· System Health Validators : System health validators (SHVs) define configuration requirements for computers that attempt to connect to your network.

· Health Policies : Health policies define which SHVs are evaluated, and how they are used in validating the configuration of computers that attempt to connect to your network. Based on the results of SHV checks, health policies classify client health status.

· Network Policies : Network policies use conditions, settings, and constraints to determine who can connect to the network. There must be a network policy that will be applied to computers that are compliant with the health requirements, and a network policy that will be applied to computers that are noncompliant.

· Connection Request Policies : Connection request policies (CRPs) are conditions and settings that validate requests for network access and govern where this validation is performed.

· RADIUS Clients and Servers : RADIUS clients are network access servers. If you specify a RADIUS client, then a corresponding RADIUS server entry is required on this access server. Remote HRA servers are configured as RADIUS clients on NPS.

· Remediation Server Groups : Remediation server groups allow you to specify servers that are made available to noncompliant NAP clients so that they can remediate their health state and become compliant with health requirements. Because Windows Firewall is the only health requirement for the test lab, no remediation servers are required.

출처 : NAPIPsec_StepByStep (Microsoft)

HRA가 Network Service 계정으로 동작하기 때문에 먼저 인증서를 관리 할 수 있도록 CA에 권한을 추가한다.

Server Manager에서 certification authority를 추가 한다.

현재 설치된 SubCA를 추가했다.

Certification Authorities Properties를 아래의 그림과 같은지 확인한다.

Subordinate CA에 인증서 요청시 자동 발급할 수 있는 설정을 한다.

SubCA의 속성에서 Policy Module 탭을 열어 Request 요청시 자동으로 발급 하는 설정을 한다.

Server Manager에서 Add Features 클릭한다.

원하는 Feature를 선택하여 설치하면 된다.

본 포스트에서는 한 Windows 2008 서버에 NPS, HRA, subordinate standalone CA을 모두 구성하도록 하겠다.

- NPS : 정책 서버
- HRA : 컴퓨터 health 체크
- subordinate standalone CA : 인증서 배포 서버 (보안을 위해 RootCA 접근 대신 구성한다.)

Server Manager에서 Role 을 추가한다.

AD CS 와 Network Policy and Access Services을 선택한다.

Network Policy and Access Services 설치하기

친절하게 IIS 설치하도록 Wizard가 뜬다.

WorkGroup 환경을 위한 설정

AD CS 설치하기

Standalone을 선택 한다.

이름은 Role 구분을 위해 SubCA로 줬다.

도메인 조인은 2003과 같이 아래 그림과 같이 한다.

그렇다면 어떻게 저 창을 열 수 있는 것일까?
2가지 방법이 있다.

방법 1. 내 컴퓨터에서 Manage 를 클릭한 다음 Change System Properties

방법 2. 내 컴퓨터에서 Properties 클릭 후 Advanced system setting 클릭

AD로 구성된 환경에서는 정책을 통해 만들어 놓은 인증서를 배포할 수 있다.
본 포스트에서는 Default Domain Policy에 해당 정책을 추가하도록 하겠다.
(물론 따로 정책을 만들어도 무방하다.)

GPMC를 연다

Default Domain Policy에 인증서 자동 배포 정책을 넣어주기 위해 편집한다.

아래 그림과 같이 Enabled 로 설정한다.

편집이 끝났으면 보고서를 통해서 확인한다.

본 인증서는 클라이언트의 NAP의 적용 여부를 위한 Client authentication 과 system health authentication 를 위한 인증서 템플릿 입니다.

템플릿을 만들기 위하여 컴퓨터 인증서를 복사합니다.

Template의 이름을 정해주고, Publish certificate in Active Directory에 체크합니다.

Extensions 탭에서 Application Policies 중 System Heath Authentication 을 추가합니다.

dsa.msc 에서 이미 만들어 놓은 IP Sec NAP Exemption 그룹(IPSec과 관계 없이 클라이언트 핼스를 체크하기 위해 만든 그룹) 을 추가하고 Autoenroll이 가능하도록 허용해 줍니다.

Publish certificate templates
만들어진 인증서 템플릿을 Publishing 합니다.

인증서 템플릿에서 인증서 템플릿 Issue를 클릭합니다.

만들었던 System Heath Authentication을 선택합니다.