NAP VPN 網工 82 期

MS-LAB 第三組

指導老師: 戴有煒、劉家聖、楊宏文

學生:黃承國

2010

willson

LBA 技術團隊

2010/12/4

目錄:

整體規劃架構圖 1

VPN 以及 NAP 概述 2

專案內容 3

建置流程 4~18

專案問題 19

心得 20

音響總公司整體規劃架構圖

VPN,NAP 概述

VPN 讓分布於不同地點的區域網路之間透過網際網路來建立安全的私人通道,而

遠地使用者也可以透過網際網路來與公司內部網路建立 VPN,讓使用者能夠安全

的來存取公司網路內的資源

專案採用 PEAP 以及 MS-CHAP V2 兩種對外的驗證通訊協定

NAP 強制用戶端的電腦環境必須符合健康原則的要求,也就是說用戶端必須是健

康的,否則只能受限制來存取網路的資源,以免這些不健康的用戶端電腦會危害到

內部網路安全,NAP 可以透過以下條件來決定用戶端是否安全

1.防火牆有沒有執行

2.是否安裝防毒軟體

3.防毒是否有安裝到最新

4.是否有安裝反間碟軟體

5.反間諜軟體有沒有更新到最新

6.用戶端的自動更新是否有啟動

專案內容

傳統音響公司:

公司環境:

1.總公司台北、分公司高雄，兩者獨立的運作

2.公司裡部門無法溝通、聯繫

3.對外伺服器的資訊安全問題

目標 :

1.舊有網路整合

2.公司內部系統整合

3.資訊安全規劃

而我個人的部分針對資訊安全的部分規劃 VPN 以及 NAP 的建置流程

NAP 部分針對外部 VPN Clients 存取內部網路的健康原則伺服器

VPN 部分針對外部 VPN Clients 存取內部資源來架設

伺服器架構 :

DC1: 2003 Enterprise

DC2: 2008 Enterprise R2 (安裝 DHCP 以及企業 CA 以及 DNS 伺服器)

VPN: 2008 Enterprise R2(遠端及路由服務)

NAP: 2008 Enterprise R2(包含RADIUS伺服器以及NAP健康原則伺服器)

測試用 Client: Vista (注意:用戶端必須是 Windows Server

2008,Vista,XP SP3 版

本以上)

建置流程:

1.首先在 DC2 (2008 Enterprise)安裝 DHCP,以及企業 CA

2.接著在 NAP 健康原則伺服器加入

3.安裝網路原則伺服器角色: 開始-->伺服器管理員-->角色-->新增角色-->勾選

網路原則與存取服務開始安裝

4.在 NAP 健康伺服器採用 PEAP-MS-CHAP V2,需要安裝電腦憑證

(相關文件:

http://technet.microsoft.com/zh-tw/library/dd759154.aspx)

5.設定 NAP 健康原則伺服器狀態

5.1 我們專案中採用 VPN-NAP

5.2 設定 RADIUS 用戶端(指強制執行點 VPN 伺服器)設定 VPN 外網卡

5.3 設定驗證方法(選擇 PEAP-MS-CHAP v2 的驗證方法)

5.4 補救伺服器相關設定是無~我們改採用 IP 篩選器,這樣就初步完成 NAP 強制

原則以及用戶端設定

6.設定系統健康狀態驗證程式(SHV)設定,目前只勾選啟用防火牆(注意:Vista

跟 XP 是分開設定)

7.在網路原則裡 1.NAP VPN 不符合標準以及 NAP VPN 不符合標準的原則中,

我們啟用 IP 篩選器

8.輸入篩選器(設定只能存取內部資源的位址)

9.輸出篩選器的部分(輸入 VPN 用戶端的網路區段)

10.NAP 健康狀態伺服器大致上就完成,小細節部分還可以做調整

接下來開始架設 VPN 伺服器安裝路由及遠端存取以及加入網域

11.IP 位址指派為自動,以便向 DHCP 伺服器租用 IP 位址

RADIUS 伺服器與 VPN 伺服器一起工作

設定 RADIUS 伺服器(NAP 那一台 IP)

12.輸入 DHCP 轉接代理(DHCP 位址)

