Netzwerkrichtlinien- und Zugriffsdienste: Übersicht

 

Gilt für: Windows Server 2012 R2, Windows Server 2012

Dieser Artikel gibt einen Überblick über die Netzwerkrichtlinien- und Zugriffsdienste in Windows Server® 2012, einschließlich der spezifischen Rollendienste des Netzwerkrichtlinienservers (Network Policy Server, NPS), der Integritätsregistrierungsstelle (Health Registration Authority, HRA) und des Host Credentials Authorization-Protokolls (HCAP). Verwenden Sie die Serverrolle "Netzwerkrichtlinien- und Zugriffsdienste" zum Bereitstellen und Konfigurieren von Netzwerkzugriffsschutz (Network Access Protection, NAP), gesicherten kabelgebundenen und drahtlosen Zugriffspunkten sowie RADIUS-Servern und -Proxys.

Meinten Sie…

Mit den Netzwerkrichtlinien- und Zugriffsdiensten stehen die folgenden Lösungen für die Netzwerkkonnektivität zur Verfügung:

LösungBeschreibung
Netzwerkzugriffsschutz (NAP)Bei NAP handelt es sich um eine Technologie zur Erstellung, Durchsetzung und Wartung von Clientintegritätsrichtlinien. Mithilfe von NAP können Systemadministratoren Integritätsrichtlinien erstellen und automatisch erzwingen, die Softwareanforderungen, Sicherheitsupdateanforderungen und weitere Einstellungen enthalten können. Der Netzwerkzugriff kann für Clientcomputer, die die Integritätsrichtlinien nicht erfüllen, eingeschränkt werden, bis ihre Konfiguration aktualisiert wird und sie die Richtlinien erfüllen.
Verkabelter und drahtloser Zugriff mit 802.1X-AuthentifizierungBeim Bereitstellen von 802.1 X-fähigen Drahtloszugriffspunkten und Ethernet-Switches können Sie mit Netzwerkrichtlinienservern (Network Policy Server, NPS) zertifikatbasierte Authentifizierungsmethoden bereitstellen, die sicherer als kennwortbasierte Authentifizierung sind. Durch das Bereitstellen von 802.1 X-fähiger Hardware mit NPS können Sie sicherstellen, dass Intranetbenutzer authentifiziert werden, bevor sie eine Verbindung mit dem Netzwerk herstellen oder eine IP-Adresse von einem DHCP-Server abrufen können.
Zentrale Netzwerkrichtlinienverwaltung mit RADIUS (Remote Authentication Dial-In User Service)-Server und -ProxyStatt die Netzwerkzugriffsrichtlinien für jeden Netzwerkzugriffsserver extra zu konfigurieren, können Sie Richtlinien an einem Ort erstellen, die alle Aspekte von Netzwerkverbindungsanforderungen vorgeben, einschließlich wer wann mit welchem Sicherheitsstandard eine Verbindung mit Ihrem Netzwerk herstellen darf.
System_CAPS_ICON_note.jpg Hinweis

Netzwerkrichtlinien- und Zugriffsdienste können in Microsoft Azure-VMs ausgeführt werden, es gibt jedoch keine empfohlenen Szenarios für die Ausführung auf Microsoft Azure-VMs.

In der folgenden Tabelle sind die wichtigsten Unterschiede in der Serverrolle "Netzwerkrichtlinien- und Zugriffsdienste" nach Betriebssystem aufgeführt:

Feature/FunktionalitätWindows Server® 2008 R2 und Windows Server® 2008Windows Server 2012
Support für Windows PowerShell®KeineX

Support für Windows PowerShell

Sie können jetzt Windows PowerShell verwenden, um die Installation der Serverrolle "Netzwerkrichtlinien- und Zugriffsdienste" zu automatisieren. Außerdem können Sie Windows PowerShell zur Bereitstellung und Konfiguration einiger Aspekte des Netzwerkrichtlinienservers verwenden. Weitere Informationen finden Sie unter Windows PowerShell for Network Policy and Access Services.

In Windows Server® 2008 R2 und Windows Server® 2008 umfassten die Netzwerkrichtlinien- und Zugriffsdienste den RRAS-Rollendienst (Routing and Remote Access Service). In Windows Server 2012 ist RRAS jetzt ein Rollendienst in der Remotezugriffs-Serverrolle.

Mit der Veröffentlichung von Windows Server 2012 R2 ist NAP veraltet. NAP wird in Windows Server 2012 R2 und Windows 8.1 vollständig unterstützt. Weitere Informationen zu Supportlebenszyklen finden Sie unter Microsoft Support Lifecycle.

System_CAPS_ICON_note.jpg Hinweis

Die zentrale Netzwerkrichtlinienverwaltung mit RADIUS-Server und Proxy und über 802.1X authentifizierte kabelgebundene und drahtlose Zugriffe sind nicht veraltet.

Erwägen Sie für die Erstellung, Erzwingung und Wiederherstellung von Integritätsrichtlinien sowie für die Überwachung die Verwendung von System Center Configuration Manager zum Ersetzen und Verbessern der Überwachungsfunktionen von NAP:

Um dafür zu sorgen, dass Remotegeräte immer verwaltet und immer kompatibel bleiben, können Sie Remotezugriff verwenden. Weitere Informationen finden Sie unter Remote-Verwaltung von DirectAccess-Clients. Auf diese Weise können Sie sicherstellen, dass die Clients immer fehlerfrei sind, nicht nur, wenn sie versuchen, auf Ressourcen im Unternehmensnetzwerk zuzugreifen.

