Die Integritätsregistrierungsstelle (Health Registration Authority, HRA) stellt einen Dienst für die NAP-Plattform (Network Access Protection, Netzwerkzugriffsschutz) bereit, die im Allgemeinen als Registrierungsstelle in einer X.509-PKI (Public Key Infrastructure, Public Key-Infrastruktur) bezeichnet wird. Als Registrierungsstelle ist die Integritätsregistrierungsstelle dafür verantwortlich, Clientanmeldeinformationen zu überprüfen und eine Zertifikatanforderung im Namen des Clients an eine Zertifizierungsstelle (Certification Authority, CA) weiterzuleiten. Die Integritätsregistrierungsstelle überprüft die Zertifikatanforderungen mithilfe des Netzwerkrichtlinienservers (Network Policy Server, NPS), um zu bestimmen, ob der NAP-Client die Netzwerkintegritätsanforderungen erfüllt. Wenn der Client die Anforderungen erfüllt, fordert die Integritätsregistrierungsstelle einen speziellen Zertifikatstyp, ein so genanntes Integritätszertifikat, von der Zertifizierungsstelle an. Das Integritätszertifikat wird von NAP-Clientcomputern für die Kommunikation in einem IPsec-geschützten Netzwerk verwendet. Die Integritätsregistrierungsstelle wird in diesem Zusammenhang als NAP-Erzwingungsserver für die NAP-IPsec-Erzwingungsmethode (Internet Protocol Security, Internetprotokollsicherheit) verwendet.
Wichtige Konzepte
Berücksichtigen Sie zum Verständnis der Rolle der Integritätsregistrierungsstelle in einer NAP-Bereitstellung die folgenden Konzepte.
-
Integritätszertifikate
Dabei handelt es sich um X.509-Zertifikate, die für NAP-Clientcomputer ausgestellt und von diesen verwendet werden, um nachzuweisen, dass sie die Netzwerkintegritätsanforderungen erfüllen. Der NAP-Clientcomputer erhält ein Integritätszertifikat, indem er der Integritätsregistrierungsstelle eine Erklärung zum eigenen Integritätsstatus bereitstellt. Diese wird als SoH (Statement of Health) bezeichnet. Der NAP-Client überwacht den Integritätsstatus fortlaufend und löscht das Integritätszertifikat, wenn keine Kompatibilität mehr damit besteht. Integritätszertifikate können zum Authentifizieren von NAP-Clients verwendet werden, wenn sie IPsec-geschützte Kommunikationsvorgänge mit anderen NAP-Clients in einem Intranet initiieren. Die NAP-IPsec-Erzwingung schränkt die Kommunikation für IPsec-basierte NAP-Clients ein, indem eingehende Kommunikationsversuche von Computern verworfen werden, die über keine Integritätszertifikate verfügen.
-
NAP-Zertifizierungsstellen
Dabei handelt es sich um Server mit Active Directory®-Zertifikatsdiensten (Active Directory® Certificate Services, AD CS), die X.509-Zertifikate hosten und für NAP-Clients ausstellen, wenn festgestellt wird, dass diese die Netzwerkintegritätsanforderungen erfüllen. Sie müssen mindestens eine Zertifizierungsstelle angeben, die NAP-Integritätszertifikate ausstellt. Weitere Informationen finden Sie unter Konfigurieren der NAP-Zertifizierungsstelle und Überprüfen der Zertifizierungsstellenkonfiguration.
-
HRA-Anforderungsrichtlinie
Dabei handelt es sich um Einstellungen, mit den bestimmt wird, wie Clients mit der Integritätsregistrierungsstelle kommunizieren können, wenn Integritätszertifikate angefordert werden. Sie können die HRA-Anforderungsrichtlinie anpassen, indem Sie die Kryptografierichtlinien- und Transportrichtlinieneinstellungen anpassen. Die HRA-Anforderungsrichtlinieneinstellungen müssen nicht geändert werden. Die Standardeinstellungen werden empfohlen. Wenn Sie diese Einstellungen ändern, ist es wichtig, auf den Integritätsregistrierungsstellen-Servern und auf den NAP-Clientcomputern identische Einstellungen zu konfigurieren. Weitere Informationen finden Sie unter Grundlegendes zur HRA-Anforderungsrichtlinie, Konfigurieren der HRA-Kryptografierichtlinie und Konfigurieren der HRA-Transportrichtlinie.
