完成了網(wǎng)絡(luò)交換器設(shè)備端的相關(guān)設(shè)定之后，接下來讓我們來看看有關(guān)于Windows Server 2008網(wǎng)絡(luò)原則服務(wù)器的設(shè)定。

首先請開啟[系統(tǒng)管理工具]下拉選中的[網(wǎng)絡(luò)原則服務(wù)器]管理接口，接著展開至[網(wǎng)絡(luò)存取保護][系統(tǒng)健康狀態(tài)驗證]節(jié)點上，然后針對預(yù)設(shè)的[Windows安全性健康狀態(tài)驗證程序]連續(xù)點選開啟。

開啟之后請緊接著點選[設(shè)定]按鈕，執(zhí)行之后將會開啟[Windows安全性健康狀態(tài)驗證程序]頁面，在此您可以分別針對Windows Vista與Windows XP（SP3版本），設(shè)定各自所要檢驗的項目，在測試階段的環(huán)境中最直接的方式就是指針對防火墻或是自動更新設(shè)定來檢驗就可以了。請注意！如果您使用的NPS服務(wù)器是Windows Server 2012，則可以設(shè)定的客戶端操作系統(tǒng)將會增加Windows 7與Windows 8。

圖3 新增RADIUS客戶端設(shè)定

有關(guān)于Windows安全性健康狀態(tài)驗證程序設(shè)定部份，值得注意的是Windows Vista與Windows XP所能夠設(shè)定的項目有些許的差異，畢竟Windows XP直接內(nèi)建的安全性功能比較少，例 如 ：Windows Defender在Windows XP中 就 沒有，不過說也奇怪，因為Windows Defender一樣可以從Microsoft來下載安裝在Windows XP上，可是在此原則設(shè)定中卻無法來勾選。

請注意！有關(guān)于NAP針對防火墻與防毒軟件的偵測部份，基本上只要是Windows信息安全中心管理接口中，所支持與偵測得到的都可以。

接下來我們必須以最快速的方法，來完成有關(guān)于802.1x網(wǎng)絡(luò)交換器設(shè)備與NAP的整合設(shè)定。請在網(wǎng)絡(luò)原則服務(wù)器接口中，先點選至最上層的項目節(jié)點上，然后在該頁面中點選[設(shè)定NAP]連結(jié)，來開啟NAP精靈設(shè)定頁面，在這個頁面中首先必須從下拉選中挑選[IEEE 802.1x（有線）]選項，接著系統(tǒng)將會自動產(chǎn)生一個唯一的識別名稱，點選[下一步]繼續(xù)。

顯示在[指定802.1x驗證交換器]頁面中，必須新增RADIUS客戶端，而這里所指的便是這一部802.1x的網(wǎng)絡(luò)交換器設(shè)備，點選[新增]按鈕之后讓我們來看看相關(guān)的設(shè)定。

在如圖3所示的[新增RADIUS客戶端]設(shè)定頁面中，首先必須輸入一個好記的名稱，建議您可以直接輸入該設(shè)備的廠牌與型號。接著必須輸入地址（IP或FQDN），然后點選[驗證]按鈕，來確認這個服務(wù)器與這個設(shè)備的聯(lián)機是沒有問題的。

接著必須設(shè)定RADIUS服 務(wù) 器（NPS）與 客 戶 端（Switch）的共享密碼，只要注意在這兩個部份的密碼都必須設(shè)定一樣即可，點選[確定]完成設(shè)定，點選[下一步]繼續(xù)。

在[設(shè)定用戶群組與計算機群組]的頁面中，可在此預(yù)先強制設(shè)定好哪一些計算機群組或用戶群組才能夠進行802.1x的聯(lián)機驗證，當(dāng)然啦！您也可以直接點選[下一步]省略掉這一部份的設(shè)定，必要的話可以等到后續(xù)再來進行修改即可。

接下來在[設(shè)定驗證方法]的頁面中，必須點選[選擇]按鈕來挑選所要用來進行安全驗證的NPS服務(wù)器憑證，在選擇之前當(dāng)然您在這部服務(wù)器上的計算機憑證必須預(yù)先申請與安裝完畢才可以。

在同樣此頁面的[EAP類型]中，預(yù)設(shè)只會勾選一般常用的[安全性密碼（PEAPMS-CHAP v2）]驗證類型，后續(xù)如果您想要整合智能卡或其它憑證的驗證方式，則可以后續(xù)再來將[智能卡或其他憑證（EAP-TLS）]設(shè)定勾選。點選[下一步]繼續(xù)。

