設定 NPS 網路原則

發佈時間: 2009年11月

更新日期: 2010年2月

適用於: Forefront Threat Management Gateway (TMG)

網路原則利用條件、設定與限制以判定誰可以連接網路。 必須有一個網路原則套用到符合健康狀態要求的電腦,以及另一個網路原則套用到不符合的電腦。 在本主題中,符合的用戶端電腦可以進行不受限制的網路存取。 不符合健康狀態需求的用戶端會放置在 Forefront TMG 的隔離 VPN 用戶端網路中。 不符合的用戶端可以存取補救伺服器,其中有必要的修補程式、設定與應用程式,可以將用戶端帶回健康狀態。 不符合的用戶端也可以選擇性更新到符合狀態,之後再授與不受限制的網路存取權。

Important重要事項:
Forefront TMG 不支援在網路原則伺服器 (NPS) 上設定的 IP 篩選器。 若要讓不符合的用戶端存取一或多補救伺服器,請在 Forefront TMG 伺服器中,建立從「隔離的 VPN 用戶端」網路到適當補救伺服器的存取規則。

首先,建立網路原則,以比對由符合用戶端電腦所送出的網路存取要求。

設定符合用戶端電腦的網路原則

  1. 請在安裝 NPS 的電腦上,依序按一下 [開始][執行],輸入 nps.msc,然後按下 ENTER 來開啟 NPS 管理主控台。 保持這個視窗開啟,以進行接下來的 NPS 設定工作。

  2. 在樹狀目錄中,按兩下 [原則]

  3. 按一下 [網路原則]

  4. [原則名稱] 下,以滑鼠右鍵按一下兩個預設的原則,然後按一下 [停用]

  5. [網路原則] 上按一下滑鼠右鍵,然後按一下 [新增]

  6. [指定網路原則名稱及連線類型] 視窗的 [原則名稱] 方塊中,輸入 Compliant-Full-Access,然後按 [下一步]

  7. [指定條件] 視窗中,按一下 [新增]

  8. [選取條件] 對話方塊中,按兩下 [健康原則]

  9. [健康原則] 對話方塊的 [健康原則] 之下,選取 [符合],然後按一下 [確定]

  10. [指定條件] 視窗的 [條件] 之下,確認 [健康原則] 已經指定 [符合] 值,然後按 [下一步]

  11. [指定存取權限] 視窗中,確認已經選取 [授與存取權],然後按三次 [下一步]

  12. [設定設定值] 視窗,按一下 [NAP 強制]。 確認 [允許完整的網路存取] 已經選取,然後按 [下一步]

  13. [正在完成新增網路原則] 視窗,按一下 [完成]

接著,建立網路原則,以比對由非符合用戶端電腦所送出的網路存取要求。

設定不符合用戶端電腦的網路原則

  1. 在 NPS 管理主控台樹狀目錄中,以滑鼠右鍵按一下 [網路原則],然後按一下 [新增]

  2. [指定網路原則名稱及連線類型] 視窗的 [原則名稱] 方塊中,輸入 Noncompliant-Restricted,然後按 [下一步]

  3. [指定條件] 視窗中,按一下 [新增]

  4. [選取條件] 對話方塊中,按兩下 [健康原則]

  5. [健康原則] 對話方塊的 [健康原則] 之下,選取 [非符合],然後按一下 [確定]

  6. [指定條件] 視窗的 [條件] 之下,確認 [健康原則] 已經指定 [非符合] 值,然後按 [下一步]

  7. [指定存取權限] 視窗中,確認已經選取 [授與存取權]

    Important重要事項:
    [授與存取權] 設定並不表示非符合用戶端被授與完整的網路存取權。 它會指定原則應該繼續評估符合這些條件的用戶端。

  8. 按三次 [下一步]

  9. [設定設定值] 視窗,按一下 [NAP 強制]。 選取 [允許有限的存取],然後選取 [啟用用戶端電腦的自動修復功能]

  10. [設定設定值] 視窗中,按 [下一步],然後在 [正在完成新增網路原則] 視窗中,按一下 [完成]

如果您的部署包含不支援網路存取保護 (NAP) 的用戶端,建議您建立網路原則,以比對由這些用戶端所送出的網路存取要求。 這個原則可以讓不支援 NAP 的用戶端成功連線,並放置在「隔離網路」中。 如需設定資訊,請參閱設定 RQS 和 RQC 隔離控制

設定不符合用戶端電腦的網路原則

  1. 在 NPS 管理主控台樹狀目錄中,以滑鼠右鍵按一下 [網路原則],然後按一下 [新增]

  2. [指定網路原則名稱及連線類型] 視窗的 [原則名稱] 方塊中,輸入 Non-NAP capable,然後按 [下一步]

  3. [指定條件] 視窗,按一下 [新增]

  4. [選取條件] 對話方塊中,按兩下 [支援 NAP 電腦],選取 [僅有不支援 NAP 的電腦],按一下 [確定],然後按 [下一步]

  5. [指定存取權限] 頁面上,按一下 [授與存取權] 按鈕,然後按 [下一步]

  6. [設定驗證方法] 頁面上,視部署的需要設定驗證方法,然後按 [下一步]

  7. [設定限制] 頁面上,按 [下一步]

  8. [設定設定值] 頁面上,選取 [特定廠商],然後按一下 [新增]

  9. [新增特定廠商屬性] 視窗的 [廠商] 下,按一下 [Microsoft]

  10. 選取 [MS-Quarantine-Session-Timeout]、按一下 [新增],然後在 [屬性資訊] 視窗的 [屬性值] 方塊中,輸入 1200,然後按一下 [確定]

  11. 按一下 [關閉],然後在 [設定設定值] 頁面上,按 [下一步]

  12. 確認您的網路原則已經正確設定,然後按一下 [完成]

 
顯示: