網絡原則服務器（NPS）設定

完成了網絡交換器設備端的相關設定之后，接下來讓我們來看看有關于Windows Server 2008網絡原則服務器的設定。

首先請開啟[系統管理工具]下拉選中的[網絡原則服務器]管理接口，接著展開至[網絡存取保護][系統健康狀態驗證]節點上，然后針對預設的[Windows安全性健康狀態驗證程序]連續點選開啟。

開啟之后請緊接著點選[設定]按鈕，執行之后將會開啟[Windows安全性健康狀態驗證程序]頁面，在此您可以分別針對Windows Vista與Windows XP（SP3版本），設定各自所要檢驗的項目，在測試階段的環境中最直接的方式就是指針對防火墻或是自動更新設定來檢驗就可以了。請注意！如果您使用的NPS服務器是Windows Server 2012，則可以設定的客戶端操作系統將會增加Windows 7與Windows 8。

圖3 新增RADIUS客戶端設定

有關于Windows安全性健康狀態驗證程序設定部份，值得注意的是Windows Vista與Windows XP所能夠設定的項目有些許的差異，畢竟Windows XP直接內建的安全性功能比較少，例 如 ：Windows Defender在Windows XP中 就 沒有，不過說也奇怪，因為Windows Defender一樣可以從Microsoft來下載安裝在Windows XP上，可是在此原則設定中卻無法來勾選。

請注意！有關于NAP針對防火墻與防毒軟件的偵測部份，基本上只要是Windows信息安全中心管理接口中，所支持與偵測得到的都可以。

接下來我們必須以最快速的方法，來完成有關于802.1x網絡交換器設備與NAP的整合設定。請在網絡原則服務器接口中，先點選至最上層的項目節點上，然后在該頁面中點選[設定NAP]連結，來開啟NAP精靈設定頁面，在這個頁面中首先必須從下拉選中挑選[IEEE 802.1x（有線）]選項，接著系統將會自動產生一個唯一的識別名稱，點選[下一步]繼續。

顯示在[指定802.1x驗證交換器]頁面中，必須新增RADIUS客戶端，而這里所指的便是這一部802.1x的網絡交換器設備，點選[新增]按鈕之后讓我們來看看相關的設定。

在如圖3所示的[新增RADIUS客戶端]設定頁面中，首先必須輸入一個好記的名稱，建議您可以直接輸入該設備的廠牌與型號。接著必須輸入地址（IP或FQDN），然后點選[驗證]按鈕，來確認這個服務器與這個設備的聯機是沒有問題的。

接著必須設定RADIUS服 務 器（NPS）與 客 戶 端（Switch）的共享密碼，只要注意在這兩個部份的密碼都必須設定一樣即可，點選[確定]完成設定，點選[下一步]繼續。

在[設定用戶群組與計算機群組]的頁面中，可在此預先強制設定好哪一些計算機群組或用戶群組才能夠進行802.1x的聯機驗證，當然啦！您也可以直接點選[下一步]省略掉這一部份的設定，必要的話可以等到后續再來進行修改即可。

接下來在[設定驗證方法]的頁面中，必須點選[選擇]按鈕來挑選所要用來進行安全驗證的NPS服務器憑證，在選擇之前當然您在這部服務器上的計算機憑證必須預先申請與安裝完畢才可以。

在同樣此頁面的[EAP類型]中，預設只會勾選一般常用的[安全性密碼（PEAPMS-CHAP v2）]驗證類型，后續如果您想要整合智能卡或其它憑證的驗證方式，則可以后續再來將[智能卡或其他憑證（EAP-TLS）]設定勾選。點選[下一步]繼續。

接著會來到[設定虛擬區域網絡（VLAN）]頁面中，在此我們必須開始來分別設定[組態網絡VLAN]以及[限制的網絡VLAN]兩部份，首先我們先針對前者來進行設定。如圖4所示在點選[設定]按鈕之后將會開啟此頁面，首先在[RADIUS標準屬性]頁面中請選取[Tunnel-Type]項目，然后點選[編輯]按鈕繼續。

圖4 RADIUS標準屬性設定

在[Tunnel-Type]屬性信息頁面中，默認的狀態下是沒有任何設定值的，請點選[新增]按鈕。接著將會開啟 [屬性信息]頁面，請在選取[一般用于802.1x]項目之后，從下拉選單中選取[Virtual LANs（VLAN）]，然后點選[確定]繼續。接著會又回到了[RADIUS標準屬性]頁面，請在選取[Tunnel-Medium-Type]項目后點選[編輯]按鈕繼續。在Tunnel-Medium-Type[屬性信息]的頁面中，請點選[新增]繼續。請在[屬性信息]頁面，選取[一般用于802.1x]項目之后，從下拉選單中選取[802（includes all 802 media plus Ethernet canonical format）]，然后點選 [確定 ]。

回到了[RADIUS標準屬性]頁面，請在選取[Tunnel-Pvt-Group-ID]項目后點選[編輯]按鈕繼續在Tunnel-Medium-Type[屬性信息]的頁面中，請點選[新增]繼續。在格式輸入中必須選擇[字符串]，然后輸入您要讓合法NAP用戶端正式聯機存取的VLAN編號即可。點選[確定]繼續。接著會又回到了[RADIUS標準屬性]頁面，請切換到[特定廠商屬性]頁面中，然后點選[新增]按鈕繼續。在[新增特定廠商屬性]的頁面中，首先請先在[廠商]的下拉選單中選取[Microsoft]，然 后 在 [屬 性 ]的下拉選中選取[Tunnel-Tag]并且點選[新增]按鈕繼續。在Tunnel-Tag屬性信息頁面的字段中，請輸入1并點選[確定]即可。

接著將會再回到[設定虛擬區域網絡（VLAN）]的頁面中，前面操作中我們已經完成了合法的組織網絡VLAN設定，因此接著必須針對[限制的網絡VLAN]來進行設定，請點選[設定]按鈕繼續。

如圖5所示關于整個限制的網絡VLAN設定步驟我們不再一一列舉，只讓各位讀者看看設定結果，相信聰明的你一定會發現它的設定和組織網絡VLAN設定是一樣的，唯一只有在Tunnel-Pvt-Group-ID設定值部份不一樣，因為在這個測試環境中我們將隔離的NAP客戶端導向至VLAN2。

在[定義NAP健康原則]頁面中，首先當然就必須先將前面所設定好的[Windows安全性健康狀態驗證程序]項目勾選，至于[啟用客戶端計算機的自動修復功能]設定選項，在測試階段期間則建議您先不要勾選，如此一來才能夠看到整個不符合客戶端的隔離狀態。

圖5成限制的網絡VLAN設定

而對于不合格的NAP客戶端處理方式，則可以以預設的拒絕NAP不合格客戶端計算機擁有完整的網絡存取權，僅允許存取限制的網絡設定即可，點選[下一步]繼續。

最后在此完成NAP設定的確認頁面中，您可以看到系統將自動幫我建立的幾個主要新增設定，分別是RADIUS客戶端、健康原則、聯機要求原則以及網絡原則，確認無誤之后請點選[完成]繼續。

當我們完成NAP 802.1x（有線）的新增設定，以網絡原則來說系統就已經幫我們完成了三種原則的定義，分別是符合標準、不符合標準以及不支持NAP。

建議您連續點選開啟NAP 802.1x（有線）不支持NAP的項目內容，然后在[概觀]頁面中的訪問權限設定，變更為[拒絕存取]。如此一來便可以有效防范所有不兼容NAP的客戶端嘗試進行聯機了。