Utbedringsservergrupper brukes til å angi servere som er tilgjengelige for ikke-samsvarende NAP- (Network Access Protection) klienter for formålet å utbedre tilstandsstatusen for å overholde tilstandskravene. Hva slags utbedringsservere som er påkrevd avhenger av tilstandskravene og nettverkstilgangsmetodene.

Utbedringsservere tilbyr ikke bare oppdateringer for ikke-samsvarende datamaskiner. De kan også tilby nettverkstjenester som ikke-samsvarende datamaskiner krever for å oppdatere sin tilstand, eller for å utføre et begrenset sett av oppgaver mens de har en begrenset status. En utbedringsserver kan for eksempel tilby DHCP-tjenester til datamaskiner som er plassert på et ikke-samsvarende VLAN. Utbedringsservere kan også være vert for webområder som tilbyr instruksjoner som brukere kan følge for å gjøre sine datamaskiner samsvarende.

Utbedringsservere kan være tilgjengelige for både samsvarende og ikke-samsvarende datamaskiner eller bare for ikke-samsvarende datamaskiner. Metodene for å tilby tilgang til utbedringsservere avhenger av NAP-håndhevelsesmetoden.

IPsec-håndhevelse

I en design med håndhevelse av Internet Protocol-sikkerhet (IPsec) bør utbedringsservere plasseres i IPsecs logiske grensenettverk. Du må utstede NAP-unntakssertifikater til utbedringsservere og konfigurere IPsec-policyen slik at de kan kommunisere fritt med ikke-samsvarende datamaskiner. Å plassere utbedringservere i en utbedringsservergruppe på NPS-konsollen har ingen betydning for tilgang til disse serverne når du bruker NAP med IPsec-håndhevelse.

802.1X-håndhevelse

I en design med 802.1X-håndhevelse bestemmer utbedringsservernes plassering om virtuelle LAN (VLAN) eller tilgangskontrollister (ACLer) brukes til å begrense nettverkstilgangen til ikke-samsvarende klienter. NAP-håndhevelsespunkter kan støtte begge eller bare én av disse metodene.

  • 802.1X-håndhevelse med VLAN. Utbedringsservere må plasseres på ikke-samsvarende VLAN, eller tilgang må tilbys gjennom rutingsmetoder mellom VLAN. Hvis utbedringsservere også må være tilgjengelige for samsvarende NAP-klientdatamaskiner, plasseres utbedringsserverne på en trunkingport eller dobbeltsendes for å tilby tilgang til flere VLAN.

  • 802.1X-håndhevelse med tilgangskontrollister. Ikke-samsvarende datamaskiners tilgang er begrenset til bare utbedringsserveres IP-adresser og serviceportnumre.

Å plassere utbedringsservere i en utbedringsservergruppe på NPS-konsollen har ingen betydning for tilgang til disse serverne når du bruker NAP med 802.1X-håndhevelse.

VPN-håndhevelse

I en design med VPN-håndhevelse er to metoder tilgjengelige for å tilby tilgang til utbedringsservere: utbedringsservergrupper og IP-filtre. Begge disse metodene kan brukes til å gi ikke-samsvarende NAP-klienter tilgang til utbedringsservere. Når du konfigurerer en utbedringsservergruppe, får ikke-samsvarende NAP-klientdatamaskiner automatisk tilgang til IP-adressen til hver server på listen. IP-filtre har den ekstra fordelen at de gir deg mulighet til å angi at tilgang bare skal tildeles et angitt tjenesteportnummer.

Viktig!

Hvis ingen utbedringsservergrupper eller IP-filtre er konfigurert i en ikke-samsvarende nettverkspolicy for VPN-håndhevelse, gis full nettverkstilgang til ikke-samsvarende NAP-klientdatamaskiner.

DHCP-håndhevelse

I en design med DHCP-håndhevelse tilbys ikke-samsvarende NAP-klientdatamaskiner med klasseløse statiske vertsruter til hver medlemsenhet som er konfigurert i en utbedringsservergruppe ved hjelp av NPS-konsollen. Hvis utbedringsservere er plassert i et annet delnett enn det som NAP-klienter vises på, bruker DHCP-serveren alternativet 003-ruter fra den standard NAP-klassen til å tilby ikke-samsvarende datamaskiner statiske vertsruter til utbedringsservere. Rutingenheten som er konfigurert med dette omfangsalternativet, må være i stand til å videresende forespørsler fra ikke-samsvarende NAP-klienter til utbedringsserveren. Du kan også konfigurere klasseløse statiske vertsruter til utbedringsservere ved å bruke omfangsalternativ 121 i den standard NAP-klassen.

Håndhevelse av RD Gateway

NAP med håndhevelse av Remote Desktop Gateway (RD Gateway) støtter ikke bruk av utbedringsservergrupper. Hvis utbedringsservere er påkrevd, må de gjøres tilgjengelige for klientdatamaskiner før tilkobling til RD Gateway-håndhevelsesserveren.

Flere referanser


Innholdsfortegnelse