创建角色AD、DHCP、NPS

作者：闫欢

Q Q：253408824

一、 准备工作

1. AD Windows Server 2008 R2服务器：创建域帐号和组

硬件需求：

内存：2G以上

硬盘：20G以上

CPU：1.4GHz(X64架构)

2. NPS：通过NPS做访问策略

3. DHCP：验证通过后分配172.16.0.0/24地址,验证不通过分配192.168.0.0/24地址

4. 网络设备华为S5700，业务vlan100，guest vlan90

二、 需求

1、 拓扑图

2、 MAC地址认证配置需求：

用户 MAC认证成功后获取172.16.0.0/24的地址

用户MAC认证失败后获取guest-vlan 192.168.0.0/24的地址

三、 开始配置

首先安装AD 2008 R2，本地网卡IP地址设置为静态

执行命令dcpromo

点击下一步

点击 在新林中新建域 ，下一步

输入要创建的域名，下一步

林功能级别选择Windows Server 2008 R2,下一步

勾选DNS，下一步

下一步……直到安装完成，重启服务器

AD 2008 R2创建成功

四、 创建组， 命名为mac-authen

4.1、修改组策略，将密码策略中“密码必须符合复杂要求”禁用，否则用MAC地址作为密码会不符合组策略要求

在组策略对象右击新建策略，命名为密码策略

在新建的策略上右击选择编辑

点击密码必须符合复杂要求的属性，定义策略设置，选择已禁用

关闭此对话框，返回到组策略管理，在刚刚创建的策略上右键复制，在test.com下粘贴此条策略的链接

关闭后，在运行里输入gpupdate /force，刷新组策略，之后域帐号的密码就可以随意输入了

4.2、创建用户，用户名密码均为12位小写16进制MAC地址，

勾选用户不能更改密码、密码永不过期，下一步，完成

用户属性为通过NPS网络策略控制访问，不回拨

4.3、将用户的mac地址加入到mac-authen组中

此时域相关设置完毕

五、 添加角色 网络策略和访问服务并设置

1、安装角色

下一步，下一步，勾选网络策略服务器

下一步，安装

安装成功，关闭

2、配置NPS策略，

(1)、网络策略新建，名称：mac-authen，下一步

添加条件

选择NAS端口类型，其中普通802.1x连接岁的类型选择Ethernet，确定

再次添加用户组，为mac-authen，下一步，下一步

将默认选项取消，选择未加密身份验证

下一步，下一步，直到完成

RADIUS客户端 新建，将需要做mac地址认证的交换机ip添加，并设置共享机密为test.com

配置完成

六、 安装最后一个角色DHCP服务器，并配置

1、安装角色DHCP

下一步，下一步

父域添加上面创建的test.com，DNS填本机

下一步，下一步，完成

2、配置DHCP服务器

（1）、新建作用域

此作用域供给VLAN 100使用，下一步

起始地址为172.162.0.1，结束地址172.16.0.253,掩码24位

下一步，下一步，配置网关，为172.16.0.254,

配置DNS地址为本机，下一步

下一步，下一步，完成

按照以上方法，再次创建作用域，供给guest vlan 90使用

下一步，下一步，添加网关地址172.16.223.254

添加DNS地址，本机

下一步，下一步，完成

Windows Server 2008 端，所有配置已完毕。