The Cable GuyProblembehandlung bei der NAP-Erzwingung

Joseph Davies

Die neue NAP-Plattform (Network Access Protection, Netzwerkzugriffsschutz), die in Windows Vista, Windows Server 2008 und Windows XP SP3 integriert ist, hilft Ihnen, Ihr privates Intranet zu schützen, indem sie die Einhaltung von Computerintegritätsanforderungen erzwingt. Hauptkomponenten von NAP sind NAP-Clients, NAP-Erzwingungspunkte und NAP-Integritätsrichtlinienserver.

Ein NAP-Client ist ein Computer, der Integritätsstatusinformationen für die Systemintegritätsevaluierung bereitstellen kann. Ein NAP-Erzwingungspunkt ist ein Computer oder ein Netzwerkzugriffsgerät, der bzw. das NAP verwendet oder mit NAP verwendet werden kann, um die Evaluierung des Integritätsstatus eines NAP-Client zu erzwingen und eingeschränkten Netzwerkzugriff bzw. Kommunikation bereitzustellen. Ein NAP-Integritätsrichtlinienserver ist ein Computer, auf dem Windows Server® 2008 und der NPS-Dienst (Network Policy Server, Netzwerkrichtlinienserver), der Richtlinien für Integritätsanforderungen speichert und Integritätsevaluierungen von NAP-Clients durchführt, ausgeführt werden. Der NAP-Integritätsrichtlinienserver und die NAP-Erzwingungspunkte tauschen Systemintegritätsinformationen und Anweisungen für eingeschränkten Zugriff mit dem RADIUS-Server (Remote Authentication Dial-In User Service) sowie Proxynachrichten aus.

In diesem Artikel beschreibe ich die Komponenten einer Richtlinie für Integritätsanforderungen, die Verarbeitung eingehender Anforderungen durch den NPS-Dienst für die NAP-Evaluierung sowie die Behandlung der häufigsten Probleme bei der NAP-Erzwingung.

Richtlinien für Integritätsanforderungen

Funktionsweise der NAP-Integritätsevaluierung

Der NPS-Dienst auf dem NAP-Integritätsrichtlinienserver verwendet den folgenden Prozess, um eine Integritätsevaluierung durchzuführen:

1. Der NPS-Dienst vergleicht die eingehende Anforderungsnachricht mit seinem konfigurierten Satz von Verbindungsanforderungsrichtlinien. Bei NAP muss die Anforderungsnachricht einer Verbindungsanforderungsrichtlinie entsprechen, die festlegt, dass der NPS-Dienst die Authentifizierung und die Autorisierung lokal durchführt.
2. Der NPS-Dienst evaluiert die Integritätsinformationen in der Anforderungsnachricht, die aus einem SSoH (System Statement of Health) bestehen, in dem Integritätsstatusinformationen enthalten sind. Der NPS-Dienst übergibt die Integritätsstatusinformationen seinen installierten SHVs, die Integritätsevaluierungsinformationen an den NPS-Dienst zurückgeben.
3. Der NPS-Dienst vergleicht die Anforderungsnachricht und die Integritätsevaluierungsinformationen von den SHVs mit dem entsprechenden Satz von Netzwerkrichtlinien. Die Integritätsevaluierungsinformationen werden mit der Integritätsrichtlinienbedingung NAP-basierter Netzwerkrichtlinien verglichen. Die Integritätsrichtlinienbedingung legt die Bedingungen für die Integritätskonformität oder -nichtkonformität fest. Der NPS-Dienst wendet die erste entsprechende Netzwerkrichtlinie auf die Anforderungsnachricht an.
4. Auf Grundlage der entsprechenden NAP-basierten Netzwerkrichtlinie und der mit ihr verknüpften NAP-Einstellungen erstellt der NPS-Dienst eine SSoHR (System Statement of Health Response). Diese Antwort enthält die Integritätsevaluierungsinformationen von den SHVs und gibt an, ob der NAP-Client uneingeschränkten oder eingeschränkten Zugriff hat und ob der NAP-Client automatisch versuchen soll, seinen Integritätsstatus zu korrigieren.
5. Der NPS-Dienst sendet eine RADIUS-Antwortnachricht mit der SSoHR zum NAP-Erzwingungspunkt. Wenn dem Client eingeschränkter Zugriff gewährt wurde, kann die Antwortnachricht auch Anweisungen enthalten, die festlegen, auf welche Weise der Zugriff des NAP-Clients eingeschränkt wird.
6. Der NAP-Erzwingungspunkt sendet die SSoHR zum NAP-Client.

