Een NAP-infrastructuur (Network Access Protection) bestaat uit NAP-clientcomputers, NAP-uitvoeringspunten en NAP-statusbeleidsservers. Optionele onderdelen zijn herstelservers en statusvereistenservers.

NAP-clientcomputers

Een NAP-client verkrijgt toegang tot het netwerk door eerst informatie over de eigen status op te halen van lokaal geïnstalleerde SHA's (systeemstatusagents) die door software worden aangeroepen. Elke SHA die op de clientcomputer is geïnstalleerd, verschaft informatie over huidige instellingen of activiteiten die zijn ontworpen om te worden gecontroleerd. De gegevens van SHA's worden verzameld door de NAP-agent, wat een service is die op de lokale computer wordt uitgevoerd. De service NAP-agent maakt een samenvatting van de status van de computer en geeft deze informatie door aan een of meer NAP-uitvoeringsclients. Een uitvoeringsclient is software die samenwerkt met NAP-uitvoeringspunten om toegang te krijgen in het netwerk of in het netwerk te communiceren.

NAP-uitvoeringspunten

Een NAP-uitvoeringspunt is een server of hardwareapparaat dat een netwerktoegangsniveau levert aan de NAP-clientcomputer. Elke NAP-uitvoeringstechnologie gebruikt een ander type NAP-uitvoeringspunt. Zie de volgende tabel.

NAP-uitvoeringsmethode NAP-uitvoeringspunt

Internet Protocol Security (IPSec)

Health Registration Authority (HRA) en Network Policy Server (NPS)

802.1X

Switch (bekabeld) of draadloos toegangspunt (draadloos)

VPN

RRAS

DHCP

DHCP en NPS

Extern bureaublad-gateway (RD-gateway)

RD-gateway en NPS

Een NAP-uitvoeringspunt waarop Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd, wordt aangeduid als een NAP-uitvoeringsserver. Op alle NAP-uitvoeringsservers moet Windows Server 2008 of Windows Server 2008 R2 worden uitgevoerd. Bij NAP op basis van 802.1X is het NAP-uitvoeringspunt een IEEE 802.1X-compatibele switch of draadloos toegangspunt. Op NAP-uitvoeringsservers voor de IPsec-, DHCP- en RD-gateway-uitvoeringsmethoden moet bovendien NPS worden uitgevoerd die is geconfigureerd als een RADIUS-proxy of als een NAP-statusbeleidsserver. Bij NAP met VPN-uitvoering is het niet nodig dat NPS op de VPN-server is geïnstalleerd.

NAP-statusbeleidsserver

Een NAP-statusbeleidsserver is een computer waarop Windows Server 2008 of Windows Server 2008 R2 wordt uitgevoerd en de NPS-rolservice is geïnstalleerd en is geconfigureerd om de status van NAP-clientcomputers te evalueren. Alle NAP-uitvoeringstechnologieën vereisen ten minste één statusbeleidsserver. Een NAP-statusbeleidsserver gebruikt beleidsregels en instellingen om netwerktoegangaanvragen te evalueren die worden ingediend door NAP-clientcomputers.

NAP-herstelservers

NAP-herstelservers leveren updates en services aan niet-compatibele clientcomputers. Afhankelijk van het ontwerp van uw herstelnetwerk is een herstelserver mogelijk ook toegankelijk voor compatibele computers. Enkele voorbeelden van NAP-herstelservers zijn:

  • Antivirushandtekeningenservers. Als statusbeleidsregels vereisen dat computers een recente antivirushandtekening hebben, moeten niet-compatibele computers toegang hebben tot een server om deze updates te leveren.

  • Windows Server Update Services. Als statusbeleidsregels vereisen dat computers recente beveiligingsupdates of andere software-updates hebben, kunt u deze leveren door WSUS in uw herstelnetwerk te plaatsen.

  • Servers met System Center-onderdelen. System Center Configuration Manager-beheerpunten, software-updatepunten en distributiepunten dienen als host voor de software-updates die vereist zijn om computers compatibel te maken. Wanneer u NAP met Configuration Manager implementeert, vereisen NAP-computers toegang tot computers waarop deze sitesysteemrollen worden uitgevoerd om hun clientbeleid te downloaden, te controleren op software-updatecompatibiliteit en vereiste software-updates te downloaden.

  • Domeincontrollers. Niet-compatibele computers vereisen mogelijk om verificatieredenen toegang tot domeinservices in het niet-compatibele netwerk, zodat beleidsregels van Groepsbeleid kunnen worden gedownload of domeinprofielinstellingen kunnen worden onderhouden.

  • DNS-servers. Niet-compatibele computers moeten toegang tot DNS hebben om hostnamen te herleiden.

  • DHCP-servers. Niet-compatibele computers moeten toegang hebben tot een DHCP-server als het IP-profiel van een client in het niet-compatibele netwerk wordt gewijzigd of als de DHCP-lease verloopt.

  • Servers voor het oplossen van problemen. Wanneer u een herstelservergroep configureert, hebt u de mogelijkheid een URL voor het oplossen van problemen te leveren. Hiermee worden instructies geleverd over hoe computers compatibel met uw statusbeleidsregels kunnen worden gemaakt. U kunt voor elk netwerkbeleid een andere URL leveren. Deze URL's moeten toegankelijk zijn in het herstelnetwerk.

  • Overige services. U kunt in uw herstelnetwerk toegang tot internet bieden zodat niet-compatibele computers toegang hebben tot herstelservices zoals Windows Update en andere internetbronnen.

NAP-statusvereistenservers

Een statusvereistenserver is een computer die statusbeleidsvereisten en statusevaluatiegegevens biedt aan een of meer systeemstatuscontroles (SHV's). Als de status die door NAP-clientcomputers wordt gerapporteerd, kan worden gevalideerd door NPS zonder een ander apparaat te raadplegen, is er geen statusvereistenserver nodig. WSUS wordt bijvoorbeeld niet als statusvereistenserver beschouwd als deze wordt gebruikt met WSHV (Windows Security Health Validator). Een beheerder kan weliswaar met WSUS opgeven welke updates clientcomputers moeten hebben, maar de clientcomputer rapporteert of deze updates zijn geïnstalleerd. In dit scenario is WSUS een herstelserver, dus niet een statusvereistenserver.

Een statusvereistenserver wordt gebruikt als u NAP implementeert met de SHV van Configuration Manager. De SHV van Configuration Manager maakt contact met een globale-catalogusserver om de status van de client te valideren door de statusverwijzing te controleren die is gepubliceerd naar AD DS (Active Directory Domain Services). Daarom is een domeincontroller een statusvereistenserver als u de SHV van Configuration Manager hebt geïmplementeerd. Andere SHV's kunnen ook statusvereistenservers gebruiken.

Aanvullende naslaginformatie


Inhoudsopgave