NAP ermöglicht Ihnen, vollständigen internen Netzwerkzugriff für Ihre Benutzer bereitzustellen. Wenn Sie jedoch nur die Möglichkeit benötigen, den Zugriff für bestimmte Anwendungen und Dienste in Ihrem internen Netzwerk bereitzustellen, können Sie Webanwendungsproxy verwenden. Mit Webanwendungsproxy können Sie diese Art des spezifischen Zugriffs für Endbenutzer mit Laptops mit Beitritt zur Domäne oder mit eigenen Geräten wie Heimcomputern, Tablets oder persönlichen Smartphones bereitstellen. Weitere Informationen unter Handbuch mit exemplarischer Vorgehensweise für den Webanwendungsproxy.

Die folgenden Rollendienste können mit dieser Rolle installiert werden.

RollendienstBeschreibung
Netzwerkrichtlinienserver (Network Policy Server, NPS)Sie können mit NPS den Netzwerkzugriff über eine Reihe von Netzwerkzugriffsservern zentral verwalten, einschließlich RADIUS-konformer, 802.1X-fähiger drahtloser Zugriffspunkte, VPN-Server, DFÜ-Server und 802.1X-fähiger Ethernet-Switches. Zusätzlich können Sie NPS verwenden, um mit PEAP-MS-CHAP v2 (Protected Extensible Authentication-Protokoll, Microsoft Challenge Handshake Authentication-Protokoll Version 2) eine sichere Kennwortauthentifizierung für drahtlose Verbindungen bereitzustellen. NPS enthält zudem wichtige Komponenten zur Bereitstellung von NAP in Ihrem Netzwerk.
Integritätsregistrierungsstelle (Health Registration Authority, HRA)HRA ist eine NAP-Komponente, die Integritätszertifikate an Clients ausgibt, die die Integritätsrichtlinienüberprüfung bestehen. Diese Prüfung wird von NPS mithilfe des Client-SoH (Statement of Health) ausgeführt. HRA wird nur zusammen mit der NAP-IPsec-Erzwingungsmethode verwendet.
Host Credential Authorization-Protokoll (HCAP)HCAP ermöglicht es Ihnen, Ihre Microsoft NAP-Lösung in den Cisco Network Access Control Server zu integrieren. Wenn Sie HCAP mit NPS und NAP bereitstellen, kann der Netzwerkrichtlinienserver die Clientintegritätsbewertung sowie die Autorisierung von Cisco 802.1X-Zugriffsclients ausführen.

Wie verwende ich Windows PowerShell zur Bereitstellung und Konfiguration von Netzwerkrichtlinien- und Zugriffsdiensten?

Sie können Windows PowerShell zur Bereitstellung und Konfiguration einiger Aspekte der Netzwerkrichtlinien- und Zugriffsdienste verwenden. Weitere Informationen zu Windows PowerShell®-Cmdlets und -Skripts zur Bereitstellung und Verwaltung von Netzwerkrichtlinien- und Zugriffsdiensten finden Sie unter Windows PowerShell for Network Policy and Access Services.

Wie kann ich diese Rolle in einer Multiserverumgebung bereitstellen und konfigurieren?

Sie können Netzwerkrichtlinienserver für verschiedene Funktionen bereitstellen. Beispielsweise können Sie einen Netzwerkrichtlinienserver als RADIUS-Server zur Authentifizierung, einen weiteren als RADIUS-Proxy zur Verteilung der Richtlinienauswertung zwischen Servern mit verschiedenen Rollen und einen dritten als NAP-Richtlinienserver bereitstellen. Weitere Informationen zur Multiserververwaltung bei Netzwerkrichtlinien- und Zugriffsdiensten finden Sie unter Network Policy Server Overview.

Kann ich diese Rolle auf virtuellen Computern nutzen?

Ja, Sie können Netzwerkrichtlinien- und Zugriffsdienste auf virtuellen Hyper-V-Computern nutzen.

Kann ich diese Rolle in einer Clusterumgebung nutzen?

Nein, Netzwerkrichtlinien- und Zugriffsdienste können nicht in einem Servercluster genutzt werden.

Besonderheiten bei der Remoteverwaltung dieser Rolle

Sie können Netzwerkrichtlinien- und Zugriffsdienste remote verwalten. Weitere Informationen zur Verwendung von Netzwerkrichtlinien- und Zugriffsdiensten von einem Remotecomputer finden Sie unter Administer NPS by Using Tools.

Besonderheiten bei der Verwaltung der Rolle für Server Core-Installationen

Sie können Netzwerkrichtlinien- und Zugriffsdienste auf einer Server Core-Installation von Windows Server 2012 nicht installieren und ausführen.

Die folgende Tabelle enthält Links zu weiteren Inhalten über Netzwerkrichtlinien- und Zugriffsdienste.

InhaltstypVerweise
ProduktbewertungVorteile des Netzwerkzugriffsschutzes
PlanenEntwurfshandbuch zum Netzwerkzugriffsschutz
BereitstellungDeploying NPS | Checklist for deploying an HRA server | NAP Deployment Guide
BetriebNPS-Betriebshandbuch
ProblembehandlungBest Practices Analyzer for Network Policy and Access Services | Network Policy Server Infrastructure (Errors and Events) | NAP Infrastructure (Errors and Events) | Network Access Protection Troubleshooting Guide | Tools for Troubleshooting NAP | Troubleshooting HRA Guide
Tools und EinstellungenWindows PowerShell for Network Policy and Access Services | Netsh Commands for Network Policy Server | Netsh Commands for Health Registration Authority | Netsh Commands for Network Access Protection (NAP) Client
CommunityressourcenNAP Team Blog | NAP TechNet Forum | TechNet Wiki
Anzeigen: