Hướng dẫn cài đặt và cấu hình NAP cho VPN Client Access. Các bước thực hiện:
1. Tạo User và cấp quyền VPN
2. Cài đặt CA Server
3 . Cài đặt Network Policy and Access Services
4. Cài đặt Routing and Romte Access
5 . Cấu hình VPN trên VPN Server
6. Xin Certificate cho VPN Server
7. Cấu hình Network Access Protection (NAP)
8. Bật EAP Quarantine Enforcement cho NAP trên client
9. Tạo thông báo khi máy tính người dùng không thỏa mãn chính sách bảo mật
10. Bật dịch vụ NAP trên client
11. Tạo kết nối VPN trên VPN client
Chuẩn bị cho hệ thống:
– 1 máy windows server 2008 tên HT-DC đã nâng cấp lên DC với domain hoangthongit.com
– 1 máy windows server 2008 tên HT-SRV-01 đã join vào domain dùng để cài đặt VPN Server.
– 1 máy Windows 7 tên Client1 dùng làm VPN Client.
Địa chỉ IP cho các máy:
Máy HT-DC có một card mạng (đặt card này ở chế độ Vmnet 2 trên phần mềm Vmware)
Máy HT-SRV-01 có 2 card mạng:
+ Card Int nối với máy HT-DC (đặt card này ở chế độ Vmnet 2 trên phần mềm Vmware) có địa chỉ IP như sau:
+ Card Ext nối với máy Client1 (đặt card này ở chế độ Vmnet 3 trên phần mềm Vmware) có địa chỉ IP như sau:
Máy Client 1 có 1 card mạng nối với máy HT-SRV-01 (đặt card này ở chế độ Vmnet 3 trên phần mềm Vmware) có địa chỉ IP như sau:
Chi tiết Hướng dẫn cài đặt và cấu hình NAP cho VPN Client Access
1. Tạo User và cấp quyền VPN
Thực hiện trên máy HT-DC
a) Tạo User để kết nối VPN
Tạo một user tên vpn_user, có thể tham khảo các tạo User tại bài Tạo các đối tượng OU, Group, user trong Active Directory
b) Cấp quyền VPN cho user
Chuột phải vào User vpn_user mới tạo chọn Properties.
Vào tab Dial-in, tick chọn Allow Access, sau đó click OK để kết thúc
2. Cài đặt CA Server
Thực hiện trên máy HT-DC
Vào Server manager, click chuột phải vào Roles chọn Add Roles.
Trên màn hình Before You Begin click Next.
Trên cửa sổ Select Server Roles tick chọn Active Directory Certificate Services, click Next.
Trên cửa sổ Introduction to Active Directory Certificate Services click Next.
Trên cửa sổ Select Role Services tick chọn Certification Authority và Certification Authority Web Enrollment, click Next.
Trên cửa sổ Add Role Services adn Features required for Certification Authority Web Enrollments ? Click chọn Add Required Role Services.
Trên cửa sổ Specify Setup Type tick chọn kiểu Enterprise (CA là thành viên của domain), click Next.
Trên cửa sổ Speacify CA Type tick chọn Root CA (CA đầu tiên), click Next.
Tick chọn Create a new private key, click Next trên cửa sổ Set Up Private Key.
Trên màn hình Configure Cryptography for CA để mặc định, click Next.
Đặt lại tên cho CA trên màn hình Configure CA Name, click Next.
Trên cửa sổ Set Validity Period click Next.
Trên cửa sổ Configure Certificate Database click Next.
Tiếp tục click Next trên màn hình Web Server (IIS)
Trên màn hình Select Role Services để mặc định sau đó click Next.
Trên màn hình Confirm Installation Selections click Install.
Sau khi cài đặt xong, click Close trên màn hình Installation Results.
Vào Administrative tool — > Certification Authority. Bung CA hoangthongit-CA, click chuột phải vào Certificate Templates chọn Manage.
