Skupiny nápravných serverů se používají k určení serverů, které jsou k dispozici pro klienty architektury NAP (Network Access Protection) nesplňující požadavky za účelem nápravy jejich stavu, aby splňovaly požadavky na stav. Požadované typy nápravných serverů závisí na požadavcích na stav a metodách přístupu k síti.
Nápravné servery neposkytují pouze aktualizace pro počítače nesplňující požadavky. Mohou také poskytovat síťové služba požadované počítači nesplňujícími požadavky za účelem aktualizace jejich stavu nebo provedení omezené skupiny úkolů, když jsou ve stavu omezení. Nápravný server může například poskytovat služby DHCP počítačům, které jsou umístěny v nekompatibilní síti VLAN. Nápravné servery také mohou hostit weby s pokyny pro uživatele, jak zajistit kompatibilitu jejich počítačů.
K nápravným serverům mohou mít přístup kompatibilní i nekompatibilní počítače nebo pouze nekompatibilní počítače. Metody získání přístupu k nápravným serverům závisí na metodě vynucení architektury NAP.
Vynucení protokolu IPsec
Při vynucení protokolu IPsec (Internet Protocol security) je nutné nápravné servery umístit do logické hraniční sítě s protokolem IPsec. Pro nápravné servery je nutné vydat vyjímací certifikáty NAP a nakonfigurovat zásady IPsec tak, aby mohly komunikovat s počítači nesplňujícími požadavky. Umístění nápravných serverů do skupiny nápravných serverů v konzole NPS nemá při použití architektury NAP s vynucením protokolu IPsec žádný vliv na přístup k těmto serverům.
Vynucení protokolu 802.1X
Při vynucení protokolu 802.1X závisí umístění nápravných serverů na tom, zda jsou k omezení přístupu počítačů nesplňujících požadavky k síti používány virtuální sítě LAN (VLAN) nebo seznamy řízení přístupu (ACL). Body vynucení architektury NAP (NAP Enforcement Point) mohou podporovat obě tyto metody nebo pouze jednu z nich.
-
Vynucení protokolu 802.1X se sítěmi VLAN: Nápravné servery je nutné umístit v síti VLAN nesplňující požadavky nebo je nutné zajistit přístup metodami směrování mezi sítěmi VLAN. Pokud je nutné zajistit přístup k nápravným serverům také pro klientské počítače NAP splňující požadavky, je nápravný server umístěn na kmenovém portu nebo portu s dvěma adresami, aby byl zajištěn přístup k více sítím VLAN.
-
Vynucení protokolu 802.1X se seznamy řízení přístupu (ACL): Přístup počítačů nesplňujících požadavky je omezen pouze na IP adresy a čísla portů služby nápravných serverů.
Umístění nápravných serverů do skupiny nápravných serverů v konzole NPS nemá při použití architektury NAP s vynucením protokolu 802.1X žádný vliv na přístup k těmto serverům.
Vynucení sítě VPN
Při vynucení sítě VPN lze pro zajištění přístupu k nápravným serverům použít dvě metody: skupiny nápravných serverů a filtry IP. Obě tyto metody lze použít k zajištění přístupu klientů NAP nesplňujících požadavky k nápravným serverům. Při konfiguraci skupiny nápravných serverů je klientským počítačům NAP nesplňujícím požadavky automaticky udělen přístup k IP adresám všech serverů v seznamu. IP filtry mají výhodu, že umožňují udělit přístup pouze k portu služby s určitým číslem.
 | Důležité informace |
|
Pokud nejsou v síťové zásadě pro klienty nesplňující požadavky pro vynucení sítě VPN konfigurovány žádné skupiny nápravných serverů nebo IP filtry, je klientským počítačům NAP nesplňujícím požadavky udělen úplný přístup k síti. |
Vynucení protokolu DHCP
Při vynucení protokolu DHCP jsou klientským počítačům NAP nesplňujícím požadavky poskytnuty statická hostitelská směrování bez třídy ke každému členskému zařízení, které je pomocí konzoly NPS konfigurováno ve skupině nápravných serverů. Jestliže jsou nápravné servery umístěny v jiné podsíti, než je podsíť s klienty NAP, server DHCP použije možnost 003 Router z výchozí třídy architektury NAP, která počítačům nesplňujícím požadavky poskytne statická hostitelská směrování k nápravným serverům. Zařízení pro směrování konfigurované v této možnosti oboru musí být schopno předávat nápravnému serveru požadavky klientů NAP nesplňujících požadavky. Pomocí možnosti oboru 121 ve výchozí třídě architektury NAP lze také konfigurovat statická hostitelská směrování bez třídy k nápravným serverům.
Vynucení služby Brána VP
Vynucení architektury NAP se službou Brána vzdálené plochy (Brána VP) nepodporuje použití skupin nápravných serverů. Jsou-li vyžadovány nápravné servery, musí být zpřístupněny klientským počítačům před připojením k serveru vynucení služby Brána VP.