-
Internetinformationsdienste (Internet Information Services, IIS)
Dabei handelt es sich um eine Reihe internetbasierter Dienste, die bei der Installation der Integritätsregistrierungsstelle automatisch installiert werden. Die Internetinformationsdienste bieten eine HTTP/HTTPS-Schnittstelle, über die NAP-Clients den Integritätsregistrierungsstellen-Server kontaktieren und Integritätszertifikate anfordern können. In IIS werden diese Anforderungen mithilfe einer ISAPI-Erweiterung (Internet Server Application Programming Interface) verarbeitet, die für anonyme Benutzer bereitgestellt oder auf Benutzer beschränkt werden kann, die in der Domäne authentifiziert wurden. Weitere Informationen finden Sie unter Grundlegendes zu HRA-Authentifizierungsanforderungen und Überprüfen der IIS-Konfiguration.
-
Netzwerkrichtlinienserver (Network Policy Server, NPS)
Dabei handelt es sich um die Microsoft-Implementierung eines RADIUS-Servers (Remote Authentication Dial-In User Service) und -Proxys. Wenn NPS nicht bereits auf dem Server ausgeführt wird, erfolgt die Installation automatisch bei der Installation der Integritätsregistrierungsstelle. NPS kann auf dem Integritätsregistrierungsstellen-Server entweder als NAP-Integritätsrichtlinienserver oder als NPS-Proxy konfiguriert werden. Wenn Sie NPS als NAP-Integritätsrichtlinienserver konfigurieren, müssen Sie auch die NAP-Richtlinien und -Einstellungen konfigurieren, einschließlich der:
-
Verbindungsanforderungsrichtlinien: Dabei handelt es sich um eine Reihe von Bedingungen und Einstellungen, mit denen Netzwerkzugriffsanforderungen überprüft werden sowie angegeben wird, wo diese Überprüfung ausgeführt wird.
-
Netzwerkrichtlinien: Dabei handelt es sich um eine Reihe von Bedingungen, Einschränkungen und Einstellungen, mit denen Sie festlegen können, wer eine Verbindung mit dem Netzwerk herstellen kann.
-
Integritätsrichtlinien: Dabei handelt es sich um Systemintegritätsanforderungen, mit denen definiert wird, welche Systemintegritätsprüfungen bei der Überprüfung der Konfiguration von Computern verwendet werden, die eine Verbindung mit dem Netzwerk herzustellen versuchen.
-
Systemintegritätsprüfungen (System Health Validators, SHVs): Dabei handelt es sich um ein NAP-Integritätsrichtlinienserver-Softwaregegenstück zu einem Systemintegritäts-Agent (System Health Agent, SHA). Mithilfe von Systemintegritätsprüfungen werden die Konfigurationsanforderungen für Computer definiert, die eine Verbindung mit dem Netzwerk herzustellen versuchen.
-
Verbindungsanforderungsrichtlinien: Dabei handelt es sich um eine Reihe von Bedingungen und Einstellungen, mit denen Netzwerkzugriffsanforderungen überprüft werden sowie angegeben wird, wo diese Überprüfung ausgeführt wird.
Wenn Sie NPS als RADIUS-Proxy konfigurieren, müssen Sie die Netzwerkkonnektivität mit Remote-RADIUS-Servergruppen sowie deren Konfiguration als NAP-Integritätsrichtlinienserver überprüfen. Weitere Informationen finden Sie unter Überprüfen der NPS-Konfiguration.