP-VPN/image082.jpg - Hộp thoại Configure Settings, giữ cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image084.jpg - Trong hộp thoại Completing Connection Request Policy Wizard, chọn Finish http://msopenlab.com/LAB/NAP-VPN/image085.jpg - Trong cửa sổ Network Policy Server, kiểm tra tạo thành công VPN Connections http://msopenlab.com/LAB/NAP-VPN/image086.jpg 5. Cấu hình VPN - Tại máy Server, mở Routing and Remote Access Services từ Administrative Tools, chuột phải PCxx, chọn Configure and Enable Routing and Remote Access http://msopenlab.com/LAB/NAP-VPN/image087.jpg - Trong hộp thoại Welcome to Routing and Remote Access Server Setup Wizard, chọn Next - Hộp thoại Configuration, chọn Custom Configuration, chọn Next http://msopenlab.com/LAB/NAP-VPN/image088.jpg - Hộp thoại Custom Configuration, đánh dấu chọn VPN access và LAN Routing, chọn Next http://msopenlab.com/LAB/NAP-VPN/image089.jpg - Trong hộp thoại Completing the Routing ang Remote Access Server Setup Wizard chọn Finish http://msopenlab.com/LAB/NAP-VPN/image090.jpg - Hộp thoại Routing and Remote Access, chọn OK, chọn Start service http://msopenlab.com/LAB/NAP-VPN/image091.jpg - Trong cửa sổ Routing and Remote Access, chuột phải PCxx, chọn Properties http://msopenlab.com/LAB/NAP-VPN/image092.jpg - Trong hộp thoại PCxx Properties, vào tab IPv4, chọn Static address pool, chọn Add http://msopenlab.com/LAB/NAP-VPN/image093.jpg - Hộp thoại New IPv4 Address Range nhập: Start IP address: 172.16.1.201 End IP address: 172.16.1.250 Chọn OK 2 lần. http://msopenlab.com/LAB/NAP-VPN/image094.jpg - Mở Network Policy Server từ Administrative Tools, bung Polices, vào Connection Request Policies, chuột phải Microsoft Routing ang Remote Access Service Policy, chọn Disable http://msopenlab.com/LAB/NAP-VPN/image095.jpg 6. Cấu hình Windows Firewall (Cho phép được Ping máy Server) - Tại máy Server, mở Windows Firewall with Advanced Security từ Administrative Tools, chuột phải Inbound Rules, chọn New Rule… http://msopenlab.com/LAB/NAP-VPN/image096.jpg - Trong hộp thoại Rule Type, chọn Custom, chọn Next http://msopenlab.com/LAB/NAP-VPN/image097.jpg - Hộp thoại Program, chọn All Programs, chọn Next http://msopenlab.com/LAB/NAP-VPN/image098.jpg - Hộp thoại Protocol and Ports, bung mục Protocol type chọn ICMPv4, chọn Next http://msopenlab.com/LAB/NAP-VPN/image099.jpg - Hộp thoại Scope, giữ cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image100.jpg - Hộp thoại Action, chọn Allow the connection, chọn Next http://msopenlab.com/LAB/NAP-VPN/image101.jpg - Hộp thoại Profile, giữ cấu hình mặc định, chọn Next http://msopenlab.com/LAB/NAP-VPN/image102.jpg - Hộp thoại Name, nhập tên ICMPv4 echo request vào ô Name, chọn Finish http://msopenlab.com/LAB/NAP-VPN/image103.jpg - Tắt cửa sổ Windows Firewall with Advanced Security http://msopenlab.com/LAB/NAP-VPN/image104.jpg 7. Cấu hình Trusted Root CA - Tại máy Server, mở Internet Explorer, truy cập vào địa chỉ http://172.16.1.2/certsrv (máy DC). Trong cửa sổ Welcome, chọn Download a CA certificate , certificate chain, or CRL http://msopenlab.com/LAB/NAP-VPN/image105.jpg - Trong cửa sổ Download a CA certificate , certificate chain, or CRL, chọn Download CA certificate http://msopenlab.com/LAB/NAP-VPN/image106.jpg - Hộp thoại File Download, chọn Save, save file certnew.cer vào ổ đĩa C: http://msopenlab.com/LAB/NAP-VPN/image107.jpg http://msopenlab.com/LAB/NAP-VPN/image108.jpg - Copy file certnew.cer qua đĩa C: của máy VPN Client (Trong bài lab này sử dụng ổ cứng USB để copy file certnew.cer qua máy VPN Client) http://msopenlab.com/LAB/NAP-VPN/image109.jpg - Tại máy VPN Client, vào Start\Run, gõ mmc, chọn OK http://msopenlab.com/LAB/NAP-VPN/image110.jpg - Trong cửa sổ Console1, vào File chọn Add/Remove