Eine Richtlinie für Integritätsanforderungen ist eine Kombination aus einer Verbindungsanforderungsrichtlinie, einer oder mehreren Netzwerkrichtlinien, einer oder mehreren Integritätsrichtlinien sowie NAP-Einstellungen für eine NAP-Erzwingungsmethode. Um eine Richtlinie für Integritätsanforderungen zu erstellen, verwenden Sie den NAP-Konfigurationsassistenten im Snap-In „Netzwerkrichtlinienserver“. (Weitere Informationen zum Evaluierungsprozess finden Sie in der Randleiste „Funktionsweise der NAP-Integritätsevaluierung“.)

Verbindungsanforderungsrichtlinien Dies sind sortierte Sätze von Regeln, die es dem NPS-Dienst ermöglichen zu bestimmen, ob eine eingehende Verbindungsanforderung lokal verarbeitet oder an einen anderen RADIUS-Server weitergeleitet werden soll. Ein NAP-Integritätsrichtlinienserver verarbeitet Verbindungsanforderungen lokal.

Eingehende RADIUS-Anforderungen von Windows®-basierten NAP-Erzwingungspunkten können ein Quelltag enthalten, das den Typ des NAP-Erzwingungspunkts wie z. B. einen DHCP-Server (Dynamic Host Configuration Protocol) oder einen VPN-Server (virtuelles privates Netzwerk) angibt.

Wenn die eingehende Anforderungsnachricht ein Quelltag enthält, versucht der NPS-Dienst auf dem NAP-Integritätsrichtlinienserver, die Anforderung nur den Verbindungsanforderungsrichtlinien mit einer passenden Quelle zuzuordnen. Alle anderen Verbindungsanforderungsrichtlinien werden ignoriert. Wenn die eingehende Anforderungsnachricht kein Quelltag enthält, versucht der NPS-Dienst, die Anforderung den Verbindungsanforderungsrichtlinien mit einer nicht angegebenen Quelle zuzuordnen. Alle anderen Verbindungsanforderungsrichtlinien, die Quellen angeben, werden ignoriert.

So geben beispielsweise eingehende Anforderungen von einem NAP-fähigen DHCP-Server ein DHCP-Quelltag an. Der NPS-Dienst versucht, die Anforderungen vom DHCP-Server Verbindungsanforderungsrichtlinien mit der DHCP-Quelle zuzuordnen. Eingehende Anforderungen von 802.1X-fähigen Switches und Drahtloszugriffspunkten geben kein Quelltag an. Der NPS-Dienst versucht, diese Anforderungen Verbindungsanforderungsrichtlinien ohne eine angegebene Quelle zuzuordnen.

Die Verbindungsanforderungsrichtlinie, die für eine lokale Evaluierungsverarbeitung oder eine Remoteverarbeitungsevaluierung verwendet wird, ist die erste übereinstimmende Verbindungsanforderungsrichtlinie in der sortierten Liste für die Teilmenge der Richtlinien, die auf die eingehende Anforderung zutreffen. Wenn die Anforderung keinen Verbindungsanforderungsrichtlinien entspricht, wird die Anforderung zurückgewiesen.

Netzwerkrichtlinien Dies sind sortierte Sätze von Regeln, die die Umstände angeben, unter denen Verbindungsversuche, die den eingehenden Anforderungsnachrichten entsprechen, entweder autorisiert oder zurückgewiesen werden. Für jede Regel gibt es eine Zugriffsberechtigung, die den Zugriff entweder gewährt oder verweigert, einen Satz von Bedingungen, einen Satz von Einschränkungen sowie Netzwerkrichtlinieneinstellungen. Wenn eine Verbindung autorisiert wird, können die Netzwerkrichtlinieneinschränkungen und -einstellungen einen Satz von Verbindungseinschränkungen festlegen. Bei NAP können Netzwerkrichtlinien eine Integritätsrichtlinienbedingung angeben, damit nach Integritätsanforderungen und Erzwingungsverhaltenseinstellungen gesucht wird.

