none
部署NAP VPN时碰到的几个问题 RRS feed

  • 问题

  • 计划部署基于智能卡(usbkey)的NAP VPN,使用Win7作为客户端,TMG2010 作为VPN服务器,WS2012作为NPS,碰到如下几个问题:

    1. 身份验证方法

    如果在EAP类型中,仅添加”智能卡或其他证书“,则无法实现NAP强制。通过编辑其属性,可以看到,没有”强制执行网络访问保护“的选项。(在部署802.1X有线/无线时,情况相同)

    如果在EAP类型中,仅添加”受保护的EAP(PEAP)“,编辑其属性,添加”安全密码(EAP-MSCHAP v2)“和”智能卡或其他证书“,并勾选”强制执行网络访问保护“。VPN连接的安全属性-》身份验证选择”受保护的EAP(PEAP)“,PEAP属性选择”安全密码(EAP-MSCHAP v2)“,拨号成功,并且可以实现NAP;如果PEAP属性选择”智能卡或其他证书”,则报错:812。(在部署802.1X有线/无线时,可以使用”智能卡或其他证书“通过验证)

    由于PEAP的安全密码是可以拨号成功的,且802.1X有线/无线都可以使用PEAP的智能卡或其他证书,是不是TMG2010对此支持不好?

    目前的情况就是:智能卡和NAP只能2选1......这有违初衷

    2. NAP VPN不符合时无法访问更新服务器组

    在PEAP的安全密码进行NAP强制后,发现在NAP不符合时,无法访问更新服务器组,原因不明,该如何排查?

    (3. 要部署802.1X的有线/无线网络的NAP,必须要使用VLAN才能实现受限访问吗?)

    2013年9月4日 5:07