Windows 2008 r2 安装好网络策略与访问服务，点开加号下面是空白，我百度搜索别人都是有路由和远程访问。

1 在DCServer上，打开Active Directory用户和组管理工具。2 在销售部组织单元创建SalesGroup全局组。

3 创建用户“韩立刚”，登录名为hanLG。

4 双击该用户，在用户属性对话框的拨入标签下，可以看到默认用户的拨入权限为“通过NPS网络策略控制访问”。

注：如果设置为“允许访问”，则网络策略设置的访问权限默认不再生效，以用户属性设置的网络访问权限为准，如果在网络策略选择了忽略用户帐户的拨入属性，则以网络策略设置的访问权限为准。

5 在RASServer上，点击“开始”à“程序”à“管理工具”à“网络策略服务器”，打开网络策略服务器管理工具。

6 点中“网络策略”，可以看到默认的两条策略，且处理顺序为999998和999999，可见优先级默认最低。

7 双击“到 Microsoft 路由和远程访问服务器的连接”，在出现的策略属性对话框的概述标签下，可以看到访问权限默认为“拒绝”，“忽略用户帐户的拨入属性”默认没有被选中。

8 在出现的指定网络策略名称和连接类型对话框，输入策略名称“允许销售部的用户在工作时间拨入”，网络连接方法选择“网络访问服务器的类型”，选择“远程访问服务器”，点击“下一步”。

9 在出现的指定条件对话框，点击“添加”。

10 在出现的选择条件对话框，选中“用户组”，点击“添加”。

11 在出现的用户组对话框，点击“添加组”。

12 在出现的选择组对话框，输入“SalesGroup”，点击“确定”，完成组的添加。

13 在指定条件对话框，点击“添加”。

14 在出现的选择条件对话框，点击“日期和时间限制”，点击“添加”。

15 在出现的日期和时间限制对话框，选定工作时间区域，点击“允许”，点击“确定”。

16 在指定条件对话框，点击“下一步”。

17 在出现的指定访问权限对话框，选择“已授予访问权限”，点击“下一步”。

8 在出现的配置身份验证方法对话框，保持默认选择，点击“下一步”。

注意：使用Microsoft加密身份验证版本1和2，都支持用户密码过期后更改密码。

19 在出现的配置约束对话框，保持默认设置，点击“下一步”

20 在出现的配置设置对话框，点中“IP设置”，可以看到能够设置数据包筛选，点击“下一步”。

21 在出现的正在完成新建网络策略对话框，点击“完成”。

22 在RemotePC上，使用域用户“hanLG”拨入，点击“连接”。

23 可以看到能够连接成功。可以断定该连接使用的刚才创建的网络策略。

24 在DCServer上，将“韩立刚”帐户设置成“用户下次登录时必须更改密码”，点击“确定”。

25 在RemotePC上，再次使用“hanLG”帐户拨入，出现“更改密码”对话框，输入新密码和确认新密码，点击“确定”。

26 在服务器RASServer上更改系统时间为非工作时间。

27 在RemotePC上，再次拨入，出现对话框，提示“由于服务器上配置的某个策略，连接被阻止”。

28、通过上述操作之后，用户就可以轻松地在windows2008系统下开启网络访问功能，只要有存在威胁的计算机要连接入网时，就会受到win2008网络访问保护功能的控制，以免将病毒传染给其他计算机，保证了局域网内的网络安全。

Windows server 2008发布于08年2月份，是微软网络接入保护(NAP)计划的组成部分，它拥有微软期待已久的专有网络访问控制架构。本文将讲解NAP在安装过程中需要配置的内容。但是，考虑到微软的Forefront软件或第三方NAP相关附加产品本身有很多的特性和功能，因此我们所讲解的只是一个简单的配置，以及部分NAP功能。

　　我们先打开Network Policy Server然后在下拉框里面配置NAP：

　　注意到它支持各种不同的网络连接方法，包括DHCP，8021x和***。可以选择任何一种连接方法，它们都可以使端点连接到受保护的网络，然后给予该选择一个名称。在配置界面底部提供了帮助文件，这些文件说明了一些在安装过程中的需求。它们不同于一般的帮助文件，不仅非常好的描述了该网络基础架构中需要的元素，而且指出了哪些元素是系统不支持的。