Genau wie Verbindungsanforderungsrichtlinien verwenden Netzwerkrichtlinien ein Quelltag, um zu bestimmen, welche Netzwerkrichtlinien der eingehenden Anforderung zugeordnet werden sollen. Wenn die eingehende Anforderungsnachricht ein Quelltag enthält, versucht der NPS-Dienst, die Anforderung nur den Netzwerkrichtlinien mit einer passenden Quelle zuzuordnen. Alle anderen Netzwerkrichtlinien werden ignoriert. Wenn die eingehende Anforderungsnachricht kein Quelltag enthält, versucht der NPS-Dienst, die Anforderung den Netzwerkrichtlinien mit einer nicht angegebenen Quelle zuzuordnen. Alle anderen Netzwerkrichtlinien, die Quellen angeben, werden ignoriert.

Die Netzwerkrichtlinie, die für die Autorisierung oder Integritätsevaluierung verwendet wird, ist die erste übereinstimmende Netzwerkrichtlinie in der sortierten Liste der Teilmenge für Richtlinien, die auf den Verbindungsversuch zutreffen. Wenn der Versuch keinen Netzwerkrichtlinien entspricht, wird die Anforderung zurückgewiesen.

Integritätsrichtlinien Diese Richtlinien ermöglichen Ihnen, Integritätsanforderungen in Form der installierten SHVs (System Health Validators, Systemintegritätsprüfungen) anzugeben, die bei der Integritätsevaluierung verwendet werden, und festzulegen, ob NAP-Clients nur einige oder sämtliche der ausgewählten SHVs bestehen oder nicht bestehen müssen. So kann beispielsweise eine Integritätsrichtlinie für richtlinienkonforme NAP-Clients festlegen, dass der Client alle Integritätsüberprüfungen bestehen muss. Eine Integritätsrichtlinie für nicht richtlinienkonforme NAP-Clients kann festlegen, dass der Client mindestens eine Integritätsüberprüfung oder sämtliche Integritätsüberprüfungen nicht bestehen darf.

NAP-Einstellungen Diese Einstellungen bestehen aus der Konfiguration der auf dem NAP-Integritätsrichtlinienserver für Integritätsanforderungen und Fehlerbedingungen installierten SHVs sowie aus Wartungsservergruppen, die festlegen, auf welche Gruppen von Servern nicht richtlinienkonforme NAP-Clients mit eingeschränktem Netzwerkzugriff über die DHCP- und VPN-Erzwingungsverfahren zugreifen können.

Einordnen von NAP-Erzwingungsproblemen

Es wird empfohlen, bei einer Problembehandlung systematisch vorzugehen. Hierzu sollten die folgenden Fragen beantwortet werden: Welche Komponenten sind funktionsfähig? Welche Komponenten sind nicht funktionsfähig? Welcher Zusammenhang besteht zwischen den funktionsfähigen und den nicht funktionsfähigen Komponenten? Haben die nicht funktionsfähigen Komponenten in der Vergangenheit funktioniert? Wenn ja, was hat sich verändert, seit sie zum letzten Mal funktioniert haben?

Diese Fragen rücken deutlich stärker in den Vordergrund, wenn Sie sich mit NAP-Erzwingungsproblemen befassen. Hat die Verbindung oder die Konnektivität funktioniert, bevor die NAP-Erzwingungsmethode implementiert wurde? Hat beispielsweise die IPsec (Internet Protocol security, Internetprotokollsicherheit)-Serverisolierung oder -Domänenisolierung funktioniert, bevor IPsec-Erzwingung implementiert wurde? Hat die 802.1X-Authentifizierung funktioniert, bevor 802.1X-Erzwingung implementiert wurde? Hat der VPN-Remotezugriff funktioniert, bevor VPN-Erzwingung implementiert wurde? Hat DHCP funktioniert, bevor DHCP-Erzwingung implementiert wurde?

