NAP是一種能夠確保只有符合安全要求的電腦允許接入網絡的Windows機制，使用NAP可以讓網絡更安全。遺憾的是，當微軟首次推出這一機制的時候，NAP只能檢查一些配置設置且很難被執行。但是NAP已經有所改進，Windows Vista和Windows Server 2008中的改進已經結合起來，因此完整規模的NAP部署現在已經很容易了。

NAP基礎

為了在所有電腦上強制執行連接網絡的安全請求，不論電腦連接如何，NAP必須能夠控制訪問。這要求具備一個VPN連接把關者，處理了有線和無線交換機以及其他接入方法的分配與連接。微軟通過讓你配置多種“執行點”將這些內容包含進來，而“執行點”扮演的就是網絡把關者的角色。可能執行的包含了運行于Windows Server 2008上的VPN或DHCP服務器，可以解決認證機構發證問題的網絡服務器以及與無線和有線交換機兼容的802.1x。

執行點的任務是：當客戶端連接網絡的時候，它會提示是否所有的網絡接入都符合安全策略。執行點只會將名為健康狀態的結果轉發到網絡策略服務器(NPS)，該服務器是微軟遠程驗證撥號用戶服務服務器(RADIUS)的執行。

根據NPS所返回值的不同答案，執行點可以訪問網絡，拒絕訪問或僅讓客戶端連接到矯正伺服器上，這樣就可以讓大家訪問那些可能需要用來修復客戶端安全缺陷的資源。一個健康的策略服務器要檢查客戶端的配置信息，并將其與策略設置進行比對，然后生成用于執行點的響應。

陳述NAP

NAP之所以如此吸引人是因為所有當前微軟客戶操作系統都包括了要求做健康檢查的NAP客戶端功能，因此你不必在網絡客戶端再進行其他配置和安裝。從網絡角度來看，NAP涵蓋了大部分的網絡接入點。不要認為你必須將所有的接入方式都考慮進來。相反，只要在一個接入點強制執行健康檢查，如一個VPN服務器，然后才逐步將NAP擴展到其他執行點。

開始使用的時候只需向運行在Windows Server 2008上添加“網絡策略和訪問服務”功能。然后，運行NAP向導以配置策略，該策略定義了哪種類型的客戶端應該被檢查，以及如果可能的話，可以使用哪種類型的矯正伺服器。下一步，你必須定義系統健康驗證器(SHVs)。這些是客戶端需要報告的設置，如是否需要補丁或安裝防病毒軟件。

一旦NPS服務器和策略都到位后，你就需要配置執行點。這包括了兩個部分：首先，需要讓執行點與NPS服務器連通。要做到這一點，要將其配置成為RADIUS客戶端。然后，要對執行點在檢查成功和失敗兩種情況下如何響應客戶端進行配置。

擴展NAP

一旦你為每種類型的接入都安裝了NAP，將其擴展到其他連接類型就非常簡單了。從這一點考慮，你應該從微軟和第三方的資源中探索出額外的SHVs，以便對更多客戶端進行健康檢查。NAP看似復雜，其實不然，如果采用循序漸進的方式來部署，它的執行則相對較為簡單。