Ağ Erişim Koruması (NAP) altyapısı NAP istemci bilgisayarlarını, NAP zorlama noktalarını ve NAP sistem durumu ilkesi sunucularını içerir. İsteğe bağlı bileşenler olarak düzeltme sunucuları ve sistem durumu gereksinimi sunucuları bulunabilir.
NAP istemci bilgisayarları
Ağa erişmek için, NAP istemcisi önce, sistem durumu aracıları (SHA) adı verilen ve yerel olarak yüklenen yazılımlardan sistem durumuyla ilgili bilgileri toplar. İstemci bilgisayarda yüklü olan her SHA, geçerli ayarlar veya izlemek üzere tasarlanmış etkinlikle ilgili bilgileri sağlar. SHA'lardan elde edilen bilgiler, yerel bilgisayarda çalışan bir hizmet olan NAP Aracısı tarafından toplanır. NAP Aracısı hizmeti, bilgisayarın sistem durumunu özetler ve bu bilgileri bir veya daha fazla NAP zorlama istemcisine geçirir. Zorlama istemcisi, ağ üzerinde erişmek veya iletişim kurmak için NAP zorlama noktalarıyla etkileşimli çalışan yazılımdır.
NAP zorlama noktaları
NAP zorlama noktası, NAP istemci bilgisayarına bir ağ erişim düzeyi sağlayan bir sunucu veya donanım aygıtıdır. Her NAP zorlama teknolojisi farklı türden bir NAP zorlama noktası kullanır. Aşağıdaki tabloya bakın.
NAP zorlama yöntemi | NAP zorlama noktası |
---|---|
Internet Protokolü güvenliği (IPsec) |
Sistem Durumu Kayıt Yetkilisi (HRA) ve Ağ İlkesi Sunucusu (NPS) |
802.1X |
Anahtar (kablolu) veya kablosuz erişim noktası (kablosuz) |
VPN |
RRAS |
DHCP |
DHCP ve NPS |
Uzak Masaüstü Ağ Geçidi (RD Ağ Geçidi) |
RD Ağ Geçidi ve NPS |
NAP zorlama noktasında Windows Server 2008 veya Windows Server 2008 R2 çalıştırılıyorsa, buna NAP zorlama sunucusu denir. Tüm NAP zorlama sunucularının Windows Server 2008 veya Windows Server 2008 R2 çalıştırıyor olması gerekir. 802.1X zorlama içeren NAP'de, NAP zorlama noktası, IEEE 802.1X uyumlu bir anahtar veya kablosuz erişim noktasıdır. IPsec, DHCP ve RD Ağ Geçidi zorlama yöntemleri için NAP zorlama sunucularının ayrıca, RADIUS proxy olarak veya NAP sistem durumu ilkesi sunucusu olarak yapılandırılmış NPS çalıştırıyor olması gerekir. VPN zorlaması içeren NAP, VPN sunucusunda NPS yüklü olmasını gerektirmez.
NAP sistem durumu ilkesi sunucuları
NAP sistem durumu ilkesi sunucusu, NPS rol hizmeti yüklü olarak Windows Server 2008 veya Windows Server 2008 R2 çalıştıran ve NAP istemci bilgisayarlarının sistem durumunu değerlendirecek şekilde yapılandırılmış bir bilgisayardır. Tüm NAP zorlama teknolojileri için en az bir sistem durumu ilkesi sunucusu gerekir. NAP sistem durumu ilkesi sunucusu, NAP istemci bilgisayarları tarafından gönderilen ağ erişim isteklerini değerlendirmek için ilke ve ayarları kullanır.
NAP düzeltme sunucuları
NAP düzeltme sunucuları, uyumlu olmayan istemci bilgisayarlara güncelleştirmeler ve hizmetler sağlar. Düzeltme ağınızın tasarımına bağlı olarak, düzeltme sunucusuna uyumlu bilgisayarlardan da erişilebilir. NAP düzeltme sunucularına bazı örnekler şunlardır:
-
Virüsten koruma imza sunucuları. Sistem durumu ilkeleri, bilgisayarların yeni bir virüsten koruma imzasına sahip olmasını gerektirirse, uyumlu olmayan bilgisayarların bu güncelleştirmeleri edinmek üzere bir sunucuya erişimi olması gerekir.