接著會來到[設(shè)定虛擬區(qū)域網(wǎng)絡(luò)（VLAN）]頁面中，在此我們必須開始來分別設(shè)定[組態(tài)網(wǎng)絡(luò)VLAN]以及[限制的網(wǎng)絡(luò)VLAN]兩部份，首先我們先針對前者來進行設(shè)定。如圖4所示在點選[設(shè)定]按鈕之后將會開啟此頁面，首先在[RADIUS標(biāo)準屬性]頁面中請選取[Tunnel-Type]項目，然后點選[編輯]按鈕繼續(xù)。

圖4 RADIUS標(biāo)準屬性設(shè)定

在[Tunnel-Type]屬性信息頁面中，默認的狀態(tài)下是沒有任何設(shè)定值的，請點選[新增]按鈕。接著將會開啟 [屬性信息]頁面，請在選取[一般用于802.1x]項目之后，從下拉選單中選取[Virtual LANs（VLAN）]，然后點選[確定]繼續(xù)。接著會又回到了[RADIUS標(biāo)準屬性]頁面，請在選取[Tunnel-Medium-Type]項目后點選[編輯]按鈕繼續(xù)。在Tunnel-Medium-Type[屬性信息]的頁面中，請點選[新增]繼續(xù)。請在[屬性信息]頁面，選取[一般用于802.1x]項目之后，從下拉選單中選取[802（includes all 802 media plus Ethernet canonical format）]，然后點選 [確定 ]。

回到了[RADIUS標(biāo)準屬性]頁面，請在選取[Tunnel-Pvt-Group-ID]項目后點選[編輯]按鈕繼續(xù)在Tunnel-Medium-Type[屬性信息]的頁面中，請點選[新增]繼續(xù)。在格式輸入中必須選擇[字符串]，然后輸入您要讓合法NAP用戶端正式聯(lián)機存取的VLAN編號即可。點選[確定]繼續(xù)。接著會又回到了[RADIUS標(biāo)準屬性]頁面，請切換到[特定廠商屬性]頁面中，然后點選[新增]按鈕繼續(xù)。在[新增特定廠商屬性]的頁面中，首先請先在[廠商]的下拉選單中選取[Microsoft]，然 后 在 [屬 性 ]的下拉選中選取[Tunnel-Tag]并且點選[新增]按鈕繼續(xù)。在Tunnel-Tag屬性信息頁面的字段中，請輸入1并點選[確定]即可。

接著將會再回到[設(shè)定虛擬區(qū)域網(wǎng)絡(luò)（VLAN）]的頁面中，前面操作中我們已經(jīng)完成了合法的組織網(wǎng)絡(luò)VLAN設(shè)定，因此接著必須針對[限制的網(wǎng)絡(luò)VLAN]來進行設(shè)定，請點選[設(shè)定]按鈕繼續(xù)。

如圖5所示關(guān)于整個限制的網(wǎng)絡(luò)VLAN設(shè)定步驟我們不再一一列舉，只讓各位讀者看看設(shè)定結(jié)果，相信聰明的你一定會發(fā)現(xiàn)它的設(shè)定和組織網(wǎng)絡(luò)VLAN設(shè)定是一樣的，唯一只有在Tunnel-Pvt-Group-ID設(shè)定值部份不一樣，因為在這個測試環(huán)境中我們將隔離的NAP客戶端導(dǎo)向至VLAN2。

在[定義NAP健康原則]頁面中，首先當(dāng)然就必須先將前面所設(shè)定好的[Windows安全性健康狀態(tài)驗證程序]項目勾選，至于[啟用客戶端計算機的自動修復(fù)功能]設(shè)定選項，在測試階段期間則建議您先不要勾選，如此一來才能夠看到整個不符合客戶端的隔離狀態(tài)。

圖5成限制的網(wǎng)絡(luò)VLAN設(shè)定

而對于不合格的NAP客戶端處理方式，則可以以預(yù)設(shè)的拒絕NAP不合格客戶端計算機擁有完整的網(wǎng)絡(luò)存取權(quán)，僅允許存取限制的網(wǎng)絡(luò)設(shè)定即可，點選[下一步]繼續(xù)。

最后在此完成NAP設(shè)定的確認頁面中，您可以看到系統(tǒng)將自動幫我建立的幾個主要新增設(shè)定，分別是RADIUS客戶端、健康原則、聯(lián)機要求原則以及網(wǎng)絡(luò)原則，確認無誤之后請點選[完成]繼續(xù)。

當(dāng)我們完成NAP 802.1x（有線）的新增設(shè)定，以網(wǎng)絡(luò)原則來說系統(tǒng)就已經(jīng)幫我們完成了三種原則的定義，分別是符合標(biāo)準、不符合標(biāo)準以及不支持NAP。

建議您連續(xù)點選開啟NAP 802.1x（有線）不支持NAP的項目內(nèi)容，然后在[概觀]頁面中的訪問權(quán)限設(shè)定，變更為[拒絕存取]。如此一來便可以有效防范所有不兼容NAP的客戶端嘗試進行聯(lián)機了。