Mit den Netzwerkrichtlinien- und Zugriffsdiensten stehen die folgenden Lösungen für die Netzwerkkonnektivität zur Verfügung:

  • Netzwerkzugriffsschutz (Network Access Protection, NAP): NAP ist eine Technologie zu Erstellung, Erzwingung und Wartung von Integritätsrichtlinien für Clients. NAP ist in das Clientbetriebssystem Windows Vista® und in das Betriebssystem Windows Server® 2008 integriert. Mithilfe von NAP können Systemadministratoren Integritätsrichtlinien erstellen und automatisch erzwingen, die Softwareanforderungen, Sicherheitsupdateanforderungen, erforderliche Computerkonfigurationen und weitere Einstellungen enthalten können. Der Netzwerkzugriff kann für Clientcomputer, die die Integritätsrichtlinien nicht erfüllen, eingeschränkt werden, bis ihre Konfiguration aktualisiert wird und sie die Richtlinien erfüllen. Je nachdem, für welche Art der NAP-Bereitstellung Sie sich entscheiden, werden nicht konforme Clients automatisch aktualisiert, damit die Benutzer schnell wieder vollen Netzwerkzugriff erhalten, ohne ihre Computer manuell zu aktualisieren oder neu zu konfigurieren.

  • Sicherer drahtloser und verkabelter Zugriff: Wenn Sie drahtlose 802.1X-Zugriffspunkte bereitstellen, bietet der sichere Drahtloszugriff den Benutzern dieser Zugriffsmöglichkeit eine sichere kennwortbasierte Authentifizierungsmethode, die leicht bereitzustellen ist. Wenn Sie 802.1X-Authentifizierungsswitches bereitstellen, können Sie mit dem verkabelten Zugriff Ihr Netzwerk sichern, indem Sie sicherstellen, dass Intranetbenutzer authentifiziert werden, bevor sie eine Verbindung mit dem Netzwerk herstellen oder mithilfe von DHCP eine IP-Adresse abrufen.

  • Remotezugriffslösungen: Mit Remotezugriffslösungen können Sie Benutzern Zugriff über ein virtuelles privates Netzwerk (VPN) und herkömmlichen DFÜ-Verbindungen auf das Netzwerk Ihres Unternehmens ermöglichen. Sie können auch Verbindungen zwischen Zweigstellen und Ihrem Netzwerk über VPN-Lösungen herstellen, voll ausgestattete Softwarerouter im Netzwerk bereitstellen und Internetverbindungen im Intranet freigeben.

  • Zentrale Netzwerkrichtlinienverwaltung mit RADIUS-Server und -Proxy (Remote Authentication Dial-In User Service): Statt Netzwerkzugriffsrichtlinien auf jeden Netzwerkzugriffsserver (z. B. auf drahtlosen Zugriffspunkten, 802.1X-Authentifizierungsswitches, VPN-Servern und DFÜ-Servern) zu konfigurieren, können Sie Richtlinien an einem einzelnen Standort erstellen. Diese geben alle Aspekte der Netzwerkverbindungsanforderungen an, einschließlich der Benutzer, die eine Verbindung herstellen dürfen, wann sie diese herstellen dürfen sowie die Sicherheitsstufe, die diese Benutzer verwenden müssen, um eine Verbindung mit dem Netzwerk herstellen zu können.

Rollendienste für Netzwerkrichtlinien- und Zugriffsdienste

Wenn Sie Netzwerkrichtlinien- und Zugriffsdienste installieren, sind die folgenden Rollendienste verfügbar:

  • Netzwerkrichtlinienserver (Network Policy Server, NPS) NPS ist die Microsoft-Implementierung eines RADIUS-Servers und -Proxys. Sie können NPS verwenden, um den Netzwerkzugriff über eine Reihe von Netzwerkzugriffsservern zentral zu verwalten, einschließlich drahtloser Zugriffspunkte, VPN-Server, DFÜ-Server und 802.1X-Authentifizierungs-Switches. Zusätzlich können Sie NPS verwenden, um mit PEAP-MS-CHAP v2 (Protected Extensible Authentication-Protokoll, Microsoft Challenge Handshake Authentication-Protokoll Version 2) eine sichere Kennwortauthentifizierung für drahtlose Verbindungen bereitzustellen. NPS enthält zudem wichtige Komponenten zur Bereitstellung von NAP in Ihrem Netzwerk.

