Herstelservergroepen worden gebruikt om servers op te geven die beschikbaar zijn voor niet-compatibele NAP-clients (Network Access Protection) om hun status zo aan te passen dat deze wel voldoet aan de statusvereisten. Welk type herstelservers vereist is, is afhankelijk van uw statusvereisten en netwerktoegangsmethoden.

Herstelservers bieden niet alleen updates aan niet-compatibele computers. Herstelservers kunnen ook netwerkservices bieden die niet-compatibele computers nodig hebben om hun status bij te werken of om een beperkt aantal taken uit te voeren wanneer er beperkingen gelden. Zo kan een herstelserver DHCP-services bieden aan computers in een niet-compatibel VLAN. Herstelservers kunnen ook als host dienen voor websites die instructies leveren die gebruikers kunnen volgen om hun computer compatibel te maken.

Herstelservers kunnen toegankelijk zijn voor zowel compatibele als niet-compatibele computers of alleen voor niet-compatibele computers. De methoden waarmee toegang tot herstelservers wordt verleend, zijn afhankelijk van de NAP-uitvoeringsmethode.

IPsec-afdwinging

Herstelservers moeten in een IPsec-afdwingingsontwerp (Internet Protocol security) worden geplaatst in het logische IPsec-begrenzingsnetwerk. U moet NAP-uitzonderingscertificaten uitgeven aan herstelservers en IPsec-beleid configureren zodat deze vrij kunnen communiceren met niet-compatibele computers. De plaatsing van herstelservers in een herstelserversgroep in de NPS-console heeft geen invloed op de toegang tot deze servers wanneer u NAP met IPsec-afdwinging gebruikt.

802.1X-afdwinging

In een 802.1X-afdwingingsontwerp is de plaatsing van herstelservers afhankelijk van of virtuele LAN's (VLAN's) of toegangsbeheerlijsten (ACL's) worden gebruikt om de netwerktoegang van niet-compatibele clients te beperken. NAP-uitvoeringspunten kunnen beide of slechts een van beide methoden ondersteunen.

  • 802.1X-afdwinging met VLAN's. Herstelservers moeten in het niet-compatibele VLAN worden geplaatst of de toegang moet worden verleend via inter-VLAN-routeringsmethoden. Als herstelservers eveneens toegankelijk moeten zijn voor compatibele NAP-clientcomputers, wordt de herstelserver geplaatst op een hoofdpoort of dual-homed om toegang tot meerdere VLAN's te bieden.

  • 802.1X-afdwinging met ACL's. Toegang van niet-compatibele computers is beperkt tot alleen de IP-adressen en servicepoortnummers van herstelservers.

De plaatsing van herstelservers in een herstelserversgroep in de NPS-console heeft geen invloed op de toegang tot deze servers wanneer u NAP met 802.1X-afdwinging gebruikt.

VPN-afdwinging

In een VPN-afdwingingsontwerp zijn twee methoden beschikbaar om toegang tot herstelservers te verlenen: herstelservergroepen en IP-filters. Beide methoden kunnen worden gebruikt om niet-compatibele NAP-clients toegang tot herstelservers te verlenen. Wanneer u een herstelservergroep configureert, wordt aan niet-compatibele NAP-clientcomputers automatisch toegang tot het IP-adres van elke server in de lijst verleend. IP-filters hebben bovendien het voordeel dat u hiermee kunt opgeven dat toegang alleen wordt verleend aan een opgegeven servicepoortnummer.

Belangrijk

Als er geen herstelservergroepen of IP-filters zijn geconfigureerd in het netwerkbeleid voor niet-compatibele clients voor VPN-afdwinging, wordt volledige toegang tot het netwerk verleend aan niet-compatibele NAP-clientcomputers.

DHCP-afdwinging

In een DHCP-afdwingingsontwerp krijgen niet-compatibele NAP-clientcomputers klasseloze statische hostroutes naar elk lidapparaat dat met de NPS-console is geconfigureerd in een herstelserversgroep. Als herstelservers zich in een ander subnet bevinden dan het subnet waarin NAP-clients verschijnen, gebruikt de DHCP-server de 003 Router-optie van de standaard-NAP-klasse om niet-compatibele computers te voorzien van statische hostroutes naar herstelservers. Het routeringsapparaat dat is geconfigureerd in deze scope-optie, moet in staat zijn aanvragen van niet-compatibele NAP-clients door te sturen naar de herstelserver. U kunt ook klasseloze statische hostroutes naar herstelservers configureren door scope-optie 121 in de standaard-NAP-klasse te gebruiken.

RD-gatewayafdwinging

NAP met RD-gatewayafdwinging (Remote Desktop, Extern bureaublad) ondersteunt niet het gebruik van herstelservergroepen. Als herstelservers vereist zijn, moeten deze beschikbaar zijn voor clientcomputers voordat een verbinding met de RD-gatewayafdwingingsserver tot stand komt.

Aanvullende naslaginformatie


Inhoudsopgave