Grupy serwerów korygujących

W przypadku wymuszania IPsec serwery korygujące powinny się znajdować w logicznej sieci granicznej protokołu IPsec. Serwerom korygującym należy wystawić certyfikaty wykluczania ochrony dostępu do sieci i skonfigurować zasady IPsec, aby serwery mogły się swobodnie komunikować z niezgodnymi komputerami. Umieszczenie serwerów korygujących w grupie serwerów korygujących w konsoli serwera zasad sieciowych nie ma wpływu na dostęp do tych serwerów, jeśli jest używana ochrona dostępu do sieci z wymuszaniem IPsec.

W przypadku wymuszania metodą 802.1X rozmieszczenie serwerów korygujących zależy od tego, czy do ograniczania dostępu do sieci niezgodnych klientów są używane wirtualne sieci LAN (VLAN) czy listy kontroli dostępu (ACL). Punkty wymuszania ochrony dostępu do sieci mogą obsługiwać obie te metody lub tylko jedną z nich.

• Wymuszanie 802.1X w sieciach VLAN. Serwery korygujące muszą się znajdować w niezgodnej sieci VLAN lub dostęp musi się odbywać za pośrednictwem metod routingu w sieci VLAN. Jeśli serwery korygujące muszą być także dostępne dla zgodnych komputerów klienckich ochrony dostępu do sieci, serwer korygujący znajduje się w porcie typu trunk lub ma dwa połączenia z siecią w celu zapewnienia dostępu do wielu sieci VLAN.
  
  
• Wymuszanie 802.1X z użyciem list ACL. Dostęp do niezgodnych komputerów jest ograniczony do adresów IP i numerów portów usług serwerów korygujących.
  
  

Umieszczenie serwerów korygujących w grupie serwerów korygujących w konsoli serwera zasad sieciowych nie ma wpływu na dostęp do tych serwerów, jeśli jest używana ochrona dostępu do sieci z wymuszaniem 802.1X.

W przypadku wymuszania sieci VPN są dostępne dwie metody zapewniania dostępu do serwerów korygujących: grupy serwerów korygujących i filtry IP. Obie te metody mogą służyć do zapewniania niezgodnym klientom ochrony dostępu do sieci dostępu do serwerów korygujących. Podczas konfigurowania grupy serwerów korygujących niezgodnym komputerom klienckim ochrony dostępu do sieci jest automatycznie udzielany dostęp do adresu IP każdego serwera na liście. Filtry IP mają dodatkową zaletę, ponieważ umożliwiają udzielenie dostępu tylko określonym numerom portów usług.

	Ważne
	Jeśli w zasadzie sieciowej niezgodnych komputerów nie skonfigurowano grup serwerów korygujących ani filtrów IP w celu wymuszania sieci VPN, jest udzielany pełny dostęp sieciowy do niezgodnych komputerów klienckich ochrony dostępu do sieci.

W przypadku wymuszania protokołu DHCP niezgodne komputery klienckie ochrony dostępu do sieci otrzymują statyczne trasy hostów bez klas do poszczególnych urządzeń członkowskich skonfigurowanych w grupach serwerów korygujących za pomocą konsoli serwera zasad sieciowych. Jeśli serwery korygujące znajdują się w podsieci innej niż podsieć, w której występują klienci ochrony dostępu do sieci, serwer DHCP korzysta z opcji routera 003 z domyślnej klasy ochrony dostępu do sieci w celu zapewnienia niezgodnym komputerom statycznych tras hostów do serwerów korygujących. Urządzenie routingu skonfigurowane w tej opcji zakresu musi umożliwiać przesyłanie żądań z niezgodnych klientów ochrony dostępu do sieci do serwera korygującego. Statyczne trasy hostów bez klas do serwerów korygujących można także skonfigurować, korzystając z opcji zakresu 121 w domyślnej klasie ochrony dostępu do sieci.

Ochrona dostępu do sieci z wymuszaniem w bramie usług pulpitu zdalnego nie obsługuje grup serwerów korygujących. Jeśli są wymagane serwery korygujące, muszą zostać udostępnione komputerom klienckim przed nawiązaniem połączenia z serwerem wymuszania w bramie usług pulpitu zdalnego.

• Serwery zasad dotyczących kondycji ochrony dostępu do sieci