Snap-in… http://msopenlab.com/LAB/NAP-VPN/image111.jpg - Hộp thoại Add/Remove Snap-in, chọn Certificate, chọn Add, OK http://msopenlab.com/LAB/NAP-VPN/image112.jpg - Hộp thoại Certificate snap-in, chọn Computer Account, chọn Next http://msopenlab.com/LAB/NAP-VPN/image113.jpg - Hộp thoại Seclect Computer, chọn Local Computer, chọn Finish http://msopenlab.com/LAB/NAP-VPN/image114.jpg - Hộp thoại Add/Remove Snap-in, chọn OK http://msopenlab.com/LAB/NAP-VPN/image115.jpg - Trong cửa sổ Console1, bung Certificates, bung Trusted Root Certification Authorities, chuột phải Certificates, chọn All Task, chọn Import… http://msopenlab.com/LAB/NAP-VPN/image116.jpg - Trong hộp thoại Welcome to the Certificate Import Wizard, chọn Next http://msopenlab.com/LAB/NAP-VPN/image117.jpg - Hộp thoại File to Import, chọn Browse… trỏ đường dẫn đến C:\certnew.cer, chọn Next http://msopenlab.com/LAB/NAP-VPN/image118.jpg - Hộp thoại Certificate Store, chọn Next, Finish http://msopenlab.com/LAB/NAP-VPN/image119.jpg - Trong cửa sổ Console1, kiểm tra có certificate MSOpenLab.com trong Trusted Root Certification Authorities. Tắt cửa sổ Console1 http://msopenlab.com/LAB/NAP-VPN/image120.jpg 8. Cấu hình NAP Client - Tại máy VPN Client, vào Start\Run gõ gpedit.msc, chọn OK - Trong cửa sổ Group Policy Object Editor, vào đường dẫn Computer Configuration\Administrative Template\Windows Components\Security Center, right click Turn on Security Center (Domain PCs only), chọn Properties http://msopenlab.com/LAB/NAP-VPN/image121.jpg - Trong hộp thoại Turn on Security Center (Domain PCs only) Properties, chọn Enable, chọn OK, tắt cửa sổ Group Policy Object Editor http://msopenlab.com/LAB/NAP-VPN/image122.jpg - Mở Command line, gõ lệnh gpupdate /force http://msopenlab.com/LAB/NAP-VPN/image123.jpg - Vào Start\Run gõ mmc, chọn OK - Trong cửa sổ Console1, vào File, chọn Add/Remove Snap-in… http://msopenlab.com/LAB/NAP-VPN/image124.jpg - Trong hộp thoại Add or Remove Snap-ins, chọn NAP Client Configuration, chọn Add, chọn OK http://msopenlab.com/LAB/NAP-VPN/image125.jpg - Hộp thoại NAP Client Configuration, chọn Local computer, chọn OK 2 lần http://msopenlab.com/LAB/NAP-VPN/image126.jpg - Trong cửa sổ Console1, bung NAP Client Configuration, vào Enforcement Clients, chuột phải Remote Access Quarantine Enforcement Client chọn Enable. Tắt cửa sổ Console1. http://msopenlab.com/LAB/NAP-VPN/image127.jpg - Vào Start\Run, gõ services.msc, chọn OK - Trong cửa sổ Services, chuột phải Network Access Protection Agent, chọn Properties http://msopenlab.com/LAB/NAP-VPN/image128.jpg - Trong hộp thoại Network Access Protection Agent Properties, bung ô Startup type chọn Automatic, chọn Start, chọn OK http://msopenlab.com/LAB/NAP-VPN/image129.jpg 9. Tạo VPN Connection - Tại máy VPN Client, mở Network and Sharing Center từ Control Panel http://msopenlab.com/LAB/NAP-VPN/image130.jpg - Trong cửa sổ Network and Sharing Center, chọn Set up a connection or network http://msopenlab.com/LAB/NAP-VPN/image131.jpg - Trong hộp thoại Choose a connection option, chọn Connect to a workplace, chọn Next http://msopenlab.com/LAB/NAP-VPN/image132.jpg - Hộp thoại How do you want to connect, chọn Use my Internet connection (VPN) http://msopenlab.com/LAB/NAP-VPN/image133.jpg - Hộp thoại Do you want to set up an Internet connection before continuing, chọn I’ll set up Internet connection later http://msopenlab.com/LAB/NAP-VPN/image134.jpg - Hộp thoại Type the Internet address to connect to, nhập địa chỉ mặt ngoài của máy Server (192.168.1.101) vào ô Internet address, chọn Next http://msopenlab.com/LAB/NAP-VPN/image135.jpg - Hộp thoại Type your user name and password, nhập thông tin như trong hình, chọn Create http://msopenlab.com/LAB/NAP-VPN/image136.jpg - Hộp thoại The connection is ready to use, chọn Close