　　例如，有线8021X就可以使该向导建立连接请求策略以及健康配置NAP网络系统。

　　8021x使用的NAP enforcement

　　基于端口的网络访问控制8021x使用的NAP enforcement客户端的部署是基于运行在网络策略服务器(NPS)和EAP enforcement主客户端组件之上的。使用基于8021x的NAP enforcement客户端，NPS服务器可以指示一个8021X认证交换机和兼容8021X的无线接入点,从而调整不符合8021x网络的客户端。NPS服务器通过运用IP过滤器和虚拟局域网连接标识符，可以限制客户端的网络接入。 8021x的enforcement客户端通过访问8021x的服务器，对所有访问网络的计算机提供强大的网络访问限制。

　　有线8021x的需求

　　要部署基于有线8021x的NAP，你必须作以下配置：

　　需要配置NPS连接请求策略，网络策略，和NAP健康策略。你可以使用NPS控制台来配置这些策略，也可以使用新的网络访问保护(NNAP)向导。

　　安装和配置8021x的认证交换机。

　　保证可以使用NAP,并且客户端使用EAP enforcement验证机制，并且保证客户端的NAP服务开启。

　　根据你的NAP部署来配置Windows安全健康验证器(WSHV)或安装和配置其他健康系统(SHAs)。

　　如果你使用了智能卡或证书来进行PEAP-TLS或EAP-TLS与TLS验证的，需要使用活动目录的证书服务(AD CS)来部署一个公共密钥基础设施(PKI)。

　　如果你使用PEAP-MS-CHAP第二版，需要使用AD CS来进行服务器端的认证或者从其它受信的根证书颁发机构购买服务器认证。

　　无线8021x的需求

　　要部署基于无线8021x的NAP，你必须作以下配置：

　　需要配置NPS连接请求策略，网络策略，和NAP健康策略。你可以使用NPS控制台来配置这些策略，也可以使用新的网络访问保护(NNAP)向导。

　　安装和配置8021x的无线访问接入点。

　　保证可以使用NAP,并且客户端使用EAP enforcement验证机制。

　　根据你的NAP部署来配置Windows安全健康验证器(WSHV)或安装和配置其他健康系统(SHAs)。

　　在这一点上，如果为了达到测试目的，我建议你选择DHCP。配置一个独立的Windows Server 2008服务器并选择了8021x的连接可能会带来很多问题。微软的网站上支持页面有关于PEAP-TLS身份验证和Windows Server 2008的更多信息。

　　接下来，添加一个RADIUS客户端节点，比如身份验证交换机。它们不是客户端PC，但其他任何用户的身份验证过程都需要与RADIUS服务器对话。

　　其次，建立一个有相同策略要求的组，比如客户工作人员或者人力资源工作人员。这些群体必须已经建立在Active Directory(活动目录)中。可以到Manager/Configuration/Groups部分然后增加这些组。

　　下一步是建立一个修复服务器组来存储更新软件和修复不符合策略要求客户端电脑。也可以包括一个URL，为没过通过评估用户提供相关信息，使其到达评价标准，如下图所示：

　　下一步是建立一个健康策略，使用的是NAP服务器的健康验证器。在此屏幕上，有一个选项，用于确定PC不通过审核后将会怎样：它可以只能访问受限网站，或者被获准进入所有网络。(注意这两个选项在下面的屏幕截图屏幕底部的复选框)。

　　这就是健康策略定义。点击完成，回到网络策略服务器管理器，在NAP菜单树上，右键系统健康验证器其属性表，如下所示：

　　这里两个标签，分别对应XP客户端和Vista客户端，另外，Vista的标签有更多的项目配置项。那么对于老版本的Windows和非Windows操作系统客户端怎么办呢其实，他们不包括在NAP中。对这些机器进行网络访问管理，必须有额外的第三方软件。

　　在这里，告诉验证器检查每台电脑，确认他们是否打开了防火墙，安装防病毒更新，等等。一旦完成，再次回到策略服务器的策略菜单树，并确保所有的各项策略得到正确设置。这里显示了由向导已经配置的各项网络策略：

