Eine NAP-Infrastruktur (Network Access Protection, Netzwerkzugriffsschutz) umfasst NAP-Clientcomputer, NAP-Erzwingungspunkte und NAP-Integritätsrichtlinienserver. Zu den optionalen Komponenten zählen Wartungsserver und Integritätsanforderungsserver.

NAP-Clientcomputer

Zum Zugreifen auf das Netzwerk sammeln NAP-Clients zunächst Integritätsinformationen in lokal installierten Programmen, die als Systemintegritäts-Agents (System Health Agents, SHAs) bezeichnet werden. Jeder auf dem Clientcomputer installierte SHA stellt Informationen zu aktuellen Einstellungen oder Aktivitäten bereit, für deren Überwachung der SHA vorgesehen ist. Informationen von SHAs werden vom NAP-Agent erfasst. Dabei handelt es sich um einen Dienst, der auf dem lokalen Computer ausgeführt wird. Vom NAP-Agent-Dienst wird der Integritätsstatus des Computers zusammengefasst. Diese Informationen werden an einen oder mehrere NAP-Erzwingungsclients übergeben. Als Erzwingungsclient wird eine Software bezeichnet, die mit NAP-Erzwingungspunkten interagiert, um auf das Netzwerk zuzugreifen oder in diesem zu kommunizieren.

NAP-Erzwingungspunkte

Als NAP-Erzwingungspunkt wird ein Server oder ein Hardwaregerät bezeichnet, das für einen NAP-Clientcomputer eine bestimmte Netzwerkzugriffsebene bereitstellt. Für jede NAP-Erzwingungstechnologie wird ein anderer Typ von NAP-Erzwingungspunkt verwendet. Weitere Informationen finden Sie in der folgenden Tabelle.

NAP-Erzwingungsmethode NAP-Erzwingungspunkt

IPsec (Internet Protocol Security, Internetprotokollsicherheit)

Integritätsregistrierungsstelle (Health Registration Authority, HRA) und Netzwerkrichtlinienserver (Network Policy Server, NPS)

802.1X

Switch (verkabelt) oder Drahtloszugriffspunkt (drahtlos)

VPN

RRAS

DHCP

DHCP und NPS

Remotedesktopgateway

Remotedesktopgateway und NPS

Wenn auf einem NAP-Erzwingungspunkt Windows Server 2008 oder Windows Server 2008 R2 ausgeführt wird, wird dieser als NAP-Erzwingungsserver bezeichnet. Auf allen NAP-Erzwingungsservern muss Windows Server 2008 oder Windows Server 2008 R2 ausgeführt werden. In NAP mit 802.1X-Erzwingung wird als NAP-Erzwingungspunkt ein IEEE 802.1X-kompatibler Switch oder Drahtloszugriffspunkt verwendet. Auf NAP-Erzwingungsservern für die IPsec-, DHCP- und Remotedesktopgateway-Erzwingungsmethoden muss ebenfalls NPS ausgeführt und als RADIUS-Proxy oder als NAP-Integritätsrichtlinienserver konfiguriert werden. Bei NAP mit VPN-Erzwingung muss NPS nicht auf dem VPN-Server installiert sein.

NAP-Integritätsrichtlinienserver

Als NAP-Integritätsrichtlinienserver werden Computer unter Windows Server 2008 oder Windows Server 2008 R2 bezeichnet, auf denen der NPS-Rollendienst installiert und für die Auswertung der Integrität von NAP-Clientcomputern konfiguriert ist. Für alle NAP-Erzwingungstechnologien ist mindestens ein Integritätsrichtlinienserver erforderlich. Für einen NAP-Integritätsrichtlinienserver werden Richtlinien und Einstellungen verwendet, mit denen von NAP-Clientcomputern gesendete Netzwerkzugriffsanforderungen ausgewertet werden.

NAP-Wartungsserver

Auf NAP-Wartungsservern werden Aktualisierungen und Dienste für nicht kompatible Clientcomputer bereitgestellt. Je nach Struktur des Wartungsnetzwerks kann ein Wartungsserver auch für kompatible Computer verfügbar sein. Es bestehen folgende Beispiele für NAP-Wartungsserver:

  • Antivirensignaturserver Wenn von Integritätsrichtlinien gefordert wird, dass Computer mit der aktuellen Antivirensignatur versehen sind, müssen nicht kompatible Computer auf einen Server zugreifen können, auf dem diese Aktualisierungen bereitgestellt wurden.

