巧用Windows Server 2008的NPS策略

安装NPS服务

默认安装完成Windows Server 2008后，没有安装NPS(网络访问策略)服务，需要网络管理员手动安装该服务。

启动“服务器管理器”，运行“角色添加”向导，在选择服务器角色对话框的“角色”列表中，选择需要安装的“网络策略和访问服务”选项，其他按默认安装即可。

安装完成NPS服务后，成员服务器中的DHCP服务将被新的包含NPS功能的组件所取代，网络管理员需要对NPS涉及的DHCP选项进行配置。在默认状态下，NPS关联的组件“网络访问保护”没有被启用，该策略在DHCP作用域属性中，启用该策略。

NAP通过添加的“用户类作用域”类别，使计算机在同一作用域内的受限网络和不受限网络访问之间切换。在向状态不良的客户端计算机提供租约时，会使用这组特殊的作用域选项(DNS服务器、DNS域名、路由器等)。例如，提供给状态良好的客户端的默认 DNS 后缀为“book.com”，而提供给状态不良的客户端的DNS后缀为“Testbook.com”。

配置NPS策略

NPS策略包含四部分的内容，分别为：网络健康验证器、更新服务器组、健康策略和网络策略，将对加入到公司网络的计算机进行验证、隔离、补救以及健康策略审核。

网络健康验证器：评估计算机运行状态，需要执行哪些检查以及设置检查列表，根据设置的策略检测连接到网络中的计算机哪些是安全的，哪些是不安全的，例如防火墙关闭就认为不安全、没安装杀毒软件就是不安全的计算机等。启动“网络策略服务器”组件，打开“NPS(本地)”→“网络访问保护”→“系统健康验证器”，在属性列表中配置需要检测的状态，如图1所示。