Der Netzwerkrichtlinienserver (Network Policy Server, NPS) ist der zentrale Server, der für alle NAP-Erzwingungsmethoden (Network Access Protection, Netzwerkzugriffsschutz) zum Evaluieren von NAP-Clientzugriffsanforderungen verwendet wird. Die Netzwerkintegritätsanforderungen werden auf dem Netzwerkrichtlinienserver mithilfe von Richtlinien definiert, mit denen der Zugriff von NAP-Clientcomputern basierend auf der Integrität erteilt oder eingeschränkt wird. Ein Server, auf dem NPS ausgeführt wird und der diese NAP-Richtlinien hostet, wird als NAP-Integritätsrichtlinienserver bezeichnet. Je nach Bereitstellung können Sie im Netzwerk über einen oder mehrere NAP-Integritätsrichtlinienserver verfügen. Mithilfe von RADIUS-Clients, Verbindungsanforderungsrichtlinien, Netzwerkrichtlinien, Integritätsrichtlinien und Systemintegritätsprüfungen (System Health Validators, SHVs) werden vom NAP-Integritätsrichtlinienserver Netzwerkintegritätsrichtlinien definiert und erzwungen.

Wenn Sie die Integritätsregistrierungsstelle (Health Registration Authority, HRA) installieren, wird NPS automatisch auf demselben Computer installiert. Wenn Sie mehrere Integritätsregistrierungsstellen bereitgestellt haben und die Richtlinienevaluierung zentralisieren möchten, indem Sie die NAP-Integritätsrichtlinien auf einem anderen Computer bereitstellen, müssen Sie den lokalen Server, auf dem NPS ausgeführt wird, als RADIUS-Proxy konfigurieren. Wenn Sie NPS als RADIUS-Proxy verwenden, wird die Verbindungsanforderungsrichtlinie konfiguriert, um den lokalen Server, auf dem NPS ausgeführt wird, anzuweisen, Netzwerkzugriffsanforderungen zur Evaluierung an RADIUS-Remoteservergruppen weiterzuleiten.

Weitere Informationen zu NPS (Network Policy Server, Netzwerkrichtlinienserver) finden Sie unter https://go.microsoft.com/fwlink/?LinkId=94389 (möglicherweise in englischer Sprache).

Sie müssen mindestens Mitglied der Gruppe Domain Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter https://go.microsoft.com/fwlink/?LinkId=83477 (möglicherweise in englischer Sprache).

Überprüfen der Konfiguration des NAP-Integritätsrichtlinienservers

Überprüfen Sie die Konfiguration des lokalen Servers, auf dem NPS als NAP-Integritätsrichtlinienserver ausgeführt wird, mithilfe der folgenden Verfahren. Im Falle der Konfiguration des lokalen Integritätsregistrierungsstellen-Servers als RADIUS-Proxy finden Sie die entsprechenden Informationen unter Überprüfen der NPS-Proxykonfiguration.

RADIUS-Clients

Wenn Sie HRA-Remoteserver als RADIUS-Proxys konfiguriert haben, um Verbindungsanforderungen zur Evaluierung an den lokalen Server weiterzuleiten, auf dem NPS ausgeführt wird, muss dieser lokale Server für jeden HRA-Remoteserver über einen entsprechenden RADIUS-Clienteintrag verfügen. Für den Netzwerkzugriffsschutz mit IPsec-Erzwingung sind keine RADIUS-Clients erforderlich, wenn alle Integritätsregistrierungsstellen-Server auch NAP-Integritätsrichtlinienserver sind. Wenn Sie HRA-Server verwenden, auf denen NPS als RADIUS-Proxy konfiguriert ist, können Sie mithilfe des folgenden Verfahrens überprüfen, ob RADIUS-Clients auf dem lokalen Server, auf dem NPS ausgeführt wird, richtig konfiguriert sind, sodass dieser die von HRA-Remoteservern empfangenen Clientverbindungsanforderungen verarbeiten kann.

So überprüfen Sie RADIUS-Clients
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie nps.msc ein, und drücken Sie dann die EINGABETASTE.

  2. Doppelklicken Sie in der NPS-Konsolenstruktur auf RADIUS-Clients und -Server, und klicken Sie dann auf RADIUS-Clients.

  3. Doppelklicken Sie im Detailbereich auf den Anzeigenamen eines RADIUS-Clients, der einem HRA-Server entspricht, auf dem NPS installiert und der als RADIUS-Proxy konfiguriert ist. Wenn kein RADIUS-Clienteintrag vorhanden ist, erstellen Sie mithilfe des folgenden Verfahrens einen neuen RADIUS-Client. Dieses Verfahren gilt nur dann, wenn HRA-Remoteserver für die Weiterleitung von Verbindungsanfragen an den lokalen Server konfiguriert sind, auf dem NPS ausgeführt wird.