    Die folgenden Technologien können nach Installation des NPS-Rollendiensts bereitgestellt werden:

    • NAP-Integritätsrichtlinienserver Wenn Sie NPS als NAP-Integritätsrichtlinienserver konfigurieren, wertet NPS SoHs (Statements of Health) aus, die von NAP-fähigen Clientcomputern gesendet wurden, die im Netzwerk kommunizieren möchten. Sie können NAP-Richtlinien für NPS konfigurieren, die es Clientcomputern ermöglichen, ihre Konfiguration so zu aktualisieren, dass sie den Netzwerkrichtlinien Ihrer Organisation entspricht.

    • IEEE 802.11 Wireless Mithilfe des NPS-MMC-Snap-Ins können Sie auf 802.1X basierende Verbindungsanforderungsrichtlinien für IEEE 802.11 Drahtlosclient-Netzwerkzugriff konfigurieren. Sie können auch drahtlose Zugriffspunkte als RADIUS-Clients in NPS konfigurieren und NPS als RADIUS-Server verwenden, um Verbindungsanforderungen zu verarbeiten, Authentifizierungen und Autorisierungen sowie die Kontoführung für drahtlose 802.11-Verbindungen auszuführen. Sie können drahtlosen IEEE 802.11-Zugriff in NAP vollständig integrieren, wenn Sie eine drahtlose 802.1X-Authentifizierungsinfrastruktur bereitstellen, sodass der Integritätsstatus von Drahtlosclients anhand der Integritätsrichtlinie überprüft wird, bevor Clients eine Verbindung zum Netzwerk aufbauen dürfen.

    • IEEE 802.3 Wired Mithilfe des NPS-MMC-Snap-Ins können Sie 802.1X-basierte Verbindungsanforderungsrichtlinien für den IEEE 802.3-Ethernet-Kabelnetzwerkclientzugriff konfigurieren. Sie können auch 802.1X-kompatible Switches als RADIUS-Clients in NPS konfigurieren und NPS als RADIUS-Server verwenden, um Verbindungsanforderungen zu verarbeiten, Authentifizierungen und Autorisierungen sowie die Kontoführung für 802.3-Kabelnetzwerkverbindungen vorzunehmen. Sie können den IEEE 802.3-Kabelnetzwerkclientzugriff vollständig in NAP integrieren, wenn Sie eine verkabelte 802.1X-Authentifizierungsinfrastruktur bereitstellen.

    • RADIUS-Server NPS führt die zentralisierte Verbindungsauthentifizierung und Autorisierung aus sowie die Kontoführung für Verbindungen über ein drahtloses Netzwerk, Authentifizierungs-Switch, Remotezugriff-DFÜ und VPN. Wenn Sie NPS als RADIUS-Server verwenden, konfigurieren Sie Netzwerkzugriffsserver, z. B. drahtlose Zugriffspunkte und VPN-Server, als RADIUS-Clients in NPS. Sie können auch Netzwerkrichtlinien konfigurieren, die NPS verwendet, um Verbindungsanforderungen zu autorisieren, und Sie können die RADIUS-Kontoführung konfigurieren, sodass NPS Kontoinformationen in Protokolldateien auf der lokalen Festplatte oder in einer Microsoft® SQL Server™-Datenbank protokolliert.

    • RADIUS-Proxy Wenn Sie NPS als RADIUS-Proxy verwenden, konfigurieren Sie Verbindungsanforderungsrichtlinien, die dem NPS-Server mitteilen, welche Verbindungsanforderungen an andere RADIUS-Server weitergeleitet werden sollen und an welche RADIUS-Server die Verbindungsanforderungen weitergeleitet werden sollen. Sie können NPS auch so konfigurieren, dass Kontoführungsdaten weitergeleitet und von einem oder mehreren Computern in einer RADIUS-Remoteservergruppe protokolliert werden.

  • Routing und Remotezugriff (Remote Access Service, RAS) Routing und Remotezugriff bieten Ihnen die Möglichkeit, Dienste für DFÜ- und VPN-Remotezugriff sowie Multiprotokoll-Routingdiensten für LAN-zu-LAN (Local Area Network), LAN-zu-WAN (Wide Area Network), VPN und NAT (Netzwerkadressübersetzung) bereitzustellen.

