共用方式為

NAP 伺服器端架構

  • 發行項

注意

從 Windows 10 開始,網路存取保護平台無法使用

 

NAP 伺服器端平台架構會使用執行 Windows Server 2008 的電腦。 下圖顯示 NAP 平台伺服器端支援的架構,其中包含以 Windows 為基礎的 NAP 強制點和 NAP 健康情況原則伺服器。

nap 平臺架構

Windows 型 NAP 強制點有一層 NAP 強制伺服器 (ES) 元件。 每個 NAP ES 都是針對不同類型的網路存取或通訊所定義。 例如,有 NAP ES 用於遠端存取 VPN 連線,以及用於 DHCP 設定的 NAP ES。 NAP ES 通常與特定類型的 NAP 功能用戶端相符。 例如,DHCP NAP ES 的設計目的是使用 DHCP 型 NAP 強制用戶端 (EC)。 第三方軟體廠商或Microsoft可以為 NAP 平臺提供額外的 NAP ES。 NAP ES 會從其對應的 NAP EC 取得系統健康聲明 (SSoH),並將其傳送至 NAP 健康情況原則伺服器,作為遠端驗證撥入使用者服務 (RADIUS) 廠商特定屬性 (VSA) RADIUS Access-Request 訊息

如伺服器端架構圖所示,NAP 健康情況原則伺服器具有下列元件:

  • 網路原則伺服器 (NPS) 服務

    接收RADIUS Access-Request 訊息、擷取 SSoH,並將其傳遞至 NAP 管理伺服器元件。 NPS 服務隨附於 Windows Server 2008。

  • NAP 管理伺服器

    協助 NPS 服務與系統健康情況驗證程式 (SHV) 之間的通訊。 NAP 系統管理伺服器元件隨附於 NAP 平臺。

  • SHV 元件的一層

    每個SHV都會針對一或多個類型的系統健康情況資訊定義,而且可以與SHA進行比對。 例如,防病毒軟體程式可能有SHV。 SHV 可以比對一或多個健康情況需求伺服器。 例如,用於檢查防毒簽章的SHV會與包含最新簽章檔案的伺服器相符。 SHV 不需要有對應的健康情況需求伺服器。 SHV 可以指示支援 NAP 的用戶端檢查本機系統設定,以確保已啟用主機型防火牆。 Windows Server 2008 包含 Windows 安全性健康情況驗證程式 (WSHV)。 其他 SHV 是由第三方軟體廠商或Microsoft作為 NAP 平臺的附加元件所提供。

  • SHV API

    提供一組函數調用,允許SHV向NAP管理伺服器元件註冊、從NAP管理伺服器元件接收健康情況聲明 (SoHs),並將健康情況回應聲明 (SoHRs) 傳送至 NAP 管理伺服器元件。 SHV API 隨附於 NAP 平臺。 請參閱下列 NAP 介面:INapSystemHealthValidatorINapSystemHealthValidationRequest

如先前所述,NAP 伺服器端基礎結構的較通用組態是由 NAP 強制點所組成,提供特定類型的網路存取或通訊,以及提供系統健康情況驗證和補救的個別 NPS 健康狀態原則伺服器。 可以將 NPS 服務安裝為個別 Windows NAP 強制點上的 NAP 健康情況原則伺服器。 不過,在此設定中,每個 NAP 強制執行點都必須使用網路存取和健康情況原則個別設定。 建議的設定是使用不同的 NAP 健康情況原則伺服器。

整體 NAP 架構包含下列一元件:

  • 三個 NAP 用戶端元件(SHA 層、NAP 代理程式和 NAP EC 層)。
  • 四個 NAP 伺服器端元件(SHV 層、NAP 管理伺服器、NPS 服務,以及 Windows 型 NAP 強制點上的 NAP ES 層)。
  • 健康情況需求伺服器,也就是可為 NAP 健康情況原則伺服器提供目前系統健康情況需求的計算機。
  • 補救伺服器,這些伺服器包含 NAP 用戶端可存取以補救其不符合規範狀態的健康情況更新資源的計算機。

下圖顯示 NAP 平臺元件之間的關聯性。

nap 平臺元件之間的關聯性

請注意下列元件集的比對:

  • NAP ECS 和 NAP ES 通常相符。

    例如,NAP 用戶端上的 DHCP NAP EC 會與 DHCP 伺服器上的 DHCP NAP ES 相符。

  • SHA 和補救伺服器可以比對。

    例如,用戶端上的防毒 SHA 會與防病毒軟體簽章補救伺服器相符。

  • SHV 和健康情況需求伺服器可以比對。

    例如,NAP 健康情況原則伺服器上的防毒 SHV 可以比對防病毒軟體健康情況需求伺服器。

第三方軟體廠商可以透過下列方式擴充 NAP 平臺:

