网路访问保护(NAP)包含多个客户端和伺服器组件。具有在所有NAP部署中使用的常见NAP组件，以及仅针对特定部署使用的组件，具体取决于NAP强制方法或您选择的方法。

NAP强制方法是与网路访问保护一起使用以强制健康策略的多种网路访问技术中的任一种。强制方法包括动态主机配置协定(DHCP)、Internet协定安全性(IPsec)、虚拟专用网路(VPN)、终端服务网关(TSGateway)和可扩展的身份验证协定(EAP)，可以对由NPS伺服器进行身份验证的基于802.1X的无线和有线连线使用这些方法。常见NAP组件包括客户端和伺服器组件，由所有NAP强制方法使用。

可使用NAP的客户端是已安装NAP组件的计算机，可以通过向网路策略伺服器(NPS)传送健康声明(SoH)验证其健康状态。

以下是NAP基础结构的可使用NAP的客户端计算机组件。

健康声明(SoH)一种声明其健康状态的来自客户端计算机的声明。系统健康代理(SHA)创建健康声明(SoH)并将这些声明传送到NPS伺服器上相应的系统健康验证程式(SHV)。

系统健康代理(SHA)一种组件，该组件检查客户端计算机的状态以确定由SHA监视的设定是否为最新且已正确配置。例如，Windows安全健康代理(WSHA)可以监视Windows防火墙，检查防病毒软体是否已安装、启用和更新，反间谍软体是否已安装、启用和更新，以及Microsoft更新服务是否已启用，且计算机是否拥有来自Microsoft更新服务的最新安全更新。还可能存在提供其他功能的可从其他公司获得的SHA（以及相应的系统健康验证程式）。

NAP代理一种收集和管理健康信息的客户端服务。处理来自各种系统健康代理的健康声明，并将客户端健康状况报告给NAP管理伺服器。

强制客户端与网路访问技术集成的客户端软体，如DHCP、VPN和IPsec。若要使用NAP，必须在客户端计算机上安装和启用至少一个NAP强制客户端。单个NAP强制客户端是特定于强制方法的，并在以下部分进行说明。NAP强制客户端请求访问网路、与提供网路访问的NAP伺服器（如NAP伺服器）交流客户端计算机的健康状态，并与NAP客户端体系结构的其他组件交流客户端计算机的受限状态。

以下是NAP基础结构的伺服器组件。

更新伺服器承载NAP代理可用于使不兼容的客户端计算机具有兼容性的更新。例如，更新伺服器可以承载防病毒签名。如果健康策略要求NAP客户端计算机安装最新的防病毒定义，则用于承载防病毒签名的防病毒SHA、防病毒SHV、防病毒策略伺服器，以及更新伺服器通力协作以更新不兼容的计算机。

系统健康验证程式(SHV)伺服器软体对应于SHA。客户端上的每个SHA在NPS中都具有相应的SHV。NPS使用SHV来验证由客户端计算机上其相应SHA进行的健康声明。

SHA和SHV相互匹配，连同相应的策略伺服器（由SHV用于确定系统健康的当前条件），以及可能的更新伺服器。SHV还可以检测到尚未接收SoH（如SHA从未安装或者已损坏或删除的情况）。如果SoH不满足已定义的策略，则SHV会将健康声明回响(SoHR)讯息传送到SHA。一个网路可能具有多种SHV。如果情况如此，则NPS伺服器必须调整所有SHV中的输出，确定是否限制不兼容计算机的访问。这要求为环境定义健康策略以及评估SHV互动的不同方式时仔细进行计画。Windows安全健康验证程式(WSHV)可以验证来自客户端计算机上的WSHA的SoH。还可能存在提供其他功能的可从其他公司获得的SHA（以及相应的SHA）。

通过配置单个SHV并将其添加到健康策略，然后配置策略条件而创建的规则。然后当您将健康策略添加到网路策略的设定时，这些策略由NPS实施和强制。

健康声明回响(SoHR)验证SoH。如果客户端计算机不兼容，则SoHR包含客户端上SHA用于使客户端计算机配置符合健康策略的补充说明。每种类型的SoH存储有关係统健康状态的各种信息，SoHR讯息存储有关如何与NPS中配置的健康策略要求兼容的各种信息。

特定于强制方法的组件

以下是NAP基础结构的特定于强制方法的组件。

强制技术可配置用于强制NAP策略的五种网路访问技术之一。

强制伺服器NAP伺服器上的一种组件，通常与NAP强制客户端匹配，根据其健康符合性限制客户端计算机的网路访问。存在多种NAP强制伺服器：一种用于DHCP地址配置，一种用于VPN连线，一种用于IPsec保护的通信，一种用于终端服务网关（TS网关），一种用于可扩展的身份验证协定(EAP)，您可以将其用于由NPS伺服器进行身份验证的基于802.1X的连线。