Tìm đến Computer, click chuột phải chọn Properties.
Trên tab Security của Computer Properties tick chọn Enroll sau đó click OK.
Dùng IE để vào theo địa chỉ của máy CA Server http://192.168.2.2/certsrv. Cần xác thực tài khoản.
Click chọn Download a CA certificate, certificate chain, or CRL.
Click chọn Download CA certificate để download CA về máy.
Lưu file certificate sau đó share file này với quyền có thể copy.
3 . Cài đặt Network Policy and Access Services
Thực hiện trên máy HT-DC
Vào Server manager, click chuột phải vào Roles chọn Add Roles.
Trên màn hình Before You Begin click Next.
Tick chọn Network Policy and Access Services sau đó click Next.
Trên màn hình Network Policy and Access Services click Next.
Tick chọn Network Policy Server và Routing and Remote Access Services bao gồm Remote Access Service và Routing sau đó click Next.
Click Install trên màn hình Confirm Installation Selections.
Trên màn hình Installtion Ressults click Close
4. Cài đặt Routing and Romte Access
Thực hiện trên máy HT-SRV-01
Phần này xem lại bài Cài đặt Routing and Remote Access
5 . Cấu hình VPN trên VPN Server
Vào Administrative tool — > Routing and Remote Access. Trên cửa sổ Routing and Remote Access click chuột phải vào HT-SRV-01 (Local) chọn Configure and Enable Routing and Remote Access.
Click Next trên màn hình Welcome to the Routing and Remote Access Server Setup Wizard.
Tick chọn Remote access (dial-up or VPN) sau đó click Next.
Trên màn hình Remote Access tick chọn VPN sau đó click Next.
Chọn card Ext (Card Public) sau đó click Next.
Tick chọn From a specified range of address sau đó chọn Next.
Chọn New trên màn hình Address Range Assignment.
Gán giải IP sẽ cấp cho VPN Client sau đó click OK.
Click Next trên màn hình Address Range Assignment.
Trên màn hình Managing Multiple Remote Access Servers tick chọn No, use Routing and Remote Access to authenticate connection requests sau đó chọn Next.
Click Finish sau khi cấu hình VPN.
Kết quả sau khi cấu hình VPN
6 . Xin Certificate cho VPN Server
Thực hiện trên máy HT-SRV-01.
Vào Run gõ lệnh mmc sau đó OK.
Vào file chọn Add/Remove Snap-in… trên cửa sổ console1.
Chọn Certificate sau đó click Add
Tick chọn Computer account sau đó click Next. (xin cho máy tính)
chọn Local computer sau đó click Finish.
Click OK.
Vào thư mục đã share trên máy HT-DC để copy certificate đã down về máy.
Trên màn hình Console1, bung Certificate (Local Computer), bung Trust Root Certification Authorition, click chuột phải vào Certificates chọn All Task — > Import…
Trên cửa sổ Welcome to the Certificate Import Wizard click Next.
Browse đến file Cartificate vừa copy từ máy HT-DC về.
Trên màn hình Certificate Store giữ nguyên mặc định sau đó click Next.
Click Finish trên màn hình Completing the Certificate Import Wizard.
Kết quả.
Click chuột phải vào Personal chọn All Tasks — > Request New Certificate…
Trên màn hình Certificate Enrollment click Next.
Tick chọn Computer sau đó click Enroll.
Click Finish sau khi xin thành công.
Kết quả.
7. Cấu hình Network Access Protection (NAP)
Vào Administrative tool — > Network Policy Server. Click Configure NAP
Tại dấu sổ Network connection method chọn Virtual Private Network (VPN) sau đó click Next.
Trên màn hình Specify NAP Enforcement Servers Running VPN Server để mặc định sau đó click Next.
Trên màn hình Configure User Group and Machine Group để mặc định sau đó click Next.
Trên màn hình Configure an Authentication Method để mặc định sau đó click Next.