  • 建立評估 NAP 用戶端健康情況的新方法。

    第三方軟體廠商必須為 NAP 用戶端建立 SHA、NAP 健康情況原則伺服器的 SHV,並視需要建立健康情況需求和補救伺服器。 如果健康情況需求或補救伺服器已經存在,例如防毒簽章發佈伺服器,則只需要建立對應的 SHA 和 SHV 元件。 在某些情況下,不需要健康情況需求或補救伺服器。

  • 建立新的方法來強制執行網路存取或通訊的健康情況需求。

    第三方軟體廠商必須在 NAP 用戶端上建立 NAP EC。 如果強制方法使用 Windows 型服務,第三方軟體廠商必須建立對應的 NAP ES,以使用 RADIUS 通訊協定或使用 NAP 強制點上安裝的 NPS 服務作為 RADIUS Proxy,與 NAP 健康情況原則伺服器通訊。

下列各節將進一步詳細說明 NAP 伺服器端架構的元件。

NAP 強制伺服器

NAP 強制伺服器 (ES) 允許某種層級的網路存取或通訊,可以將 NAP 用戶端的健康情況狀態傳遞至網路健康情況原則伺服器進行評估,而且根據回應,可以提供有限網路存取的強制執行。

Windows Server 2008 隨附的 NAP ES 如下:

  • IPsec NAP ES 適用於受 IPsec 保護的通訊。

    針對受 IPsec 保護的通訊,健康情況註冊授權單位 (HRA)是執行 Windows Server 2008 和 Internet Information Services (IIS) 的電腦,可從相容電腦的證書頒發機構單位 (CA) 取得健康情況憑證,將 NAP 用戶端的健康狀態資訊傳遞至 NAP 健康情況原則伺服器。

  • DHCP NAP ES,用於 DHCP 型 IP 位址組態。

    DHCP NAP ES 是 DHCP 伺服器服務中的功能,其使用業界標準 DHCP 訊息與 NAP 用戶端上的 DHCP NAP EC 通訊。 有限網路存取的 DHCP 強制執行是透過 DHCP 選項來完成。

  • 適用於 TS 閘道伺服器型連線的終端機服務 (TS) 閘道 NAP ES。

針對遠端訪問 VPN 和 802.1X 驗證的連線,NPS 服務中的功能會使用 NAP 用戶端與 NAP 健康情況原則伺服器之間的 PEAP-TLV 訊息。 VPN 強制執行是透過套用至 VPN 連線的 IP 封包篩選器來完成。 802.1X 強制執行是在 802.1X 網路存取裝置上執行,方法是將 IP 封包篩選器套用至連線,或指派對應至受限制網路的 VLAN 標識符。

NAP 管理伺服器

NAP Administration Server 元件提供下列服務:

  • 透過 NPS 服務從 NAP ES 取得 SSoHs。
  • 將 SSoHs 中的 SoHs 散發至適當的系統健康情況驗證程式 (SHV)。
  • 從SHV收集SoHR,並將其傳遞至NPS服務進行評估。

NPS 服務

RADIUS 是一種廣泛部署的通訊協定,可啟用集中式驗證、授權和會計網路存取,如「批注要求」2865 和 2866 中所述。 最初針對撥號遠端存取開發,無線存取點現在支援RADIUS、驗證乙太網路交換器、VPN 伺服器、數位訂閱者線路 (DSL) 存取伺服器和其他網路存取伺服器。

NPS 是 Windows Server 2008 中 RADIUS 伺服器和 Proxy 的實作。 NPS 會取代 Windows Server 2003 中的因特網驗證服務 (IAS)。 針對 NAP 平臺,NPS 服務包含 NAP 系統管理員伺服器元件、SHV API 的支援和可安裝的 SHV,以及設定健康情況原則的選項。

根據SHV的SoHR和設定的健康情況原則,NPS服務會建立健康情況回應系統聲明 (SSoHR),指出 NAP 用戶端是否符合規範或不符合規範,並包含SHV中的SoHR集合。

系統健康情況驗證程式 (SHV)

SHV 會從 NAP 系統管理伺服器接收 SoH,並將系統健康情況狀態資訊與必要的系統健康狀態狀態進行比較。 例如,如果 SoH 來自防毒 SHA,且包含最後一個病毒簽章檔案的版本號碼,對應的防病毒軟體 SHV 可以檢查防病毒軟體健康情況需求伺服器是否有最新版本號碼來驗證 NAP 用戶端的 SoH。

SHV 會將SoHR傳回NAP管理伺服器。 SoHR 可以包含 NAP 用戶端上對應 SHA 如何符合目前系統健康情況需求的資訊。 例如,防病毒軟體 SHV 傳送的 SoHR 可以指示 NAP 用戶端上的防毒 SHA 依名稱或 IP 位址向特定防毒簽章伺服器要求最新版本的防毒簽章檔案。