NAP afdwingen voor VPN (Virtual Private Networking) wordt geïmplementeerd met een serveronderdeel voor VPN-afdwinging en een onderdeel voor VPN Enforcement Client. Met deze afdwingmethode kan op VPN-servers statusbeleid worden afgedwongen wanneer met clientcomputers verbinding wordt gemaakt met het netwerk via een VPN-verbinding. VPN-afdwinging biedt sterke, beperkte netwerktoegang voor alle computers die via een VPN-verbinding proberen toegang te krijgen tot het netwerk.

Opmerking

VPN-afdwinging is niet hetzelfde als Network Access Quarantine Control. Dit is een functie in Windows Server® 2003 en Internet Security and Acceleration (ISA) Server 2004.

Vereisten

U moet het volgende configureren om NAP met VPN te implementeren:

  • Routering en RAS installeren en configureren als een VPN-server. Configureer de server waarop NPS (Network Policy Server) wordt uitgevoerd als primaire RADIUS-server (Remote Authentication Dial-In User Service) in Routering en RAS.

  • VPN-servers in NPS configureren als RADIUS-clients. Daarnaast moet u ook een beleid voor verbindingsaanvragen, een netwerkbeleid en een NAP-statusbeleid configureren. U kunt de beleidsregels hiervoor afzonderlijk configureren via de NPS-console, of u kunt de wizard Nieuwe netwerktoegangsbeveiliging gebruiken.

  • Schakel de NAP RAS-client en EAP Enforcement Client in op NAP-clientcomputers.

  • Schakel de NAP-service in op NAP-clientcomputers.

  • Configureer de WSHV (Windows Security Health Validator) of installeer en configureer andere SHA's (System Health Agents) en SHV's (System Health Validators), afhankelijk van uw NAP-implementatie.

  • Als u PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) of EAP-TLS met smartcards of certificaten gebruikt, moet u een PKI (Public Key Infrastructure) met AD CS (Active Directory® Certificate Services) implementeren.

  • Als u PEAP-MS-CHAP v2 (Protected Extensible Authentication Protocol-Microsoft Challenge Handshake Authentication Protocol version 2) gebruikt, moet u servercertificaten verstrekken met AD CS of servercertificaten aanschaffen bij een vertrouwde basiscertificeringsinstantie (CA).

Verdere overwegingen

Als u de NAP-afdwingmethode VPN implementeert en NAP-afdwinging hebt geconfigureerd met de optie Volledige netwerktoegang toestaan voor een beperkte tijd, wordt de verbinding van VPN-clients die verbonden zijn met het netwerk wanneer de verlooptijd is bereikt, automatisch verbroken ongeacht het feit of ze wel of niet aan het statusbeleid voldoen.

Na de verloopdatum en -tijd krijgen VPN-clients toegang tot een beperkt netwerk als ze niet aan het statusbeleid voldoen. Compatibele clients krijgen echter volledige netwerktoegang.


Inhoudsopgave