【TechTarget中国原创】NAQC(Network Access Quarantine Control，网络访问隔离控制)可以阻止从远程地址不受阻碍、自由地访问网络，直到目标计算机已经证明远程计算机的配置可以满足脚本中列出的特定要求和标准。

　　为了使用NAQC，你的远程访问客户必须在Windows 98 Second Edition、Windows千年版、Windows 2000、或Windows XP Home或Windows XP Professional上运行。这些Windows版本支持connectoid，这只是一种拨号上网或者虚拟专用网(VPN)连接形式，位于用户界面中“网络连接”的要素之中，它包括三个基本要素：

• 连接信息，比如远程服务器IP地址、加密要求等等。
• 基线脚本，这是一个简单的批处理文件或程序，用来评定客户机的适配性（可能功能更多一点）。
• 通知人构件，该构件与目的网络的后端机器对话，并协商提高或降低客户机的隔离状态。

　　使用Windows Server 2003中的连接系统管理工具包（CMAK）可以将这三个要素集合为一种形式。此外，你在后端至少需要一台Windows Server 2003机器运行一个经批准的监听部件；出于该指南的目的，我将假设你正在运行Windows Server 2003 Resource Kit中的远程登录隔离代理（通常称为rqs.exe），由于到发稿时为止，这是仅有的一种代理器。最后，你需要一种服从NAQC的RADIUS服务器，比如Windows Server 2003中的Internet验证服务，这样在连接过程中就可以使用指派的特殊RADIUS特性来限制网络访问。这里有一个详细的列表：假设你在来自CMAK的客户机终端上使用的是rqc.exe，并且在来自Resource Kit的后端中使用的是rqs.exe，在这种情况下，连接和隔离过程是如何工作的：

　　1．远程用户连接其计算机，在激活的隔离连接点使用隔离CM connectoid，这是一台运行RRAS的计算机。

　　2．远程用户认证。

　　3．RRAS向RADIUS服务器发送一个RADIUS访问-请求信息——这种情况下，Windows Server 2003计算机运行IAS。

　　4．IAS服务器可以成功地核实远程用户的证书，并且核查其远程访问策略。连接目的需要与隔离策略的配置相匹配。

　　5．虽然接受了连接，但是得有隔离限制在适当的位置。IAS服务器向RRAS发送一个RADIUS访问-接受信息，其中包括MS-Quarantine-IPFilter和MS-Quarantine-Session-Timeout特性。

　　6．远程用户采用RRAS服务器，完成了远程访问连接。包括租用一个IP地址，并建立其它网络设置。

　　7．目前在隔离模式下，RRAS为连接配置MS-Quarantine-IPFilter和MS-Quarantine-Session-Timeout。在这一点上，远程用户只能发送与隔离过滤器相匹配的通信，所有其他的通信都被过滤掉，在运行隔离基线脚本和结果返回给RRAS前，用户只能在几秒钟内，与MS-Quarantine-Session-Timeout特性保持连接。
 
　　8．CMAK形式运行隔离脚本，目前被定义为“后连接行为”。

　　9．隔离脚本运行并检验远程访问客户机的配置是否满足基线。如果满足，脚本使用其命令行参数运行rqc.exe，包括代表正在使用的隔离脚本版本的文字字串。

　　10．rqc.exe向RRAS发送一个通知，表明脚本成功结束。

　　11．rqs.exe在后端接收该通知。

　　12．在RRAS服务器上的监听部件，使用配置在RRAS注册表中的字符串，来检验通知信息中的脚本的版本字符串，并返回表明脚本的版本是否有效的信息。

　　13.如果脚本的版本是可以接受的，rqs.exe调用MprAdminConnectionRemoveQuarantine API，它向RRAS表明，应该从连接中移走MS-Quarantine-IPFilter和MS-Quarantine-Session-Timeout设置，并重新配置正常网络访问的期限。

　　14．一旦这样做，远程用户就可以正常访问网络上的资源。

　　15．rqs.exe在系统事件日志中，创建一个描述隔离连接的事件。