Hat eine bestimmte NAP-Erzwingungsmethode vorher funktioniert? Wenn ja, was hat sich am NAP-Client, am NAP-Erzwingungspunkt oder am NAP-Integritätsrichtlinienserver geändert? Die Antworten auf diese Fragen können einen Hinweis darauf geben, an welcher Stelle mit der Problembehandlung begonnen werden sollte. Auf diese Weise können Sie unter Umständen die Komponente, die Schicht oder die Konfiguration isolieren, durch die das Problem verursacht wird.

Zur allgemeinen Problembehandlung von NAP-Erzwingungsproblemen müssen Sie den Umfang des Problems ermitteln. Der erste Schritt besteht darin herauszufinden, ob das Problem tatsächlich von der NAP-Erzwingung verursacht wird. Ermitteln Sie bei der IPsec-Erzwingung, ob der NAP-Client den richtigen Satz an IPsec-Richtlinien für die IPsec-Peeraushandlung und den Schutz der Daten besitzt. Finden Sie bei der DHCP-Erzwingung heraus, ob der NAP-Client DHCP-Nachrichten mit einem DHCP-Server austauschen kann. Bestimmen Sie bei der 802.1X-Erzwingung und der VPN-Erzwingung, ob der NAP-Client erfolgreich authentifizieren kann. Wenn beispielsweise Ihre VPN-Clients für die VPN-Verbindung keine Authentifizierung durchführen können, überprüfen Sie die Authentifizierungseinstellungen und die Anmeldeinformationen der VPN-Clients.

Wenn Sie die NAP-Erzwingung als Ursache des Problems identifiziert haben, ermitteln Sie im nächsten Schritt den Umfang des Problems. Sind alle NAP-Clients und alle NAP-Erzwingungsmethoden betroffen? Sind alle NAP-Clients und eine bestimmte Erzwingungsmethode betroffen? Sind alle NAP-Clients und eine bestimmte Erzwingungsmethode sowie ein bestimmter NAP-Erzwingungspunkt betroffen? Sind alle NAP-Clients betroffen, die Mitglieder einer bestimmten Gruppe sind? Ist nur ein bestimmter NAP-Client von dem Problem betroffen?

Wenn beispielsweise bei allen Ihren NAP-Clients Probleme mit allen Arten von NAP-Erzwingungsmethoden auftreten, liegen unter Umständen Konfigurationsprobleme auf Ihren NAP-Integritätsrichtlinienservern vor. Wenn bei allen Ihren NAP-Clients Probleme mit einer bestimmten NAP-Erzwingungsmethode auftreten, liegen möglicherweise Konfigurationsprobleme bei den Gruppenrichtlinieneinstellungen für NAP-Clients oder bei den Richtlinien für Integritätsanforderungen für die betreffende NAP-Erzwingungsmethode auf Ihrem NAP-Integritätsrichtlinienserver vor. Wenn nur bei bestimmten NAP-Clients NAP-Erzwingungsprobleme auftreten, liegen bei diesen NAP-Clients evtl. Konfigurationsprobleme für die NAP-Erzwingung vor.

Häufige NAP-Erzwingungsprobleme

NAP-Ressourcen

• Einführung in den Netzwerkzugriffsschutz
• Architektur der NAP-Plattform
• NAP-Richtlinien in Windows Server 2008
• NPS-Netzwerkzugriffsschutz

Uneingeschränkter Zugriff Wenn ein NAP-Client uneingeschränkten Zugriff hat, kann dies daran liegen, dass der NAP-Client vom NAP-Integritätsrichtlinienserver als konform evaluiert wurde. Dies ist genau, was Sie wollen. Der uneingeschränkte Zugriff kann aber auch gewährt worden sein, weil der NAP-Client keine SSoHR erhalten hat, was in der Regel dann geschieht, wenn für den NAP-Client keine Integritätsevaluierung durchgeführt wird. Wenn keine NAP-Integritätsevaluierung erfolgt, wird keine SSoHR zum NAP-Client zurückgeschickt, und der NAP-Client erhält uneingeschränkten Zugriff.

