Sie können an der NAP-Clientkonfigurationskonsole die Sicherheitsmechanismen angeben, die von einem Clientcomputer für die Kommunikation mit Integritätsregistrierungsstellen-Servern verwendet werden. Außerdem können Sie an der NAP-Clientkonfigurationskonsole die Integritätsregistrierungsstellen-Server angeben, mit denen ein Clientcomputer kommunizieren kann. Ein Clientcomputer muss mit einem Integritätsregistrierungsstellen-Server kommunizieren, um ein Integritätszertifikat abzurufen. Für NAP mit IPsec-basierter Erzwingung (Internet Protocol Security, Internetprotokollsicherheit) ist ein Integritätszertifikat erforderlich.

Um anzugeben, welche Sicherheitsmechanismen ein Client für die Kommunikation mit einem Integritätsregistrierungsstellen-Server verwendet, müssen Sie die Anforderungsrichtlinie konfigurieren. Die Anforderungsrichtlinie gibt den asymmetrischen Schlüsselalgorithmus, den Hashalgorithmus und den Kryptografiedienstanbieter an, den ein Clientcomputer beim Initiieren der Kommunikation mit einem Integritätsregistrierungsstellen-Server verwendet. Sie können nur jeweils einen asymmetrischen Schlüsselalgorithmus, Hashalgorithmus und Kryptografiedienstanbieter für einen Clientcomputer angeben.

Wenn Sie einen asymmetrischen Schlüsselalgorithmus, Hashalgorithmus und Kryptografiedienstanbieter für den Clientcomputer konfigurieren, müssen Sie genau dieselbe Anforderungsrichtlinie für den Integritätsregistrierungsstellen-Server konfigurieren. Wenn Sie beispielsweise die Clients für die Verschlüsselung der Kommunikation nur mit dem asymmetrischen RSA-Schlüsselalgorithmus (Rivest-Shamir-Adelman) mit einer Mindestschlüssellänge von 128 konfigurieren, müssen Sie die Integritätsregistrierungsstellen-Server so konfigurieren, dass sie Kommunikation akzeptieren, die mit genau demselben asymmetrischen Schlüsselalgorithmus und genau derselben Mindestschlüssellänge verschlüsselt ist. Wenn die Integritätsregistrierungsstellen-Server und Clientcomputer nicht für die Verwendung derselben Anforderungsrichtlinie konfiguriert sind, können die Integritätsregistrierungsstellen-Server nicht mit den Clientcomputern kommunizieren. Die Clientcomputer werden möglicherweise als nicht kompatibel bewertet, was zu eingeschränkten Netzwerkverbindungen führen kann. Wenn Sie auf einem Clientcomputer keine Anforderungsrichtlinieneinstellungen konfigurieren, initiiert der Clientcomputer einen Aushandlungsvorgang mit dem Integritätsregistrierungsstellen-Server, bei dem der Standardsicherheitsmechanismus für die Kommunikationsverschlüsselung verwendet wird.

Wichtig

Sie sollten Anforderungsrichtlinieneinstellungen erst dann ändern, wenn Sie die Anforderungsrichtlinieneinstellungen in einer sicheren Testumgebung sorgfältig getestet haben. Das Ändern von Anforderungsrichtlinieneinstellungen kann dazu führen, dass Clientcomputer die Verbindung zum Netzwerk verlieren.

Um anzugeben, mit welchen Integritätsregistrierungsstellen-Servern ein Clientcomputer kommunizieren soll, müssen Sie eine vertrauenswürdige Servergruppe konfigurieren. Eine vertrauenswürdige Servergruppe besteht aus einem oder mehreren Integritätsregistrierungsstellen-Servern. Befinden sich in einer vertrauenswürdigen Servergruppe mehrere Integritätsregistrierungsstellen-Server, können Sie die Reihenfolge festlegen, in der Clientcomputer versuchen, einen Kontakt mit den Servern herzustellen. Dies ist hilfreich, wenn Sie mehrere Integritätsregistrierungsstellen-Server in verschiedenen Netzwerksegmenten oder Domänen haben und Sie die Reihenfolge festlegen möchten, in der Clients auf die Server zuzugreifen versuchen. Sie müssen mindestens eine vertrauenswürdige Servergruppe konfigurieren, damit ein Clientcomputer weiß, wie er mit einem Integritätsregistrierungsstellen-Server eine Verbindung herstellen kann, um ein Integritätszertifikat abzurufen.

Konfigurieren von NAP-Clientanforderungsrichtlinien

Konfigurieren von vertrauenswürdigen Servergruppen für NAP-Clients

Weitere Verweise


Inhaltsverzeichnis