Les groupes de serveurs de mise à jour sont utilisés pour spécifier les serveurs qui sont disponibles pour les clients de la protection d’accès réseau (NAP) non conformes, afin de mettre à jour l’état de leur intégrité et se conformer ainsi aux spécifications d’intégrité. Les types de serveurs de mise à jour qui sont requis dépendent des spécifications d’intégrité et des méthodes d’accès réseau.
Les serveurs de mise à jour ne fournissent pas uniquement des mises à jour aux ordinateurs non conformes. Ils peuvent aussi fournir les services réseau dont les ordinateurs non conformes ont besoin pour actualiser leur intégrité, ou effectuer une série de tâches tandis que le statut dont ils bénéficient est limité. Par exemple, un serveur de mise à jour peut fournir des services DHCP aux ordinateurs qui ont été placés sur un réseau local virtuel (VLAN) non conforme. Les serveurs de mise à jour peuvent également héberger des sites Web fournissant des instructions aux utilisateurs désireux de mettre en conformité leur ordinateur.
Les serveurs de mise à jour peuvent être accessibles aux ordinateurs conformes et non conformes, ou aux ordinateurs non conformes uniquement. Les méthodes qui offrent un accès aux serveurs de mise à jour dépendent de la méthode de contrainte de mise en conformité NAP.
Contrainte IPsec
Dans l’élaboration d’une contrainte IPsec (Internet Protocol security), les serveurs de mise à jour doivent être placés dans le réseau de délimitation logique IPsec. Vous devez délivrer des certificats d’exemption de protection d’accès réseau (NAP) aux serveurs de mise à jour et configurer la stratégie IPsec afin qu’ils puissent communiquer librement avec les ordinateurs non conformes. Le placement de serveurs de mise à jour dans un groupe de serveurs de mise à jour au niveau de la console NPS n’a aucune incidence sur l’accès à ces serveurs lorsque vous utilisez la protection d’accès réseau (NAP) avec la contrainte IPsec.
Contrainte 802.1X
Dans l’élaboration d’une contrainte 802.1X, le placement des serveurs de mise à jour dépend de l’utilisation soit de réseaux locaux virtuels (VLAN), soit de listes de contrôle d’accès (ACL) pour restreindre l’accès au réseau des clients non conformes. Des points de contrainte de mise en conformité NAP peuvent prendre en charge une seule de ces méthodes, ou les deux.
-
Contrainte 802.1X avec VLAN. Les serveurs de mise à jour doivent être placés sur des réseaux locaux virtuels (VLAN) sinon l’accès doit être assuré via des méthodes de routage inter-VLAN. Si des serveurs de mise à jour doivent être également accessibles aux ordinateurs clients NAP conformes, ce type de serveur est placé sur un agrégat de ports ou un système à double hébergement pour assurer un accès à plusieurs réseaux locaux virtuels.
-
Contrainte 802.1X avec ACL. L’accès des ordinateurs non conformes est restreint aux adresses IP et aux numéros de ports de service des serveurs de mise à jour uniquement.
Le placement, au niveau de la console NPS, de serveurs de mise à jour dans un groupe de serveurs de mise à jour n’a aucune incidence sur l’accès à ces serveurs lorsque vous utilisez la protection d’accès réseau (NAP) avec la contrainte 802.1X.
Contrainte VPN
Dans l’élaboration d’une contrainte de réseau privé virtuel (VPN), vous disposez de deux méthodes pour assurer un accès aux serveurs de mise à jour : les groupes de serveurs de mise à jour et les filtres IP. Il est possible d’utiliser ces deux méthodes pour assurer aux clients NAP non conformes un accès aux serveurs de mise à jour. Lorsque vous configurez un groupe de serveurs de mise à jour, les ordinateurs clients NAP non conformes se voient automatiquement octroyés un accès à l’adresse IP de chaque serveur présent dans la liste. Les filtres IP offrent l’avantage supplémentaire de vous permettre d’indiquer que cet accès est uniquement accordé à un numéro de port de service spécifié.
 | Important |
|
Si aucun groupe de serveurs de mise à jour ni aucun filtre IP ne sont configurés dans une stratégie de réseau non conforme pour la contrainte VPN, un accès complet au réseau est octroyé aux ordinateurs clients NAP non conformes. |
Contrainte DHCP
Dans l’élaboration d’une contrainte DHCP, il est attribué aux ordinateurs clients NAP non conformes des itinéraires d’hôtes statiques sans classe à chaque périphérique membre qui est configuré dans un groupe de serveurs de mise à jour à l’aide de la console NPS. Si les serveurs de mise à jour sont situés sur un sous-réseau qui n’est pas celui sur lequel les clients NAP apparaissent, le serveur DHCP utilise l’option « 003 Router » de la classe NAP par défaut pour fournir aux ordinateurs non conformes des itinéraires d’hôtes statiques vers des serveurs de mise à jour. Le périphérique de routage configuré dans cette option d’étendue doit être capable de faire suivre les demandes des clients NAP non conformes jusqu’au serveur de mise à jour. Vous pouvez également configurer des itinéraires d’hôtes statiques sans classe vers des serveurs de mise à jour en utilisant l’option d’étendue 121 dans la classe NAP par défaut.
Contrainte de la passerelle des services Bureau à distance
La protection d’accès réseau (NAP) avec la contrainte de passerelle des services Bureau à distance ne prend pas en charge l’utilisation des groupes de serveurs de mise à jour. Si des serveurs de mise à jour se révèlent nécessaires, ils doivent être mis à la disposition des ordinateurs clients avant la connexion au serveur de contrainte de mise en conformité de la passerelle des services Bureau à distance.