    Die folgenden Technologien können während der Installation des Routing- und RAS-Rollendiensts bereitgestellt werden:

    • RAS-Dienst Mit Routing und RAS können Sie PPTP (Point-to-Point Tunneling-Protokoll), SSTP (Secure Socket Tunneling-Protokoll) oder L2TP (Layer Two Tunneling-Protokoll) zusammen mit IPSec-VPN-Verbindungen (Internet Protocol Security) bereitstellen, um Endbenutzern Remotezugriff auf das Netzwerk Ihrer Organisation zu ermöglichen. Sie können auch eine Standort-zu-Standort-VPN-Verbindung zwischen zwei Servern an verschiedenen Standorten erstellen. Jeder Server wird mit Routing und RAS konfiguriert, um private Daten sicher zu senden. Die Verbindung zwischen den beiden Servern kann dauerhaft (immer aktiv) sein oder bei Bedarf hergestellt werden (Wählen bei Bedarf).

      Mit dem Remotezugriff wird auch der herkömmliche DFÜ-Remotezugriff bereitgestellt, um mobilen Benutzern oder Heimcomputerbenutzern die Möglichkeit zu bieten, sich in Intranets von Organisationen einzuwählen. DFÜ-Geräte, die auf dem Server installiert sind, auf dem Routing und RAS ausgeführt wird, beantworten eingehende Verbindungsanforderungen von DFÜ-Netzwerkclients. Der RAS-Server beantwortet den Anruf, authentifiziert und autorisiert den Anrufer und übermittelt Daten zwischen dem DFÜ-Netzwerkclient und dem Intranet der Organisation.

    • Routing Mit Routing wird ein vollständiger Softwarerouter sowie eine offene Plattform für Routing und Internetworking bereitgestellt. Es bietet Routingdienste für Unternehmensumgebungen mit LAN (Local Area Network) und WAN (Wide Area Network).

      Wenn Sie NAT bereitstellen, wird der Server, auf dem Routing und RAS ausgeführt wird, so konfiguriert, dass er eine Internetverbindung gemeinsam mit Computern im privaten Netzwerk verwendet und der Datenverkehr zwischen dessen öffentlicher Adresse und dem privaten Netzwerk übersetzt wird. Durch Verwenden von NAT erhalten die Computer im privaten Netzwerk ein gewisses Maß an Schutz, da der mit NAT konfigurierte Router Datenverkehr aus dem Internet nicht an das private Netzwerk weiterleitet. Dies ist nur möglich, wenn ein privater Netzwerkclient den Datenverkehr angefordert hat oder dieser ausdrücklich zugelassen wurde.

      Wenn Sie VPN und NAT bereitstellen, wird der Server, auf dem Routing und RAS ausgeführt wird, so konfiguriert, dass NAT für das private Netzwerk bereitgestellt wird und VPN-Verbindungen akzeptiert werden. Computer im Internet können die IP-Adressen der Computer im privaten Netzwerk nicht ermitteln. VPN-Clients können jedoch Verbindungen mit Computern im privaten Netzwerk herstellen, als ob für sie eine physikalische Verbindung mit dem Netzwerk besteht.

  • Integritätsregistrierungsstelle (HRA, Health Registration Authority) HRA ist eine NAP-Komponente, die Integritätszertifikate an Clients ausgibt, die die Integritätsrichtlinienüberprüfung bestehen, die von NPS mithilfe des Client-SoH (Statement of Health) ausgeführt wird. HRA wird nur zusammen mit der NAP IPsec-Erzwingungsmethode verwendet.

  • Host Credential Authorization-Protokoll (HCAP) HCAP ermöglicht es Ihnen, Ihre Microsoft NAP-Lösung in den Cisco Network Access Control Server zu integrieren. Wenn Sie HCAP mit NPS und NAP bereitstellen, kann der NPS die Clientintegritätsbewertung sowie die Autorisierung von Cisco 802.1X-Zugriffsclients ausführen.

Verwalten der Serverrolle "Netzwerkrichtlinien- und Zugriffsdienste"

Die folgenden Tools sind verfügbar, um die Serverrolle Netzwerkrichtlinien- und Zugriffsdienste zu verwalten:

  • NPS-MMC-Snap-In Verwenden Sie die NPS-MMC, um einen RADIUS-Server, RADIUS-Proxy oder NAP-Technologie zu konfigurieren.

