Mit HCAP (Host Credential Authorization-Protokoll) können Sie die Microsoft NAP-Lösung (Network Access Protection, Netzwerkzugriffsschutz) in Cisco Network Admission Control integrieren. Wenn Sie HCAP mit NPS (Network Policy Server, Netzwerkrichtlinienserver) und NAP bereitstellen, kann NPS die Autorisierung von Cisco 802.1X-Zugriffsclients einschließlich der Erzwingung der NAP-Integritätsrichtlinie ausführen, während Cisco Authentifizierungs-, Autorisierungs- und Kontoführungsserver (Authentication, Authorization, and Accounting, AAA) die Authentifizierung ausführen.

Führen Sie die folgenden Schritte aus, um einen HCAP-Server bereitzustellen:

  1. Stellen Sie NAP-fähige Clientcomputer bereit. Konfigurieren Sie für Clientcomputer die Verwendung von Cisco EAP-FAST als Authentifizierungsmethode für den Netzwerkzugriff.

  2. Stellen Sie NAP mithilfe der Dokumentation für die NAP-Bereitstellung bereit. Hierzu gehört das Konfigurieren der Clientcomputer mit Systemintegritäts-Agents (System Health Agents, SHAs) und der Netzwerkrichtlinienserver mit den entsprechenden Systemintegritätsprüfungen (System Health Validators, SHVs).

  3. Stellen Sie mithilfe der Dokumentation für die Cisco-Bereitstellung Cisco Network Admission Control bereit.

  4. Installieren Sie den HCAP-Server mithilfe des Assistenten zum Hinzufügen von Rollen in Server-Manager. Der HCAP-Server ist ein Rollendienst der Serverrolle Netzwerkrichtlinien- und Zugriffsdienste. Bei der Installation von HCAP-Server werden die zusätzlichen erforderlichen Komponenten, Internetinformationsdienste (Internet Information Services, IIS) und NPS, auf demselben Computer installiert. Darüber hinaus wird ein Serverzertifikat automatisch für den Server mit IIS registriert, um SSL-Verbindungen (Secure Sockets Layer) zwischen IIS und dem Cisco AAA-Server zu ermöglichen.

  5. Konfigurieren Sie IIS für die Überwachung der angegebenen IP-Adressen, damit Cisco AAA-Server Autorisierungsanforderungen senden können.

  6. Konfigurieren Sie für den Cisco AAA-Server die URL des Servers mit HCAP, NPS und IIS, damit der Cisco AAA-Server Autorisierungsanforderungen an NPS senden kann.

  7. Konfigurieren Sie NPS auf dem HCAP-Server als RADIUS-Proxy, um Autorisierungsanforderungen an Netzwerkrichtlinienserver zu senden, die Mitglied von mindestens einer Remote-RADIUS-Servergruppe sind. Optional können Sie NPS auf dem HCAP-Server als RADIUS-Server konfigurieren, um Autorisierungsanforderungen lokal zu verarbeiten.

  8. Konfigurieren Sie Netzwerkrichtlinienserver als RADIUS-Server, um die Autorisierung auszuführen, was das Bereitstellen von NAP und das Erstellen von Integritätsrichtlinien in NPS beinhaltet. Falls der NPS-HCAP-Server ein RADIUS-Proxy ist, der Verbindungsanforderungen an NPS-RADIUS-Server in Remote-RADIUS-Servergruppen weiterleitet, müssen Sie den RADIUS-Proxy als RADIUS-Client auf jedem RADIUS-Server konfigurieren.

  9. Konfigurieren Sie die Netzwerkrichtlinie mit NAP-Integritätsrichtlinie auf NPS-RADIUS-Servern. Auf Wunsch können Netzwerkrichtlinienbedingungen HCAP-Group-Name und HCAP-Location-Group für die NAP-Interoperabilität mit Cisco Network Admission Control beinhalten. Darüber hinaus können Sie mithilfe der Bedingung Erweiterter Status in der Netzwerkrichtlinie den erweiterten Status des Clientcomputers angeben, der für die Übereinstimmung mit der Netzwerkrichtlinie erforderlich ist. Erweiterte Status sind Elemente von Cisco Network Admission Control und beinhalten Auf Transaktionen ausgelegt, Infiziert und Unbekannt. Mithilfe dieser Netzwerkrichtlinienbedingung können Sie NPS so konfigurieren, dass der Zugriff zugelassen oder abgelehnt wird, je nach Status des Clientcomputers.