  • Windows Server Update Services Wenn von Integritätsrichtlinien gefordert wird, dass Computer mit aktuellen Sicherheitsupdates oder anderen Softwareupdates ausgestattet sind, können Sie diese im Wartungsnetzwerk über WSUS (Windows Server Update Services) bereitstellen.

  • Server für Komponenten von System Center An Verwaltungspunkten von System Center Configuration Manager, Softwareupdatepunkten und Verteilungspunkten werden die Softwareupdates gehostet, die für die Kompatibilität von Computern erforderlich sind. Wenn Sie NAP mit Configuration Manager bereitstellen, benötigen NAP-fähige Computer Zugriff auf Computer, auf denen diese Standortsystemrollen ausgeführt werden, um die entsprechende Clientrichtlinie herunterzuladen, die Kompatibilität von Softwareupdates zu überprüfen und erforderliche Softwareupdates herunterzuladen.

  • Domänencontroller Für nicht kompatible Computer ist möglicherweise der Zugriff auf Domänendienste im nicht kompatiblen Netzwerk erforderlich, um die Authentifizierung auszuführen, Richtlinien aus Gruppenrichtlinien herunterzuladen oder Domänenprofileinstellungen zu verwalten.

  • DNS-Server Nicht kompatible Computer benötigen Zugriff auf DNS, um Hostnamen auflösen zu können.

  • DHCP-Server Nicht kompatible Computer benötigen Zugriff auf einen DHCP-Server, wenn das IP-Profil des Clients im nicht kompatiblen Netzwerk geändert wird oder die DHCP-Lease abläuft.

  • Problembehandlungsserver Wenn Sie eine Wartungsservergruppe konfigurieren, können Sie eine Problembehandlungs-URL mit Anweisungen zum Herstellen der Kompatibilität von Computern mit Ihren Integritätsrichtlinien bereitstellen. Sie können für jede Netzwerkrichtlinie eine andere URL bereitstellen. Diese URLs müssen im Wartungsnetzwerk verfügbar sein.

  • Andere Dienste Sie können den Internetzugriff im Wartungsnetzwerk so bereitstellen, dass nicht kompatible Computer bestimmte Wartungsdienste (z. B. Windows Update und andere Internetressourcen) erreichen können.

NAP-Integritätsanforderungsserver

Als Integritätsanforderungsserver wird ein Computer bezeichnet, auf dem für eine oder mehrere Systemintegritätsprüfungen (System Health Validator, SHV) Integritätsrichtlinienanforderungen und Integritätsauswertungsinformationen bereitgestellt werden. Wenn der von NAP-Clientcomputern gemeldete Integritätsstatus von NPS ausgewertet werden kann, ohne ein weiteres Gerät zu konsultieren, ist ein Integritätsanforderungsserver nicht erforderlich. Beispielsweise wird WSUS nicht als Integritätsanforderungsserver angesehen, wenn gleichzeitig die Windows-Sicherheitsintegritätsprüfung (Windows Security Health Validator, WSHV) verwendet wird. Auch wenn Administratoren mit WSUS die Updates festlegen können, die für Clientcomputer erforderlich sind, wird vom Clientcomputer gemeldet, ob diese Updates installiert sind. In diesem Szenario wird WSUS als Wartungsserver und nicht als Integritätsanforderungsserver verwendet.

Ein Integritätsanforderungsserver wird verwendet, wenn Sie NAP mit der SHV von Configuration Manager bereitstellen. Bei der SHV von Configuration Manager wird eine Verbindung mit einem globalen Katalogserver hergestellt, um den Integritätsstatus des Clients durch Überprüfen des Integritätsstatusverweises sicherzustellen. Dieser wird in Active Directory-Domänendiensten veröffentlicht. Daher stellt ein Domänencontroller einen Integritätsanforderungsserver dar, wenn Sie die SHV von Configuration Manager bereitgestellt haben. Für andere SHVs können ebenfalls Integritätsanforderungsserver verwendet werden.

Weitere Verweise


Inhaltsverzeichnis