Группы серверов обновлений используются для указания серверов, доступных несовместимым клиентам защиты доступа к сети (NAP), для обновления их состояния работоспособности, которое должно соответствовать требованиям работоспособности. Тип необходимых серверов зависит от требований к работоспособности и способов доступа к сети.

Серверы обновлений не только предоставляют обновления для несовместимых компьютеров. Они также предлагают сетевые службы, требуемые для обновления работоспособности несовместимых компьютеров или для выполнения некоторых задач в ограниченном состоянии. Например, сервер обновлений может предоставлять службы DHCP компьютерам, находящимся в несовместимой сети VLAN. Кроме того, они могут размещать веб-сайты, содержащие инструкции по обеспечению совместимости компьютеров.

Серверы обновлений могут быть доступны для совместимых и несовместимых компьютеров либо только для несовместимых. Способы доступа к серверам обновлений зависят от метода принудительного использования NAP.

Принудительное использование IPsec

В структуре принудительного использования IPsec серверы обновлений должны находиться в логической пограничной сети IPsec. Серверам обновлений необходимо выдать сертификаты исключений NAP и настроить политику IPsec, чтобы они могли свободно взаимодействовать с несовместимыми компьютерами. Размещение серверов обновлений в группе серверов обновлений в консоли NPS не влияет на доступ к этим серверам при применении NAP с принудительным использованием IPsec.

Принудительное использование 802.1X

В структуре принудительного использования 802.1X размещение серверов обновлений зависит от того, используются ли для ограничения сетевого доступа несовместимых клиентов сети VLAN или списки ACL. Точки NAP могут поддерживать оба эти способа или только один из них.

  • Принудительное использование 802.1X с сетями VLAN. Серверы обновлений следует разместить в несовместимых сетях VLAN или обеспечить к ним доступ с помощью способов маршрутизации между сетями VLAN. Если серверы обновлений должны быть доступны совместимым клиентским компьютерам NAP, они размещаются на магистральных или двузонных портах, чтобы предоставить доступ к нескольким сетям VLAN.

  • Принудительное использование 802.1X со списками ACL. Доступ несовместимых компьютеров ограничен только IP-адресами и номерами портов служб серверов обновлений.

Размещение серверов обновлений в группе серверов обновлений в консоли NPS не влияет на доступ к этим серверам при применении NAP с принудительным использованием 802.1X.

Принудительное использование VPN

В структуре принудительного использования VPN существует два способа предоставления доступа к серверам обновлений: группы серверов обновлений и IP-фильтры. Их можно использовать для предоставления несовместимым клиентам NAP доступа к серверам обновлений. При настройке группы серверов обновлений несовместимые клиентские компьютеры NAP автоматически получают доступ к IP-адресу каждого сервера в списке. IP-фильтры имеют дополнительное преимущество, позволяя указать, что доступ предоставлен только заданному номеру порта службы.

Важно!

Если в несовместимой сетевой политике для принудительного использования VPN не настроены ни группы серверов обновлений, ни IP-фильтры, несовместимые клиентские компьютеры NAP получают полный доступ к сети.

Принудительное использование DHCP

В структуре принудительного использования DHCP несовместимым клиентским компьютерам NAP предоставляются бесклассовые статические маршруты хоста для каждого устройства, настроенного в группе серверов обновлений с помощью консоли NPS. Если серверы обновлений находятся в подсети, отличной от подсети вывода клиентов NAP, сервер DHCP использует параметр «003 Router» из класса NAP по умолчанию, чтобы предоставить несовместимым компьютерам статические маршруты узла к серверам обновлений. Устройство маршрутизации, настроенное в этом параметре области, должно поддерживать функцию пересылки запросов от несовместимых клиентов NAP на серверы обновлений. С помощью параметра области 121 в классе NAP по умолчанию можно настроить бесклассовые статические маршруты хоста к серверам обновлений.

Принудительное использование шлюза удаленных рабочих столов

Принудительное использование NAP с шлюзом удаленных рабочих столов не поддерживает использование групп серверов обновлений. Если требуются серверы обновлений, перед подключением к серверу принудительного использования шлюза RD они должны быть доступны клиентским компьютерам.

Дополнительные источники информации