補救伺服器群組可以用來指定不相容網路存取保護 (NAP) 用戶端可用的伺服器,補救其健康狀態以符合健康情況需求。所需的補救伺服器的類型,依您的健康情況需求與網路存取方法而定。

補救伺服器不僅提供更新給不相容的電腦。更可以提供不相容的電腦所需的網路服務,以便更新其健康情況,或在受限的狀態下,讓這些電腦執行有限的工作集。例如,補救伺服器可提供 DHCP 服務給位於不相容 VLAN 上的電腦。補救伺服器也可主控網站,提供使用者可遵循以使其電腦相容的說明。

相容與不相容電腦都可以存取補救伺服器,或僅由不相容電腦所存取。提供補救伺服器存取權的方法依 NAP 強制方法而定。

IPsec 強制

在網際網路通訊協定安全性 (IPsec) 強制設計中,補救伺服器應位於 IPsec 邏輯界限網路。您必須將 NAP 豁免憑證發給補救伺服器,並設定 IPsec 原則,這樣補救伺服器才能自由地與不相容電腦通訊。將補救伺服器置於 NPS 主控台的補救伺服器群組中,在您搭配 IPsec 強制使用 NAP 時,不會影響這些伺服器的存取。

802.1X 強制

在 802.1X 強制設計中,補救伺服器的放置,是依照虛擬 LAN (VLAN) 或存取控制清單 (ACL) 是否用來限制不相容用戶端的網路存取而定。NAP 強制點可能支援兩者,或僅支援其中一種。

  • 使用 VLAN 的 802.1X 強制。補救伺服器必須位於不相容的 VLAN 中,或是必須透過 VLAN 之間的路由方法提供存取權。若相容的 NAP 用戶端電腦也要存取補救伺服器,則補救伺服器必須位於匯聚連接埠或具有兩張網路卡的主機中,以便讓多個 VLAN 可以進行存取。

  • 使用 ACL 的 802.1X 強制。不相容電腦的存取僅限於補救伺服器的 IP 位址與服務連接埠號碼。

將補救伺服器置於 NPS 主控台的補救伺服器群組中,在您搭配 802.1X 強制使用 NAP 時,不會影響這些伺服器的存取權。

VPN 強制

在 VPN 強制設計中,可用兩種方法來對補救伺服器提供存取:補救伺服器群組和 IP 篩選器。這兩種方法皆可讓不相容的 NAP 用戶端存取補救伺服器。當您設定補救伺服器群組時,會自動授與不相容的 NAP 用戶端電腦,存取清單中每個伺服器的 IP 位址。IP 篩選器可進一步讓您指定該存取僅授與指定的服務連接埠號碼。

重要

不相容的網路原則中,若沒有為 VPN 強制設定補救伺服器群組或 IP 篩選器,則會將完整網路存取權授與不相容的 NAP 用戶端電腦。

DHCP 強制

在 DHCP 強制設計中,會將每個成員裝置的無類別靜態主機路由,提供給不符合標準的 NAP 用戶端電腦,這些成員裝置是使用 NPS 主控台在補救伺服器群組中所設定。若補救伺服器所在的子網路,與 NAP 用戶端所出現子網路不同,則 DHCP 伺服器會從預設 NAP 類別使用 [003 路由器] 選項,將補救伺服器的靜態主機路由提供給不符合標準的電腦。設定為此範圍選項的路由裝置,必須能將不符合標準的 NAP 用戶端要求轉送給補救伺服器。您也可以使用預設 NAP 類別中的範圍選項 121,來設定補救伺服器的無類別靜態主機路由。

RD 閘道強制

具有遠端桌面閘道 (RD 閘道) 強制的 NAP,不支援使用補救伺服器群組。若需要補救伺服器,則必須在連接至 RD 閘道強制伺服器前,先讓用戶端電腦進行存取補救伺服器。

其他參考資料