可以使用更新服务器组为不兼容的网络访问保护 (NAP) 客户端指定可用的服务器,以更新其健康状态,从而满足健康要求。所需的更新服务器的类型取决于健康要求和网络访问方法。
更新服务器不仅向不相容的计算机提供更新,还提供不兼容计算机所需的网络服务,以更新这些计算机的健康状态,或在这些计算机处于受限制状态时执行有限的任务。例如,更新服务器可以向已位于不兼容 VLAN 上的计算机提供 DHCP 服务。更新服务器还可以承载向用户提供能使其计算机兼容的说明的网站。
兼容和不兼容的计算机可以同时访问更新服务器,也可以只由不兼容的计算机访问该服务器。提供对更新服务器访问权限的方法取决于 NAP 强制方法。
IPSec 强制
在 Internet 协议安全性 (IPSec) 强制设计中,更新服务器应位于 IPSec 逻辑边界网络中。必须向更新服务器颁发 NAP 豁免证书并配置 IPSec 策略,才能使这些服务器与不兼容的计算机自由通信。如果将 IPSec 强制用于 NAP,则将更新服务器置于 NPS 控制台的更新服务器组中不会影响对这些服务器的访问。
802.1X 强制
在 802.1X 强制设计中,更新服务器的位置取决于是否将虚拟 LAN (VLAN) 或访问控制列表 (ACL) 用于限制不兼客户端的网络访问。NAP 强制点可能同时支持这两种方法,也可能只支持这两种方法中的一种。
-
将 802.1X 强制用于 VLAN。更新服务器必须位于不兼容的 VLAN 上,否则必须通过 VLAN 间路由的方法提供访问权限。若要使兼容的 NAP 客户端计算机也必须能够访问更新服务器,请将更新服务器放置在中继端口或双宿主端口,以提供对多个 VLAN 的访问权限。
-
将 802.1X 强制用于 ACL。限制不兼容的计算机只能访问更新服务器的 IP 地址和服务端口号。
如果将 802.1X 强制用于 NAP,则将更新服务器置于 NPS 控制台的更新服务器组中不会影响对这些服务器的访问。
VPN 强制
在 VPN 强制设计中,有两种方法可用于提供对更新服务器的访问:更新服务器组和 IP 筛选器。可以使用这两种方法为不兼容的 NAP 客户端提供对更新服务器的访问权限。配置更新服务器组时,将自动为不兼容的 NAP 客户端计算机授予对列表中每台服务器的 IP 地址的访问权限。IP 筛选器的新增优点允许您指定只能将访问权限授予指定的服务端口号。
重要 | |
如果在不兼容的网络策略中没有为 VPN 强制配置更新服务器组或 IP 筛选器,将为不兼容的 NAP 客户端计算机授予完整的网络访问权限。 |
DHCP 强制
在 DHCP 强制设计中,为不兼容的 NAP 客户端计算机提供了到达在更新服务器组使用 NPS 控制台配置的每个成员设备的无类别静态主机路由。如果更新服务器所在的子网不同于显示 NAP 客户端的子网,DHCP 服务器将使用默认 NAP 类的“003 路由器”选项为不兼容的计算机提供到达更新服务器的静态主机路由。在此作用域选项中配置的路由设备必须能够将不兼容 NAP 客户端提出的请求转发给更新服务器。还可以使用默认 NAP 类中的作用域选项 121 配置到达更新服务器的无类别静态主机路由。
RD 网关强制
使用远程桌面网关(RD 网关)强制的 NAP 不支持使用更新服务器组。如果需要更新服务器,在将这些服务器连接到 RD 网关强制服务器之前,必须可由客户端计算机访问。