En NAP-infrastruktur (Network Access Protection) omfattar NAP-klientdatorer, tvingande NAP-punkter och NAP-hälsoprincipservrar. Valfria komponenter är bland annat reparationsservrar och hälsokravsservrar.

NAP-klientdatorer

För att få åtkomst till nätverket samlar en NAP-klient först in information om hälsotillståndet från lokalt installerad programvara som kallas systemhälsoagenter (SHA). Varje systemhälsoagent på klientdatorn skickar information om aktuella inställningar och aktiviteter som övervakas. Informationen från systemhälsoagenterna samlas in av NAP-agenten, en tjänst som körs på den lokala datorn. NAP-agenttjänsten sammanfattar datorns hälsotillstånd och skickar vidare informationen till en eller flera tvingande NAP-klienter. En tvingande klient är programvara som samverkar med tvingande NAP-punkter för att få åtkomst till eller kommunicera i nätverket.

Tvingande NAP-punkter

En tvingande NAP-punkt är en server eller maskinvaruenhet som ger NAP-klientdatorn en nätverksåtkomstnivå. Varje tvingande NAP-teknik använder en särskild typ av tvingande NAP-punkter. Se tabellen nedan.

Tvingande NAP-metod Tvingande NAP-punkt

IPSec (Internet Protocol Security)

HRA (Health Registration Authority) och NPS (Nätverksprincipserver)

802.1X

Växel (trådbunden) eller trådlös åtkomstpunkt (trådlös)

VPN

RRAS (Routning och fjärråtkomst)

Dynamic Host Configuration Protocol (DHCP)

DHCP och NPS

Fjärrskrivbordsgateway

Fjärrskrivbordsgateway och NPS

När en tvingande NAP-punkt kör Windows Server 2008 eller Windows Server 2008 R2 kallas den en tvingande NAP-server. Alla tvingande NAP-servrar måste köra Windows Server 2008 eller Windows Server 2008 R2. I NAP med tvingande 802.1X är den tvingande NAP-punkten en IEEE 802.1X-kompatibel växel eller trådlös åtkomstpunkt. Tvingande NAP-servrar för de tvingande IPsec-, DHCP- och fjärrskrivbordsgateway-metoderna måste också köra NPS konfigurerad som antingen en RADIUS-proxy eller en NAP-hälsoprincipserver. För NAP med tvingande VPN krävs inte att NPS är installerat på VPN-servern.

NAP-hälsoprincipservrar

En NAP-hälsoprincipserver är en dator som kör Windows Server 2008 eller Windows Server 2008 R2 med NPS-rolltjänsten installerad och konfigurerad för utvärdering av NAP-klientdatorers hälsotillstånd. Alla tvingande NAP-tekniker kräver minst en hälsoprincipserver. En NAP-hälsoprincipserver använder principer och inställningar för att utvärdera förfrågningar om nätverksåtkomst som skickas av NAP-klientdatorer.

NAP-reparationsservrar

NAP-reparationsservrar förser icke-kompatibla klientdatorer med uppdateringar och tjänster. Beroende på hur ditt reparationsnätverk är uppbyggt kan en reparationsserver också vara åtkomlig för kompatibla datorer. Exempel på NAP-reparationsservrar:

  • Virusskyddssignaturservrar. Om hälsoprinciperna kräver att datorer måste ha nya virusskyddssignaturer måste icke-kompatibla datorer ha åtkomst till en server för att tillhandahålla uppdateringarna.

  • WSUS (Windows Server Update Services). Om hälsoprinciperna kräver att datorer ska ha nya säkerhetsuppdateringar eller andra programuppdateringar kan du eventuellt tillhandahålla dem genom att placera WSUS på reparationsnätverket.

  • System Center-komponentservrar. System Center Configuration Manager-hanteringspunkter, programuppdateringspunkter och distributionspunkter är värdar för de programuppdateringar som krävs för att datorerna ska vara kompatibla. När du distribuerar NAP med Konfigurationshanteraren får NAP-kompatibla datorer åtkomst till datorer som kör de här platssystemrollerna för att kunna hämta klientprincipen, söka efter programuppdateringskompatibilitet och hämta de programuppdateringar som krävs.

  • Domänkontrollanter: Icke-kompatibla datorer kan begära åtkomst till domäntjänster på det icke-kompatibla nätverket i autentiseringssyfte, för att hämta principer från Grupprincip eller för att hantera domänprofilinställningar.

  • DNS-servrar. Icke-kompatibla datorer måste ha åtkomst till DNS för att kunna matcha värdnamn.

  • DHCP-servrar. Icke-kompatibla datorer måste ha åtkomst till en DHCP-server om klientens IP-profil ändras på det icke-kompatibla nätverket eller om DHCP-lånet går ut.

  • Felsökningsservrar. När du konfigurerar en reparationsservergrupp har du möjlighet att tillhandahålla en felsöknings-URL med information om hur datorer kan göras kompatibla med hälsoprinciperna. Du kan ge varje nätverksprincip en särskild URL. URL:erna måste vara åtkomliga på reparationsnätverket.

  • Övriga tjänster. Du kan ge åtkomst till Internet i reparationsnätverket så att icke-kompatibla datorer kan komma åt reparationstjänster som Windows Update och andra Internetresurser.

NAP-hälsokravsservrar

En hälsokravsserver är en dator som skickar hälsoprincipkrav och hälsoutvärderingsinformation till en eller flera systemhälsoverifierare (SHV). Om hälsotillståndet som rapporteras av NAP-klientdatorer kan verifieras av NPS utan inblandning av någon annan enhet krävs ingen hälsokravsserver. WSUS betraktas exempelvis inte som en hälsokravsserver när den används med Säkerhetshälsoverifieraren i Windows (WSHV). Även om en administratör kan använda WSUS för att ange vilka uppdateringar klientdatorer måste ha, är det klientdatorn som rapporterar om huruvida uppdateringarna har installerats eller inte. I det fallet fungerar WSUS som en reparationsserver, inte en hälsokravsserver.

En hälsokravsserver används om du distribuerar NAP med systemhälsoverifieraren i Konfigurationshanteraren. Systemhälsoverifieraren i Konfigurationshanteraren kontaktar en global katalogserver för att verifiera klientens hälsotillstånd genom att kontrollera hälsotillståndsreferensen som publiceras på AD DS (Active Directory Domain Services). En domänkontrollant är därför en hälsokravsserver om du har distribuerat systemhälsoverifieraren i Konfigurationshanteraren. Andra systemhälsoverifierare kan också använda hälsokravsservrar.

Ytterligare referenser


Innehåll