Microsoft的Network Access Protection能否限制錯誤的用戶？這完全取決于配置。

員工走進辦公室使用公司發布的桌面計算機艱難地登陸到單片LAN，這樣的日子已經一去不復返了。現如今，各種各樣的網絡用戶，包括：員工、客戶和廠商伙伴，無論他們在哪里都會通過五花八門的桌面、筆記本電腦、平板電腦和智能設備訪問數據中心。

但這樣可能對管理員產生嚴重的威脅。在沒有適當的操作系統補丁程序、反惡意軟件工具或遠程系統的關鍵安全設置，企業網絡的安全將岌岌可危。

網絡訪問保護（NAP）在Windows Server 2008 R2和更高版本的Windows 7中為管理員提供了安全工具，彌補安全漏洞，保證遠程系統的完整性。登陸遠程系統過程中，要對系統的健康進行檢查核對，如果系統滿足健康要求，那么您可以正常訪問網絡。系統也可以限制或完全禁止用戶訪問。

雖然NAP已經成為數據中心安全的熱門技術，但有一些常見問題會影響系統健康導致客戶端計算機不能正常登陸。下面我們一起看看NAP幾個常見的問題。

用戶被拒絕通過認證

這是因為向服務器發出鏈接請求策略時，客戶端系統使用802.1x或虛擬專用網（VPN）強制。必須配置連接請求策略，以覆蓋網絡策略的身份驗證設置。如果網絡策略的身份驗證設置不被覆蓋，那么企業的網絡策略服務器 (NPS) 將拒絕使用 802.1 X 和 VPN連接。解決此問題最好的方法是：訪問 NPS 和配置 802.1 X 和 VPN 連接請求，以覆蓋網絡策略的身份驗證。

認證機構類型的錯誤

這個問題通常由于服務器端與認證機構（CA）不匹配導致的，只有企業在默認CA 安裝健康注冊機構的情況下，安裝了NAP與Active Directory Certificate Services。兩種CA類型不兼容。解決這個問題最簡單的方法是：重新安裝健康注冊機構并選擇正確的認證或匿名企業CA。

客戶端發生non-NAP類型的錯誤

客戶端計算機應支持網絡訪問保護，但在服務器端上表示客戶端是non-NAP，并且拒絕客戶端訪問網絡的權限。相反，客戶端被迫遵守non-NAP政策。這個問題是由于客戶端混亂造成的，通常是由于NAP 代理服務、 NAP 強制客戶端或客戶端健康檢查未啟用造成的。

首先，檢查NAP代理。管理員需要檢查正在運行的客戶端計算機并驗證NAP代理。如果問題沒有解決，那么管理員需要啟動NAP代理。這可以通過命令或在客戶端上使用組策略來完成。

第二，在檢查從NAP Agent輸出的命令時，同樣也要檢查NAP強制客戶端初始化。如果問題沒有解決，那么管理員一定要啟用客戶端計算機強制本地設置或使用組策略強制客戶端。

第三，當使用NAP強制 802.1x或VPN時，一定要檢查Protected EAP（PEAP）網絡連接的屬性，并確保客戶端健康檢查選項處于啟用狀態。

網絡策略服務器忽略客戶端訪問請求

當處理遠程認證撥號用戶服務(RADIUS) 客戶時，會導致NPS配置發生錯誤問題。正常情況下，客戶端NAP訪問鏈接請求是創建在一個NPS上。當RADIUS客戶端不執行本地授權或身份驗證訪問請求時，那些客戶端必須將連接請求轉發到具體配置上。如果RADIUS 客戶端不轉發連接請求，或將請求轉發給RADIUS 服務器時出現了錯誤，NPS將顯示沒有連接請求。實際上，連接請求被忽略了。

解決此問題的最佳途徑是：訪問NPS 找到 NAP 客戶端計算機的連接請求策略，確保請求轉發到正確的RADIUS服務器上進行身份驗證。

無法發行新系統健康驗證模板

當您嘗試通過證書服務控制臺發出新的服務器端健康證書模板時，您發現系統健康身份驗證模板不可用。通常情況下，這是由于操作系統版本不匹配造成的。為了能夠發出新的模板，NAP CA 必須使用企業版的 Windows 服務器，如有要使用標準版，它將無法發出新的證書模板。如果有必要，將OS操作系統升級到OS企業級版本，來糾正這一問題。

雖然，NAP常常是簡單的安裝和管理。但常常因為疏忽服務器端可能導致客戶端發生連接問題。IT管理員應該具備一些基本知識的了解和簡單服務器配置技術，并且在幾分鐘之內更正這些基本問題。