http://msopenlab.com/LAB/NAP-VPN/image137.jpg - Trong cửa sổ Network ang Sharing Center, chọn Manage network connections http://msopenlab.com/LAB/NAP-VPN/image138.jpg - Chuột phải VPN Connection, chọn Properties http://msopenlab.com/LAB/NAP-VPN/image139.jpg - Trong hộp thoại VPN Connection Properties, vào tab Security, chọn Advanced, chọn Settings http://msopenlab.com/LAB/NAP-VPN/image140.jpg - Hộp thoại Advanced Security Settings, bung mục Use Extensible Authentication Protocol (EAP) chọn Protected EAP (PEAP) (encryption enable), chọn Properties http://msopenlab.com/LAB/NAP-VPN/image141.jpg - Hộp thoại Protected EAP Properties, bỏ dấu chọn Connect to these servers, bỏ dấu chọn Enable Fast Reconnect, đánh dấu chọn vào ô Enable Quarantine checks, chọn OK 3 lần http://msopenlab.com/LAB/NAP-VPN/image142.jpg 10. Client kiểm tra kết nối VPN - Mở Windows Firewall từ Control Panel, chọn Change Settings http://msopenlab.com/LAB/NAP-VPN/image143.jpg - Trong hộp thoại Windows Firewall Settings, chọn Off, chọn OK http://msopenlab.com/LAB/NAP-VPN/image144.jpg Lưu ý: Tắt Windows Firewall cùa máy VPN client để giả lập máy VPN Client không đủ điều kiện bảo mật - Mở Network and Sharing Center từ Control Panel, chọn Manage network connections http://msopenlab.com/LAB/NAP-VPN/image145.jpg - Chuột phải VPN Connection chọn Connect http://msopenlab.com/LAB/NAP-VPN/image146.jpg - Trong hộp thoại Connect VPN Connection, chọn Connect http://msopenlab.com/LAB/NAP-VPN/image147.jpg - Hộp thoại Enter Credentials, nhập thông tin như trong hình (Password: P@ssword), chọn OK http://msopenlab.com/LAB/NAP-VPN/image148.jpg - Trong hộp thoại Validate Server Certificate, chọn OK http://msopenlab.com/LAB/NAP-VPN/image149.jpg - Sau khi kết nối thành công, mở Command Line, gõ lệnh ipconfig /all, kiểm tra VPN Client đã nhận được IP do VPN Server cung cấp, trong System Quarantine State báo Not Restricted http://msopenlab.com/LAB/NAP-VPN/image150.jpg - Ping máy DC và máy Server, kiểm tra ping được cả 2 máy. - Mở Windows Firewall từ Control Panel, kiểm tra Windows Firewall đã tự động được Enable http://msopenlab.com/LAB/NAP-VPN/image151.jpg 11. Cấu hình System Health Validators - Tại máy Server, mở Network Policy Server từ Administrative Tool, bung Network Access Protection, chuột phải Windows Security Health Validator chọn Properties http://msopenlab.com/LAB/NAP-VPN/image152.jpg - Trong hộp thoại Windows Security Health Validator Properties, chọn Configure http://msopenlab.com/LAB/NAP-VPN/image034.jpg - Trong hộp thoại Windows Security Health Validator, đánh dấu chọn vào ô An antivirus application is on, chọn OK 2 lần. http://msopenlab.com/LAB/NAP-VPN/image153.jpg 12. Client kiểm tra kết nối VPN - Tại máy VPN Client, mở Network and Sharing Center từ Control Panel, chọn Manage network connections, chuột phải VPN Connection chọn Connect http://msopenlab.com/LAB/NAP-VPN/image154.jpg - Hộp thoại Enter Credentials, nhập thông tin như trong hình (Password: P@ssword), chọn OK http://msopenlab.com/LAB/NAP-VPN/image155.jpg - Khi kết nối thành công, kiểm tra nhận được thông báo Network access is limited http://msopenlab.com/LAB/NAP-VPN/image156.jpg - Mở Command line, gõ lệnh ipconfig /all, kiểm tra đã nhận được IP từ VPN Server cung cấp nhưng phần System Quarantine State báo Restricted http://msopenlab.com/LAB/NAP-VPN/image157.jpg - Ping máy DC và máy Server, kiểm tra chỉ ping được máy DC, không ping được máy Server http://msopenlab.com/LAB/NAP-VPN/image158.jpg http://msopenlab.com/LAB/NAP-VPN/image159.jpg Theo: Trần Thủy Hoàng (Msopenlab) :battay: |
Bây giờ là 05:32 AM. Giờ GMT +7 |
Diễn đàn tin học QuantriNet
quantrinet.com | quantrimang.co.cc
Founded by Trương Văn Phương | Developed by QuantriNet's members.
Copyright ©2000 - 2024, Jelsoft Enterprises Ltd.