Los grupos de servidores de actualizaciones se usan para especificar los servidores que están disponibles para clientes que no cumplen con la directiva Protección de acceso a redes (NAP) y tienen el propósito de corregir su estado de mantenimiento para que éste cumpla con los requisitos de mantenimiento. Los tipos de servidores de actualizaciones requeridos dependen de sus requisitos de mantenimiento y métodos de acceso a redes.
Los servidores de actualizaciones no solo proporcionan actualizaciones para los equipos no compatibles. También pueden proporcionar servicios de redes que los equipos no compatibles necesitan para poder actualizar el mantenimiento o realizar un conjunto de tareas limitadas mientras permanecen en estado restringido. Por ejemplo, un servidor de actualizaciones puede proporcionar servicios DHCP a los equipos que han sido colocados en una VLAN no compatible. Además, es posible que los servidores de actualizaciones hospeden sitios web que proporcionen instrucciones que los usuarios pueden seguir para hacer que sus equipos sean compatibles.
Los servidores de actualizaciones pueden ser accesibles para los equipos compatibles o no compatibles o solo para los equipos no compatibles. Los métodos usados para proporcionar acceso a los servidores de actualizaciones dependen del método de cumplimiento NAP.
Cumplimiento IPsec
En el diseño del cumplimiento de protocolo de seguridad de Internet (IPsec), los servidores de actualizaciones deben ser colocados en redes de límite lógicas con IPsec. Debe emitir certificados de exención NAP para los servidores de actualizaciones y configurar la directiva IPsec para que puedan comunicarse libremente con los equipos no compatibles. Colocar los servidores de actualizaciones en un grupo de servidores de actualizaciones en la consola NPS no tiene ningún efecto sobre el acceso a dichos servidores cuando usa NAP con cumplimiento IPsec.
Cumplimiento 802.1X
En un diseño de cumplimiento 802.1X, la colocación de servidores de actualización depende de las LANS virtuales (VLANs) o listas de control de acceso (ACLs) que se utilizan para restringir el acceso de red de clientes que no cumplen la directiva. Es posible que los puntos de cumplimiento NAP admitan ambos o uno de estos métodos.
-
Cumplimiento 802.1X con VLANs. Los servidores de actualizaciones se deben colocar en la VLAN no compatible, o bien se debe proporcionar acceso a través de métodos de enrutamiento entre VLAN. Si los servidores de actualizaciones también deben ser accesibles para los equipos cliente compatibles con NAP, el servidor de actualizaciones se coloca en un puerto de enlace o host dual para proporcionar acceso a varias VLANs.
-
Cumplimiento 802.1X con ACL. El acceso de los equipos no compatibles está restringido a las direcciones IP y a los números de puertos de servicio solo de los servidores de actualizaciones.
Colocar servidores de actualizaciones en un grupo de servidores de actualizaciones en la consola NPS no tiene ningún efecto sobre el acceso a dichos servidores cuando usa NAP con cumplimiento 802.1X.
Cumplimiento VPN
En un diseño de cumplimiento VPN, hay dos métodos disponibles para proporcionar acceso a los servidores de actualizaciones: grupos de servidores de actualizaciones y filtros IP. Ambos métodos pueden usarse para proporcionar acceso de los servidores de actualizaciones a los clientes que no cumplen la directiva NAP. Al configurar un grupo de servidor de actualizaciones, se le concede automáticamente acceso a los equipos cliente no compatibles con NAP a la dirección IP de cada servidor de la lista. Los filtros IP cuentan con la ventaja adicional de permitirle especificar que se conceda acceso al número de puerto de servicio especificado.
 | Importante |
|
Si no hay grupos de servidores de actualizaciones o filtros IP configurados en la directiva de redes no compatibles para el cumplimiento VPN, se concede acceso de red completo a los equipos cliente no compatibles con NAP. |
Cumplimiento DHCP
En un diseño de cumplimiento DHCP, se les proporciona a los equipos cliente no compatibles con NAP rutas host estáticas sin clase para cada dispositivo miembro que se configura en un grupo de servidores de actualizaciones utilizando la consola NPS. Si los servidores de actualizaciones están ubicados en una subred diferente a la subred en la que aparecen los clientes NAP, el servidor DHCP usa la opción 003 Router de la clase NAP predeterminada para proporcionarles a los equipos no compatibles rutas de host estáticas para los servidores de actualizaciones. El dispositivo de enrutamiento configurado en esta opción de ámbito debe ser capaz de reenviar solicitudes desde los clientes no compatibles con NAP al servidor de actualizaciones. También puede configurar las rutas host estáticas sin clase a los servidores de actualizaciones mediante la opción 121 en la clase NAP predeterminada.
Cumplimiento de puerta de enlace de Escritorio remoto
NAP con el cumplimiento Puerta de enlace de Escritorio remoto no admite el uso de grupos de servidores de actualizaciones. Si se requieren servidores de actualizaciones, éstos deben estar disponibles en los equipos cliente antes de conectarse al servidor de cumplimiento Puerta de enlace de Escritorio remoto.