网络访问保护 (NAP) 基础结构包括 NAP 客户端计算机、NAP 强制点和 NAP 健康策略服务器。可选组件包括更新服务器和健康要求服务器。
NAP 客户端计算机
若要访问网络,NAP 客户端将首先从本地安装的软件(称为系统健康代理 (SHA))收集有关该客户端健康状况的信息。安装在客户端计算机上的每个 SHA 都提供当前设置或设计用于监视的活动的相关信息。NAP 代理是一种在本地计算机上运行的服务,能够收集来自 SHA 的信息。NAP 代理服务将汇总该计算机的健康状态信息并将此信息传递给一个或多个 NAP 强制客户端。强制客户端是与 NAP 强制点交互以便在网络上进行访问或通信的软件。
NAP 强制点
NAP 强制点是一个服务器或硬件设备,它向 NAP 客户端计算机提供某个级别的网络访问权限。每个 NAP 强制技术都使用不同类型的 NAP 强制点。请参阅下表。
NAP 强制方法 | NAP 强制点 |
---|---|
Internet 协议安全性 (IPSec) |
健康注册机构 (HRA) 和网络策略服务器 (NPS) |
802.1X |
交换机(有线)或无线访问点(无线) |
VPN |
RRAS |
DHCP |
DHCP 和 NPS |
远程桌面网关(RD 网关) |
RD 网关和 NPS |
当 NAP 强制点运行 Windows Server 2008 或 Windows Server 2008 R2 时,即称为 NAP 强制服务器。所有 NAP 强制服务器都必须运行 Windows Server 2008 或 Windows Server 2008 R2。在使用 802.1X 强制的 NAP 中,NAP 强制点是兼容 IEEE 802.1X 的交换机或无线访问点。IPSec、DHCP 和 RD 网关强制方法的 NAP 强制服务器也必须运行配置为 RADIUS 代理或 NAP 健康策略服务器的 NPS。使用 VPN 强制的 NAP 不要求在 VPN 服务器上安装 NPS。
NAP 健康策略服务器
NAP 健康策略服务器是一台运行 Windows Server 2008 或 Windows Server 2008 R2 的计算机,并且已安装和配置了 NPS 角色服务,可用于评估 NAP 客户端计算机的健康状况。所有的 NAP 强制技术至少需要一个健康策略服务器。NAP 健康策略服务器使用策略和设置对 NAP 客户端计算机提交的网络访问请求进行评估。
NAP 更新服务器
NAP 更新服务器能够向不兼容的客户端计算机提供更新和服务。根据更新网络的设计,兼容的计算机也可以访问更新服务器。NAP 更新服务器的示例包括:
-
防病毒签名服务器。如果健康策略要求计算机必须有最新的防病毒签名,则不兼容的计算机必须具有对提供这些更新的服务器的访问权限。
-
Windows Server Update Services。如果健康策略要求计算机必须有最新的安全更新或其他软件更新,可以通过将 WSUS 放置在更新网络上来提供这些更新。
-
System Center 组件服务器。System Center Configuration Manager 管理点、软件更新点和分发点用于承载使计算机兼容所需的软件更新。使用配置管理器部署 NAP 时,支持 NAP 的计算机要求访问运行这些站点系统角色的计算机才能下载其客户端策略、扫描软件更新兼容性以及下载所需的软件更新。
-
域控制器。不兼容的计算机可能会要求访问不兼容网络上的域服务以进行身份验证,以便从组策略下载策略或维护域配置文件设置。
-
DNS 服务器。不兼容的计算机必须具有对 DNS 的访问权限才能解析主机名。
-
DHCP 服务器。当不兼容网络上的客户端 IP 配置文件更改或 DHCP 租用过期时,不兼容的计算机必须具有访问 DHCP 服务器的权限。
-
服务器问题疑难解答。配置更新服务器组时,可以选择提供包含有关如何使计算机符合健康策略的说明的疑难解答 URL。可以为每个网络策略提供不同的 URL。这些 URL 必须能够在更新网络上访问。
-
其他服务。可以在更新网络上提供对 Internet 的访问权限,使不兼容的计算机能够访问更新服务,如 Windows Update 和其他 Internet 资源。
NAP 健康要求服务器
健康要求服务器是能够向一个或多个系统健康验证程序 (SHV) 提供健康策略要求和健康评估信息的计算机。如果 NAP 客户端计算机报告的健康状态能够在不咨询其他设备的情况下通过 NPS 的验证,则不需要健康要求服务器。例如,WSUS 在用于 Windows 安全健康验证程序 (WSHV) 时被认为不是健康要求服务器。即使管理员能够使用 WSUS 指定客户端计算机必须有哪些更新,该客户端计算机仍会报告自己是否已安装了这些更新。在这种情况下,WSUS 将作为更新服务器,而不是健康要求服务器。
使用配置管理器 SHV 部署 NAP 时将使用健康要求服务器。配置管理器 SHV 将联系全局编录服务器,通过检查向 Active Directory 域服务 (AD DS) 发布的健康状态参考来验证客户端的健康状态。因此,部署配置管理器 SHV 后,域控制器将用作健康要求服务器。其他 SHV 也可以使用健康要求服务器。