Authentifizierungs- und Autorisierungsvorgang

Nachdem Sie Cisco Network Admission Control und NPS mit NAP bereitgestellt haben, wird der Authentifizierungs- und Autorisierungsvorgang wie folgt ausgeführt:

  1. Der Clientcomputer versucht auf das Netzwerk zuzugreifen. Der Client kann versuchen, über einen 802.1X-Authentifizierungsswitch oder einen 802.1X-Drahtloszugriffspunkt, der als RADIUS-Client für den Cisco AAA-Server konfiguriert ist, eine Verbindung herzustellen.

  2. Wenn der Cisco AAA-Server die Verbindungsanforderung vom Netzwerkzugriffsserver oder Router empfangen hat, fordert der Cisco AAA-Server SoH-Daten (Statement of Health) vom Client an, indem ein EAP-TLV (EAP-Type Length Value) gesendet wird.

  3. SHAs auf dem Clientcomputer melden den Integritätsstatus an den NAP-Agent auf dem Client, und der NAP-Agent erstellt ein SoH, das an den Cisco AAA-Server gesendet wird.

  4. Der Cisco AAA-Server leitet das SoH zusammen mit der Benutzer-ID, Computer-ID und dem Standort des Clientcomputers mithilfe von HCAP an den NPS-Proxy oder -Server weiter.

  5. Falls der NPS-HCAP-Server als RADIUS-Proxy konfiguriert ist, leitet NPS die Autorisierungsanforderung an die entsprechende Remote-RADIUS-Servergruppe weiter. (Diese Entscheidung erfolgt mittels der Auswertung durch NPS der konfigurierten Verbindungsanforderungsrichtlinien.) Falls der NPS-HCAP-Server als RADIUS-Server konfiguriert ist, verarbeitet der NPS-HCAP-Server die Autorisierungsanforderung.

  6. NPS wertet das SoH für die konfigurierte Netzwerkrichtlinie aus und erstellt, falls eine übereinstimmende Netzwerkrichtlinie gefunden wird, eine SoH-Antwort (Statement of Health Response, SoHR), die an den Client zurückgeschickt wird. Die SoH-Antwort wird zusammen mit dem NAP-Erzwingungsstatus und dem erweiterten Status mithilfe von HCAP an den Cisco AAA-Server zurückgeschickt.

  7. Der Cisco AAA-Server wertet den NAP-Erzwingungsstatus für die Cisco Network Admission Control-Richtlinie aus und bestimmt das Netzwerkzugriffsprofil.

  8. Der Cisco AAA-Server sendet das Netzwerkzugriffsprofil an den Netzwerkzugriffsserver (Switch, Zugriffspunkt oder Router). Das Netzwerkzugriffsprofil enthält die Informationen, mit denen der Netzwerkzugriffsserver angewiesen wird, ob für den Clientcomputer der Vollzugriff erteilt, der Zugriff eingeschränkt oder der Zugriff verweigert wird.

  9. Der Cisco AAA-Server sendet die SoHR an den Clientcomputer zurück.

  10. Falls die Clientkonfiguration nicht mit der Integritätsrichtlinie konform ist und die SoHR eine Wartung des Clients anweist, versucht der Client, die erforderlichen Aktionen auszuführen, wie z. B. das Herunterladen von Softwareupdates oder das Ändern von Konfigurationseinstellungen. Nach der Wartung versucht der Client erneut auf das Netzwerk zuzugreifen, und der Authentifizierungs- und Autorisierungsvorgang wird wiederholt.

Weitere Verweise

Weitere Informationen (möglicherweise in englischer Sprache) finden Sie in den Artikeln zum Netzwerkzugriffsschutz unter https://go.microsoft.com/fwlink/?LinkID=56443 und https://go.microsoft.com/fwlink/?LinkId=128799.

Inhaltsverzeichnis