    1. Klicken Sie mit der rechten Maustaste auf RADIUS-Clients, und klicken Sie dann auf Neu.

    2. Geben Sie unter Anzeigename einen Namen für den RADIUS-Client ein (z. B. HRA-1).

    3. Geben Sie unter Adresse (IP oder DNS) die IP-Adresse oder den DNS-Namen des HRA-Remoteservers ein, klicken Sie auf Überprüfen, und klicken Sie dann auf Auflösen.

    4. Überprüfen Sie, ob die angezeigte IP-Adresse dem richtigen Remote-Integritätsregistrierungsstellen-Server entspricht, und klicken Sie dann auf OK.

    5. Geben Sie unter Gemeinsamer geheimer Schlüssel und Gemeinsamen geheimen Schlüssel bestätigen den geheimen Schlüssel ein, der in den Einstellungen der Remote-RADIUS-Servergruppen auf dem Remote-Integritätsregistrierungsstellen-Server konfiguriert ist.

    6. Wenn auf dem Remote-Integritätsregistrierungsstellen-Server in den Konfigurationseinstellungen der Remote-RADIUS-Servergruppe das Message-Authenticator-Attribut aktiviert ist, aktivieren Sie das Kontrollkästchen "Access-Request"-Nachrichten müssen das Attribut "Message-Authenticator" beinhalten. Wenn diese Option auf dem Remote-Integritätsregistrierungsstellen-Server nicht aktiviert ist, überprüfen Sie, ob dieses Kontrollkästchen deaktiviert ist.

    7. Aktivieren Sie das Kontrollkästchen RADIUS-Client ist NAP-fähig, und klicken Sie dann auf OK.

    8. Setzen Sie das aktuelle Verfahren fort, um die Konfiguration des neuen RADIUS-Clients zu überprüfen.

  4. Überprüfen Sie im Fenster Eigenschaften, ob das Kontrollkästchen RADIUS-Client aktivieren aktiviert ist.

  5. Überprüfen Sie, ob das Kontrollkästchen RADIUS-Client ist NAP-fähig aktiviert ist.

  6. Wenn der Remote-Integritätsregistrierungsstellen-Server so konfiguriert ist, dass das Message-Authenticator-Attribut in den Zugriffsanforderungen enthalten sein muss, überprüfen Sie, ob das Kontrollkästchen "Access-Request"-Nachrichten müssen das Attribut "Message-Authenticator" beinhalten aktiviert ist. Stellen Sie andernfalls sicher, dass das Kontrollkästchen deaktiviert ist.

  7. Überprüfen Sie, ob neben Herstellername die Option RADIUS-Standard ausgewählt ist.

  8. Überprüfen Sie, ob unter Adresse (IP oder DNS) der aufgelistete DNS-Name bzw. die aufgelistete IP-Adresse dem richtigen Remote-Integritätsregistrierungsstellen-Server entspricht, und klicken Sie dann auf Überprüfen.

  9. Klicken Sie im Dialogfeld Client überprüfen auf Auflösen.

  10. Überprüfen Sie, ob unter IP-Adresse die aufgelistete IP-Adresse einem HRA-Server entspricht, der für die Weiterleitung von Anforderungen an den lokalen Server konfiguriert ist, auf dem NPS ausgeführt wird, und dass dieser lokale Server über Netzwerkkonnektivität mit dieser IP-Adresse verfügt.

  11. Klicken Sie auf OK. Geben Sie bei Verdacht einer Nichtübereinstimmung in Bezug auf den gemeinsamen geheimen Schlüssel den geheimen Schlüssel neben Gemeinsamer geheimer Schlüssel und Gemeinsamen geheimen Schlüssel bestätigen ein, und klicken Sie dann auf OK.

  12. Wiederholen Sie dieses Verfahren für alle HRA-Server im Netzwerk, die für die Weiterleitung von Verbindungsanforderungen zu deren Verarbeitung an den lokalen Server konfiguriert sind, auf dem NPS ausgeführt wird.

Verbindungsanforderungsrichtlinien

Verbindungsanforderungsrichtlinien sind Bedingungen und Einstellungen, mit denen die Anforderungen für den Netzwerkzugriff überprüft werden und mit denen bestimmt wird, wo diese Überprüfung ausgeführt wird. Überprüfen Sie mithilfe des folgenden Verfahrens, ob die Verbindungsanforderungsrichtlinie auf dem lokalen Server, auf dem NPS ausgeführt wird, für die NAP-IPsec-Erzwingung konfiguriert ist.

So überprüfen Sie die Verbindungsanforderungsrichtlinien
  1. Doppelklicken Sie in der NPS-Konsolenstruktur auf Richtlinien, und klicken Sie dann auf Verbindungsanforderungsrichtlinien.

  2. Doppelklicken Sie im Detailbereich auf die Verbindungsanforderungsrichtlinie, die zum Authentifizieren eingehender Netzwerkzugriffsanforderungen von IPsec-geschützten NAP-Clients verwendet wird. Wenn diese Richtlinie nicht vorhanden ist, erstellen Sie mithilfe der folgenden Schritte eine Verbindungsanforderungsrichtlinie.

