在 DirectAccess 上设置 NAP

　　DirectAccess 要求连接的客户端运行兼容版本的 Windows(Windows 7 旗舰版或 Windows 7 企业版)。这些客户端连接到运行了 Windows Server 2008 R2 的 DirectAccess 服务器。 DirectAccess 部署方案中可以包含一台或多台 DirectAccess 服务器。(我们建议使用至少两台服务器，以便在网络繁忙时帮助平衡负载。)部署中还必须包括一台网络位置服务器(用于确定客户端是连接到 Internet 还是连接到 Intranet)以及一个或多个证书吊销列表 (CRL) 分发点(用于追踪不再允许访问的客户端)。要了解如何设计 DirectAccess 部署方案，请参见 TechNet 上的 DirectAccess 设计指南。

　　在 DirectAccess 上添加 NAP 时，您必须实施针对 NAP 的 IPsec 强制方法。使用 IPsec 时，NAP 合规的客户端将获得健康证书。如果计算机不合规，则不允许与其他合规的计算机进行通信。要了解如何设计和部署 NAP，请参见 TechNet 上的规划具有网络访问保护的 DirectAccess。要了解如何将带 IPsec 的 NAP 设计为强制方法，请参见 TechNet 上的 IPsec 强制设计。

　　考虑 NAP IPsec 强制方案如何在 DirectAccess 及其 IPsec 连接策略的背景下工作非常有意思。首先，由于 DirectAccess 使用 IPsec 进行身份验证并处理保密性，因此 DirectAccess 部署中的 NAP 强制方案必须是 IPsec。其次，请记住 IPsec 的 AuthIP 组件让您在策略中配置两个独立的身份验证要求，因此连接必须同时满足这两个要求才能成功。一般来说，如果配置了两个 AuthIP 身份验证选项，则第一个是计算机凭据，第二个是用户凭据。但是，也有可能要配置两个计算机凭据。

　　NAP 与 AuthIP 策略是如何结合在一起的呢?NAP/IPsec 强制方案为健康的计算机颁发带有健康对象标识符 (OID) 的证书。AuthIP 策略引擎包括一个选项，要求提供该健康 OID。因此，只有健康的计算机可以满足第一个 AuthIP 身份验证要求，并且与 DirectAccess 服务器建立 IPsec 连接。

　　最后，第二个 AuthIP 身份验证选项要求提供用户凭据。就技术而言，用户凭据对 DirectAccess 来说是可选的。换句话说，客户端可以只使用计算机凭据向 DirectAccess 端点验证身份。对于不经过加强的身份验证就授予完全的远程网络访问权限，注重安全性的 IT 人员应该表示担忧。因此，AuthIP 策略最少也要配置为要求第二个 Kerberos 身份验证。要求用户凭据的证书(在 Woodgrove National Bank 方案中就是如此)是非常好的方案，因为这可以降低远程静态密码攻击的风险。

　　在此方案中，Woodgrove National Bank 的网络安全和合规部门需要一个报告，显示在指定时间段内有哪些用户连接了公司网络，以及这些客户端是否 NAP 合规。他们相信这段时间内可能出现了用户数据损坏的情况。作为该银行的顾问，我们需要确定如何为 DirectAccess 和 NAP 启用事后报告功能，然后将这些信息转换为能够直接阅读的报告。