An der NAP-Clientkonfigurationskonsole (Network Access Protection, Netzwerkzugriffsschutz) können Sie über die NAP-Clientkonfigurationseinstellungen in den Gruppenrichtlinien oder über Netsh-Befehle für die NAP-Clientkonfiguration NAP-Erzwingungsclients aktivieren oder deaktivieren. Ein NAP-Erzwingungsclient ist verantwortlich für das Anfordern des Zugriffs auf ein Netzwerk, das Kommunizieren des Integritätsstatus eines Clientcomputers an den NAP-Server, der den Netzwerkzugriff autorisiert, sowie für das Kommunizieren des Verbindungsstatus des Clientcomputers an andere Komponenten der NAP-Clientarchitektur.
Es sind sechs Erzwingungsclients verfügbar, die den folgenden Netzwerkzugriffsmechanismen entsprechen:
| Erzwingungsclient | Beschreibung |
|---|---|
|
DHCP (Dynamic Host Configuration-Protokoll) |
Erzwingt Integritätsrichtlinien, wenn ein Clientcomputer versucht, eine IP-Adresse von einem NAP-fähigen DHCP-Server abzurufen. |
|
IPsec (Internet Protocol Security, Internetprotokollsicherheit) |
Erzwingt Integritätsrichtlinien, wenn ein Clientcomputer versucht, über IPsec mit einem anderen Computer zu kommunizieren. |
|
Remotedesktopgateway |
Erzwingt Integritätsrichtlinien auf einem Computer, der auf ein Remotedesktopgateway zuzugreifen versucht. |
|
Extensible Authentication-Protokoll (EAP) |
Erzwingt Integritätsrichtlinien, wenn ein Clientcomputer versucht, über eine EAP-authentifizierte Netzwerkverbindung (z. B. eine oder eine verkabelte oder drahtlose 802.1X-Verbindung) auf ein Netzwerk zuzugreifen. Wenn auf dem Clientcomputer Windows® 7 ausgeführt wird, wird der EAP-Erzwingungsclient auch für VPN-Verbindungen (Virtual Private Network, virtuelles privates Netzwerk) verwendet. |
|
Remotezugriff |
Erzwingt Integritätsrichtlinien, wenn ein Clientcomputer unter Windows Vista® oder Windows XP mit Service Pack 3 (SP3) versucht, über einen NAP-fähigen VPN-Server auf das Netzwerk zuzugreifen. |
|
Drahtloses EAP über LAN (Wireless EAP over LAN, EAPOL) |
Erzwingt Integritätsrichtlinien, wenn ein Clientcomputer unter Windows XP SP3 versucht, über eine Drahtlosverbindung mit 802.1X-Authentifizierung auf ein Netzwerk zuzugreifen. |
Wann Sie diese Aufgabe ausführen sollten
Zum Bereitstellen von NAP in Ihrer Organisation müssen Sie mindestens einen NAP-Erzwingungsclient auf Clientcomputern aktivieren. Wenn sich die Integritätsanforderungen Ihres Netzwerks ändern und Sie Integritätsrichtlinien über andere Netzwerkzugriffsmechanismen erzwingen möchten, kann es u. U. auch erforderlich sein, weitere Erzwingungsclients zu aktivieren.
Sie müssen Erzwingungsclients u. U. deaktivieren, wenn Sie Netzwerkzugriffsprobleme behandeln oder wenn sich die Integritätsanforderungen ändern und Sie Integritätsrichtlinien mithilfe anderer Erzwingungsclients erzwingen möchten.
Führen Sie für diese Aufgabe die folgenden Verfahren aus:
Aktivieren und Deaktivieren des DHCP-Erzwingungsclients
Aktivieren und Deaktivieren des IPsec-Erzwingungsclients
Aktivieren und Deaktivieren des Remotedesktopgateway-Erzwingungsclients
Aktivieren und Deaktivieren des EAP-Erzwingungsclients
Aktivieren und Deaktivieren des RAS-Erzwingungsclients
Aktivieren und Deaktivieren des drahtlosen EAPOL-Erzwingungsclients