Verkonkäyttökäytännön (NAP) infrastruktuuri sisältää NAP-asiakastietokoneet, NAP-pakotuspisteet ja NAP-kuntokäytäntöpalvelimet. Valinnaisia osia ovat esimerkiksi korjauspalvelimet ja kuntovaatimuspalvelimet.

NAP-asiakastietokoneet

Jos NAP-asiakas voi käyttää verkkoa, se kerää ensin tietoja kunnostaan paikallisesti asennetuilta järjestelmän kunnossapitoagenteilta (SHA). Kukin asiakastietokoneeseen asennettu järjestelmän kunnossapitoagentti antaa tietoja nykyisistä asetuksista tai toiminnasta, jota se on suunniteltu valvomaan. Paikallisessa tietokoneessa suoritettava palvelu nimeltä NAP-agentti kerää SHA-agenttien tiedot. NAP-agenttipalvelu tekee yhteenvedon tietokoneen kunnon tilasta ja välittää kyseiset tiedot vähintään yhdelle NAP-pakotusasiakkaalle. Pakotusasiakas on ohjelmisto, joka toimii yhdessä NAP-pakotuspisteiden kanssa verkon käyttämistä tai tietojen verkossa vaihtamista varten.

NAP-pakotuspisteet

NAP-pakotuspiste on palvelin tai laite, joka antaa verkkokäyttötason NAP-asiakastietokoneelle. Kukin NAP-pakotustekniikka käyttää eri NAP-pakotuspistetyyppiä. Lisätietoja on seuraavassa taulukossa.

NAP-pakotustapa NAP-pakotuspiste

IPsec (Internet Protocol security)

Kunnonhallinta (HRA) ja verkkokäytäntöpalvelin (NPS)

802.1X

Kytkin (langallinen) tai tukiasema (langaton)

VPN

RRAS

DHCP

DHCP ja NPS

Etätyöpöydän yhdyskäytävä

Etätyöpöydän yhdyskäytävä ja NPS

Kun NAP-pakotuspisteen käyttöjärjestelmä on Windows Server 2008 tai Windows Server 2008 R2, sitä kutsutaan NAP-pakotuspalvelimeksi. Kaikkien NAP-pakotuspalvelimien käyttöjärjestelmän on oltava Windows Server 2008 tai Windows Server 2008 R2. NAP ja 802.1X -pakotuksessa NAP-pakotuspiste on IEEE 802.1X -yhteensopiva kytkin tai langaton tukiasema. IPsec-, DHCP- ja etätyöpöydän yhdyskäytävä -pakotustapojen NAP-pakotuspalvelinten on myös suoritettava verkkokäytäntöpalvelinta, joka on määritetty joko RADIUS-yhdyskäytäväksi tai NAP-kuntokäytäntöpalvelimeksi. NAP ja VPN -pakotus ei edellytä, että VPN-palvelimeen on asennettu verkonkäyttökäytäntöä.

NAP-kuntokäytäntöpalvelimet

NAP-kuntokäytäntöpalvelin on Windows Server 2008- tai Windows Server 2008 R2 -tietokone, jossa on asennettuna NPS-roolipalvelu ja joka on määritetty arvioimaan NAP-asiakastietokoneiden kunto. Kaikki NAP-pakotustekniikat vaativat vähintään yhden kuntokäytäntöpalvelimen. Verkonkäyttökäytännön kuntokäytäntöpalvelin arvioi NAP-asiakastietokoneiden lähettämät verkonkäyttöpyynnöt käytäntöjen ja asetusten avulla.

NAP-korjauspalvelimet

NAP-korjauspalvelimet tarjoavat päivityksiä ja palveluita asiakastietokoneille, jotka eivät ole yhteensopivia. Korjausverkon rakenteesta riippuen myös yhteensopivat tietokoneet saattavat pystyä käyttämään korjauspalvelinta. Seuraavassa on esimerkkejä NAP-korjauspalvelimista:

  • Virustentorjunnan tunnisteiden palvelimet. Jos kuntokäytännöt vaativat, että tietokoneilla on oltava uusimmat olevat virustentorjunnnan tunnisteet, yhteensopimattomien tietokoneiden on pystyttävä käyttämään palvelinta näitä päivityksiä varten.

