windows Server 网络操作系统配置与管理（旧） 单元十六：配置IPSec保护网络通信 任务3：配置IPSecNAP强制.doc

Windows网络操作系统配置与管理 实 验 指 导 专业 班级 成绩评定______ 学号 姓名 (合作者____号____) 教师签名 单元 十六 任务3： 配置IPSec NAP 强制 第 周星期 第 节 实验目的与要求 配置IPSec NAP 强制 实验方案与步骤 任务1.1配置IPSec NAP 强制 工作场景 你是时讯公司的网络管理员，基于IPSec 的NAP强制为网络提供最高的安全性，时讯公司决定部署IPSec NAP以提供公司重要服务器信息的安全。 步骤 （1）启动 SH-DC1、SH-CL1 和 SH-CL2 虚拟机 单击 SH-DC1 旁边的“启动”。 单击 SH-CL1 旁边的“启动”。 单击 SH-CL2 旁边的“启动”。 以用户名“Shixun\Administrator”密码“Pa$$w0rd”登录到每台虚拟机。 将Lab Launcher 窗口最小化。 （2）在 SH-DC1 上打开服务器管理器工具 如有必要，在 SH-DC1 上，从“管理工具”菜单打开“服务器管理器”。 （3）安装 NPS、HRA 和 CA 服务器角色 在“服务器管理器”中，右键单击“角色”，然后单击“添加角色”。 在“开始之前”页面上单击“下一步”， 且在“选择服务器角色”页面上，选中“网络策略和访问服务”和“Active Directory 证书服务”复选框。然后单击“下一步”两次。 在“选择角色服务”页面上，选中“网络策略服务器”和“健康注册机构”复选框，在出现的“添加角色向导”窗口中单击“添加必需的角色服务”，然后单击“下一步”。 选择“安装本地 CA 以为此 HRA 服务器颁发健康证书”，然后单击“下一步”。 选择“否，允许匿名请求健康证书”，然后单击“下一步”。此选择允许计算机在工作组环境下使用健康证书注册。 选择“不使用 SSL 或稍后选择 SSL 加密的证书”，然后单击“下一步”两次，推荐使用安全套接层（SSL，Secure Sockets Layer），但是无需为 HRA 配置此功能。 在“选择角色服务”页面上，验证是否仅选中“证书颁发机构”复选框，然后单击“下一步”。 在“指定安装类型”页面上，选择“独立”，然后单击“下一步”。 在“指定 CA 类型”页面上，选择“根 CA”，然后单击“下一步”。 单击“下一步”两次以接受默认私钥和加密设置。 在“配置 CA 名称”页面上的“此 CA 的公用名称”下，输入“shixun-RootCA”，然后单击“下一步”。 在“设置有效期”页面上，单击“下一步”。 在“配置证书数据库”窗口中，单击“下一步”两次。 在此 Web 服务器的“选择角色服务”页面上，单击“下一步”。 在“确认安装选择”页面上，单击“安装”。 在“安装结果”页面上，注意：网络策略和访问服务安装成功，但有错误。 这是因为你在 HRA 角色安装后才安装 CA，所以无法连接到它。验证所有其他安装都已成功，然后单击“关闭”。 关闭服务器管理器。 （4）配置HRA 的权限 从“开始”菜单中的“管理工具”位置打开“Certification Authority”管理工具。 在“证书颁发机构”控制台树中，右键单击“Shixun-RootCA”，然后单击“属性”。 单击“安全”选项卡，然后单击“添加”。 在“输入对象名称来选择（示例）”下，输入“network service”，然后单击“确定”。 单击“network service”，选中下列“允许”复选框“颁发和管理证书”、“管理 CA”和“请求证书”。 单击“策略模块”选项卡，然后单击“属性”。选择“如果可以的话，按照证书模板中的设置。否则，将自动颁发证书”，然后单击“确定”。 在消息提示框中，单击“确定”以重启 Active Directory 证书服务。 单击“确定”以关闭“属性”对话框。 在证书颁发机构工具的列表窗格中，右键单击“Shixun-RootCA”。指向“所有任务”，然后单击“停止服务”。在它停止后，通过单击“启动服务”来重启服务。 关闭证书颁发机构控制台。 （5）配置 HRA 上的 CA 属性 在 SH-DC1 上，单击“开始”，再单击“运行”，输入“MMC”，然后单击“确定”。 在“控制台1”Microsoft 管理控制台（MMC，Microsoft Management Console）窗口中，单击“文件”，然后单击“添加／删除管理单元”。从提供的管理单元中，选择“健康注册机构”，然后单击“添加”。在“健康注册机构”对话框中，单击“确定”以接受默认本地计算机。 单击“确定”以关闭“添加或删除管理单元”窗口。