Reparationsservergrupper används för att ange servrar som är tillgängliga för icke-kompatibla NAP-klienter (Network Access Protection) för att reparera klienternas hälsotillstånd så att de uppfyller hälsokraven. Vilken typ av reparationsservrar som krävs beror på dina hälsokrav och nätverksåtkomstmetoder.
Reparationsservrar förser inte bara icke-kompatibla datorer med uppdateringar. De tillhandahåller också nätverkstjänster som icke-kompatibla datorer behöver för att uppdatera hälsotillståndet eller för att utföra en begränsad uppsättning aktiviteter medan de befinner sig i begränsat tillstånd. En reparationsserver kan exempelvis överföra DHCP-tjänster till datorer som har placerats på ett icke-kompatibelt VLAN. Reparationstjänster kan också vara värdar för webbplatser som ger användare instruktioner för att göra datorerna kompatibla.
Reparationsservrar kan vara tillgängliga för både kompatibla och icke-kompatibla datorer eller bara för icke-kompatibla datorer. Metoderna för att ge åtkomst till reparationsservrar beror på den tvingande NAP-metoden.
Tvingande IPsec
I en tvingande IPsec-design (Internet Protocol security) ska reparationsservrar placeras i ett logiskt IPsec-skyddat nätverk. Du måste utfärda NAP-undantagscertifikat för reparationsservrar och konfigurera IPsec-principen så att de kan kommunicera fritt med icke-kompatibla datorer. Att placera reparationsservrar i en reparationsservergrupp i NPS-konsolen påverkar inte åtkomsten till servrarna när du använder NAP med tvingande IPsec.
Tvingande 802.1X
I en tvingande 802.1X-design beror placeringen av reparationsservrar på huruvida virtuella LAN-nätverk (VLAN) eller åtkomstkontrollistor (ACL:er) används för att begränsa nätverksåtkomsten för icke-kompatibla klienter. Tvingande NAP-punkter kan fungera med båda eller bara en av metoderna.
-
Tvingande 802.1X med VLAN. Reparationsservrar måste placeras på det icke-kompatibla VLAN-nätverket eller också måste åtkomst tillhandahållas via metoder för routning mellan VLAN. Om reparationsservrar också måste vara tillgängliga för kompatibla NAP-klientdatorer placeras reparationsservern på en trunkerad port eller med två gränssnittsnätverk för att ge åtkomst till flera VLAN-nätverk.
-
Tvingande 802.1X med åtkomstkontrollistor. Åtkomsten för icke-kompatibla datorer är begränsad till endast reparationsservrarnas IP-adresser och tjänstportnummer.
Att placera reparationsservrar i en reparationsservergrupp i NPS-konsolen påverkar inte åtkomsten till servrarna när du använder NAP med tvingande 802.1X.
Tvingande VPN
I en tvingande VPN-design finns det två metoder för att ge åtkomst till reparationsservrar: reparationsservergrupper och IP-filter. Båda metoderna kan användas för att ge icke-kompatibla NAP-klienter åtkomst till reparationsservrar. När du konfigurerar en reparationsservergrupp beviljas automatiskt icke-kompatibla NAP-klientdatorer åtkomst till IP-adressen för varje server i listan. Med IP-filter har du dessutom möjlighet att ange att denna åtkomst endast ska beviljas ett angivet tjänstportnummer.
 | Viktigt! |
|
Om inga reparationsservergrupper eller IP-filter har konfigurerats i en princip för ett icke-kompatibelt nätverk för tvingande VPN, beviljas fullständig nätverksåtkomst till icke-kompatibla NAP-klientdatorer. |
Tvingande DHCP
I en tvingande DHCP-design förses icke-kompatibla NAP-klientdatorer med klasslösa statiska värdvägar till varje medlemsenhet som är konfigurerad i en reparationsservergrupp med NPS-konsolen. Om reparationsservrar är placerade på ett annat undernät än det där NAP-klienterna visas, använder DHCP-servern 003 Router-alternativet från NAP-standardklassen för att ge icke-kompatibla datorer statiska värdvägar till reparationsservrar. Routningsenheten i det här scopealternativet måste kunna vidarebefordra förfrågningar från icke-kompatibla NAP-klienter till reparationsservern. Du kan även konfigurera klasslösa statiska värdvägar till reparationsservrar genom att använda scopealternativ 121 i NAP-standardklassen.
Tvingande fjärrskrivbordsgateway
NAP med tvingande fjärrskrivbordsgateway kan inte användas med reparationsservergrupper. Om reparationsservrar krävs måste de göras tillgängliga för klientdatorer innan anslutningen till den tvingande fjärrskrivbordsgateway-servern.