共用方式為

NAP 客戶端架構

  • 發行項

注意

從 Windows 10 開始,網路存取保護平台無法使用

 

NAP 用戶端是執行 Windows XP 且 Service Pack 3(SP3)、Windows Vista 或 Windows Server 2008 的計算機,其中包含 NAP 平臺。

此圖顯示 NAP 用戶端上 NAP 平台的架構。

nap 用戶端上的 nap 平臺 架構

NAP 用戶端架構包含下列各項:

  • 強制用戶端 (EC) 元件的一層

    每個 NAP EC 都是針對不同類型的網路存取所定義。 例如,有 NAP EC 用於 DHCP 設定,以及用於遠端訪問 VPN 連線的 NAP EC。 NAP EC 可以比對特定類型的 NAP 強制點。 例如,DHCP NAP EC 的設計目的是要與 DHCP 型 NAP 強制執行點搭配使用。 某些 NAP DC 隨附於 NAP 平臺和第三方軟體廠商,或Microsoft可以提供其他專案。

  • 系統健康情況代理程式 (SHA) 元件的一層

    SHA 元件會維護並報告系統健康情況的一或多個元素。 例如,可能有防毒簽章的SHA,以及作系統更新的SHA。 SHA 可以比對補救伺服器,這是一部計算機,其中包含 NAP 用戶端可存取以補救其不符合規範狀態的健康情況更新資源。 例如,檢查防毒簽章的SHA會與包含最新防毒簽章檔案的伺服器相符。 SHA 不需要有對應的補救伺服器。 例如,SHA 可以只檢查本機系統設定,以確保已啟用主機型防火牆。 Windows Vista 和 Windows XP Service Pack 3 包含 Windows 安全性健康情況代理程式 (WSHA),可監視 Windows 安全性應用程式的設定。 第三方軟體廠商或Microsoft可以將額外的 SHA 提供給 NAP 平臺。

  • NAP 代理程式

    維護 NAP 用戶端目前的健全狀態資訊,並協助 NAP EC 與 SHA 層之間的通訊。 NAP 代理程式隨附 NAP 平臺。

  • 系統健康情況代理程式 API

    提供一組函式,可讓 SHA 向 NAP 代理程式註冊、指出系統健康情況狀態、回應 NAP 代理程式的系統健康狀態查詢,以及讓 NAP 代理程式將系統健康情況補救資訊傳遞至 SHA。 SHA API 可讓廠商建立及安裝額外的SHA。 SHA API 隨附於 NAP 平臺。 請參閱下列 NAP 介面:INapSystemHealthAgentBinding2INapSystemHealthAgentCallbackINapSystemHealthAgentRequest

若要指出特定 SHA 的健康狀態,SHA 會建立健康情況聲明(SoH),並將它傳遞給 NAP 代理程式。 SoH 可以包含系統健康情況的一或多個元素。 例如,防病毒軟體程式的SHA可以建立SoH,其中包含在電腦上執行之防病毒軟體的狀態、其版本,以及收到的最後一個防毒簽章更新。 每當 SHA 更新其狀態時,它會建立新的 SoH,並將它傳遞給 NAP 代理程式。 為了指出 NAP 用戶端的整體健康情況狀態,NAP 代理程式會使用健康情況的系統聲明 (SSoH),其中包含 NAP 用戶端的版本資訊,以及所安裝 SHA 的 SoHs 集合。

下列各節將進一步詳細說明 NAP 用戶端架構的元件。

NAP 強制用戶端

NAP 強制用戶端 (EC) 會要求對網路進行某種層級的存取,將計算機的健全狀況狀態傳遞至提供網路存取的 NAP 強制點。 NAP 強制點是使用 NAP 的電腦或網路存取裝置,或可與 NAP 搭配使用,以要求評估 NAP 用戶端的健康情況狀態,並提供受限制的網路存取或通訊。 如果計算機的健康情況不符合規範,NAP EC 會向 NAP 用戶端架構的其他元件指出 NAP 用戶端的限制狀態。

Windows XP 隨附 SP3、Windows Vista 和 Windows Server 2008 中 NAP 平臺的 NAP DC 如下:

