71、DHCP 强制实施部署与故障排除全解析

DHCP 强制实施部署与故障排除全解析

1. 启用相关服务

• 启用 Windows 安全中心
  • 在相应组策略对象的组策略管理编辑器管理单元的控制台树中，打开“计算机配置”\“管理模板”\“Windows 组件”\“安全中心”。
  • 在详细信息窗格中，双击“启用安全中心（仅适用于域内计算机）”。
  • 在“设置”选项卡上，选择“已启用”，然后单击“确定”。
• 配置网络访问保护代理服务自动启动
  • 在相应组策略对象的组策略管理编辑器管理单元的控制台树中，打开“计算机配置”\“Windows 设置”\“安全设置”\“系统服务”。
  • 在详细信息窗格中，双击“网络访问保护代理”。
  • 在“安全策略设置”选项卡上，选中“定义此策略设置”复选框，选择“自动”，然后单击“确定”。

2. 配置 DHCP 服务器

要对 DHCP 服务器进行 DHCP 强制实施配置，需完成以下操作：
| 操作 | 具体内容 |
| ---- | ---- |
| 安装和配置 NPS 服务 | 安装：在 DHCP 服务器计算机上运行“服务器管理器”，依次点击“添加角色”，选择“网络策略和访问服务”，点击“下一步”两次，选择“网络策略服务器”，点击“下一步”，确认配置后点击“安装”。配置：在网络策略服务器管理单元的控制台树中，配置 NPS 服务作为 RADIUS 代理，将 RADIUS 请求转发到 NAP 健康策略服务器。 |
| 启用和配置网络访问保护行为 | 在 DHCP 管理单元的控制台树中，展开服务器名称，右键单击“IPv4”，选择“属性”，点击“网络访问保护”选项卡，点击“在所有作用域上启用”，根据需要配置 NAP 健康策略服务器不可用时的 DHCP 强制实施行为，然后点击“确定”。 |
| 为不符合要求的 NAP 客户端配置其他选项 | 在 DHCP 管理单元的控制台树中，展开服务器名称和“IPv4”，根据需要配置服务器选项或作用域选项，点击“高级”选项卡，选择适当的供应商类和“默认网络访问保护类”，配置 DHCP 选项后点击“确定”。 |
| 为特定作用域配置配置文件名称 | 在 DHCP 管理单元的控制台树中，展开服务器名称和“IPv4”，右键单击作用域，选择“属性”，点击“网络访问保护”选项卡，选择“使用自定义配置文件”，输入配置文件名称，然后点击“确定”。 |

以下是安装和配置 NPS 服务的 mermaid 流程图：

graph LR
    A[运行服务器管理器] --> B[点击添加角色]
    B --> C[选择网络策略和访问服务]
    C --> D[点击下一步两次]
    D --> E[选择网络策略服务器]
    E --> F[点击下一步]
    F --> G[确认配置并安装]
    G --> H[配置 NPS 作为 RADIUS 代理]
    H --> I[展开 RADIUS 客户端和服务器节点]
    I --> J[右键单击远程 RADIUS 服务器组，选择新建]
    J --> K[输入组名并添加服务器]
    K --> L[配置服务器地址、共享密钥等信息]
    L --> M[重复添加其他服务器]
    M --> N[展开策略节点]
    N --> O[右键单击连接请求策略，选择新建]
    O --> P[配置连接请求策略名称和类型]
    P --> Q[配置条件和转发设置]
    Q --> R[完成连接请求策略配置]

3. DHCP 强制实施部署检查点 - 报告模式

在 DHCP 强制实施部署的此阶段，尝试获取 DHCP 地址配置的 NAP 客户端将对其健康状态进行评估。由于 DHCP 强制实施部署处于报告模式，符合要求和不符合要求的 NAP 客户端都可以无限制访问企业内部网络，不符合要求的 NAP 客户端的用户在桌面通知区域不会收到计算机不符合系统健康要求的消息。
在此期间，分析 NAP 健康策略服务器上“Windows 日志”\“安全”事件日志中的 NPS 事件，以确定哪些 NAP 客户端不符合要求，并采取相应措施，如安装缺失的 SHA 或在修复服务器上提供健康更新资源。