-
Windows Server Update Services. Sistem durumu ilkeleri, bilgisayarlarda yeni güvenlik güncelleştirmelerinin veya başka yazılım güncelleştirmelerinin bulunmasını gerektiriyorsa, düzeltme ağınıza WSUS koyarak bunları sağlayabilirsiniz.
-
System Center bileşen sunucuları. System Center Configuration Manager yönetim noktaları, yazılım güncelleştirme noktaları ve dağıtım noktaları, bilgisayarları uyumlu hale getirmek için gereken yazılım güncelleştirmelerini barındırır. Configuration Manager ile NAP dağıttığınızda, NAP özelliğine sahip bilgisayarlar, istemci ilkesini karşıdan yüklemek, yazılım güncelleştirme uyumluluğu taraması yapmak ve gerekli yazılım güncelleştirmelerini karşıdan yüklemek için, bu site sistem rollerini çalıştıran bilgisayarlara erişim gerektirir.
-
Etki alanı denetleyicileri. Uyumlu olmayan bilgisayarlar, Grup İlkesi'nden ilke yüklemek veya etki alanı profil ayarlarını korumak için, kimlik doğrulama amacıyla, uyumlu olmayan ağdaki etki alanı hizmetlerine erişim gerektirebilir.
-
DNS sunucuları. Uyumlu olmayan bilgisayarların, ana bilgisayar adlarını çözümlemek için DNS'e erişimi olması gerekir.
-
DHCP sunucuları. Uyumlu olmayan ağda istemcinin IP profili değişirse veya DHCP kirası sona ererse, uyumlu olmayan bilgisayarların bir DHCP sunucusuna erişimi olması gerekir.
-
Sorun giderme sunucuları. Düzeltme sunucusu grubunu yapılandırırken, bilgisayarların sistem durumu ilkelerinizle nasıl uyumlu hale getirileceğine ilişkin yönergeler içeren bir sorun giderme URL'si sağlama seçeneği sunulur. Her ağ ilkesi için farklı bir URL sağlayabilirsiniz. Bu URL'ler, düzeltme ağında erişilebilir olmalıdır.
-
Diğer hizmetler. Uyumlu olmayan bilgisayarların Windows Update gibi düzeltme hizmetlerine ve diğer Internet kaynaklarına erişebilmesi için, düzeltme ağınızda Internet'e erişim sağlayabilirsiniz.
NAP sistem durumu gereksinimi sunucuları
Sistem durumu gereksinimi sunucusu, bir veya daha fazla sistem durumu doğrulayıcısına (SHV) sistem durumu ilkesi gereksinimlerini ve sistem durumu değerlendirme bilgilerini sağlayan bilgisayardır. NAP istemci bilgisayarları tarafından bildirilen sistem durumu başka bir aygıta başvurmadan NPS tarafından doğrulanabiliyorsa, sistem durumu gereksinimi sunucusuna gerek yoktur. Örneğin, Windows Güvenliği Sistem Durumu Doğrulayıcısı (WSHV) ile birlikte kullanıldığında WSUS, bir sistem durumu gereksinimi sunucusu olarak görülmez. Yönetici, istemci bilgisayarlarda hangi güncelleştirmelerin bulunması gerektiğini belirtmek için WSUS kullanabilir; ancak bu güncelleştirmeleri yükleyip yüklemediğini bildiren istemci bilgisayardır. Bu senaryoda, WSUS bir sistem durumu gereksinimi sunucusu değil, bir düzeltme sunucusudur.
Yapılandırma Yöneticisi SHV ile NAP dağıtırsanız, bir sistem durumu gereksinimi sunucusu kullanılır. Yapılandırma Yöneticisi SHV, Active Directory Etki Alanı Hizmetleri'ne (AD DS) yayımlanan sistem durumu başvurusunu denetleyerek, istemcinin sistem durumunu doğrulamak için bir genel katalog sunucusuyla bağlantı kurar. Dolayısıyla, Yapılandırma Yöneticisi SHV'yi dağıttıysanız, etki alanı denetleyicisi bir sistem durumu gereksinimi sunucusudur. Sistem durumu gereksinimi sunucularını diğer SHV'ler de kullanabilir.