В состав инфраструктуры защиты доступа к сети (NAP) входят клиентские компьютеры NAP, точки NAP, серверы политики работоспособности NAP. К дополнительным компонентам относятся серверы обновлений и серверы состояния работоспособности.

Клиентские компьютеры NAP

Чтобы получить доступ к сети, клиент NAP сначала собирает сведения о работоспособности из локально установленного программного обеспечения, называемого агентами работоспособности системы (SHA). Каждый установленный на клиентском компьютере SHA предоставляет данные о текущих параметрах или действиях, для отслеживания которых он предназначен. Сведения из SHA собираются агентом NAP, который является выполняемой на локальном компьютере службой. Служба агента NAP выводит сводку по состоянию работоспособности компьютера и передает ее одному или нескольким клиентам принудительной защиты доступа к сети. Клиент принудительной защиты - это программное обеспечение, взаимодействующее с точками NAP для доступа к сети или связи с ней.

Точки NAP

Точка NAP является сервером или устройством, предоставляющим клиентскому компьютеру уровень сетевого доступа NAP. Каждая технология принудительной защиты доступа к сети использует различный тип точки NAP. См. следующую таблицу.

Метод применения защиты доступа к сети Точка NAP

IP-безопасность (IPsec)

Центр регистрации работоспособности (HRA) и сервер сетевой политики (NPS)

802.1X

Точка коммутируемого (проводного) или беспроводного доступа (беспроводного)

Виртуальная частная сеть (VPN)

RRAS

DHCP

DHCP и NPS

Шлюз удаленных рабочих столов (шлюз RD)

Шлюз RD и NPS

Если точка NAP работает под управлением Windows Server 2008 или Windows Server 2008 R2, она называется сервером NAP. Все серверы принудительного использования NAP должны работать под управлением Windows Server 2008 или Windows Server 2008 R2. В NAP с принудительным использованием 802.1X точкой NAP является коммутатор с поддержкой IEEE 802.1X или точка беспроводного доступа. Серверы принудительного использования NAP для методов принудительного использования IPsec, DHCP и шлюза RD также должны работать под управлением сервера политики сети, настроенного в качестве прокси-сервера RADIUS или сервера политики работоспособности NAP. Для NAP с принудительным использованием VPN не требуется установка NPS на сервере VPN.

Серверы политики работоспособности NAP

Сервер политики работоспособности NAP - это компьютер, работающий под управлением Windows Server 2008 или Windows Server 2008 R2, на котором установлена и настроена служба роли сервера политики сети (NPS), предназначенная для оценки работоспособности клиентских компьютеров NAP. Для всех технологий применения NAP требуется хотя бы один сервер политики работоспособности. Для оценки запросов на доступ к сети, отправленных клиентскими компьютерами NAP, сервер политики работоспособности NAP использует политики и параметры.

Серверы обновлений NAP

Серверы обновлений NAP предоставляют обновления и службы несовместимым клиентским компьютерам. В зависимости от структуры сети обновлений к серверу обновлений могут обращаться и совместимые компьютеры. Далее приведены примеры серверов обновлений NAP.

  • Серверы сигнатур антивирусов. Если политика работоспособности требует наличия на компьютерах свежей сигнатуры антивирусов, несовместимые компьютеры должны обратиться к серверу для их получения.

  • Службы обновления Windows Server Update Services. Если политика работоспособности требует наличия на компьютерах последних обновлений безопасности или других обновлений ПО, для их предоставления необходимо разместить WSUS в сети обновлений.

  • Серверы компонента System Center. В точках управления System Center Configuration Manager, точках обновления ПО, точках распространения содержатся обновления ПО, необходимые для обеспечения соответствия компьютеров. При развертывании NAP с помощью диспетчера настройки для компьютеров с поддержкой NAP требуется доступ к компьютерам с ролями системы сайта, чтобы загрузить клиентскую политику, выполнить проверку на соответствие обновлениям ПО и загрузить необходимые обновления ПО.

  • Контроллеры домена. Для несовместимых компьютеров может потребоваться доступ к службам доменов в несовместимой сети с целями проверки подлинности, загрузки политик из групповой политики или управления параметрами профилей доменов.

  • DNS-серверы. Для разрешения имен узлов несовместимые компьютеры должны иметь доступ к DNS.

  • Серверы DHCP. Несовместимые компьютеры должны иметь доступ к серверу DHCP, если в несовместимой сети изменяется профиль IP клиента или истекает срок аренды DHCP.

  • Серверы устранения неполадок. При настройке группы серверов обновлений можно указать URL-адрес сервера устранения неполадок, содержащего инструкции об обеспечении совместимости компьютеров с политиками работоспособности. Для каждой сетевой политики можно указать отдельный URL-адрес. Эти адреса должны быть доступны в сети обновлений.

  • Другие службы. В сети обновлений можно организовать доступ в Интернет, чтобы несовместимые компьютеры могли обращаться к службам обновлений, таким как Центр обновлений Windows, и другим интернет-ресурсам.

Сервер состояния работоспособности защиты доступа к сети

Сервер состояния работоспособности - это компьютер, предоставляющий требования политики работоспособности и сведения об оценке работоспособности одному или нескольким средствам проверки работоспособности системы (SHV). Если состояние работоспособности, о котором сообщено клиентскими компьютерами NAP, можно проверить с помощью NPS без обращения к другому устройству, сервер состояния работоспособности не требуется. Например, WSUS не рассматривается в качестве сервера состояния работоспособности, если используется с WSHV. Даже если администратор использует WSUS для указания необходимых обновлений на клиентском компьютере, WSUS представляет собой клиентский компьютер, сообщающий, установлены ли на нем эти обновления. В этом случае WSUS - сервер обновлений, а не сервер состояния работоспособности.

Сервер состояния работоспособности используется при развертывании NAP с SHV диспетчера настройки. SHV диспетчера настройки обращается к серверу глобального каталога для проверки состояния работоспособности клиента путем проверки сведений о состоянии, опубликованных в доменных службах Active Directory Domain Services (AD DS). Поэтому контроллер домена является сервером состояния работоспособности, если развернуто SHV диспетчера настройки. Другие SHV также могут пользоваться серверами состояния работоспособности.

Дополнительные источники информации


Содержание