Überprüfen Sie mithilfe dieses Verfahrens, ob NAP-fähige Clientcomputer für die NAP-IPsec-Erzwingungsmethode (Network Access Protection (Netzwerkzugriffsschutz), Internet Protocol Security (Internetprotokollsicherheit)) konfiguriert sind. Ein NAP-fähiger Computer ist ein Computer, auf dem die NAP-Komponenten installiert sind und mit dem der Integritätsstatus überprüft werden kann, indem SoHs (Statements of Health) zur Evaluierung an den Netzwerkrichtlinienserver (Network Policy Server, NPS) gesendet werden. Weitere Informationen zum Netzwerkzugriffsschutz (Network Access Protection, NAP) finden Sie unter https://go.microsoft.com/fwlink/?LinkId=94393 (möglicherweise in englischer Sprache).

Sie müssen mindestens Mitglied der Gruppe Domain Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Details zur Verwendung der entsprechenden Konten und Gruppenmitgliedschaften finden Sie unter https://go.microsoft.com/fwlink/?LinkId=83477 (möglicherweise in englischer Sprache).

Überprüfen von NAP-Clientkomponenten

Zu den NAP-Komponenten zählen der NAP-Agent-Dienst, mindestens ein NAP-Erzwingungsclient und mindestens ein Systemintegritäts-Agent (System Health Agent, SHA). Andere Dienste können auch erforderlich sein, wenn sie einen installierten Systemintegritäts-Agent unterstützen. Alle diese Komponenten überwachen zusammen fortlaufend den Integritätsstatus eines NAP-Clientcomputers und stellen diesen Status für NAP-Server zur Evaluierung bereit.

NAP-Agent

Mit dem NAP-Agent-Dienst werden Integritätsinformationen zum Clientcomputer gesammelt und verwaltet. Vom NAP-Agent werden zudem die SoHs von allen installierten Systemintegritäts-Agents verarbeitet, und von ihm wird den Erzwingungsclients die Clientintegrität gemeldet. Der NAP-Agent muss ausführbar sein, um zu ermöglichen, dass auf Clientcomputern Integritätszertifikate angefordert oder empfangen werden können.

So stellen Sie sicher, dass der NAP-Agent-Dienst gestartet wird

  1. Klicken Sie auf Start, klicken Sie auf Systemsteuerung, klicken Sie auf System und Wartung, klicken Sie auf Verwaltung, und doppelklicken Sie dann auf Dienste.

  2. Doppelklicken Sie in der Liste der Dienste unter Name auf NAP-Agent (Network Access Protection).

  3. Überprüfen Sie, ob der Status von Dienst auf Gestartet und Starttyp auf Automatisch festgelegt ist.

  4. Wenn der Dienst nicht gestartet wird, wählen Sie neben Starttyp die Option Automatisch aus, und klicken Sie dann auf Starten.

  5. Klicken Sie auf OK, um das Dialogfeld Eigenschaften von Netzwerkzugriffsschutz zu schließen.

  6. Schließen Sie die Dienstekonsole.
Hinweis

Durch das Neustarten des NAP-Agent-Diensts werden die Systemintegritäts-Agents automatisch erneut initialisiert, und es wird versucht, ein neues Integritätszertifikat abzurufen. Dies kann bei der Problembehandlung für den Netzwerkzugriffsschutz hilfreich sein.

NAP-IPsec-Erzwingungsclient

Der NAP-IPsec-Erzwingungsclient muss auf Clientcomputern installiert und aktiviert werden. Der NAP-Erzwingungsclient fordert den Zugriff auf ein Netzwerk an und übermittelt den Integritätsstatus eines Clientcomputers an andere Komponenten der NAP-Clientarchitektur. Der NAP-IPsec-Erzwingungsclient schränkt durch die Interaktion mit dem Zertifikatspeicher auf einem Clientcomputer den Zugriff auf IPsec-geschützte Netzwerke ein.

So stellen Sie sicher, dass der NAP-IPsec-Erzwingungsclient initialisiert wird

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, und klicken Sie dann auf Eingabeaufforderung.

  2. Geben Sie an der Eingabeaufforderung den Eintrag netsh nap client show state ein, und drücken Sie dann die EINGABETASTE. Mithilfe dieses Befehls wird der NAP-Status des Clientcomputers angezeigt.

  3. Stellen Sie in der Befehlsausgabe unter Erzwingungsclientstatus sicher, dass der Status für Vertrauende Seite von IPsec dem Wert Initialisiert = Ja entspricht.

Überprüfen der IPsec-Clientkonfiguration

NAP-Clients müssen mit Einstellungen konfiguriert werden, die die Kommunikation mit NAP-Serverkomponenten ermöglichen. Diese Einstellungen können mithilfe der Gruppenrichtlinie, der NAP-Clientkonfigurationskonsole oder der Befehlszeile konfiguriert werden. Bei der IPsec-Erzwingungsmethode umfassen die NAP-Clienteinstellungen die Anforderungsrichtlinie und vertrauenswürdige Servergruppen.

