Der Netzwerkzugriffsschutz (Network Access Protection, NAP) umfasst Client- und Serverkomponenten, die Ihnen das Definieren der erforderlichen Software- und Systemkonfigurationen für Computer ermöglichen, über die eine Verbindung mit Ihrem Netzwerk hergestellt wird. Mit NAP werden Integritätsanforderungen durch die Untersuchung und Beurteilung der Integrität von Clientcomputern, durch die Einschränkung des Netzwerkzugriffs für nicht kompatible Clientcomputer sowie durch die Korrektur nicht kompatibler Clientcomputer für einen uneingeschränkten Netzwerkzugriff erzwungen. NAP erzwingt Integritätsanforderungen auf Clientcomputern, mit denen versucht wird, eine Verbindung mit dem Netzwerk herzustellen. Die Integritätsrichtlinienerzwingung wird von NAP auch bereitgestellt, während ein kompatibler Clientcomputer mit einem Netzwerk verbunden ist.
Die Erzwingung des Netzwerkzugriffsschutzes erfolgt, wenn Clientcomputer versuchen, über Netzwerkzugriffsserver wie RRAS-Server, auf denen VPN-Dienste bereitgestellt werden, auf das Netzwerk zuzugreifen oder mit anderen Netzwerkressourcen zu kommunizieren.
Die Erzwingung des Netzwerkzugriffsschutzes für VPN wird über eine VPN-Erzwingungsserverkomponente und eine VPN-Erzwingungsclientkomponente bereitgestellt. VPN-Server können Integritätsrichtlinien erzwingen, wenn Clientcomputer versuchen, eine VPN-Verbindung mit dem Netzwerk herzustellen. Die VPN-Erzwingung ermöglicht einen stark eingeschränkten Netzwerkzugriff für alle Computer, die über eine VPN-Verbindung auf das Netzwerk zugreifen.
 | Hinweis |
Die VPN-Erzwingung unterscheidet sich von der Quarantänesteuerung für Netzwerkzugriff, einem Feature in Windows Server 2003 und Internet Security und Acceleration (ISA) Server 2004. |
Weitere Informationen (möglicherweise in englischer Sprache) zu NAP finden Sie unter
Bereitstellen von NAP für VPN
Zum Bereitstellen des Netzwerkzugriffsschutzes für VPN müssen Sie Folgendes konfigurieren:
- Installieren und konfigurieren Sie RRAS als VPN-Server.
- Konfigurieren Sie VPN-Server für Netzwerkrichtlinienserver (Network Policy Server, NPS) als RADIUS-Clients. Konfigurieren Sie zudem eine Verbindungsanforderungsrichtlinie, eine Netzwerkrichtlinie und eine NAP-Integritätsrichtlinie. Sie können diese Richtlinien einzeln über die NPS-Konsole oder mithilfe des Assistenten für den Netzwerkzugriffsschutz konfigurieren.
- Aktivieren Sie den NAP-VPN-Erzwingungsclient und den NAP-Dienst auf NAP-fähigen Clientcomputern.
- Konfigurieren Sie die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV), oder installieren und konfigurieren Sie andere Systemintegritäts-Agents (System Health Agents, SHAs) und Systemintegritätsprüfungen (System Health Validators, SHVs) entsprechend der NAP-Bereitstellung.
- Stellen Sie eine Public Key-Infrastruktur (Public Key Infrastructure, PKI) mit Active Directory®-Zertifikatsdiensten (Active Directory Certificate Services, AD CS) bereit, wenn Sie PEAP-TLS oder EAP-TLS mit Smartcards oder Zertifikaten verwenden.
- Bei Verwendung von PEAP-MS-CHAP v2 stellen Sie Serverzertifikate mit AD CS aus, oder erwerben Sie Serverzertifikate von einer vertrauenswürdigen Stammzertifizierungsstelle.
Konfigurieren von RAS-Richtlinien
Sie müssen NPS verwenden, um RAS-Richtlinien zu erstellen und zu konfigurieren. Führen Sie die folgenden Schritte aus, um die RAS-Richtlinie für das Erteilen des Benutzerzugriffs festzulegen.
Mitgliedschaft in der lokalen Gruppe „Administratoren“ oder in einer entsprechenden Gruppe ist Grundvoraussetzung, um die folgenden Schritte ausführen zu können.
 | So konfigurieren Sie die RAS-Richtlinie |
Klicken Sie mit der rechten Maustaste auf RAS-Protokollierung und -Richtlinien, und klicken Sie dann auf NPS starten.
Klicken Sie auf Netzwerkrichtlinien.
Doppelklicken Sie auf Verbindungen mit dem Microsoft Routing- und RAS-Server.
Klicken Sie auf der Registerkarte Übersicht unter Zugriffsberechtigung auf Zugriff gewähren, und klicken Sie dann auf OK.
Weitere Verweise
- Konfigurieren von RRAS
Netzwerkzugriffsschutz (möglicherweise in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=137284)Netzwerkrichtlinienserver (möglicherweise in englischer Sprache) (https://go.microsoft.com/fwlink/?linkid=137283)