Architektura NAP (Network Access Protection) obsahuje klientské a serverové součásti umožňující definovat požadované softwarové a systémové konfigurace počítačů, které se připojují k síti. Architektura NAP vynucuje požadavky na stav prověřením a vyhodnocením stavu klientských počítačů, přičemž omezí přístup k síti, pokud jsou klientské počítače nekompatibilní, a provede nápravu nekompatibilních klientských počítačů tak, aby měly neomezený přístup k síti. Architektura NAP vynucuje požadavky na stav u klientských počítačů, které se snaží připojit k síti. Jakmile se kompatibilní klientský počítač připojí k síti, zajišťuje architektura NAP trvalou kompatibilitu jeho stavu.
K vynucení dojde v okamžiku, kdy se klientské počítače snaží získat přístup k síti prostřednictvím serverů pro přístup k síti (což je například server RRAS poskytující služby sítě VPN), nebo kdy se klienti snaží komunikovat s jinými síťovými prostředky.
Vynucení architektury NAP pro sítě VPN je nasazeno pomocí serverové a klientské součásti vynucení sítě VPN. Servery VPN mohou vynutit zásady stavu při pokusu klientského počítače o připojení k síti pomocí připojení VPN. Vynucení sítě VPN poskytuje silně omezený přístup k síti pro všechny počítače, které se k síti připojují prostřednictvím připojení VPN.
 | Poznámka |
Vynucení sítě VPN je odlišné od karanténní kontroly přístupu k síti, což je funkce systému Windows Server 2003 a serveru ISA (Internet Security and Acceleration) 2004. |
Další informace o architektuře NAP naleznete v článcích
Nasazení architektury NAP v sítích VPN
Při nasazení architektury NAP v sítích VPN je třeba provést následující konfiguraci:
- Nainstalujte a nakonfigurujte službu RRAS jako server VPN.
- Na serveru NPS (Network Policy Server) nakonfigurujte servery VPN jako klienty RADIUS. Rovněž nakonfigurujte zásadu vyžádání nového připojení, zásadu sítě a zásadu stavu architektury NAP. Tyto zásady lze jednotlivě nakonfigurovat pomocí konzoly serveru NPS nebo pomocí průvodce architekturou NAP.
- U klientských počítačů s podporou architektury NAP povolte klienta vynucení architektury NAP v sítích VPN a službu NAP.
- Nakonfigurujte validátor stavu zabezpečení systému Windows (WSHV) nebo v závislosti na nasazení architektury NAP nainstalujte a nakonfigurujte jiné agenty stavu systému (SHA) a validátory stavu systému (SHV).
- Pokud používáte protokoly PEAP-TLS nebo EAP-TLS s čipovými kartami nebo certifikáty, nasaďte infrastrukturu veřejných klíčů (PKI) se službou AD CS (Active Directory® Certificate Services).
- Jestliže používáte protokol PEAP-MS-CHAP v2, pomocí služby AD CS vystavte certifikáty serveru, nebo zakupte certifikáty serveru od důvěryhodné kořenové certifikační autority (CA).
Konfigurace zásad vzdáleného přístupu
K vytvoření a konfiguraci zásad vzdáleného přístupu je nutné použít server NPS. Pomocí následujícího postupu nastavíte zásady vzdáleného přístupu a udělíte uživatelům přístup.
Tento postup mohou provést pouze členové místní skupiny Administrators nebo uživatelé s ekvivalentními oprávněními.
 | Postup konfigurace zásad vzdáleného přístupu |
Klikněte pravým tlačítkem myši na položku Protokolování a zásady vzdáleného přístupu a potom na příkaz Spustit server NPS.
Klikněte na možnost Zásady sítě.
Dvakrát klikněte na možnost Připojení k serveru služby Směrování a vzdálený přístup.
Na kartě Přehled klikněte v části Přístupová oprávnění na možnost Udělit přístup a potom klikněte na tlačítko OK.
Další informace
- Konfigurace služby RRAS
Architektura NAP (Network Access Protection) (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?linkid=137284)Server NPS (Network Policy Server) (stránka může být v angličtině) (https://go.microsoft.com/fwlink/?linkid=137283)