    1. Klicken Sie mit der rechten Maustaste auf Verbindungsanforderungsrichtlinien, und klicken Sie dann auf Neu.

    2. Geben Sie unter Richtlinienname einen Namen für die Verbindungsanforderungsrichtlinie ein (z. B. NAP-IPsec mit HRA).

    3. Wählen Sie unter Typ des Netzwerkzugriffsservers die Option Integritätsregistrierungsstelle aus, und klicken Sie dann auf Weiter.

    4. Für Verbindungsanforderungsrichtlinien muss mindestens eine Bedingung angegeben werden. Wenn Sie eine Bedingung hinzufügen möchten, von der keine eingehenden Zugriffsanforderungen verweigert werden, klicken Sie auf der Seite Bedingungen angeben auf Hinzufügen.

    5. Klicken Sie im Fenster Bedingung auswählen auf Tag- und Uhrzeiteinschränkungen, und klicken Sie dann auf Hinzufügen.

    6. Wählen Sie im Fenster Uhrzeiteinschränkungen die Option Zugelassen aus. Überprüfen Sie, ob alle Tage und Uhrzeiten zugelassen sind, klicken Sie auf OK, und klicken Sie dann auf Weiter.

    7. Wenn der lokale Server, auf dem NPS ausgeführt wird, ein NAP-Integritätsrichtlinienserver ist, stellen Sie sicher, dass die Option Anforderungen auf diesem Server authentifizieren ausgewählt ist, klicken Sie dreimal auf Weiter, und klicken Sie dann auf Fertig stellen. Wenn mithilfe des lokalen Servers, auf dem NPS ausgeführt wird, Anforderungen zur Evaluierung an einen anderen Server weitergeleitet werden, finden Sie die entsprechenden Informationen unter Überprüfen der NPS-Proxykonfiguration.

  3. Überprüfen Sie auf der Registerkarte Übersicht, ob das Kontrollkästchen Richtlinie aktiviert aktiviert ist.

  4. Überprüfen Sie auf der Registerkarte Übersicht, ob für Typ des Netzwerkzugriffsservers entweder Integritätsregistrierungsstelle oder Nicht angegeben festgelegt ist. Weitere Informationen zum Angeben eines Zugriffsservertyps finden Sie weiter unten in diesem Thema unter "Weitere Überlegungen".

  5. Klicken Sie auf die Registerkarte Bedingungen, und stellen Sie sicher, dass für alle konfigurierten Bedingungen sowohl entsprechende kompatible als auch nicht kompatible NAP-Clients vorhanden sind. Beispielsweise kann Tag- und Uhrzeiteinschränkungen so konfiguriert werden, dass der Netzwerkzugriff nur an angegebenen Tagen zu angegebenen Uhrzeiten zulässig ist.

  6. Klicken Sie auf die Registerkarte Einstellungen. Klicken Sie unter Erforderliche Authentifizierungsmethoden auf Authentifizierungsmethoden, und überprüfen Sie, ob das Kontrollkästchen Netzwerkrichtlinien-Authentifizierungseinstellungen außer Kraft setzen deaktiviert ist.

  7. Klicken Sie unter Weiterleitungsverbindungsanforderung auf Authentifizierung.

  8. Wenn Sie den lokalen Server, auf dem NPS ausgeführt wird, als NAP-Integritätsrichtlinienserver aktivieren möchten, stellen Sie sicher, dass die Option Anforderungen auf diesem Server authentifizieren ausgewählt ist.

  9. Klicken Sie auf OK, um das Eigenschaftenfenster zu schließen.

Netzwerkrichtlinien

In Netzwerkrichtlinien werden Bedingungen, Einstellungen und Einschränkungen verwendet, um zu bestimmen, wer eine Verbindung mit dem Netzwerk herstellen kann. Zur Evaluierung des Integritätsstatus von NAP-Clients muss mindestens eine Netzwerkrichtlinie vorhanden sein, die auf Computer angewendet wird, die die Integritätsanforderungen erfüllen. Außerdem muss mindestens eine Netzwerkrichtlinie vorhanden sein, die auf Computer angewendet wird, die die Anforderungen nicht erfüllen. Überprüfen Sie mithilfe des folgenden Verfahrens, ob diese Richtlinien für die NAP-IPsec-Erzwingung erstellt und konfiguriert wurden.

So überprüfen Sie die Netzwerkrichtlinien
  1. Doppelklicken Sie in der NPS-Konsolenstruktur auf Richtlinien, und klicken Sie dann auf Netzwerkrichtlinien.

  2. Überprüfen Sie im Detailbereich, ob mindestens eine Richtlinie für kompatible Computer und eine Richtlinie für nicht kompatible Computer vorhanden ist, und ob der Wert für Status dieser Richtlinien Aktiviert lautet. Klicken Sie zum Aktivieren einer Richtlinie mit der rechten Maustaste auf den Richtliniennamen, und klicken Sie dann auf Aktivieren. Wenn diese Richtlinien nicht vorhanden sind, erstellen Sie mithilfe der folgenden Schritte eine Netzwerkrichtlinie.