4. 测试受限访问

在启用强制实施模式之前，必须测试不符合要求的 NAP 客户端的受限访问。具体步骤如下：
- 创建测试子网和网络策略
- 创建一个包含测试 DHCP 客户端计算机的子网，并在支持 NAP 的 DHCP 服务器上为相应作用域配置配置文件名称为“Test”。
- 创建一个新的网络策略，限制“Test”配置文件的访问。
- 创建新的网络策略步骤
1. 在网络策略服务器管理单元的控制台树中，展开“策略”，然后点击“网络策略”。
2. 右键单击由“配置 NAP 向导”创建的不符合要求的 NAP 客户端的 DHCP 网络策略，选择“复制策略”。
3. 双击步骤 2 中创建的复制的网络策略。
4. 在“概述”选项卡上，在“策略名称”框中输入新网络策略的名称，在“策略状态”部分，选中“策略已启用”复选框。
5. 在“条件”选项卡上，点击“添加”，在“选择条件”对话框中，双击“MS - 服务类”，在“MS - 服务类”对话框中，输入“Test”，然后点击“确定”。
6. 点击“设置”选项卡，在“网络访问保护”下，点击“NAP 强制实施”，在详细信息窗格中，选择“允许有限访问”，并清除“启用客户端计算机自动修复”复选框。
7. 点击“配置”，在“修复服务器和故障排除 URL”对话框中，在“故障排除 URL”框中输入故障排除服务器上故障排除页面的 URL。
8. 在“修复服务器和故障排除 URL”对话框中，点击“新建组”，配置修复服务器组的 IPv4 地址，点击“确定”两次。
9. 在详细信息窗格中，右键单击复制的不符合要求的 NAP 客户端的网络策略名称，选择“上移”，多次重复此步骤，使该策略位于由“配置 NAP 向导”创建的不符合要求的 NAP 客户端的网络策略之上。
- 测试不符合要求的测试计算机的受限访问
1. 将测试子网上的 NAP 客户端计算机配置为不符合要求，例如手动禁用自动更新或 Windows 防火墙。
2. 在 NAP 客户端计算机上，运行“ipconfig /renew”命令更新 IPv4 地址配置。
3. DHCP 配置完成后，桌面通知区域应显示“网络访问保护”消息。可以运行“ipconfig”命令验证受限状态，运行“ipconfig /all”和“route print”命令验证受限的 IPv4 地址配置，“route print”命令显示的 IPv4 路由表部分应将修复服务器组中的 IPv4 地址列为主机路由。
4. 从 NAP 客户端计算机验证是否可以访问所有修复服务器和故障排除 URL。
5. 从 NAP 客户端计算机验证是否无法访问企业内部网络上的其他服务器。

根据测试结果，对复制的不符合要求的 NAP 客户端的网络策略进行必要的修改，确保在修复服务器上提供的系统健康所需软件和 SHA 安装软件可以从不符合要求的 NAP 客户端安装。

5. 配置延迟强制实施

在测试不符合要求的 NAP 客户端的受限访问后，确定延迟强制实施模式的日期。在该日期，不符合要求的 NAP 客户端的访问将受到限制。在 DHCP 强制实施的延迟强制实施模式下，不符合要求的 NAP 客户端仍然可以无限制访问企业内部网络，但用户会在通知区域看到计算机不符合系统健康要求的消息。
配置延迟强制实施模式的步骤如下：
1. 在网络策略服务器管理单元的控制台树中，展开“策略”，然后点击“网络策略”。
2. 在详细信息窗格中，双击由“配置 NAP 向导”创建的不符合要求的 NAP 客户端的 DHCP 强制实施网络策略。
3. 点击“设置”选项卡，然后点击“NAP 强制实施”设置。
4. 在网络策略属性对话框的详细信息窗格中，选择“在有限时间内允许完全网络访问”，指定在 NAP 健康策略服务器上配置强制实施模式的日期和时间，然后点击“确定”。

