NAP 基礎結構

為了存取網路，NAP 用戶端要先從本機安裝的軟體 (稱為系統健康情況代理程式 (SHA)) 收集其健康情況的相關資訊。每個安裝於用戶端電腦的 SHA，提供其所監視之目前設定或活動的相關資訊。NAP 代理程式會收集來自 SHA 的資訊，此代理程式為本機電腦上執行的服務。NAP 代理程式服務會摘要電腦的健康狀態，然後將此資訊傳送給一或多個 NAP 強制用戶端。強制用戶端是與 NAP 強制端點進行互動的軟體，在網路上進行存取或通訊。

NAP 強制端點是伺服器或硬體裝置，提供 NAP 用戶端電腦某種網路存取等級。每種 NAP 強制隔離技術使用不同類型的 NAP 強制端點。請參閱下表。

當 NAP 強制端點執行 Windows Server 2008 或 Windows Server 2008 R2 時，則被視為 NAP 強制伺服器。所有的 NAP 強制伺服器必須執行 Windows Server 2008 或 Windows Server 2008 R2。在具有 802.1X 的 NAP 中，NAP 強制端點是 IEEE 802.1X 相容的交換器或無線存取點。IPsec、DHCP 以及 RD 閘道強制方法的 NAP 強制伺服器，也必須執行設定為 RADIUS Proxy 或 NAP 健康原則伺服器的 NPS。具有 VPN 強制的 NAP 不需要在 VPN 伺服器上安裝 NPS。

NAP 健康原則伺服器是執行 Windows Server 2008 或 Windows Server 2008 R2 的電腦，且安裝 NPS 角色服務，並設定來評估 NAP 用戶端電腦的健康情況。所有 NAP 強制技術至少需要一部健康原則伺服器。NAP 健康原則伺服器使用原則和設定，來評估由 NAP 用戶端電腦所提交的網路存取要求。

NAP 補救伺服器會將更新與服務提供給不符合標準的用戶端電腦。依照您補救網路的設計而不同，符合標準的電腦也可能存取補救伺服器。NAP 補救伺服器的部分範例包括：

• 防毒簽章伺服器。若健康原則要求電腦必須具有最新的防毒簽章，不符合標準的電腦必須能夠存取提供這些更新的伺服器。
  
  
• Windows Server Update Services。若健康原則需要電腦具有最新的安全性更新或其他的軟體更新，您可在補救網路上放置 WSUS 以提供這些更新。
  
  
• 系統中心元件伺服器。系統中心設定管理員管理點、軟體更新點，以及發佈點主控使電腦成為符合標準的軟體更新。當您使用設定管理員部署 NAP 時，支援 NAP 的電腦需要存取執行這些網站系統角色，才能下載其用戶端原則、掃描軟體更新相容性，以及下載必要的軟體更新。
  
  
• 網域控制站。不符合標準的電腦可能需要存取不符合標準網路的網域服務，才能進行驗證、從群組原則下載原則或維護網域設定檔設定。
  
  
• DNS 伺服器。不符合標準的電腦必須能存取 DNS，才能解析主機名稱。
  
  
• DHCP 伺服器。如果不符合標準網路上的用戶端 IP 設定檔已變更，或 DHCP 租約到期，不符合標準的電腦必須能存取 DHCP 伺服器。
  
  
• 疑難排解伺服器。設定補救伺服器群組時，您可選擇提供疑難排解 URL，說明如何讓電腦符合您的健康原則。您可為每個網路原則提供不同的 URL。補救網路必須能存取這些 URL。
  
  
• 其他服務。您可在補救網路上提供存取網際網路，這樣不符合標準的電腦才能取得補救服務，例如 Windows Update 以及其他網際網路資源。
  
  

健康情況需求伺服器是一部電腦，提供健康原則需求與健康評估資訊給一或多個系統健康情況驗證程式 (SHV)。若 NAP 用戶端電腦所報告的健康狀態可由 NPS 所驗證，而不需查詢其他裝置，則不需要健康情況需求伺服器。例如，與 Windows 安全性健康情況驗證程式 (WSHV) 配合使用時，不會將 WSUS 視為健康情況需求伺服器。雖然管理員可使用 WSUS 來指定用戶端電腦必須具有的更新，但是由用戶端電腦來報告是否已安裝了這些更新。在這個情況下，WSUS 便是一個補救伺服器，而不是健康情況需求伺服器。

若您使用設定管理員 SHV 來部署 NAP 時，則會使用健康情況需求伺服器。設定管理員 SHV 會連絡通用類別目錄伺服器，檢查發佈至 Active Directory 網域服務 (AD DS) 的健康狀態參照，以驗證用戶端的健康狀態。因此，若您已部署設定管理員 SHV，網域控制站便是健康情況需求伺服器。其他 SHV 可能也會使用健康情況需求伺服器。

• NAP 概觀