Infrastruktura architektury NAP (Network Access Protection) zahrnuje klientské počítače NAP, body vynucení NAP (NAP Enforcement Point) a servery zásad stavu NAP. Mezi volitelné součásti patří nápravné servery a servery požadavků na stav systému.
Klientské počítače NAP
Při přístupu k síti klient NAP nejdříve shromáždí informace o stavu systému z místně nainstalovaných agentů stavu systému (SHA). Každý agent stavu systému nainstalovaný v klientském počítači poskytuje informace o aktuálním nastavení nebo aktivitách, k jejichž sledování je určen. Informace od agentů stavu systému jsou shromažďovány službou Agent NAP spuštěnou v místním počítači. Služba Agent NAP shrnuje informace o stavu počítače a předává je jednomu či více klientům vynucení NAP (NAP Enforcement Client). Klient vynucení je software, který spolupracuje s body vynucení NAP při získávání přístupu nebo komunikaci v síti.
Body vynucení architektury NAP (NAP Enforcement Point)
Bod vynucení architektury NAP je server nebo hardwarové zařízení, které zajišťuje úroveň přístupu ke klientským počítačům NAP. Každá technologie vynucení architektury NAP používá jiný typ bodu vynucení architektury NAP. Viz následující tabulka.
Metoda vynucení architektury NAP | Bod vynucení NAP (NAP Enforcement Point) |
---|---|
Protokol IPsec (Internet Protocol security) |
Autorita pro registraci stavu (HRA) a server NPS (Network Policy Server) |
Protokol 802.1X |
Přepínač (drátová síť) nebo bezdrátový přístupový bod (bezdrátová síť) |
Síť VPN |
Služba RRAS |
Protokol DHCP |
Servery DHCP a NPS |
Brána vzdálené plochy (Brána VP) |
Brána VP a server NPS |
Pokud je v bodu vynucení architektury NAP spuštěn systém Windows Server 2008 nebo Windows Server 2008 R2, je označován jako server vynucení architektury NAP. Všechny servery vynucení architektury NAP musí používat systém Windows Server 2008 nebo Windows Server 2008 R2. V architektuře NAP s vynucením pomocí protokolu 802.1X je bodem vynucení architektury NAP přepínač odpovídající standardu IEEE 802.1X nebo bezdrátový přístupový bod. Na serverech vynucení architektury NAP pro metody vynucení pomocí protokolu IPsec, DHCP a služby Brána VP musí být spuštěn také server NPS konfigurovaný buď jako proxy server RADIUS nebo jako server zásad stavu architektury NAP. Architektura NAP s vynucením pro sítě VPN nevyžaduje, aby byl na serveru VPN nainstalován server NPS.
Servery zásad stavu architektury NAP.
Server zásad stavu architektury NAP je počítač se systémem Windows Server 2008 nebo Windows Server 2008 R2 s nainstalovanou službou role serveru NPS, která je nakonfigurována pro vyhodnocování stavu klientských počítačů NAP. Technologie vynucení architektury NAP vyžadují alespoň jeden server zásad stavu. Server zásad stavu architektury NAP vyhodnocuje pomocí zásad a nastavení požadavky na přístup k síti odesílané klientskými počítači architektury NAP.
Nápravné servery architektury NAP
Nápravné servery architektury NAP poskytují aktualizace a služby pro klientské počítače nesplňující požadavky. V závislosti na návrhu nápravné sítě mohou mít k nápravnému serveru přístup také počítače splňující požadavky. Zde je uvedeno několik příkladů nápravných serverů architektury NAP:
-
Servery antivirových podpisů: Pokud zásady stavu vyžadují, aby počítače měly nejnovější antivirový podpis, musí mít počítače nesplňující požadavky přístup k serveru, který poskytuje příslušné aktualizace.
-
Služba Windows Server Update Services: Pokud zásady stavu vyžadují, aby počítače měly nejnovější aktualizace zabezpečení nebo jiné softwarové aktualizace, lze tyto aktualizace poskytnout tak, že do nápravné sítě umístíte službu WSUS.
-
Servery komponent System Center: Body správy, body aktualizace softwaru a distribuční body nástroje System Center Configuration Manager jsou hostiteli aktualizací softwaru potřebných k uvedení počítačů do kompatibilního stavu. Pokud nasadíte architekturu NAP pomocí nástroje Configuration Manager, budou počítače umožňující architekturu NAP vyžadovat přístup k počítačům s těmito rolemi systémového serveru, aby mohli stahovat zásady klientů, ověřovat kompatibilitu softwarových aktualizací a stahovat požadované softwarové aktualizace.
-
Řadiče domény: Počítače nesplňující požadavky mohou vyžadovat přístup k doménovým službám v síti nesplňující požadavky za účelem ověřování, stahování zásad ze zásad skupiny a udržování nastavení profilu domény.
-
Servery DNS: Počítače nesplňující požadavky musí mít přístup k serveru DNS za účelem překladu názvů hostitelů.
-
Servery DHCP: Pokud dojde ke změně profilu IP adresy klienta v nekompatibilní síti nebo k ukončení platnosti zapůjčení adresy DHCP, musí mít počítače nesplňující požadavky přístup k serveru DHCP.
-
Poradce při potížích se servery: Při konfiguraci skupiny nápravných serverů máte možnost zadat adresu URL poradce při potížích s pokyny pro uvedení počítačů do stavu kompatibilního se zásadami stavu. Pro každou zásadu sítě lze zadat jinou adresu URL. K těmto adresám URL musí být přístup v nápravné síti.
-
Další služby: V nápravné síti lze také poskytnout přístup k Internetu, aby měly počítače nesplňující požadavky přístup k nápravným službám, jako je například služba Windows Update, a k jiným prostředkům Internetu.
Servery požadavků na stav systému architektury NAP.
Server požadavků na stav systému je počítač, který poskytuje požadavky na stav systému a informace o vyhodnocení stavu pro jeden či více validátorů stavu systému (SHV), Pokud server NPS může ověřit stav klientských počítačů architektury NAP, aniž by bylo nutné provést konzultaci s jiným zařízením, není server požadavků na stav systému potřebný. Jestliže je například služba WSUS použita s Validátorem stavu zabezpečení systému Windows (WSHV), není považována za server požadavků na stav. Ačkoli správce může použít službu WSUS k určení aktualizací, které klientské počítače musí mít, informace o instalaci těchto aktualizací jsou hlášeny klientským počítačem. V tomto scénáři je WSUS nápravným serverem nikoli serverem požadavků na stav.
Server požadavků na stav systému se používá při nasazení architektury NAP pomocí validátoru stavu systému (SHV) Správce konfigurace. Validátor stavu systému (SHV) Správce konfigurace kontaktuje server globálního katalogu a podle odkazu na stav systému, který je publikován ve službě AD DS (Active Directory Domain Services), ověří stav klienta. Proto je řadič domény při nasazení validátoru stavu systému (SHV) Správce konfigurace serverem požadavků na stav. Servery požadavků na stav mohou být používány i jinými validátory stavu systému (SHV)