  • Windows Server Update Services. Jos kuntokäytännöt vaativat, että tietokoneilla on oltava uusimmat tietoturvapäivitykset tai muut ohjelmistopäivitykset, saatat haluta tarjota ne sijoittamalla WSUS-palvelimen korjausverkkoosi.

  • System Centerin osapalvelimet. System Center Configuration Managerin hallintapisteet, ohjelmistopäivityspisteet ja jakelupisteet isännöivät ohjelmistopäivityksiä, joita tarvitaan tietokoneiden yhteensopivuuden saavuttamista varten. Kun otat käyttöön verkonkäyttökäytännön ja kokoonpanon hallinnan, verkonkäyttökäytäntöä tukevien tietokoneiden on käytettävä näitä sivustojärjestelmärooleja suorittavia tietokoneita, jotta ne pystyvät lataamaan asiakaskäytäntönsä, tarkistamaan ohjelmistopäivitysten yhteensopivuuden ja lataamaan tarvittavat ohjelmistopäivitykset.

  • Toimialueen ohjauskoneet. Yhteensopimattomien tietokoneiden on ehkä pystyttävä käyttämään yhteensopimattoman verkon toimialuepalveluita todennusta varten, lataamaan käytäntöjä ryhmäkäytännöltä tai ylläpitämään toimialueprofiiliasetuksia.

  • DNS-palvelimet. Yhteensopimattomien tietokoneiden on pystyttävä käyttämään DNS-palvelinta, jotta ne voivat selvittää isäntänimet.

  • DHCP-palvelimet. Yhteensopimattomien tietokoneiden on pystyttävä käyttämään DHCP-palvelinta, jos asiakkaan IP-profiili yhteensopimattomassa verkossa muuttuu tai DHCP-käyttölupa vanhenee.

  • Vianmäärityspalvelimet. Kun määrität korjauspalvelinryhmän, voi antaa vianmäärityksen URL-osoitteen, jossa on ohjeita, joiden avulla tietokoneet voivat saavuttaa yhteensopivuuden kuntokäytäntöjesi kanssa. Voit antaa eri URL-osoitteen kullekin verkkokäytännölle. Näiden URL-osoitteiden on oltava käytettävissä korjausverkossa.

  • Muut palvelut. Voit mahdollistaa Internetin käyttämisen korjausverkossasi, jotta yhteensopimattomat tietokoneet pystyvät käyttämään korjauspalveluita, kuten Windows Updatea, ja muita Internet-resursseja.

NAP-kuntovaatimuspalvelimet

Kuntovaatimuspalvelin on tietokone, joka antaa kuntokäytäntövaatimukset ja kuntoarviointitiedot vähintään yhdelle järjestelmän kunnon tarkistajalle (SHV). Jos verkkokäytäntöpalvelin pystyy vahvistamaan NAP-asiakastietokoneiden ilmoittaman kuntotilan ilman toisen laitteen apua, kuntovaatimuspalvelinta ei tarvita. Esimerkiksi WSUS-palvelinta ei pidetä kuntovaatimuspalvelimena, kun sitä käytetään yhdessä Windowsin suojausjärjestelmän kunnon tarkistajan (WSHV) kanssa. Vaikka järjestelmänvalvoja voi määrittää WSUS-palvelimen avulla, mitkä päivitykset asiakastietokoneilla on oltava, asiakastietokone ilmoittaa, onko se asentanut kyseiset päivitykset. Tässä skenaariossa WSUS on korjauspalvelin, ei kuntovaatimuspalvelin.

Kuntovaatimuspalvelinta käytetään, jos otat käyttöön verkonkäyttökäytännön ja kokoonpanon hallinnan järjestelmän kunnon tarkistajan. Kokoonpanon hallinnan järjestelmän kunnon tarkistaja muodostaa yhteyden yleiseen luettelopalvelimeen ja tarkistaa asiakkaan kuntotilan tarkistamalla Active Directory -toimialueen palveluihin (AD DS) julkaistun kuntotilaviittauksen. Toimialueen ohjauskone on siis kuntovaatimuspalvelin, jos olet ottanut käyttöön kokoonpanon hallinnan järjestelmän kunnon tarkistajan. Myös muut järjestelmän kunnon tarkistajat saattavat käyttää kuntovaatimuspalvelimia.

Muita aiheita


Sisällys