Zum Beispiel sendet ein für DHCP-Erzwingung konfigurierter NAP-Client seine SSoHR an seinen DHCP-Server zurück. Wenn der DHCP-Server, auf dem Windows Server 2008 ausgeführt wird, nicht für NAP konfiguriert ist, sendet er keine Integritätsevaluierungs-Anforderungsnachrichten an einen NAP-Integritätsrichtlinienserver. Außerdem weist ein für NAP konfigurierter DHCP-Server, auf dem Windows Server 2008 ausgeführt wird und der keinen NAP-Integritätsrichtlinienserver erreichen kann, standardmäßig eine Adresskonfiguration für uneingeschränkten Zugriff zu.

Uneingeschränkter Zugriff kann auch dann gewährt werden, wenn der NAP-Integritätsrichtlinienserver keine Integritätsevaluierung durchführt, weil die eingehende Anforderung einer Netzwerkrichtlinie entsprach, die keine NAP-Integritätsevaluierung erfordert. Informationen zur Bestimmung der Netzwerkrichtlinie, die der Anforderung eines NAP-Clients entsprach, finden Sie in dem Abschnitt „Schrittweise Problembehandlung bei der NAP-Erzwingung“ in diesem Artikel.

Eingeschränkter Zugriff Ein NAP-Client, der eingeschränkten Zugriff hat, wurde vom NAP-Integritätsrichtlinienserver als nicht richtlinienkonform evaluiert. Wenn der NAP-Client eingeschränkten Zugriff hat, stattdessen aber uneingeschränkten Zugriff haben müsste, überprüfen Sie den Integritätsstatus des NAP-Clients anhand der Integritätsrichtlinieneinstellungen, die der Netzwerkrichtlinie entsprechen, die mit der Anforderung des NAP-Clients übereinstimmte.

Keine automatische Wartung Wenn NAP-Clients richtig konfiguriert sind, können sie eine automatische Wartung ihres Integritätsstatus durchführen. Wenn NAP-Clients keine automatische Wartung durchführen können, vergewissern Sie sich, dass in den NAP-Erzwingungseinstellungen der Netzwerkrichtlinie, die der Anforderung des NAP-Clients entsprach, das Kontrollkästchen „Automatische Wartung von Clientcomputern aktivieren“ aktiviert ist.

Ein anderes Problem, das sich auf die automatische Korrektur auswirken kann, liegt dann vor, wenn der eingeschränkte NAP-Client die Wartungsserver nicht erreichen kann, um Updates herunterzuladen. Vergewissern Sie sich bei der IPsec-Erzwingung, dass auf die Wartungsserver die richtige IPsec-Richtlinie angewendet wurde. Überprüfen Sie bei der 802.1X-Erzwingung die Einstellungen in der entsprechenden Netzwerkrichtlinie, von denen die ACL (Access Control List, Zugriffssteuerungsliste) oder die VLAN-ID (Virtual Local Area Network Identifier) zugewiesen wird, und prüfen Sie die Konfiguration der ACL oder des VLAN für Ihre Switches oder Drahtloszugriffspunkte. Überprüfen Sie bei der VPN- oder der DHCP-Erzwingung die Einstellungen für die Wartungsservergruppe in der entsprechenden Netzwerkrichtlinie, und stellen Sie sicher, dass alle Wartungsserver als Mitglieder der Gruppe konfiguriert sind. Stellen Sie bei der DHCP-Erzwingung sicher, dass die DHCP-Bereichsoptionen für NAP-Clients (z. B. der Wert der Option für das Standardgateway für die NAP-Benutzerklasse) richtig konfiguriert sind.

Evaluierung der Nicht-NAP-Fähigkeit Vergewissern Sie sich bei jeder NAP-Erzwingungsmethode, dass der entsprechende Erzwingungsclient auf dem NAP-Client aktiviert ist. Vergewissern Sie sich bei der 802.1X-Erzwingung und der VPN-Erzwingung, dass auf dem NAP-Client sowohl in der Verbindungsanforderungsrichtlinie als auch auf dem NAP-Client selbst (im Dialogfeld „Eigenschaften für geschütztes EAP“ muss das Kontrollkästchen „Quarantäneüberprüfungen aktivieren“ aktiviert sein) die Systemintegritätsprüfung für die PEAP-Authentifizierungsmethode aktiviert ist.