　　单击确定，这时你已成功的设置你的第一个NAP服务器!有些服务可能需要调整，以便在开机时它们能正常启动，如果不使用这些服务则不必进行调整。

　　同样，请记住，这只是一个基础的配置。杀毒软件供应商及

　　代理等将需要挂接到该服务器，接下来，你就可以开始体验NAP和Windows Server 2008了。

1在“网络策略服务器”窗口中，展开左侧窗中节点树，右击“网络策略”，选择“新建”。

2在“指定网络策略名称和连接类型”窗口，输入策略名称，选择访问服务器的类型为“远程访问服务器”，单击“下一步”。

3在“指定条件”窗口中，设定的条件与连接请求策略的条件相同。单击“下一步”。

4在“指定访问权限”，窗口，选择“以授予访问权限”，单击“下一步”。

5在“配置身份验证方法”窗口，确保选择了“Microsoft 加密身份验证版本 2 ”，单击“下一步”

6在“配置约束”窗口，使用默认配置，单击“下一步”。

7在“配置设置”窗口，使用默认配置，单击“下一步”。

8在“正在完成新建网络策略”窗口，单击“完成”完成网络策略的建立。

9在“网络策略服务器”窗口中，右击新建的网络策略。选择“上移”。

单这句话意思是”windows ip地址配置“。

体系结构：

IPAM服务器是一台域成员计算机。你无法在Active Directory域控制器上安装IPAM。

一般通过两种方法部署IPAM服务器：

分布式：企业的每个站点都部署IPAM服务器。

集中式：企业仅部署一台IPAM服务器。

扩展资料：

IPAM具有以下规范：

IPAM仅支持运行Windows Server® 2008和更高版本的Microsoft DHCP、DNS、域控制器和网络策略服务器。

IPAM仅支持一个Active Directory林中的域成员服务器。

一台IPAM服务器可以支持多达150台DHCP服务器以及500台DNS服务器。

一台IPAM服务器可以支持多达6000个DHCP作用域以及150个DNS区域。

IPAM可为Windows内部数据库中的10万个用户存储3年的取证数据(IP地址租约、主机MAC地址、用户登录和注销信息)。没有提供数据库清除策略，管理员必须根据需要手动清除数据。IPAM不支持对非Microsoft网络元素的管理和配置。

-IP地址管理

1 安装NWlink IPX/SPX/NetBIOS Compatible Transport Protocol协议。

2 开启Guest账号：右击我的电脑\管理\用户有个Guest，双击之去掉“账户已停用”前面的勾。

3 右击我的电脑\属性\计算机名，查看该选项卡中出现的局域网工作组名称名称一致

4 使用winxp防火墙的例外：winxp防火墙在默认状态下是全面启用的，这意味着运行计算机的所有网络连接，难于实现网上邻居共享。同时，由于windows防火墙默认状态下是禁止“文件与打印机共享的”，所以，启用了防火墙，往往不能共享打印，解决办法是：进入“本地连接”窗口，点“高级”\“设置”\“例外”\在程序与服务下勾选“文件和打印机共享”。

5 删除“拒绝从网络上访问这台计算机”项中的guest账户：运行组策略（gpeditmsc）\本地计算机\计算机配置\windows设置\安全设置\本地策略\用户权利指派\拒绝从网络访问这台计算机。如果其中有guest，则将其删除。（原因是：有时xp的guest是不允许访问共享的）

禁用“帐户：使用空白密码的本地帐户只允许进行控制台登录”

6 取消“使用简单文件共享”方式：资源管理器\工具 --文件夹选项FONT face=Times New Roman>\查看\去掉“使用简单文件共享（推荐）”前面的勾。

7 检查注册表：HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa右边窗口RestrictAnonymous的值是否为0。（默认是0，你可跳过去。如果不行在回到这里；如没有这一项，不管它。）

8 勾选“本地连接\属性\Microsoft网络的文件和打印机共享”。

9 运行服务策略“Servicesmsc”。启动其中的“Clipbook Server”(文件夹服务器)：这个服务允许你们网络上的其他用户看到你的文件夹。当然有时你可把它改为手动启动，然后再使用其他程序在你的网络上发布信息。

10 无法启动Clipbook服务。错误1068：依存服务或组无法启动。需要这样的步骤（你可以看他们的依存关系）：首先开启 Network DDE DSDM （如果已开启，进入第二步），其次开启 Network DDE，然后开启 Clipbook。