  • Netsh-Befehle für NPS Mit den Netsh-Befehlen für NPS wird ein Befehlssatz bereitgestellt, der vollständig allen Konfigurationseinstellungen entspricht, die über das NPS-MMC-Snap-In verfügbar sind. Netsh-Befehle können manuell an der Netsh-Eingabeaufforderung oder in Administratorskripts ausgeführt werden.

  • Integritätsregistrierungsstellen-MMC-Snap-In (Health Registration Authority, HRA) Verwenden Sie die HRA MMC, um die Zertifizierungsstelle (Certification Authority, CA) festzulegen, die HRA verwendet, um Integritätszertifikate für Clientcomputer zu erhalten und den NPS-Server zu definieren, an den HRA Client-SoHs zur Überprüfung anhand der Integritätsrichtlinie sendet.

  • Netsh-Befehle für HRA Mit den Netsh-Befehlen für HRA wird ein Befehlssatz bereitgestellt, der vollständig allen Konfigurationseinstellungen entspricht, die über das HRA MMC-Snap-In verfügbar sind. Netsh-Befehle können manuell an der Netsh-Eingabeaufforderung oder in Administratorskripts ausgeführt werden.

  • MMC-Snap-In für die NAP-Clientverwaltung Sie können das MMC-Snap-In für die NAP-Clientverwaltung verwenden, um Sicherheitseinstellungen und Benutzeroberflächeneinstellungen auf Clientcomputern zu konfigurieren, die die NAP-Architektur unterstützen.

  • Netsh-Befehle für die Konfiguration von NAP-Clienteinstellungen Mit den Netsh-Befehlen für NAP-Clienteinstellungen wird ein Befehlssatz bereitgestellt, der vollständig allen Konfigurationseinstellungen entspricht, die über das Snap-In für die NAP-Clientverwaltung verfügbar sind. Netsh-Befehle können manuell an der Netsh-Eingabeaufforderung oder in Administratorskripts ausgeführt werden.

  • Routing und RAS-MMC-Snap-In Verwenden Sie dieses MMC-Snap-In, um einen VPN-Server, einen DFÜ-Netzwerkserver, einen Router, NAT, VPN und NAT oder eine Standort-zu-Standort-VPN-Verbindung zu konfigurieren.

  • Netsh-Befehle für Remotezugriff Mit den Netsh-Befehlen für den Remotezugriff wird ein Befehlssatz bereitgestellt, der vollständig allen Konfigurationseinstellungen für Remotezugriff entspricht, die über das Routing und RAS-MMC-Snap-In verfügbar sind. Netsh-Befehle können manuell an der Netsh-Eingabeaufforderung oder in Administratorskripts ausgeführt werden.

  • Netsh-Befehle für Routing Mit den Netsh-Befehlen für Routing wird ein Befehlssatz bereitgestellt, der vollständig allen Konfigurationseinstellungen für Routing entspricht, die über das Routing und RAS-MMC-Snap-In verfügbar sind. Netsh-Befehle können manuell an der Netsh-Eingabeaufforderung oder in Administratorskripts ausgeführt werden.

  • Richtlinien für Drahtlosnetzwerke (IEEE 802.11) – Gruppenrichtlinien-Verwaltungskonsole (GPMC, Group Policy Management Console) Die Erweiterung für Richtlinien für Drahtlosnetzwerke (IEEE 802.11) automatisiert die Konfiguration von Drahtlosnetzwerkeinstellungen auf Computern mit DrahtlosNetzwerkadaptertreibern, die den WLAN-Autokonfigurationsdienst
unterstützen. Sie können die Erweiterung der Richtlinien für Drahtlosnetzwerke (IEEE 802.11) in der Gruppenrichtlinien-Verwaltungskonsole verwenden, um Konfigurationseinstellungen für Drahtlosclients unter Windows XP und/oder Windows Vista anzugeben. Zu den Gruppenrichtlinienerweiterungen der Richtlinien für Drahtlosnetzwerke (IEEE 802.11) gehören globale Drahtloseinstellungen, die Liste der bevorzugten Netzwerke, WPA-Einstellungen (Wi-Fi Protected Access) und IEEE 802.1X-Einstellungen.

    Nach der Konfiguration werden die Einstellungen auf die Drahtlosclients von Windows heruntergeladen, die Mitglieder der Domäne sind. Die von dieser Richtlinie konfigurierten Drahtloseinstellungen sind Teil der Gruppenrichtlinie für Computerkonfigurationen. Standardmäßig sind die Richtlinien für Drahtlosnetzwerke (IEEE 802.11) nicht konfiguriert oder aktiviert.