Trên màn hình Specify a NAP Remediation Server Group and URL, click chọn New Group…
Điền tên vào Group Name sau đó click Add…
Điền tên tại Frendly name, gán địa chỉ IP 192.168.2.1 vào IP address or DNS name sau đó click Resolve và click OK.
Tại màn hình New Remediation Server Group click OK.
Kết quả được như hình dưới, click Next để tiếp tục.
Trên màn hình Define NAP Health Policy giữa nguyên mặc định sau đó click Next.
Click Finish trên màn hình Completing NAP Enforcement Policy and RADIUS Client Configuration.
Trên cửa sổ Network Policy Server bung Network Access Protection chọn System Health Validators. Click chuột phải chọn Windows Security Health Validator chọn Properties.
Trên màn hình Windows Security Health Validator chọn Properties click Configure…
Tick chọn A firewall is enable for all network connections sau đó click OK.
Click OK.
Vào Connection Request Policies, click chuột phải vào Microsoft Routing and Remote Access Service Policy chọn Disable.
Click chuột phải vào NAP VPN chọn Properties
Vào tab Setting, mục Authentication Methods click chọn Add.
Chọn EAP-MSCHAP v2 sau đó click OK.
Click OK.
8. Bật EAP Quarantine Enforcement cho NAP trên client
Vào Run gõ lệnh MMC sau đó click OK.
Vào File chọn Add/Remove Snap-in…
Chọn NAP Client Configuration sau đó Add
Tick chọn Local Computer (the computer on which this console running) sau đó click OK.
Kết quả như hình dưới, click OK.
Bung Nam Client Configuration, vào Enforcemnet Client. Click chuột phải vào EAP Quarantine Enforcement Client chọn Enable.
Kết quả như hình dưới, đóng cửa sổ Console1.
9. Tạo thông báo khi máy tính người dùng không thỏa mãn chính sách bảo mật
Vào Run gõ lệnh gpedit.msc sau đó click OK.
Trên Local Group Policy Editor vào theo đường dẫn Computer Configuration — > Administrative Template — > Windows Components –> Security Center. Click đúp vào Turn on Security Center (Domian PCs only).
Tick chọn Enable sau đó click OK.
Vào cmd gõ lệnh gpupdate /force để cập nhật chính sách.
10. Bật dịch vụ NAP trên client
Vào Run gõ lệnh services.msc sau đó OK để mở services.
Tìm đến Network Access Protection Agent, click chuột phải chọn Start.
11. Tạo kết nối VPN trên VPN client
Thực hiện trên máy Client1
Vào Network and Sharing Center, chọn Set up a new connection or network.
Tick chọn Connect to workplace, sau đó chọn Next.
Click chọn Use my internet connection ( VPN ) và sau đó chọn Next.
Click chọn I’ll set up an Internet connection later sau đó chọn Next.
Điền địa chỉ IP public của máy VPN Server, ở bài lab này là địa chỉ của card Ext sau đó chọn Next.
Điền user name, password, domain như hình dưới sau đó chọn Create. (tick chọn Remember this password để ghi nhớ mật khẩu)
Tạo thành công, click Close để kết thúc.
Vào Network connection ta thấy 1 biểu tượng kết nối VPN đã được tạo ra.
Click chuột phải vào kết nối này và chọn Properties.
Tick chọn Use Extensible Authentication Protocol (EAP), ở dưới chọn Microsoft: Protected EAP (PEAP) (encryption enable) sau đó click chọn Properties.
Chỉ tick chọn Enforce Netwrok Access Protection sau đó click OK.
Click vào kết nối VPN chọn Connect.
Chọn Connect trên mà hình connect HoangThongIT VPN.
Kết nối VPN thành công.
Vào firewall tắt thử firewall.
Firewall tự động bật lại kèm theo cảnh báo của NAP.
từ mục thứ 7.cấu hình NAP bạn hãy chỉ rõ là thực hiện trên máy nào?
Cảm ơn Bạn!