Afhjælpningsservergrupper bruges til at angive de servere, der er tilgængelige for ikke-kompatible NAP-klienter (Network Access Protection), med det formål at afhjælpe deres tilstand, så de overholder tilstandskravene. Hvilken type afhjælpningsserver, der kræves, afhænger af tilstandskravene og metoderne til netværksadgang.
Afhjælpningsservere leverer ikke kun opdateringer til ikke-kompatible computere. De kan også levere de netværkstjenester, som kræves af ikke-kompatible computere for at opdatere tilstanden eller for at udføre et begrænset antal opgaver, mens de er i begrænset tilstand. En afhjælpningsserver kan f.eks. levere DHCP-tjenester til de computere, der er placeret i et ikke-kompatibelt VLAN. Afhjælpningsservere kan også være vært for websteder, der indeholder vejledninger, som brugerne kan følge for at gøre deres computere kompatible.
Afhjælpningsserverne kan enten være tilgængelige for både kompatible og ikke-kompatible computere eller udelukkende for ikke-kompatible computere. Hvilke metoder, der anvendes til at give adgang til afhjælpningsserverne, afhænger af NAP-håndhævelsesmetoden.
IPsec-håndhævelse
I en opsætning med IPsec-håndhævelse (IP-sikkerhed) bør afhjælpningsserverne placeres i det logiske afskærmede IPsec-netværk. Du skal udstede NAP-undtagelsescertifikater til afhjælpningsservere og konfigurer en IPsec-politik, således at de kan kommunikere frit med ikke-kompatible computere. En placering af afhjælpningsserverne i en afhjælpningsservergruppe i NPS-konsollen påvirker ikke adgangen til disse servere, når du bruger NAP med IPsec-håndhævelse.
802.1X-håndhævelse
I en opsætning med 802.1X-håndhævelse afhænger placeringen af afhjælpningsserverne af, om der anvendes virtuelle LAN-netværk (VLAN) eller adgangskontrollister (ACL) til at begrænse netværksadgangen for ikke-kompatible computere. NAP-håndhævelsespunkter understøtter muligvis begge eller kun den ene af disse metoder.
-
802.1X-håndhævelse med VLAN. Afhjælpningsserverne skal placeres i det ikke-kompatible VLAN, eller der skal gives adgang ved hjælp af routingmetoder mellem VLAN. Hvis en afhjælpningsserver også skal være tilgængelig for kompatible NAP-klientcomputere, skal den placeres på en trunkport eller en dual-homed server for at give adgang til flere VLAN.
-
802.1X-håndhævelse med ACL. Ikke-kompatible computeres adgang er begrænset til afhjælpningsservernes IP-adresser og tjenesteportnumre.
En placering af afhjælpningsserverne i en afhjælpningsservergruppe i NPS-konsollen påvirker ikke adgangen til disse servere, når du bruger NAP med 802.1X -håndhævelse.
VPN-håndhævelse
I en opsætning med VPN-håndhævelse kan der gives adgang til afhjælpningsserverne ved hjælp af to metoder: afhjælpningsservergrupper og IP-filtre. Begge metoder kan bruges til at give ikke-kompatible NAP-klienter adgang til afhjælpningsserverne. Når du konfigurerer en afhjælpningsservergruppe, tildeles ikke-kompatible NAP-klientcomputere automatisk adgang til IP-adressen på alle serverne på listen. IP-filtre har desuden den fordel, at de giver dig mulighed for at angive, at der kun skal være adgang til et bestemt tjenesteportnummer.
 | Vigtigt! |
|
Hvis der ikke er konfigureret nogen afhjælpningsservergrupper eller IP-filtre i politikken for VPN-håndhævelse angående ikke-kompatible netværk, gives der ubegrænset adgang til netværket til ikke-kompatible NAP-klientcomputere. |
DHCP-håndhævelse
I en opsætning med DHCP-håndhævelse tildeles de ikke-kompatible NAP-klientcomputere klasseløse statiske værtsruter til hver tilhørende enhed, som er konfigureret i en afhjælpningsservergruppe ved hjælp af NPS-konsollen. Hvis afhjælpningsserverne er placeret på et andet undernet end det, NAP-klienterne befinder sig på, bruger DHCP-serveren indstillingen 003 Router fra standard-NAP-klassen til at tildele ikke-kompatible computere statiske værtsruter til afhjælpningsserverne. Den routingenhed, som er konfigureret i denne områdeindstilling, skal kunne videresende anmodninger fra ikke-kompatible NAP-klienter til afhjælpningsserveren. Du kan også konfigurere klasseløse statiske værtsruter til afhjælpningsserverne ved hjælp af områdeindstillingen 121 i standard-NAP-klassen.
RD Gateway-håndhævelse
NAP med RD Gateway-håndhævelse (Remote Desktop Gateway) understøtter ikke brugen af afhjælpningsservergrupper. Hvis der kræves afhjælpningsservere, skal disse gøres tilgængelige for klientcomputerne før der oprettes forbindelse til RD Gateway-håndhævelsesserveren.