  • Netsh-Befehle für Drahtlos-LAN (WLAN) Netsh-WLAN ist eine Alternative zur Verwendung der Gruppenrichtlinie, um die Drahtloskonnektivität und Sicherheitseinstellungen für Windows Vista zu konfigurieren. Sie können die Netsh-WLAN-Befehle verwenden, um den lokalen Computer oder mehrere Computer mithilfe eines Anmeldeskripts zu konfigurieren. Sie können die Netsh-WLAN-Befehle auch verwenden, um drahtlose Gruppenrichtlinieneinstellungen anzuzeigen und Einstellungen für Drahtlos-Internetdienstanbieter (WISP, Wireless Internet Service Provider) und Drahtlosbenutzer zu verwalten.

    Die drahtlose Netsh-Benutzeroberfläche bietet die folgenden Vorteile:

    • Unterstützung für gemischten Modus: Ermöglicht es Administratoren, Clients so zu konfigurieren, dass mehrere Sicherheitsoptionen unterstützt werden. So kann z. B. ein Client so konfiguriert werden, dass dieser die Authentifizierungsstandards WPA2 und WPA unterstützt. Dadurch kann der Client WPA2 verwenden, um Verbindungen mit Netzwerken herzustellen, die WPA2 unterstützen und WPA dazu verwenden, Verbindungen mit Netzwerken herzustellen, die nur WPA unterstützen.

    • Blockieren unerwünschter Netzwerke: Administratoren können den Zugriff auf private Drahtlosnetzwerke blockieren oder ausblenden, indem sie Netzwerke oder Netzwerktypen zur Liste der verweigerten Netzwerke hinzufügen. Ebenso können Administratoren den Zugriff auf drahtlose Firmennetzwerke zulassen.

  • Richtlinien für verkabelte Netzwerke (IEEE 802.3) – Gruppenrichtlinien-Verwaltungskonsole (GPMC, Group Policy Management Console) Sie können die Richtlinien für verkabelte Netzwerke (IEEE 802.3) verwenden, um Konfigurationseinstellungen für Clients unter Windows Vista anzugeben und zu konfigurieren, die über Netzwerkadapter und -treiber verfügen, die den Dienst für automatische Konfiguration verkabelter Netzwerke unterstützen. Zu den Gruppenrichtlinienerweiterungen der Richtlinien für Drahtlosnetzwerke (IEEE 802.11) gehören globale Einstellungen für verkabelte Netzwerke und IEEE 802.1X. Diese Einstellungen umfassen alle Konfigurationselemente für verkabelte Netzwerke, die der Registerkarte Allgemein und Sicherheit zugeordnet sind.

    Nach der Konfiguration werden die Einstellungen auf die Drahtlosclients von Windows heruntergeladen, die Mitglieder der Domäne sind. Die von dieser Richtlinie konfigurierten Drahtloseinstellungen sind Teil der Gruppenrichtlinie für Computerkonfigurationen. Standardmäßig sind die Richtlinien für verkabelte Netzwerke (IEEE 802.3) nicht konfiguriert oder aktiviert.

  • Netsh-Befehle für verkabelte Netzwerke (LAN) Netsh-LAN ist eine Alternative zur Verwendung der Gruppenrichtlinie in Windows Server 2008, um die Konnektivität von verkabelten Netzwerken und Sicherheitseinstellungen für Windows Vista zu konfigurieren. Sie können die Netsh-LAN-Befehlszeile verwenden, um den lokalen Computer oder mehrere Computer mithilfe der Befehle in Anmeldeskripts zu konfigurieren. Sie können die Netsh-LAN-Befehle auch verwenden, um die Richtlinien für verkabelte Netzwerke (IEEE 802.3) anzuzeigen und die 1x-Einstellungen des verkabelten Clients zu verwalten.

Weitere Verweise

Wenn Sie mehr zu Netzwerkrichtlinien- und Zugriffsdiensten erfahren möchten, öffnen Sie eins der folgenden MMC-Snap-Ins, und drücken Sie die Taste F1, um die Hilfe anzuzeigen:

  • NPS-MMC-Snap-In

  • Routing und RAS-MMC-Snap-In

  • HRA-MMC-Snap-In