    1. Klicken Sie mit der rechten Maustaste auf Netzwerkrichtlinien, und klicken Sie dann auf Neu.

    2. Geben Sie unter Richtlinienname einen Namen für die Netzwerkrichtlinie ein (z. B. Kompatibel für NAP-IPsec mit HRA oder Nicht kompatibel für NAP-IPsec mit HRA).

    3. Wählen Sie unter Typ des Netzwerkzugriffsservers die Option Integritätsregistrierungsstelle aus, und klicken Sie dann auf Weiter.

    4. Klicken Sie auf der Seite Bedingungen angeben auf Hinzufügen.

    5. Klicken Sie unter Bedingung auswählen auf Integritätsrichtlinien, und klicken Sie dann auf Hinzufügen.

    6. Wenn diese Netzwerkrichtlinie für kompatible Clientcomputer gelten soll, wählen Sie unter Integritätsrichtlinien eine Integritätsrichtlinie aus, die so konfiguriert ist, dass sie dem Integritätsstatus eines kompatiblen Clients entspricht, und klicken Sie dann auf OK.

    7. Wenn diese Netzwerkrichtlinie für nicht kompatible Clientcomputer gelten soll, wählen Sie unter Integritätsrichtlinien eine Integritätsrichtlinie aus, die so konfiguriert ist, dass sie dem Integritätsstatus eines nicht kompatiblen Clients entspricht, und klicken Sie dann auf OK.

    8. Klicken Sie auf Weiter, wählen Sie Zugriff gewährt aus, und klicken Sie dann auf Weiter.

    9. Aktivieren Sie auf der Seite Authentifizierungsmethoden konfigurieren das Kontrollkästchen Nur Computerintegritätsprüfung ausführen, und klicken Sie dann zweimal auf Weiter.

    10. Klicken Sie auf der Seite Einstellungen konfigurieren auf NAP-Erzwingung.

    11. Wählen Sie einen Erzwingungsmodus für diese Richtlinie aus. Weitere Informationen dazu finden Sie weiter unten in diesem Thema unter NAP-Erzwingungsmodi.

    12. Aktivieren Sie das Kontrollkästchen Automatische Wartung von Clientcomputern aktivieren, um die automatische Wartung nicht kompatibler Clients zu aktivieren. Deaktivieren Sie dieses Kontrollkästchen, wenn die automatische Wartung nicht aktiviert werden soll.

    13. Klicken Sie auf Weiter, und klicken Sie dann auf Fertig stellen.

    14. Setzen Sie das aktuelle Verfahren fort, um die Konfiguration der neuen Netzwerkrichtlinie zu überprüfen.

  3. Überprüfen Sie im Detailbereich, ob Verarbeitungsreihenfolge für Richtlinien ordnungsgemäß für Ihre Bereitstellung konfiguriert ist. Spezifischere Richtlinien werden vor allgemeineren Richtlinien verarbeitet. Wenn Sie die Reihenfolge der Richtlinien ändern möchten, klicken Sie mit der rechten Maustaste auf den Richtliniennamen, und klicken Sie dann auf Nach oben oder Nach unten.

  4. Überprüfen Sie im Detailbereich, ob sowohl die kompatiblen als auch die nicht kompatiblen NAP-Richtlinien mit dem Wert Zugriff gewähren für Zugriffstyp konfiguriert sind. Klicken Sie zum Konfigurieren von Zugriffsberechtigungen mit der rechten Maustaste auf den Richtliniennamen, klicken Sie auf Eigenschaften, klicken Sie auf die Registerkarte Übersicht, und wählen Sie dann Zugriff gewähren aus.

  5. Überprüfen Sie im Detailbereich, ob für Quelle der Richtlinien zum Verarbeiten von IPsec-geschützten NAP-Clients entweder Integritätsregistrierungsstelle oder Nicht angegeben ausgewählt ist. Weitere Informationen zum Angeben eines Zugriffsservertyps finden Sie weiter unten in diesem Thema unter "Weitere Überlegungen".

  6. Doppelklicken Sie im Detailbereich auf den Namen einer Netzwerkrichtlinie, die als Entsprechung kompatibler Clients verwendet wird, und klicken Sie dann auf die Registerkarte Bedingungen.

  7. Überprüfen Sie, ob mindestens eine der angegebenen Bedingungen Integritätsrichtlinie lautet und ob Wert einer Integritätsrichtlinie entspricht, die Sie so konfiguriert haben, dass sie dem Integritätsstatus eines kompatiblen Clients entspricht. Wenn diese Bedingung nicht vorhanden ist, führen Sie die folgenden Schritte aus.

    1. Klicken Sie auf Hinzufügen, klicken Sie auf Integritätsrichtlinien, und klicken Sie dann auf Hinzufügen.

    2. Wählen Sie unter Integritätsrichtlinien eine Richtlinie aus, die dem Integritätsstatus eines kompatiblen Clients entspricht, und klicken Sie dann auf OK. Wenn keine Integritätsrichtlinien verfügbar sind, überprüfen Sie die Integritätsrichtlinien, und wiederholen Sie dieses Verfahren.