6. 配置强制实施模式的网络策略

由于已经配置并测试了限制不符合要求的 NAP 客户端访问的 DHCP 强制实施网络策略，要启用强制实施模式，需对该复制的网络策略进行修改，并禁用由“配置 NAP 向导”创建的原始不符合要求的 NAP 客户端的 DHCP 强制实施网络策略。在强制实施模式日期，在 NAP 健康策略服务器上配置强制实施模式。
配置强制实施模式的步骤如下：
1. 在网络策略服务器管理单元的控制台树中，展开“策略”，然后点击“网络策略”。
2. 在详细信息窗格中，双击用于测试不符合要求的 NAP 客户端受限访问的复制的 DHCP 强制实施网络策略。
3. 在“条件”选项卡上，在“条件”列表中，点击“MS - 服务类”，然后点击“删除”。
4. 在“设置”选项卡上，在“网络访问保护”下，点击“NAP 强制实施”，在详细信息窗格中，在“自动修复”下，选中“启用客户端计算机自动修复”复选框，然后点击“确定”。
5. 在详细信息窗格中，右键单击由“配置 NAP 向导”创建的原始不符合要求的 NAP 客户端的网络策略，选择“删除”。
此时，用于测试不符合要求的 NAP 客户端受限访问的网络策略现在适用于所有 NAP 客户端，由“配置 NAP 向导”创建的原始不符合要求的 NAP 客户端的网络策略已被删除。

为了限制不支持 NAP 的客户端的访问，在强制实施模式日期，必须配置一个限制其访问的网络策略。由于复制的不符合要求的 NAP 客户端的网络策略已经过配置和测试，可对其进行复制和修改以适用于不支持 NAP 的客户端。
限制不支持 NAP 的客户端访问的步骤如下：
1. 在网络策略服务器管理单元的控制台树中，展开“策略”，然后点击“网络策略”。
2. 右键单击复制的不符合要求的 NAP 客户端的网络策略，选择“复制策略”。
3. 双击新的网络策略。
4. 在“概述”选项卡上，在“策略名称”框中输入新网络策略的名称，在“策略状态”区域，选中“策略已启用”复选框。
5. 在“条件”选项卡上，点击“添加”，在“选择条件”对话框中，双击“支持 NAP 的计算机”，在“支持 NAP 的计算机”对话框中，选择“仅不支持 NAP 的计算机”，然后点击“确定”。
6. 在“条件”选项卡上，点击“健康策略”条件，点击“删除”，然后点击“确定”。
7. 在网络策略服务器管理单元的详细信息窗格中，右键单击由“配置 NAP 向导”创建的原始不支持 NAP 的客户端的网络策略，选择“删除”。

至此，DHCP 强制实施部署完成，不符合要求的 NAP 客户端和（可选）不支持 NAP 的客户端的访问将通过 IPv4 地址配置受到限制，只能访问企业内部网络上的修复服务器。

7. 持续维护

DHCP 强制实施部署的维护领域包括：
- 添加 NAP 客户端
- 对于受管理的计算机，将 NAP 客户端计算机加入域，安装 SHAs。
- 对于不受管理的 NAP 客户端，按照相关说明配置 NAP 客户端设置。
- 添加新的 SHA 和 SHV
- 如有需要，在修复服务器上安装新 SHA 所需的自动修复软件或组件。
- 在 NAP 客户端上安装所需软件和 SHA。
- 在 NAP 健康策略服务器上安装 SHV。
- 如有需要，在 NAP 健康策略服务器上，在 NPS 管理单元的“网络访问保护”\“系统健康验证程序”节点中，根据系统健康要求配置 SHV 的设置。
- 在 NAP 健康策略服务器上，修改符合要求和不符合要求的 NAP 客户端的健康策略，将新的 SHV 纳入评估。

