NAP-infrastruktur

En NAP-klient skal først indsamle oplysninger om sin tilstand fra lokalt installeret software kaldet computertilstandsagenter, før den kan få adgang til netværket. De computertilstandsagenter, som er installeret på klientcomputeren, giver oplysninger om de aktuelle indstillinger eller aktiviteter, de hver især skal overvåge. Oplysningerne fra computertilstandsagenterne indsamles af NAP-agenten, som er en tjeneste, der kører på den lokale computer. NAP-agenttjenesten sammenfatter computerens tilstand og videregiver oplysningerne til en eller flere NAP-håndhævelsesklienter. En håndhævelsesklient er et softwareprogram, som samarbejder med NAP-håndhævelsespunkter om at oprette adgang til eller kommunikere via netværket.

Et NAP-håndhævelsespunkt er en server eller en hardwareenhed, som giver NAP-klientcomputeren et niveau for netværksadgang. Alle NAP-håndhævelsesteknologier bruger forskellige typer NAP-håndhævelsespunkter. Se følgende tabel:

Når et NAP-håndhævelsespunkt kører Windows Server 2008 eller Windows Server 2008 R2, kaldes det en NAP-håndhævelsesserver. Alle NAP-håndhævelsesservere skal køre Windows Server 2008 eller Windows Server 2008 R2. I NAP med 802.1X-håndhævelse er NAP-håndhævelsespunktet enten en IEEE 802.1X-kompatibel switch eller et IEEE 802.1X-kompatibelt trådløst adgangspunkt. NAP-håndhævelsesservere til IPsec-, DHCP- og RD Gateway-håndhævelsesmetoderne skal også køre NPS, der er konfigureret enten som en RADIUS proxy- eller en NAP-tilstandspolitikserver. NAP med VPN-håndhævelse kræver ikke, at NPS er installeret på VPN-serveren.

En NAP-tilstandspolitikserver er en computer, som kører Windows Server 2008 eller Windows Server 2008 R2 med rolletjenesten NPS installeret, og som er konfigureret til at vurdere NAP-klientcomputernes tilstand. Alle NAP-håndhævelsesteknologier kræver mindst en tilstandspolitikserver. En NAP-tilstandspolitikserver bruger politikker og indstillinger til at vurdere de anmodninger om netværksadgang, der sendes fra NAP-klientcomputere.

NAP-afhjælpningsservere leverer opdateringer og tjenester til ikke-kompatible computere. Afhængig af opbygningen af afhjælpningsnetværket, kan der muligvis også være adgang til afhjælpningsserverne fra kompatible computere. Eksempler på NAP-afhjælpningsservere:

• Antivirussignaturservere. Hvis tilstandspolitikkerne kræver, at computerne har en nyere antivirussignatur, skal ikke-kompatible computere have adgang til en server, der leverer disse opdateringer.
  
  
• Windows Server Update Services. Hvis tilstandspolitikkerne kræver, at computerne har de seneste sikkerhedsopdateringer eller andre softwareopdateringer, kan du eventuelt sørge for dette ved at placere WSUS på dit afhjælpningsnetværk.
  
  
• Komponentservere i System Center. Administrationspunkter, softwareopdateringspunkter og distributionspunkter i System Center Configuration Manager indeholder de softwareopdateringer, der er nødvendige for at computerne er fuldt opdaterede. Når du installerer NAP med Configuration Manager, skal de computere, der understøtter NAP, have adgang til de computere, der kører med Configuration Managers områdesystemroller, for at kunne hente klientpolitikken, søge efter nye softwareopdateringer og hente de nødvendige af disse.
  
  
• Domænecontrollere. Ikke-kompatible computere kræver muligvis adgang til domænetjenesterne på det ikke-kompatible netværk i forbindelse med godkendelse for at hente politikker fra Gruppepolitik eller for at vedligeholde indstillingerne for domæneprofilen.
  
  
• DNS-servere. Ikke-kompatible computere skal have adgang til DNS for at oversætte værtsnavne.
  
  
• DHCP-servere. Ikke-kompatible computere skal have adgang til en DHCP-server, hvis klientens IP-profil ændres på det ikke-kompatible netværk eller hvis DHCP-rettigheden udløber.
  
  
• Fejlfindingsservere. Når du konfigurerer en afhjælpningsservergruppe, har du mulighed for at angive en URL-adresse til fejlfinding, hvor der gives oplysninger om, hvad der skal til, for at en computer overholder tilstandspolitikkerne. Du kan angive en URL for hver netværkspolitik. Disse URL skal være tilgængelige på afhjælpningsnetværket.
  
  
• Andre tjenester. Du kan eventuelt sørge for, at der er internetadgang i afhjælpningsnetværket, således at ikke-kompatible computere kan få adgang til afhjælpningstjenester som eksempelvis Windows Update og anden hjælp på internettet.
  
  

En tilstandskravsserver er en computer, som leverer krav fra tilstandspolitikker og oplysninger til brug for tilstandsvurdering til en eller flere computertilstandsvalidatorer. Hvis den tilstand, der rapporteres af NAP-klientcomputerne, kan bekræftes af NPS, uden at andre enheder skal spørges, kræves der ikke en tilstandskravsserver. WSUS opfattes f.eks. ikke som en tilstandskravsserver, når den bruges med Windows-tilstandsvalidator for sikkerhed (WSHV). Selvom en administrator kan bruge WSUS til at angive, hvilke opdateringer klientcomputerne skal have, er det klientcomputeren, der rapporterer, om den har installeret disse opdateringer. I denne situation er WSUS en afhjælpningsserver og ikke en tilstandskravsserver.

En tilstandskravsserver bruges, hvis du installerer NAP med computertilstandsvalidatoren i Configuration Manager. Computertilstandsvalidatoren i Configuration Manager kontakter en global katalogserver for at bekræfte klientens tilstand ved at kontrollere den tilstandsreference, som er udgivet til Active Directory-domænetjenester (AD DS). En domænecontroller er derfor en tilstandskravsserver, hvis du har installeret computertilstandsvalidatoren i Configuration Manager. Andre computertilstandsvalidatorer bruger muligvis også tilstandskravsservere.

• Oversigt over NAP