  8. Klicken Sie auf die Registerkarte Einschränkungen, und klicken Sie dann auf Authentifizierungsmethoden.

  9. Überprüfen Sie, ob das Kontrollkästchen Nur Computerintegritätsprüfung ausführen aktiviert ist.

  10. Klicken Sie auf die Registerkarte Einstellungen, und klicken Sie dann auf NAP-Erzwingung.

  11. Überprüfen Sie, ob die Option Vollständigen Netzwerkzugriff zulassen für diese kompatible Netzwerkrichtlinie ausgewählt ist, und klicken Sie dann auf OK. Damit ist die Überprüfung einer kompatiblen Netzwerkrichtlinie abgeschlossen.

  12. Doppelklicken Sie im Detailbereich auf den Namen einer Netzwerkrichtlinie, die als Entsprechung nicht kompatibler Clients verwendet wird, und klicken Sie dann auf die Registerkarte Bedingungen.

  13. Überprüfen Sie, ob mindestens eine der angegebenen Bedingungen Integritätsrichtlinie lautet und ob Wert einer Integritätsrichtlinie entspricht, die Sie so konfiguriert haben, dass sie dem Integritätsstatus eines nicht kompatiblen Clients entspricht. Wenn diese Bedingung nicht vorhanden ist, führen Sie die folgenden Schritte aus.

    1. Klicken Sie auf Hinzufügen, klicken Sie auf Integritätsrichtlinien, und klicken Sie dann auf Hinzufügen.

    2. Wählen Sie unter Integritätsrichtlinien eine Richtlinie aus, die dem Integritätsstatus eines nicht kompatiblen Clients entspricht, und klicken Sie dann auf OK. Wenn keine Integritätsrichtlinien verfügbar sind, überprüfen Sie die Integritätsrichtlinien, und wiederholen Sie dieses Verfahren.

  14. Klicken Sie auf die Registerkarte Einschränkungen, und klicken Sie dann auf Authentifizierungsmethoden.

  15. Stellen Sie sicher, dass das Kontrollkästchen Nur Integritätsprüfung für Computer ausführen aktiviert ist.

  16. Klicken Sie auf die Registerkarte Einstellungen, und klicken Sie dann auf NAP-Erzwingung.

    • Überprüfen Sie, ob die Option Eingeschränkten Zugriff gewähren für diese nicht kompatible Netzwerkrichtlinie ausgewählt ist, wenn der Netzwerkzugriffsschutz in einem Erzwingungsvollmodus bereitgestellt wird.

    • Überprüfen Sie, ob die Option Für begrenzten Zeitraum vollständigen Netzwerkzugriff gewähren für diese nicht kompatible Netzwerkrichtlinie ausgewählt ist, wenn der Netzwerkzugriffsschutz im Modus für zurückgestellte Erzwingung bereitgestellt wird.

    • Überprüfen Sie, ob die Option Vollständigen Netzwerkzugriff zulassen für diese nicht kompatible Netzwerkrichtlinie ausgewählt ist, wenn der Netzwerkzugriffsschutz im Berichterstellungsmodus bereitgestellt wird.

    • Wenn Sie die automatische Wartung nicht kompatibler NAP-Clients aktivieren möchten, überprüfen Sie, ob das Kontrollkästchen Automatische Wartung von Clientcomputern aktivieren aktiviert ist.

  17. Klicken Sie auf OK.

  18. Wiederholen Sie diese Schritte bei Bedarf, um die Konfiguration der Netzwerkrichtlinien zu überprüfen, die zur Evaluierung von Zugriffsanforderungen von IPsec-geschützten NAP-Clients verwendet werden.

NAP-Erzwingungsmodi

Wenn Sie den Netzwerkzugriffsschutz (Network Access Protection, NAP) im Netzwerk aktivieren, sind drei Erzwingungsmodi verfügbar. Verwenden Sie diese Erzwingungsmodi zur NAP-Bereitstellung.

  • Wählen Sie zum Aktivieren des Berichterstellungsmodus die Option Vollständigen Netzwerkzugriff zulassen sowohl für kompatible als auch für nicht kompatible NAP-Clientcomputer aus. Im Berichterstellungsmodus wird der Integritätsstatus von Clientcomputern protokolliert, der Netzwerkzugriff ist jedoch nicht eingeschränkt. Sowohl kompatible als auch nicht kompatible Computer empfangen Integritätszertifikate.

  • Wählen Sie zum Aktivieren des Modus für zurückgestellte Erzwingung die Option Vollständigen Netzwerkzugriff zulassen in der kompatiblen Netzwerkrichtlinie und Für begrenzten Zeitraum vollständigen Netzwerkzugriff gewähren in der nicht kompatiblen Netzwerkrichtlinie aus. Sie müssen außerdem ein Datum und eine Uhrzeit angeben, an dem bzw. zu der der Zugriff für nicht kompatible Clients eingeschränkt ist. Im zurückgestellten Erzwingungsmodus erhalten die Clientcomputer sofort NAP-Benachrichtigungen. Selbst wenn sie die Netzwerkintegritätsanforderungen nicht erfüllen, wird ihr Zugriff jedoch bis zur angegebenen Uhrzeit und bis zum angegebenen Datum nicht eingeschränkt.

