تستخدم مجموعات خوادم التحديث في تحديد الخوادم المتوفرة لعملاء "حماية الوصول إلى الشبكة" (Network Access Protection) (NAP) غير المتوافقين بغرض تحديث حالة الحماية لتتوافق مع متطلبات الحماية. يعتمد نوع خوادم التحديث المطلوبة على متطلبات الحماية وأساليب الوصول إلى الشبكة.
لا توفر خوادم التحديث التحديثات لأجهزة الكمبيوتر غير المتوافقة فقط. فيمكنها أيضاً توفير خدمات الشبكة التي تتطلبها أجهزة الكمبيوتر غير المتوافقة من أجل تحديث حالة الحماية أو لتنفيذ مجموعة محددة من المهام أثناء وجودها في حالة مقيدة. على سبيل المثال، قد يوفر خادم التحديث خدمات DHCP لأجهزة الكمبيوتر التي تم وضعها في شبكة محلية ظاهرية (VLAN). وقد تستضيف أيضاً خوادم التحديث مواقع ويب التي توفر إرشادات يمكن للمستخدمين اتباعها كي تكون أجهزة الكمبيوتر الخاصة بهم متوافقة.
يمكن أن تكون خوادم التحديث قابلة للوصول من أجهزة الكمبيوتر المتوافقة وغير المتوافقة أو أجهزة الكمبيوتر غير المتوافقة فقط. تعتمد أساليب توفير الوصول إلى خوادم التحديث على أسلوب فرض NAP.
فرض IPsec
في تصميم فرض "أمان بروتوكول إنترنت" (Internet Protocol security) (IPsec)، يجب وضع خوادم التحديث في الشبكة الفرعية المنطقية الخاصة بـ IPsec. ويجب إصدار شهادات إعفاء NAP إلى خوادم التحديث وتكوين نهج IPsec كي يكون بإمكانها الاتصال بحرية بأجهزة الكمبيوتر غير المتوافقة. لا يكون لوضع خوادم التحديث في إحدى مجموعات خوادم التحديث الموجودة في وحدة تحكم NPS، أي تأثير على الوصول إلى هذه الخوادم عند استخدام NAP مع فرض IPsec.
فرض 802.1X
في تصميم فرض 802.1X، يعتمد وضع خوادم التحديث على ما إذا كان قد تم استخدام الشبكات المحلية الظاهرية (VLANs) أو قوائم التحكم بالوصول (ACLs) في تقييد وصول العملاء غير المتوافقين إلى الشبكة. قد تدعم خوادم فرض NAP كلاً من هذين الأسلوبين أو أحدهما فقط.
-
802.1X enforcement with VLANs. يجب وضع خوادم التحديث على VLAN غير المتوافقة أو يجب توفير الوصول من خلال أساليب توجيه داخلية لـ VLAN. وإذا كان يجب أن تكون خوادم التحديث قابلة للوصول بواسطة أجهزة كمبيوتر عميل NAP المتوافقة، يتم وضع خادم التحديث على منفذ trunking "مشترك" أو على خادم ثنائي الواجهة لتوفير الوصول لشبكات VLANs متعددة.
-
802.1X enforcement with ACLs. يتم تقييد وصول أجهزة الكمبيوتر غير المتوافقة على عناوين IP وأعداد منافذ الخدمة الخاصة بخوادم التحديث فقط.
لا يكون لوضع خوادم التحديث في إحدى مجموعات خوادم التحديث الموجودة في وحدة تحكم NPS، أي تأثير على الوصول إلى هذه الخوادم عند استخدام NAP مع فرض 802.1X.
فرض VPN
في تصميم فرض VPN، يتوفر أسلوبان لتوفير الوصول إلى خوادم التحديث: مجموعات خوادم التحديث وعوامل تصفية IP. يمكن استخدام كل من هذين الأسلوبين لتوفير حق الوصول إلى خوادم التحديث لعملاء NAP غير المتوافقين. فعند تكوين مجموعة من خوادم التحديث، يتم منح حق الوصول إلى عنوان IP الخاص بكل خادم موجود في القائمة تلقائياً لأجهزة كمبيوتر عملاء NAP غير المتوافقة. ويكون لعوامل تصفية IP الميزة المضافة التي تسمح لك بتحديد منح حق الوصول إلى رقم منفذ خدمة معين فقط.
 | هام |
|
إذا لم يتم تكوين أي مجموعات من خوادم التحديث أو عوامل تصفية IP في نهج شبكة غير متوافقة لفرض VPN، فسيتم منح حق الوصول الكامل إلى الشبكة لأجهزة كمبيوتر عملاء NAP غير المتوافقة. |
فرض DHCP
في تصميم فرض DHCP، يتم توفير مسارات مضيف ثابتة بدون فئة لكل جهاز عضو تم تكوينه في مجموعة خوادم التحديث عن طريق استخدام وحدة تحكم NPS، لأجهزة كمبيوتر عملاء NAP غير المتوافقة. فإذا تم وضع خوادم التحديث في شبكة فرعية مختلفة عن الشبكة الفرعية التي يظهر فيها عملاء NAP، فسيستخدم خادم DHCP الخيار (003 Router) الموجود في فئة NAP الافتراضية لتوفير مسارات مضيف ثابتة إلى خوادم التحديث لأجهزة الكمبيوتر غير المتوافقة. يجب أن يكون جهاز التوجيه المكون في هذا النطاق قادراً على إعادة توجيه الطلبات من عملاء NAP غير المتوافقين إلى خوادم التحديث. يمكنك أيضاً تكوين مسارات مضيف ثابتة بدون فئة إلى خوادم التحديث عن طريق استخدام خيار النطاق (121) في فئة NAP الافتراضية.
فرض RD Gateway
لا تدعم NAP المزودة بفرض "بوابة سطح المكتب البعيد" (Remote Desktop Gateway) (RD Gateway) استخدام مجموعات خوادم التحديث. وإذا كانت خوادم التحديث مطلوبة، فيجب أن تكون متوفرة لأجهزة الكمبيوتر العميلة فبل الاتصال بخادم فرض RD Gateway.