Netzwerkzugriffschutz (Network Access Protection, NAP) bietet eine Plattform mit Komponenten zur Durchsetzung von Richtlinien, mit denen sichergestellt werden kann, dass Computer, die Verbindungen mit einem Netzwerk herstellen oder in einem Netzwerk miteinander kommunizieren, vom Administrator definierten Systemintegritätsanforderungen entsprechen. Mit DHCP NAP können Sie den Zugriff von Computern einschränken, die die Anforderungen für ein eingeschränktes Netzwerk nicht erfüllen. Das eingeschränkte Netzwerk enthält Ressourcen, die zum Aktualisieren von Computern benötigt werden, damit diese die Integritätsanforderungen für uneingeschränkten Netzwerkzugriff und normale Kommunikation erfüllen.
Bei der DHCP-Erzwingung muss ein Computer kompatibel mit der IP-Adresskonfiguration für uneingeschränkten Zugriff sein, die er von einem DHCP-Server erhält. Für nichtkompatible Computer wird der Netzwerkzugriff durch eine IP-Adresskonfiguration eingeschränkt, die den Zugriff nur auf das eingeschränkte Netzwerk zulässt. Die DHCP-Erzwingung setzt immer dann Integritätsrichtlinienanforderungen durch, wenn ein DHCP-Client versucht, eine IP-Adresskonfiguration zu leasen oder zu erneuern. Die DHCP-Erzwingung überwacht auch aktiv den Integritätsstatus des NAP-Clients und erneuert die IPv4-Adresskonfiguration für den Zugriff auf das eingeschränkte Netzwerk, wenn der Client inkompatibel wird.
Funktionsweise der DHCP-Erzwingung
Mit dem folgenden Verfahren wird die DHCP-Erzwingung bei einem NAP-Client beschrieben, der eine erste DHCP-Konfiguration versucht:
-
Der NAP-Client sendet eine DHCP-Anforderung mit Informationen zu seinem Integritätsstatus an den DHCP-Server.
-
Der DHCP-Server sendet die Integritätsstatusinformationen des NAP-Clients an den NAP-Integritätsrichtlinienserver.
-
Der NAP-Integritätsrichtlinienserver evaluiert die Integritätsstatusinformationen des NAP-Clients, bestimmt, ob der NAP-Client kompatibel ist, und sendet die Ergebnisse an den NAP-Client und den DHCP-Server. Wenn der NAP-Client nicht kompatibel ist, umfassen die Ergebnisse eine Konfiguration für eingeschränkten Zugriff für den DHCP-Server und Anweisungen zur Integritätswiederherstellung für den NAP-Client.
-
Wenn der Integritätsstatus kompatibel ist, weist der DHCP-Server dem NAP-Client eine IP-Adresskonfiguration für uneingeschränkten Zugriff zu und schließt den DHCP-Nachrichtenaustausch ab.
-
Wenn der Integritätsstatus nicht kompatibel ist, weist der DHCP-Server dem NAP-Client eine IPv4-Adresskonfiguration für eingeschränkten Zugriff auf das begrenzte Netzwerk zu und schließt den DHCP-Nachrichtenaustausch ab. Der NAP-Client kann Daten nur an die Wartungsserver im eingeschränkten Netzwerk senden.
-
Der NAP-Client sendet Updateanforderungen an die Wartungsserver.
-
Die Wartungsserver stellen dem NAP-Client für die Erfüllung der Integritätsrichtlinie die erforderlichen Updates bereit. Der NAP-Client aktualisiert seine Integritätsstatusinformationen.
-
Der NAP-Client sendet eine neue DHCP-Anforderung mit aktualisierten Integritätsstatusinformationen an den DHCP-Server.
-
Der DHCP-Server sendet die aktualisierten Integritätsstatusinformationen des NAP-Clients an den NAP-Integritätsrichtlinienserver.
-
Wenn alle erforderlichen Updates ausgeführt wurden, stellt der NAP-Integritätsrichtlinienserver fest, dass der NAP-Client kompatibel ist, und weist den DHCP-Server an, eine IPv4-Adresskonfiguration für den uneingeschränkten Zugriff auf das Intranet zuzuweisen.
-
Der DHCP-Server weist dem NAP-Client eine IP-Adresskonfiguration für uneingeschränkten Zugriff zu und schließt den DHCP-Nachrichtenaustausch ab.
Weitere Ressourcen
Eine Liste mit Hilfethemen mit entsprechenden Informationen finden Sie unter Empfohlene Aufgaben für die DHCP-Serverrolle.
Aktualisierte detaillierte Informationen zu DHCP für IT-Experten finden Sie in der Dokumentation zu Windows Server® 2008 auf der