  • Wählen Sie zum Aktivieren des Erzwingungsvollmodus die Option Vollständigen Netzwerkzugriff zulassen in der kompatiblen Netzwerkrichtlinie und Eingeschränkten Zugriff gewähren in der nicht kompatiblen Netzwerkrichtlinie aus. Im vollständigen Erzwingungsmodus wird der Netzwerkzugriff für Clientcomputer sofort eingeschränkt, wenn sie die Netzwerkintegritätsanforderungen nicht erfüllen.

Integritätsrichtlinien

Mit Integritätsrichtlinien wird definiert, welche Systemintegritätsprüfungen evaluiert werden und wie sie bei der Überprüfung der Konfiguration von Computern verwendet werden, die eine Verbindung mit dem Netzwerk herzustellen versuchen. Basierend auf den Ergebnissen der Systemintegritätsprüfungen wird mit den Integritätsrichtlinien der Clientintegritätsstatus klassifiziert. Es ist mindestens eine Integritätsrichtlinie erforderlich, die dem Integritätsstatus eines kompatiblen Clients entspricht, und es mindestens eine Integritätsrichtlinie erforderlich, die dem Integritätsstatus eines nicht kompatiblen Clients entspricht. Überprüfen Sie mithilfe des folgenden Verfahrens, ob auf dem NAP-Integritätsrichtlinienserver kompatible und nicht kompatible Integritätsrichtlinien konfiguriert sind.

So überprüfen Sie Integritätsrichtlinien
  1. Doppelklicken Sie in der NPS-Konsole auf Richtlinien, und klicken Sie dann auf Integritätsrichtlinien.

  2. Doppelklicken Sie im Detailbereich unter Richtlinienname auf den Namen einer kompatiblen Integritätsrichtlinie. Wenn diese Richtlinie nicht vorhanden ist, erstellen Sie mithilfe der folgenden Schritte eine kompatible Integritätsrichtlinie.

    1. Klicken Sie mit der rechten Maustaste auf Integritätsrichtlinien, und klicken Sie dann auf Neu.

    2. Geben Sie unter Richtlinienname einen Namen für die kompatible Integritätsrichtlinie ein (z. B. Kompatibel für NAP-IPsec mit HRA).

    3. Wählen Sie unter Client-Systemintegritätsprüfungen die Option Client besteht alle Systemintegritätsprüfungen aus, um eine strenge Integritätsrichtlinie zu erstellen, oder wählen Sie die Option Client besteht mindestens eine Systemintegritätsprüfung aus, um eine weniger strenge Integritätsrichtlinie zu erstellen.

    4. Aktivieren Sie unter In der Integritätsrichtlinie verwendete SHVs das Kontrollkästchen neben der jeweiligen Systemintegritätsprüfung (System Health Validator, SHV), die zur Evaluierung der Clientintegrität verwendet wird. Die Windows-Sicherheitsintegritätsprüfung ist standardmäßig verfügbar. Andere Systemintegritätsprüfungen sind verfügbar, wenn sie installiert wurden.

    5. Klicken Sie auf OK.

  3. Überprüfen Sie unter Client-Systemintegritätsprüfungen, ob entweder Client besteht alle Systemintegritätsprüfungen oder Client besteht mindestens eine Systemintegritätsprüfung ausgewählt ist. Diese Bedingungen werden verwendet, um kompatible Richtlinien zu erstellen, die entweder mehr oder weniger restriktiv sind.

  4. Stellen Sie unter In der Integritätsrichtlinie verwendete SHVs sicher, dass die Kontrollkästchen neben den installierten Systemintegritätsprüfungen aktiviert sind, die zur Evaluierung der Integrität auf IPsec-geschützten NAP-Clientcomputern verwendet werden, und klicken Sie dann auf OK.

  5. Doppelklicken Sie im Detailbereich unter Richtlinienname auf den Namen einer nicht kompatiblen Integritätsrichtlinie. Wenn diese Richtlinie nicht vorhanden ist, erstellen Sie mithilfe der folgenden Schritte eine nicht kompatible Integritätsrichtlinie.

    1. Klicken Sie mit der rechten Maustaste auf Integritätsrichtlinien, und klicken Sie dann auf Neu.

    2. Geben Sie unter Richtlinienname einen Namen für die nicht kompatible Integritätsrichtlinie ein (z. B. Nicht kompatibel für NAP-IPsec mit HRA).

    3. Wählen Sie unter Client-Systemintegritätsprüfungen die Option Client besteht mindestens eine Systemintegritätsprüfung nicht aus, um eine strenge Integritätsrichtlinie zu erstellen, oder wählen Sie die Option Client besteht keine Systemintegritätsprüfungen aus, um eine weniger strenge Integritätsrichtlinie zu erstellen.