8. 故障排除

由于涉及不同的组件和过程，对 DHCP 强制实施部署进行故障排除可能是一项艰巨的任务。以下是 Windows Server 2008 和 Windows Vista 提供的故障排除工具及使用方法：
| 工具 | 作用 | 使用方法 |
| ---- | ---- | ---- |
| TCP/IP 故障排除工具 | 显示 NAP 客户端状态，测试可达性和名称解析 | 在 NAP 客户端的命令提示符下运行“ipconfig /all”命令查看系统隔离状态，使用“Ping”和“Nslookup”测试可达性和名称解析。 |
| Netsh 工具 | 收集 NAP 客户端配置信息 | 运行“netsh nap client show configuration”显示本地 NAP 客户端配置，“netsh nap client show grouppolicy”显示通过组策略获得的 NAP 客户端设置，“netsh nap client show state”显示详细的 NAP 客户端状态。 |
| NAP 客户端事件日志 | 检查网络访问保护代理服务创建的事件 | 在运行 Windows Vista 或 Windows Server 2008 的计算机上，使用事件查看器管理单元查看“应用程序和服务日志”\“Microsoft”\“Windows”\“网络访问保护”\“操作”中的事件；在运行 Windows XP SP3 的计算机上，查看系统事件日志。 |
| NPS 事件日志 | 获取 NAP 健康评估信息 | 使用事件查看器管理单元检查“Windows 日志”\“安全”事件日志中的 NPS 事件。 |
| NPS 身份验证和记账日志 | 记录身份验证和记账数据 | 默认情况下，NPS 将身份验证和记账数据记录到“%SystemRoot%\System32\LogFiles”文件夹中的数据库兼容（逗号分隔）文本文件中，也可配置为 SQL Server 日志记录。 |
| Netsh NAP 跟踪 | 排查复杂网络问题 | 运行“netsh nap client set tracing state=enable level=basic|advanced|verbose”命令启用跟踪，日志文件存储在“%SystemRoot%\Tracing”文件夹中。 |
| 网络监视器 3.1 | | |

通过合理使用这些工具，可以有效地对 DHCP 强制实施部署进行故障排除，确保网络的正常运行。

DHCP 强制实施部署与故障排除全解析（续）

9. 故障排除工具详解

在 DHCP 强制实施部署过程中，故障排除是确保系统稳定运行的关键环节。下面对各种故障排除工具进行详细介绍。

9.1 TCP/IP 故障排除工具

• Ipconfig ：这是一个常用的 TCP/IP 工具，在 NAP 客户端的命令提示符下运行 ipconfig /all 命令，可以查看 NAP 客户端的系统隔离状态。在显示结果的“Windows IP 配置”部分，系统隔离状态会显示为“未受限”或“受限”。
• Ping 和 Nslookup ：Ping 工具用于测试网络的可达性，通过向目标主机发送 ICMP 回显请求并接收响应来判断网络连接是否正常。Nslookup 则用于测试名称解析，将域名转换为 IP 地址或相反。

9.2 Netsh 工具

Netsh 工具可以收集更多关于 NAP 客户端的配置信息。
- netsh nap client show configuration ：此命令用于显示本地 NAP 客户端的配置信息，包括 NAP 强制实施客户端列表及其状态（启用或禁用）以及 NAP 客户端跟踪状态。
- netsh nap client show grouppolicy ：该命令会显示通过组策略获得的 NAP 客户端设置，与 netsh nap client show configuration 显示的内容类似，但仅针对通过组策略配置的部分。
- netsh nap client show state ：此命令用于显示详细的 NAP 客户端状态，包括强制实施客户端状态和 SHA 状态。

需要注意的是，如果 NAP 客户端的任何设置是通过组策略获得的，那么整个 NAP 客户端设置都由组策略指定，本地设置将被忽略。

9.3 NAP 客户端事件日志

在不同的操作系统中，查看 NAP 客户端事件日志的位置有所不同。
- 在运行 Windows Vista 或 Windows Server 2008 的计算机上，使用事件查看器管理单元，查看“应用程序和服务日志”\“Microsoft”\“Windows”\“网络访问保护”\“操作”中的事件。
- 在运行 Windows XP SP3 的计算机上，使用事件查看器管理单元查看系统事件日志。

通过查看这些事件日志，可以了解网络访问保护代理服务的运行情况，发现潜在的问题。

9.4 NPS 事件日志

使用事件查看器管理单元检查“Windows 日志”\“安全”事件日志中的 NPS 事件。NPS 事件日志条目包含了大量关于 NAP 健康评估的信息，例如匹配的连接请求策略名称（事件描述中的“代理策略名称”字段）和匹配的网络策略名称（事件描述中的“网络策略名称”字段）。查看这些事件是获取 NAP 健康评估信息的重要方法之一。

