I gruppi di server di monitoraggio e aggiornamento consentono di specificare i server che possono essere utilizzati dai client di Protezione accesso alla rete non conformi per monitorare e aggiornare il loro stato di integrità allo scopo di conformarsi ai requisiti di integrità richiesti. Il tipo di server di monitoraggio e aggiornamento dipende dai requisiti di integrità e dai metodi di accesso alla rete.
I server di monitoraggio e aggiornamento non si limitano a fornire aggiornamenti ai computer non conformi. Possono anche offrire i servizi di rete di cui i computer non conformi hanno bisogno per poter aggiornare lo stato di integrità o per eseguire una determinata serie di attività mentre si trovano in stato di limitazione. Un server di monitoraggio e aggiornamento potrebbe, ad esempio, fornire servizi DHCP ai computer che si trovano in una VLAN. I server di monitoraggio e aggiornamento potrebbero inoltre ospitare siti Web che forniscono agli utenti le istruzioni da seguire per rendere conformi i computer.
L'accesso ai server di monitoraggio e aggiornamento può essere concesso solo ai computer non conformi oppure sia a quelli conformi che a quelli non conformi. I metodi per fornire l'accesso ai server di monitoraggio e aggiornamento dipende dal metodo di imposizione di Protezione accesso alla rete.
Imposizione IPSec
Nella progettazione dell'imposizione IPSec, i server di monitoraggio e aggiornamento devono trovarsi nella rete di delimitazione logica IPSec. È necessario rilasciare certificati di esenzione da Protezione accesso alla rete ai server di monitoraggio e aggiornamento e configurare criteri IPSec in modo che i server possano comunicare liberamente con i computer non conformi. L'inserimento di server di monitoraggio e aggiornamento in un gruppo di server di monitoraggio e aggiornamento nella console Server dei criteri di rete non ha alcun effetto sull'accesso a tali server quando si utilizza Protezione accesso alla rete con l'imposizione IPSec.
Imposizione 802.1X
Nella progettazione dell'imposizione 802.1X, la collocazione dei server di monitoraggio e aggiornamento varia a seconda che vengano utilizzati elenchi di controllo di accesso o LAN virtuali (VLAN) per impedire ai client non conformi di accedere alla rete. I punti di imposizione di Protezione accesso alla rete potrebbero supportare entrambi i metodi o solo uno.
-
Imposizione 802.1X con VLAN. I server di monitoraggio e aggiornamento devono trovarsi nella VLAN non conforme oppure è necessario dare l'accesso mediante metodi di routing tra VLAN. Se ai server di monitoraggio e aggiornamento devono poter accedere anche i computer client di Protezione accesso alla rete, il server di monitoraggio e aggiornamento deve essere posto in una porta di tipo trunk o dual-homed.
-
Imposizione 802.1X con elenchi di controllo di accesso. L'accesso dei computer non conformi è limitato agli indirizzi IP e ai numeri di porta per i servizi esclusivamente dei server di monitoraggio e aggiornamento.
L'inserimento di server di monitoraggio e aggiornamento in un gruppo di server di monitoraggio e aggiornamento nella console Server dei criteri di rete non ha alcun effetto sull'accesso a tali server quando si utilizza Protezione accesso alla rete con l'imposizione 802.1X.
Imposizione VPN
Nella progettazione dell'imposizione VPN, vi sono due metodi per garantire l'accesso ai server di monitoraggio e aggiornamento: gruppi di server di monitoraggio e aggiornamento e filtri IP. Entrambi i metodi possono essere utilizzati per consentire ai client di Protezione accesso alla rete non conformi di accedere ai server di monitoraggio e aggiornamento. Quando si configura un gruppo di server di monitoraggio e aggiornamento, ai computer client di Protezione accesso alla rete viene automaticamente consentito di accedere all'indirizzo IP di ogni server dell'elenco. I filtri IP offrono in più il vantaggio di specificare che l'accesso è concesso solo al numero di porta del servizio specificato.
Importante | |
Se non vengono configurati gruppi di server di monitoraggio e aggiornamento o filtri IP nei criteri di rete per l'imposizione VPN, ai computer client di Protezione accesso alla rete non conformi vien concesso accesso completo alla rete. |
Imposizione DHCP
Nella progettazione dell'imposizione DHCP, mediante la console Server dei criteri di rete ai computer client di Protezione accesso alla rete vengono associate route host statiche senza classe a ogni dispositivo membro configurato in un gruppo di server di monitoraggio e aggiornamento. Se i server di monitoraggio e aggiornamento si trovano in una subnet diversa dalla subnet in cui sono presenti i client di Protezione accesso alla rete, il server DHCP utilizza l'opzione 003 Router della classe di Protezione accesso alla rete predefinita per offrire ai computer non conformi route host statiche per i server di monitoraggio e aggiornamento. Il dispositivo di routing configurato in questa opzione deve essere in grado di inoltrare le richieste dai client di Protezione accesso alla rete non conformi al server di monitoraggio e aggiornamento. È inoltre possibile configurare route host statiche senza classe per i server di monitoraggio e aggiornamento utilizzando l'opzione 121 nella classe di Protezione accesso alla rete predefinita.
Imposizione Gateway Desktop remoto
Protezione accesso alla rete con l'imposizione Gateway Desktop remoto non supporta l'utilizzo di gruppi di server di monitoraggio e aggiornamento. Se sono necessari server di monitoraggio e aggiornamento, questi devono essere messi a disposizione dei computer client prima della connessione al server di imposizione Gateway Desktop remoto.