13 在 VPN 伺服器選用 PEAP-MS-CHAP v2 驗證方法

14.在網域控制站利用 Administrator 來連 VPN 伺服器因此在撥入標籤下允許

存取

15.建立安全性群組

16.在 DC2 群組建立一個 GPO 讓 NAP 用戶端自動套用此群組

17.將 NAP 用戶端設定的 GPO 設定僅套用到 NAP 用戶端

18.將用戶端加入網域套用此 GPO 並測試是否有套用成功

19.用戶端移到外部做測試

(VPN 連線:安全性標籤中採用 PEAP 驗證通訊協定以及啟用隔離檢查)

20. VPN-NAP 就可以架設完成(VPN 用戶端用虛擬通道登入公司內部都必需開

起

{實驗預設是}防火牆)用戶端想要強制關掉防火牆,進入內部公司,NAP 會主動開

啟防火牆,以策安全

專案遇到的問題:

在 MS-LAB NAP 中,我並沒有碰到學長的問題 EX.DHCP 的問題,可能要針對

學長規劃的環境在做一次實驗.

其他問題我條列式一一列出

1.ISA 部分 back to back

站台對站台如果外部測試電腦是 Windows XP SP2 將無法連 L2TP/IPSec

VPN 伺服器,這是因為 Windows XP SP2(Windows Server 2003 SP1 也

有相同情形)預設是無法連接 NAT 裝置之後的 L2TP/IPSec VPN 伺服器,而我

們 VPN 伺服器是由後端防火牆所扮演,它是位於扮演 NAT 角色的前端防火牆

之後,解決辦法:登錄路徑新增一個數值

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Service\IPs

ec

新增數值

AssumeUDPEncapsulationContextOnSendRule

型態

DWORD

值

1 或 2

2.VPN 伺服器修改登錄值來變更每次租用 IP 位址的數量

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\Re

moteAccess\

\Parameters\IP\InitialAddressPoolSize

型態

REG_DWORD

因為在我負責的部分 VPN 一次就拿 10 個走,那我也沒用太多,所以我都成

拿比較少

3.DC 跟防火牆要架在同一台電腦中,並且那一台電腦要最穩定

心得:整個 LAB 最重要的部分就是串機，串機那時候真的是搞得手忙腳亂，連自

己的部分都不知道怎樣做，很感謝本組的組員幫忙、純志、晟堯、傑舜、學修、

明仕、品君、亦昂。驗收的前一晚，本組的組員，都熬夜把 LAB 完成，從這次

LAB 發現，大家都真的很拼命去把該做完的事把它完成。雖然最後不如預期，畢

竟大家都盡心盡力，我曾經在大學也有像這樣的 LAB 實驗,大家都各做各的,並不

會互相溝通協調，當然結果也是跟預期的一樣，一盤散沙，一個人的力量是無法

完成 LAB 的。

而我自己的部分，剛開始 DC 架好之後，我先把我的 VPN 以及 NAP 的部分架

設上去，本來 RADIUS 的部分是跟 CSS 合併在一台電腦上運作，剛架設好 NAP 部

分 CSS 就開始運作不正常，前牆開始抓取不到 CSS 的防火牆規則，後來改採用

NAP 和 RADIUS 架設在同一台，就運作較為正常，另外，在架設 VPN 部分是沒有

太大的問題，而是在測試階段，VPN 用戶端連到總公司內部要存取資源，剛好我

那台電腦本身也有 RUN 分公司的防火牆，VPN 用戶端剛要連進去總公司以及分公

司的站台對站台VPN瞬間斷線，之後總公司VPN以及分公司VPN在連一次就OK，

之後有去尋問老師問題，老師說並不會有這個問題，我猜想可能是實際硬體關西，

導致瞬間斷線。

然後我給學弟及學妹的一些建議

1.DC 部分盡量和 ISA 建置在同一台電腦上，而且那台電腦必須要非常穩定

(原因大家都需要 DC 做些設定)

2.HUB 盡可能不要用學校提供的

(原因便宜沒好貨)

3.至於大家要上網的話，又要在內部網路，不影響其他房客上網，可以提供一

台電腦，那台電腦插兩張網卡，一張網卡就設對外房東給的 IP，然後把網卡用共

用(就用上課所學，真實網卡共用給 HOST-ONLY--課本的 NAT 章節裡頭有提到網

際網路連線共用 ICS)給另一張網卡，這張網卡在接實驗的外部的 HUB，大家可以

透過這個 HUB 上網