  • IPsec NAP EC 適用於受 IPsec 保護的通訊。
  • 適用於 802.1X 驗證連線的 EAPHost NAP EC。
  • 用於遠端存取 VPN 連線的 VPN NAP EC。
  • DHCP NAP EC,適用於 DHCP 型 IPv4 位址設定。
  • 適用於 TS 網關聯機的 TS 閘道 NAP EC。

針對具有SP3的 Windows XP,針對 802.1X 驗證的有線和無線連線,有個別的 NAP ECS。

IPsec NAP EC

IPsec NAP EC 是一個元件,可從 NAP 代理程式取得 SSoH,並將其傳送至健康情況註冊授權單位 (HRA),這是執行 Windows Server 2008 和 Internet Information Services (IIS) 的計算機,可從證書頒發機構單位 (CA) 取得符合規範計算機的健康憑證。 IPsec NAP EC 稱為 NAP 用戶端設定嵌入式管理單元中的 IPsec 信賴憑證者 EC。 IPsec NAP EC 也會與下列項目互動:

  • 用來儲存健康情況憑證的證書存儲。
  • Windows 中的 IPsec 元件,以確保健康情況憑證用於受 IPsec 保護的通訊。
  • 主機型防火牆(例如 Windows 防火牆)可讓防火牆允許受 IPsec 保護的流量。

EAPHost NAP EC

EAPHost NAP EC 是一個元件,可從 NAP 代理程式取得 SSoH,並將其傳送為 802.1X 驗證連線的 PEAP-Type-Length-Value (TLV) 訊息。 EAPHost NAP EC 稱為 NAP 用戶端設定嵌入式管理單元中的 EAP 隔離 EC。

VPN NAP EC

VPN NAP EC 是遠端存取連接管理員服務中的功能,可從 NAP 代理程式取得 SSoH,並將其傳送為遠端存取 VPN 連線的 PEAP-TLV 訊息。 VPN NAP EC 稱為 NAP 用戶端設定嵌入式管理單元中的遠端訪問隔離 EC。

DHCP NAP EC

DHCP NAP EC 是 DHCP 用戶端服務中的功能,使用業界標準 DHCP 訊息來交換系統健康情況訊息和有限的網路存取資訊。 IPsec DHCP EC 稱為 NAP 用戶端設定嵌入式管理單元中的 DHCP 隔離 EC。 DHCP NAP EC 會從 NAP 代理程式取得 SSoH。 DHCP 用戶端服務會視需要分散 SSoH,並將每個片段放入 DHCPDiscover、DHCPRequest 或 DHCPInform 訊息中傳送的Microsoft廠商特定 DHCP 選項。 DHCPDecline 和 DHCPRelease 訊息不包含 SSoH。

系統健康情況代理程式

系統健康情況代理程式 (SHA) 會執行系統健康狀態更新,並以SoH的形式將其狀態發佈至NAP代理程式。 SoH 包含 NAP 健康情況原則伺服器可用來驗證用戶端電腦是否處於健康狀態的資訊。 SHA 會與 NAP 平台架構伺服器端的系統健康情況驗證程式 (SHV) 相符。 對應的SHV可以將SoH回應 (SoHR) 傳回 NAP 用戶端,該用戶端是由NAP EC和 NAP 代理程式傳遞給SHA,告知它如果SHA不是處於必要健康狀態,該怎麼做。 例如,由防病毒軟體 SHV 傳送的 SoHR 可以指示對應的防病毒軟體 SHA 查詢防毒簽章伺服器,以取得最新版的防毒簽章檔案。 SoHR 也可以包含要查詢之防毒簽章伺服器的名稱或IP位址。

SHA 可以使用本機安裝的原則客戶端,協助系統健康情況管理功能與原則伺服器搭配使用。 例如,軟體更新 SHA 可以使用本機安裝的軟體用戶端軟體(原則用戶端),搭配軟體更新伺服器(原則伺服器)執行版本檢查和安裝和更新功能。

NAP 代理程式

NAP 代理程式提供下列服務:

  • 從每個 SHA 收集 SoHs 並加以快取。 每當 SHA 提供新的或更新的 SoH 時,SoH 快取就會更新。
  • 儲存 SSoH,並在要求時將其提供給 NAP ECS。
  • 當受限制的狀態變更時,會將通知傳遞至 SH。
  • 維護系統受限制的狀態,並從每個SHA收集狀態資訊。
  • 將 SoHR 傳遞至適當的 SHA。