Der NAP-Client ist nicht eingeschränkt, kann aber das Intranet nicht erreichen. Vergewissern Sie sich bei der IPsec-Erzwingung, dass die IPsec-Richtlinie für richtlinienkonforme NAP-Clients und die IPsec-Richtlinie der Intranetcomputer einen gemeinsamen Satz von Aushandlungs- und Schutzeinstellungen besitzen. Stellen Sie bei der 802.1X-Erzwingung sicher, dass die Netzwerkrichtlinie für richtlinienkonforme NAP-Clients die ACLs oder die VLAN-IDs nicht für das eingeschränkte Netzwerk, sondern für das Intranet angibt. Überprüfen Sie auf Ihren Switches oder Drahtloszugriffspunkten die Konfiguration der ACL oder der VLAN-ID für das Intranet. Stellen Sie bei der VPN-Erzwingung sicher, dass in der Netzwerkrichtlinie für richtlinienkonforme NAP-Clients keine IP-Paketfilter konfiguriert sind, die den Datenverkehr von VPN-Clients einschränken.

Schrittweise Problembehandlung bei der NAP-Erzwingung

Eine Möglichkeit, die Problembehandlung für ein Problem mit der NAP-Erzwingung für einen bestimmten NAP-Client vollständig durchzuführen, besteht darin, mit der Konfiguration des NAP-Clients zu beginnen, das NAP-Clientereignisprotokoll zu überprüfen und danach zum NAP-Integritätsrichtlinienserver überzugehen, um herauszufinden, wie der NPS-Dienst die Anforderung des NAP-Clients verarbeitet hat.

Schritt 1: Überprüfen der NAP-Clientkonfiguration Die NAP-Clientkonfiguration besteht aus Windows-Diensten, Erzwingungsclients sowie für die NAP-Erzwingung spezifischen Einstellungen. Verwenden Sie zum Anzeigen von Status- und Konfigurationsinformationen für den NAP-Client die Befehle „netsh nap client show state“ und „netsh nap client show configuration“.

Beachten Sie, dass dann, wenn NAP-Clienteinstellungen durch Gruppenrichtlinien bereitgestellt werden, alle Ihre NAP-Clienteinstellungen durch Gruppenrichtlinien festgelegt und alle Ihre lokalen NAP-Clienteinstellungen ignoriert werden. Verwenden Sie in diesem Fall den Befehl „netsh nap client show grouppolicy“, um die auf Gruppenrichtlinien basierende NAP-Clientkonfiguration anzuzeigen, und nehmen Sie Änderungen über Gruppenrichtlinien vor.

Verwenden Sie bei der IPsec-Erzwingung auf einem Computer, auf dem Windows Vista® ausgeführt wird, den Befehl „net start“, um sich zu vergewissern, dass die Dienste „NAP-Agent (Network Access Protection)“, „IKE- und AuthIP IPsec-Schlüsselerstellungsmodule“ sowie „IPsec-Richtlinien-Agent“ gestartet wurden. Verwenden Sie den Befehl „netsh nap client show configuration“, um sich zu vergewissern, dass der Erzwingungsclient für die abhängige Seite von IPsec aktiviert ist. Verwenden Sie bei Bedarf das Snap-In „NAP-Clientkonfiguration“, um den Erzwingungsclient „Abhängige Seite von IPsec“ zu aktivieren, oder verwenden Sie den Befehl „netsh nap client set enforcement 79619 enabled“. „netsh nap client set enforcement“-Befehle müssen über eine Befehlszeile mit erweiterten Berechtigungen ausgeführt werden.