9.5 NPS 身份验证和记账日志

默认情况下，NPS 会将身份验证和记账数据记录到 %SystemRoot%\System32\LogFiles 文件夹中的数据库兼容（逗号分隔）文本文件中。用户也可以将 NPS 配置为进行 SQL Server 日志记录，这样可以将数据存储在 SQL Server 数据库中，方便进行更复杂的分析。

9.6 Netsh NAP 跟踪

Netsh NAP 跟踪功能可以帮助排查复杂的网络问题。通过运行 netsh nap client set tracing state=enable level=basic|advanced|verbose 命令启用跟踪，日志文件将存储在 %SystemRoot%\Tracing 文件夹中。这些日志文件可以发送给 Microsoft 客户支持人员进行分析。

以下是使用 Netsh 工具进行故障排除的 mermaid 流程图：

graph LR
    A[开始] --> B[选择工具]
    B --> C{是否使用 netsh 工具}
    C -- 是 --> D[选择命令]
    D --> E{选择具体命令}
    E -- netsh nap client show configuration --> F[显示本地配置]
    E -- netsh nap client show grouppolicy --> G[显示组策略配置]
    E -- netsh nap client show state --> H[显示详细状态]
    E -- netsh nap client set tracing --> I[启用跟踪]
    C -- 否 --> J[选择其他工具]
    J --> K[使用其他工具进行排查]
    F --> L[分析结果]
    G --> L
    H --> L
    I --> L
    K --> L
    L --> M[结束]

10. 故障排除步骤

在进行 DHCP 强制实施部署的故障排除时，可以按照以下步骤进行。

10.1 初步检查

• 使用 Ipconfig 工具检查 NAP 客户端的系统隔离状态，确认客户端是否处于受限或未受限状态。
• 使用 Ping 和 Nslookup 工具测试网络的可达性和名称解析功能，确保网络连接正常。

10.2 查看日志信息

• 查看 NAP 客户端事件日志，了解网络访问保护代理服务的运行情况，检查是否有异常事件记录。
• 查看 NPS 事件日志，获取 NAP 健康评估的详细信息，确定是否存在匹配策略的问题。
• 查看 NPS 身份验证和记账日志，了解用户的认证和记账情况，排查可能的认证问题。

10.3 使用 Netsh 工具

• 运行 netsh nap client show configuration 和 netsh nap client show grouppolicy 命令，对比本地配置和组策略配置，确保配置一致。
• 运行 netsh nap client show state 命令，查看详细的 NAP 客户端状态，检查是否存在异常。
• 如果需要排查复杂问题，可以运行 netsh nap client set tracing 命令启用跟踪功能，收集详细的日志信息。

10.4 分析和解决问题

根据收集到的信息，分析可能的问题原因，并采取相应的解决措施。例如，如果发现 NAP 客户端状态异常，可以检查客户端的配置和软件安装情况；如果发现 NPS 策略匹配问题，可以调整策略配置。

以下是故障排除步骤的列表总结：
1. 初步检查：
- 使用 Ipconfig 检查系统隔离状态。
- 使用 Ping 和 Nslookup 测试网络。
2. 查看日志信息：
- 查看 NAP 客户端事件日志。
- 查看 NPS 事件日志。
- 查看 NPS 身份验证和记账日志。
3. 使用 Netsh 工具：
- 查看配置信息。
- 查看详细状态。
- 启用跟踪功能。
4. 分析和解决问题：
- 根据信息分析原因。
- 采取相应解决措施。

11. 总结

DHCP 强制实施部署是一个复杂的过程，涉及多个组件和步骤。从启用相关服务、配置 DHCP 服务器到进行部署检查、测试受限访问、配置强制实施模式，每个环节都需要仔细操作。同时，持续维护和有效的故障排除也是确保系统稳定运行的关键。

通过合理使用各种故障排除工具，按照科学的故障排除步骤进行操作，可以及时发现并解决 DHCP 强制实施部署过程中出现的问题，保障网络的正常运行，为企业的信息化建设提供有力支持。

希望本文介绍的内容能够帮助读者更好地理解和实施 DHCP 强制实施部署，在实际应用中遇到问题时能够快速准确地进行故障排除。