Anforderungsrichtlinie

Die standardmäßigen Anforderungsrichtlinieneinstellungen auf NAP-Clientcomputern müssen nicht geändert werden. Bei Änderung dieser Einstellungen ist es wichtig, zu überprüfen, ob auf den NAP-Servern ähnliche Einstellungen aktiviert sind. Standardmäßig wird ein Aushandlungsprozess mit einem NAP-Server von einem NAP-fähigen Clientcomputer mithilfe eines für beide Seiten akzeptablen Standardsicherheitsmechanismus für die Kommunikationsverschlüsselung initiiert. Es wird empfohlen, die standardmäßigen Anforderungsrichtlinieneinstellungen zu verwenden.

So zeigen Sie Anforderungsrichtlinieneinstellungen an

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, und klicken Sie dann auf Eingabeaufforderung.

  2. Wenn für die Bereitstellung der NAP-Clienteinstellungen eine Gruppenrichtlinie verwendet wird, geben Sie an der Eingabeaufforderung den Eintrag netsh nap client show group ein, und drücken Sie dann die EINGABETASTE. Wenn für die Bereitstellung der NAP-Clienteinstellungen eine lokale Richtlinie verwendet wird, geben Sie an der Eingabeaufforderung den Eintrag netsh nap client show config ein, und drücken Sie dann die EINGABETASTE. Mithilfe dieser Befehle werden die NAP-Konfigurationseinstellungen für Gruppenrichtlinien und lokale Richtlinien auf Clientcomputern angezeigt.

  3. Stellen Sie in der Befehlsausgabe sicher, dass die Einstellungen unter Kryptografiedienstanbieter und Hashalgorithmus den für die Integritätsregistrierungsstelle konfigurierten Einstellungen entsprechen. Der Standard-Kryptografiedienstanbieter lautet Microsoft RSA SChannel Cryptographic Provider, keylength = 2048. Der Standard-Hashalgorithmus lautet sha1RSA (1.3.14.3.2.29).

Vertrauenswürdige Servergruppen

Vertrauenswürdige Servergruppen werden innerhalb der Clientintegritätsregistrierungs-Einstellungen konfiguriert, sodass NAP-Clientcomputer Websites kontaktieren können, die von der Integritätsregistrierungsstelle zum Verarbeiten von Integritätszertifikatanforderungen verwendet werden. Wenn vertrauenswürdige Servergruppen nicht konfiguriert werden bzw. nicht ordnungsgemäß konfiguriert werden, können NAP-Clientcomputer keine Integritätszertifikate erhalten.

So überprüfen Sie die Konfiguration vertrauenswürdiger Servergruppen

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, und klicken Sie dann auf Eingabeaufforderung.

  2. Wenn für die Bereitstellung der NAP-Clienteinstellungen eine Gruppenrichtlinie verwendet wird, geben Sie an der Eingabeaufforderung den Eintrag netsh nap client show group ein, und drücken Sie dann die EINGABETASTE. Wenn für die Bereitstellung der NAP-Clienteinstellungen eine lokale Richtlinie verwendet wird, geben Sie an der Eingabeaufforderung den Eintrag netsh nap client show config ein, und drücken Sie dann die EINGABETASTE. Mithilfe dieser Befehle werden die NAP-Konfigurationseinstellungen für Gruppenrichtlinien und lokale Richtlinien auf Clientcomputern angezeigt.

  3. Stellen Sie in der Befehlsausgabe unter Konfiguration der vertrauenswürdigen Servergruppe sicher, dass die Konfiguration für die Einträge neben Verarbeitungsreihenfolge, Gruppe, Https erforderlich und URL richtig ist.

Hinweis

Ein NAP-Clientcomputer versucht, ein Integritätszertifikat von der ersten URL in allen konfigurierten vertrauenswürdigen Servergruppen zu erhalten, es sei denn, der Server wurde als nicht verfügbar gekennzeichnet. Weitere Informationen finden Sie unter Überprüfen der IIS-Konfiguration und Grundlegendes zu HRA-Authentifizierungsanforderungen.

Überprüfen von NAP-Clientereignissen

Durch das Überprüfen der in NAP-Clientereignissen enthaltenen Informationen kann die Problemhandlung unterstützt werden. Außerdem kann die NAP-Clientfunktionalität besser nachvollzogen werden.

So überprüfen Sie NAP-Clientereignisse in der Ereignisanzeige

  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme, klicken Sie auf Zubehör, und klicken Sie dann auf Ausführen.

  2. Geben Sie eventvwr.msc ein, und drücken Sie dann die EINGABETASTE.

  3. Navigieren Sie in der linken Struktur zu Ereignisanzeige (lokal)\Anwendungs- und Dienstprotokolle\Microsoft\Windows\Netzwerkzugriffsschutz\Betriebsbereit.

  4. Klicken Sie im mittleren Bereich auf ein Ereignis.

  5. Die Registerkarte Allgemein wird standardmäßig angezeigt. Klicken Sie auf die Registerkarte Details, um weitere Informationen anzuzeigen.

  6. Sie können auch mit der rechten Maustaste auf ein Ereignis und dann auf Ereigniseigenschaften klicken, um ein neues Fenster zum Überprüfen von Ereignissen zu öffnen.

Weitere Verweise

Inhaltsverzeichnis