Verwenden Sie bei der 802.1X-Erzwingung auf einem Computer, auf dem Windows Vista ausgeführt wird, den Befehl „net start“, um sich zu vergewissern, dass die Dienste „Extensible Authentication-Protokoll“, „NAP-Agent (Network Access Protection)“, „Automatische Konfiguration (verkabelt)“ (bei der 802.1X-Erzwingung für Kabelverbindungen) und „Automatische WLAN-Konfiguration“ (bei der 802.1X-Erzwingung für Drahtlosverbindungen) gestartet wurden.

Verwenden Sie erneut den Befehl „netsh nap client show configuration“, um sich zu vergewissern, dass der EAP-Quarantäneerzwingungsclient aktiviert ist. Verwenden Sie bei Bedarf das Snap-In „NAP-Clientkonfiguration“, um den EAP-Quarantäneerzwingungsclient zu aktivieren, oder verwenden Sie den Befehl „netsh nap client set enforcement 79623 enabled“. Vergewissern Sie sich, dass für die Kabel- oder Drahtlosverbindung in den Eigenschaften der PEAP-Authentifizierungsmethode das Kontrollkästchen „Quarantäneüberprüfungen aktivieren“ aktiviert ist.

Verwenden Sie bei der VPN-Erzwingung auf einem Computer, auf dem Windows Vista ausgeführt wird, den Befehl „net start“, um sich zu vergewissern, dass die Dienste „Extensible Authentication-Protokoll“, „NAP-Agent (Network Access Protection)“ und „RAS-Verbindungsverwaltung“ gestartet wurden.

Verwenden Sie den Befehl „netsh nap client show configuration“, um sich zu vergewissern, dass der Remotezugriffs-Quarantäneerzwingungsclient aktiviert ist. Verwenden Sie bei Bedarf das Snap-In „NAP-Clientkonfiguration“, um den Remotezugriffs-Quarantäneerzwingungsclient zu aktivieren, oder verwenden Sie den Befehl „netsh nap client set enforcement 79618 enabled“. Vergewissern Sie sich, dass für die VPN-Verbindung in den Eigenschaften der PEAP-Authentifizierungsmethode das Kontrollkästchen „Quarantäneüberprüfungen aktivieren“ aktiviert ist.

Verwenden Sie bei der DHCP-Erzwingung auf einem Computer, auf dem Windows Vista ausgeführt wird, den Befehl „net start“, um sich zu vergewissern, dass die Dienste „NAP-Agent (Network Access Protection)“ und „DHCP-Client“ gestartet wurden. Verwenden Sie bei Bedarf das Snap-In „Dienste“ oder das Tool „Sc.exe“, um diese Dienste zu starten, und konfigurieren Sie sie für automatischen Start.

Verwenden Sie den Befehl „netsh nap client show configuration“, um sich zu vergewissern, dass der DHCP-Quarantäneerzwingungsclient aktiviert ist. Verwenden Sie bei Bedarf das Snap-In „NAP-Clientkonfiguration“, um den DHCP-Quarantäneerzwingungsclient zu aktivieren, oder verwenden Sie den Befehl „netsh nap client set enforcement 79617 enabled“.

Schritt 2: Überprüfen des NAP-Clientereignisprotokolls Verwenden Sie das Snap-In „Ereignisanzeige“, um die Ereignisse im Ereignisprotokoll zu überprüfen, das vom Dienst „NAP-Agent (Network Access Protection)“ erstellt wurde. Verwenden Sie bei Computern, auf denen Windows Vista ausgeführt wird, das Snap-In „Ereignisanzeige“, um Ereignisse in „Anwendungs- und Dienstprotokolle\Microsoft\Windows\Netzwerkzugriffsschutz\Betriebsbereit“ anzuzeigen. Verwenden Sie bei Computern, auf denen Windows XP mit SP3 ausgeführt wird, das Snap-In „Ereignisanzeige“, um NAP-Ereignisse im Systemereignisprotokoll anzuzeigen.

Beziehen Sie über die NAP-Clientereignisse die Korrelations-ID für die NAP-Clientintegritätsevaluierung. Sie können die Korrelations-ID oder den Computernamen des NAP-Clients verwenden, um das entsprechende Integritätsevaluierungsereignis auf dem NAP-Integritätsrichtlinienserver zu finden. Abbildung 1 zeigt ein Beispielereignis für einen nicht richtlinienkonformen NAP-Client mit der Korrelations-ID.