    4. Aktivieren Sie unter In der Integritätsrichtlinie verwendete SHVs das Kontrollkästchen neben der jeweiligen Systemintegritätsprüfung (System Health Validator, SHV), die zur Evaluierung der Clientintegrität verwendet wird. Die Windows-Sicherheitsintegritätsprüfung ist standardmäßig verfügbar. Andere Systemintegritätsprüfungen sind verfügbar, wenn sie installiert wurden.

    5. Klicken Sie auf OK.

  6. Überprüfen Sie unter Client-Systemintegritätsprüfungen, ob entweder Client besteht mindestens eine Systemintegritätsprüfung nicht oder Client besteht keine Systemintegritätsprüfungen ausgewählt ist. Diese Bedingungen werden verwendet, um nicht kompatible Richtlinien zu erstellen, die entweder mehr oder weniger restriktiv sind.

  7. Stellen Sie unter In der Integritätsrichtlinie verwendete SHVs sicher, dass die Kontrollkästchen neben den installierten Systemintegritätsprüfungen aktiviert sind, die zur Evaluierung der Integrität auf IPsec-geschützten NAP-Clientcomputern verwendet werden, und klicken Sie dann auf OK.

  8. Wiederholen Sie diese Schritte für alle Integritätsrichtlinien, die zur Evaluierung IPsec-geschützter NAP-Clientcomputer verwendet werden.

Systemintegritätsprüfungen (System Health Validators, SHVs)

Mithilfe von Systemintegritätsprüfungen werden die Software- und Konfigurationsanforderungen für Computer definiert, die eine Verbindung mit dem Netzwerk herzustellen versuchen. Überprüfen Sie mithilfe des folgenden Verfahrens, ob die Systemintegritätsprüfungen ordnungsgemäß für Ihre Bereitstellung konfiguriert sind.

So überprüfen Sie Systemintegritätsprüfungen
  1. Doppelklicken Sie in der NPS-Konsole auf Netzwerkzugriffsschutz, und klicken Sie dann auf Systemintegritätsprüfungen.

  2. Doppelklicken Sie im Detailbereich unter Name auf den Namen einer installierten Systemintegritätsprüfung.

  3. Die Konfiguration von Systemintegritätsprüfungen ist je nach Implementierung unterschiedlich. Wenn Sie die Windows-Sicherheitsintegritätsprüfung verwenden, klicken Sie auf Konfigurieren.

    • Klicken Sie zum Konfigurieren von Integritätsanforderungen für Computer unter Windows Vista auf die Registerkarte Windows Vista.

    • Klicken Sie zum Konfigurieren von Integritätsanforderungen für Computer unter Windows XP mit Service Pack 3 auf die Registerkarte Windows XP.

  4. Aktivieren Sie die Integritätsanforderungen, indem Sie die Kontrollkästchen neben den Integritätskomponenten aktivieren. Deaktivieren Sie diese Kontrollkästchen, um Anforderungen zu deaktivieren. Zu den bei Verwendung der Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV) verfügbaren Integritätsanforderungen zählen: Firewall, Virenschutz, Spywareschutz, Automatische Updates und Sicherheitsupdateschutz.

  5. Klicken Sie auf OK, und konfigurieren Sie Fehlercodeauflösungen für Ihre Bereitstellung. Mit Fehlercodeauflösungen wird bestimmt, wie Clients unter den aufgelisteten Fehlerbedingungen evaluiert werden. Sie können für jede Bedingung festlegen, ob der Status Kompatibel oder Nicht kompatibel zurückgegeben wird.

  6. Klicken Sie auf OK, und schließen Sie die NPS-Konsole.

Überprüfen der NPS-Proxykonfiguration

Überprüfen Sie mithilfe des folgenden Verfahrens die Konfiguration des lokalen Servers, auf dem NPS ausgeführt wird, als RADIUS-Proxy. Dieses Verfahren gilt nicht, wenn der lokale NPS-Server, auf dem NPS ausgeführt wird, als NAP-Integritätsrichtlinienserver konfiguriert ist.

So überprüfen Sie die NPS-Proxykonfiguration
  1. Klicken Sie auf Start, klicken Sie auf Ausführen, geben Sie nps.msc ein, und drücken Sie dann die EINGABETASTE.

  2. Doppelklicken Sie in der Konsolenstruktur auf RADIUS-Clients und -Server, und klicken Sie dann auf Remote-RADIUS-Servergruppen.

  3. Doppelklicken Sie im Detailbereich unter Gruppenname auf den Namen einer Remote-RADIUS-Servergruppe. Wenn kein Remote-RADIUS-Servergruppeneintrag angezeigt wird, führen Sie die folgenden Schritte aus, um eine Remote-RADIUS-Servergruppe hinzuzufügen.

    1. Klicken Sie in der Konsolenstruktur unter RADIUS-Clients und -Server mit der rechten Maustaste auf Remote-RADIUS-Servergruppen, und klicken Sie dann auf Neu.

