Düzeltme sunucusu grupları, sistem durumu gereksinimleriyle uyumlu olmayan Ağ Erişim Koruması (NAP) istemcilerinin sistem durumlarını düzeltmek amacıyla kullanabilecekleri sunucuları belirtmek için kullanılır. Gerekli düzeltme sunucularının türü, sistem durumu gereksinimlerinize ve ağ erişim yöntemlerinize göre değişir.
Düzeltme sunucuları, uyumlu olmayan bilgisayarlara yalnızca güncelleştirmeler sağlamaz. Ayrıca, uyumlu olmayan bilgisayarların sistem durumlarını güncelleştirmek veya sınırlı bir durumdayken bir dizi sınırlı görevi gerçekleştirmek için gereksinim duydukları ağ hizmetlerini de sağlar. Örneğin, bir düzeltme sunucusu, uyumlu olmayan bir VLAN'a yerleştirilmiş bilgisayarlara DHCP hizmetleri sağlayabilir. Düzeltme sunucuları ayrıca, kullanıcıların bilgisayarlarını uyumlu hale getirmek için uygulayabilecekleri yönergeler bulunan Web siteleri de barındırabilir.
Düzeltme sunucularına hem uyumlu hem de uyumsuz bilgisayarlardan erişilebileceği gibi, yalnızca uyumsuz bilgisayarlardan da erişilebilir. Düzeltme sunucularına erişim sağlama yöntemleri, NAP zorlama yöntemine göre değişir.
IPsec zorlama
Internet Protokolü güvenliği (IPsec) zorlaması tasarımında, düzeltme sunucularının IPsec mantıksal sınır ağına yerleştirilmeleri gerekir. Uyumlu olmayan bilgisayarlarla özgürce iletişim kurabilmeleri için, düzeltme sunucularına NAP muafiyet sertifikaları yayımlamanız ve IPsec ilkesini yapılandırmanız gerekir. NPS konsolunda bir düzeltme sunucuları grubuna düzeltme sunucuları yerleştirmenin, IPsec zorlama ile NAP kullanırken bu sunuculara erişim üzerinde etkisi yoktur.
802.1X zorlama
802.1X zorlama tasarımında, düzeltme sunucularının yerleşimi, uyumlu olmayan istemcilerin ağ erişimini kısıtlamak için sanal LAN'lar (VLAN'lar) veya erişim denetim listeleri (ACL'ler) kullanıldığına bağlı olarak değişir. NAP zorlama noktaları bu yöntemlerden her ikisini veya yalnızca birini destekleyebilir.
-
VLAN'lar ile 802.1X zorlama. Düzeltme sunucularının uyumlu olmayan VLAN'a yerleştirilmesi veya VLAN'lar arası yönlendirme yöntemleriyle erişim sağlanması gerekir. Düzeltme sunucularına uyumlu NAP istemci bilgisayarları tarafından da erişilmesi gerekiyorsa, birden çok VLAN'a erişim sağlamak için düzeltme sunucusu bir ana hat bağlantı noktasına yerleştirilebilir veya çift yuvalı kullanılabilir.
-
ACL'ler ile 802.1X zorlama. Uyumlu olmayan bilgisayarların erişimi, yalnızca düzeltme sunucularının IP adresleri ve hizmet bağlantı noktası numaralarıyla sınırlıdır.
NPS konsolunda bir düzeltme sunucuları grubuna düzeltme sunucuları yerleştirmenin, 802.1X zorlama ile NAP kullanırken bu sunuculara erişim üzerinde etkisi yoktur.
VPN zorlama
VPN zorlama tasarımında, düzeltme sunucularına erişim sağlamak için iki yöntem kullanılabilir: düzeltme sunucusu grupları ve IP filtreleri. Uyumlu olmayan NAP istemcilerine düzeltme sunucuları erişimi sağlamak için bu yöntemlerin her ikisi de kullanılabilir. Düzeltme sunucusu grubunu yapılandırırken, uyumlu olmayan NAP istemci bilgisayarlarına otomatik olarak, listedeki her sunucunun IP adresine erişim verilir. IP filtreleri, erişimin yalnızca belirli bir hizmet bağlantı noktası numarasına verilmesini belirtmenize olanak sağlayan ek bir avantaj içerir.
 | Önemli |
|
VPN zorlama için uyumlu olmayan ağ ilkesinde düzeltme sunucusu grupları veya IP filtreleri yapılandırılmazsa, uyumlu olmayan NAP istemci bilgisayarlarına tam ağ erişimi verilir. |
DHCP zorlama
DHCP zorlama tasarımında, uyumlu olmayan NAP istemci bilgisayarlarına, NPS konsolu kullanılarak bir düzeltme sunucuları grubunda yapılandırılan her üye aygıta sınıfsız statik ana bilgisayar yolları sağlanır. Düzeltme sunucuları NAP istemcilerinin göründüğü alt ağdan farklı bir alt ağda bulunuyorsa, DHCP sunucusu, uyumlu olmayan bilgisayarlara düzeltme sunucuları için statik ana bilgisayar yolları sağlamak için varsayılan NAP sınıfından 003 Yönlendiricisi seçeneğini kullanır. Bu bağlam seçeneğinde yapılandırılan yönlendirme aygıtının, uyumlu olmayan NAP isteklerinden gelen talepleri düzeltme sunucularına iletme yeteneği olmalıdır. Düzeltme sunucularına sınıfsız statik ana bilgisayar yollarını ayrıca, varsayılan NAP sınıfındaki bağlam seçeneği 121'i kullanarak da yapılandırabilirsiniz.
RD Ağ Geçidi zorlama
Uzak Masaüstü Ağ Geçidi (RD Ağ Geçidi) zorlaması içeren NAP, düzeltme sunucusu grupları kullanımını desteklemez. Düzeltme sunucuları gerekiyorsa, RD Ağ Geçidi zorlama sunucusuna bağlanmadan önce bunların istemci bilgisayarların kullanımına açılması gerekir.