Abbildung 1** Beispiel eines Windows Vista-NAP-Clientereignisses **(Klicken Sie zum Vergrößern auf das Bild)

Schritt 3: Überprüfen des NPS-Ereignisprotokolls Verwenden Sie auf dem NAP-Integritätsrichtlinienserver das Snap-In „Ereignisanzeige“, um die Ereignisse im Protokoll „Windows-Protokolle\Sicherheit“ anzuzeigen, die vom NPS-Dienst erstellt wurden. Um NPS-Ereignisse anzuzeigen, öffnen Sie in der Ereignisanzeige „Benutzerdefinierte Ansichten“ und danach „Serverrollen“, und klicken Sie anschließend auf „Netzwerkrichtlinien- und Zugriffsdienste“. Um ein mit dem Ereignis verknüpftes Onlinehilfethema anzuzeigen, klicken Sie auf der Registerkarte „Allgemein“ des Ereignisses auf den Link „Onlinehilfe des Ereignisprotokolls“.

Typische NAP-Integritätsevaluierungsereignisse haben die Ereignis-ID 6278 (bei uneingeschränktem Zugriff) oder 6276 (bei eingeschränktem Zugriff). Finden Sie basierend auf dem Namen des NAP-Clients (das Feld „Kontoname“ im Abschnitt „Clientcomputer“ der Ereignisbeschreibung) oder der Korrelations-ID (dem Feld „Sitzungs-ID“ im Abschnitt zu Quarantäneinformationen in der Ereignisbeschreibung) das entsprechende NAP-Integritätsrichtlinienserver-Ereignis.

Die NPS-Ereignisprotokollereignisse 6278 und 6279 enthalten Informationen zur NAP-Integritätsevaluierung, wie z. B. den Namen der zugehörigen Verbindungsanforderungsrichtlinie (das Feld mit dem Namen der Proxyrichtlinie im Abschnitt „Authentifizierungsdetails“ der Ereignisbeschreibung) und der zugehörigen Netzwerkrichtlinie (das Feld mit dem Namen der Netzwerkrichtlinie im Abschnitt „Authentifizierungsdetails“ der Ereignisbeschreibung). Abbildung 2 zeigt ein Beispiel für die Registerkarte „Details“ der Ereignis-ID 6276 mit dem Namen der Präfixrichtlinie, dem Namen der Netzwerkrichtlinie und der Korrelations-ID (QuarantineSessionID). Dies ist das NAP-Integritätsrichtlinienereignis, das dem Windows Vista-NAP-Clientereignis in Abbildung 1 entspricht.

Abbildung 2** Beispiel eines NAP-Integritätsrichtlinienserver-Ereignisses **(Klicken Sie zum Vergrößern auf das Bild)

Wenn es kein Ereignis gibt, das dem NAP-Clientereignis entspricht, vergewissern Sie sich, dass der NPS-Dienst gestartet wurde und dass der NAP-Erzwingungspunkt korrekt für NAP und für die Verwendung des NAP-Integritätsrichtlinienservers als RADIUS-Server konfiguriert wurde. Vergewissern Sie sich, dass zwischen dem NAP-Erzwingungspunkt und dem NAP-Integritätsrichtlinienserver RADIUS-Nachrichten gesendet werden können.

Wenn Sie diese drei Schritte befolgen, werden Sie bald herausgefunden haben, warum Ihre NAP-Erzwingung nicht wie erwartet funktioniert. Weitere Informationen zu NAP finden Sie in der Randleiste „NAP-Ressourcen“.

Joseph Davies ist technischer Redakteur bei Microsoft und lehrt und schreibt seit 1992 über Windows-Netzwerkthemen. Er hat acht Bücher für Microsoft Press verfasst und ist Autor der monatlich erscheinenden TechNet-Rubrik „The Cable Guy“.

© 2008 Microsoft Corporation und CMP Media, LLC. Alle Rechte vorbehalten. Die nicht genehmigte teilweise oder vollständige Vervielfältigung ist nicht zulässig.