    2. Geben Sie unter Gruppenname einen Namen für die RADIUS-Remoteservergruppe ein (z. B. NAP-Integritätsrichtlinienserver1).

    3. Klicken Sie auf Hinzufügen, und geben Sie dann unter Server den DNS-Namen oder die IP-Adresse eines Servers ein, auf dem NPS ausgeführt wird und der für die Evaluierung von NAP-IPsec-Clientverbindungsanforderungen konfiguriert ist, die vom lokalen HRA-Server weitergeleitet werden.

    4. Klicken Sie auf Überprüfen, und klicken Sie dann auf Auflösen. Überprüfen Sie, ob die angezeigte IP-Adresse die für die Bereitstellung richtige ist, und klicken Sie dann auf OK.

    5. Klicken Sie auf die Registerkarte Authentifizierung/Kontoführung.

    6. Geben Sie unter Gemeinsamer geheimer Schlüssel und Gemeinsamen geheimen Schlüssel bestätigen den geheimen Schlüssel ein, der in den NPS-Einstellungen auf dem NAP-Integritätsrichtlinienserver konfiguriert ist.

    7. Klicken Sie zweimal auf OK.

  4. Klicken Sie im Servergruppeneigenschaften-Fenster unter RADIUS-Server auf den Namen eines Remote-RADIUS-Servers, und klicken Sie dann auf Bearbeiten.

  5. Klicken Sie auf der Registerkarte Adresse auf Überprüfen.

  6. Klicken Sie im Dialogfeld Client überprüfen auf Auflösen. Stellen Sie sicher, dass die IP-Adresse des RADIUS-Clients einem NAP-Integritätsrichtlinienserver im Netzwerk entspricht, der mit einem RADIUS-Proxy konfiguriert ist, der dem lokalen Server entspricht, auf dem NPS ausgeführt wird.

  7. Klicken Sie auf OK, und klicken Sie dann auf die Registerkarte Authentifizierung/Kontoführung.

  8. Überprüfen Sie, ob die Authentifizierungs- und Kontoführungsports die für die Bereitstellung richtigen sind. Der Standardauthentifizierungsport ist 1812, und der Standardkontoführungsport ist 1813.

  9. Überprüfen Sie, ob das Kontrollkästchen Anforderung muss das Attribut "Message Authenticator" enthalten nur aktiviert ist, wenn auf dem NAP-Integritätsrichtlinienserver eine entsprechende Access-Request-Nachrichtenanforderung für das Attribut "Message Authenticator" aktiviert ist. Deaktivieren Sie dieses Kontrollkästchen, wenn dieses Attribut für den NAP-Integritätsrichtlinienserver nicht erforderlich ist.

  10. Geben Sie bei Verdacht einer Nichtübereinstimmung des gemeinsamen geheimen Schlüssels den geheimen Schlüssel neben Gemeinsamer geheimer Schlüssel und Gemeinsamen geheimen Schlüssel bestätigen ein, und klicken Sie dann zweimal auf OK.

  11. Doppelklicken Sie in der NPS-Konsole auf Richtlinien, und klicken Sie dann auf Verbindungsanforderungsrichtlinien.

  12. Doppelklicken Sie im Detailbereich auf die Verbindungsanforderungsrichtlinie, die zum Authentifizieren eingehender Netzwerkzugriffsanforderungen von IPsec-geschützten NAP-Clients verwendet wird.

  13. Klicken Sie auf die Registerkarte Einstellungen, und klicken Sie unter Weiterleitungsverbindungsanforderung auf Authentifizierung.

  14. Überprüfen Sie, ob Anforderungen an folgende Remote-RADIUS-Servergruppe zur Authentifizierung weiterleiten ausgewählt ist, und überprüfen Sie, ob der Name der ausgewählten Remote-RADIUS-Servergruppe den richtigen NAP-Integritätsrichtlinienservern im Netzwerk entspricht.

  15. Wiederholen Sie diese Schritte für alle Gruppen und Remoteserver, auf denen NPS ausgeführt wird.

  16. Schließen Sie die NPS-Konsole.

Weitere Überlegungen

Wenn der Typ des Netzwerkzugriffsservers in der Verbindungsanforderungsrichtlinie und in der Netzwerkrichtlinie auf Nicht angegeben festgelegt ist, verwendet NPS diese Richtlinie zur Evaluierung aller Verbindungsanforderungen, die von einem beliebigen Typ des Netzwerkzugriffsservers stammen. Wenn der Typ des Netzwerkzugriffsservers auf Integritätsregistrierungsstelle festgelegt ist, werden nur die von einem Integritätsregistrierungsstellen-Server weitergeleiteten Verbindungsanforderungen mit dieser Richtlinie evaluiert. Wenn für mindestens eine aktivierte Richtlinie als Quelle Integritätsregistrierungsstelle angegeben ist, werden alle Richtlinien, für die als Quelle Nicht angegeben ausgewählt ist, bei der Verarbeitung IPsec-geschützter NAP-Client-Netzwerkzugriffsanforderungen von NPS ignoriert.

Weitere Verweise