In Wartungsservergruppen werden Server angegeben, die nicht kompatiblen NAP-Clients (Network Access Protection, Netzwerkzugriffsschutz) zum Zweck der Wartung des Integritätsstatus zur Verfügung stehen, um die Kompatibilität mit den Integritätsanforderungen herzustellen. Der erforderliche Typ der Wartungsserver ist von den Integritätsanforderungen und den Methoden für den Netzwerkzugriff abhängig.

Auf Wartungsservern werden keine Updates für nicht kompatible Computer bereitgestellt. Es können jedoch Netzwerkdienste bereitgestellt werden, die von nicht kompatiblen Computern zum Aktualisieren der Integrität oder zum Ausführen verschiedener Aufgaben im eingeschränkten Status benötigt werden. Beispielsweise können auf einem Wartungsserver DHCP-Dienste für Computer in einem nicht kompatiblen VLAN bereitgestellt werden. Zudem können auf Wartungsservern auch Websites mit Anweisungen für Benutzer zum Herstellen der Kompatibilität von Computern gehostet werden.

Wartungsserver können für kompatible und nicht kompatible Computer oder nur für nicht kompatible Computers verfügbar sein. Die Methoden für die Erteilung des Zugriffs auf Wartungsserver hängen von der NAP-Erzwingungsmethode ab.

IPsec-Erzwingung

In einem IPsec-Erzwingungsentwurf (Internet Protocol Security, Internetprotokollsicherheit) müssen Wartungsserver im logischen IPsec-Grenznetzwerk platziert werden. Sie müssen für Wartungsserver NAP-Ausnahmezertifikate ausstellen und IPsec-Richtlinien konfigurieren, sodass für diese die uneingeschränkte Kommunikation mit nicht kompatiblen Computern möglich ist. Wenn Sie NAP mit IPsec-Erzwingung verwenden, wirkt sich die Platzierung von Wartungsservern in einer Wartungsservergruppe der NPS-Konsole nicht auf den Zugriff auf diese Server aus.

802.1X-Erzwingung

In einem 802.1X-Erzwingungsentwurf hängt die Platzierung von Wartungsservern davon ab, ob der Netzwerkzugriff nicht kompatibler Clients durch virtuelle lokale Netzwerke (Virtual Local Area Network, VLAN) oder Zugriffssteuerungslisten eingeschränkt wird. NAP-Erzwingungspunkte können eine oder beide Methoden unterstützen.

  • 802.1X-Erzwingung mit VLANs Wartungsserver müssen im nicht kompatiblen VLAN platziert werden, oder der Zugriff muss für diese über VLAN-übergreifende Weiterleitungsmethoden bereitgestellt werden. Wenn Wartungsserver auch für kompatible NAP-Clientcomputer verfügbar sein müssen, wird der Wartungsserver an einem Trunkport platziert oder doppelt gehostet, um den Zugriff auf mehrere VLANs zu erteilen.

  • 802.1X-Erzwingung mit Zugriffssteuerungslisten Der Zugriff nicht kompatibler Computer wird auf die IP-Adressen und Dienstportnummern von Wartungsservern beschränkt.

Wenn Sie NAP mit 802.1X-Erzwingung verwenden, wirkt sich die Platzierung von Wartungsservern in einer Wartungsservergruppe der NPS-Konsole nicht auf den Zugriff auf diese Server aus.

VPN-Erzwingung

In einem VPN-Erzwingungsentwurf stehen zwei Methoden zur Verfügung, mit denen Sie den Zugriff auf Wartungsserver erteilen können: Wartungsservergruppen und IP-Filter. Beide Methoden können verwendet werden, um für nicht kompatible NAP-Clients den Zugriff auf Wartungsserver bereitzustellen. Wenn Sie eine Wartungsservergruppe konfigurieren, wird nicht kompatiblen NAP-Clientcomputern automatisch der Zugriff auf die IP-Adresse jedes einzelnen Servers in der Liste erteilt. IP-Filter bieten den zusätzlichen Vorteil, dass Sie festlegen können, dass der Zugriff nur auf eine bestimmte Dienstportnummer erteilt wird.

Wichtig

Wenn zur VPN-Erzwingung keine Wartungsservergruppen oder IP-Filter in Richtlinien für nicht kompatible Netzwerke konfiguriert werden, wird nicht kompatiblen NAP-Clientcomputern ein nicht eingeschränkter Zugriff erteilt.

DHCP-Erzwingung

In einem DHCP-Erzwingungsentwurf werden nicht kompatiblen NAP-Clientcomputern an der NPS-Konsole klassenlose statische Hostrouten zu den einzelnen in einer Wartungsservergruppe konfigurierten Mitgliedsgeräten bereitgestellt. Wenn sich Wartungsserver in einem anderen Subnetz als die NAP-Clients befinden, verwendet der DHCP-Server die Option 003 Router der NAP-Standardklasse, um nicht kompatiblen Computern statische Hostrouten zu Wartungsservern zur Verfügung zu stellen. Das in dieser Bereichsoption konfigurierte Weiterleitungsgerät muss Anforderungen von nicht kompatiblen NAP-Clients an den Wartungsserver weiterleiten können. Klassenlose statische Hostrouten zu Wartungsservern können Sie auch konfigurieren, indem Sie die Bereichsoption 121 in der NAP-Standardklasse verwenden.

Remotedesktopgateway-Erzwingung

Bei NAP mit Remotedesktopgateway-Erzwingung wird die Verwendung von Wartungsservergruppen nicht unterstützt. Wenn Wartungsserver erforderlich sind, müssen diese für Clientcomputer verfügbar gemacht werden, bevor die Verbindung mit dem Remotedesktopgateway-Erzwingungsserver hergestellt wird.

Weitere Verweise


Inhaltsverzeichnis