Thyral 10 Geschrieben 11. März 2009 Melden Teilen Geschrieben 11. März 2009 Hallo LEute, ich bin kurz vor einer Herzatacke !! Also, ich habe seit Wochen das Problem dass ich NAP nicht wirklich zum laufen bringe, ich habe ZIG neue Richlinien gemacht und alles probiert was geht. Die Lösung ist fern ! Der Webcast von MS Windows Server 2008 Security Teil 2 ist super, klappt aber nict, ich kann ich schon mitsprechen. Also mein Problem ist eigentlich ganz enfach. Wenn ich in DHCP für den Bereich in den NAP gelten soll NAP Einschalte, kommt der Client nicht mehr durch und bekommt eine 169.254.X.X Adresse. Ich habe meines erachtens alle kunfiguriert wie es sein soll. Bitte wenn einer weiss was ich eventuell ´falsch habe , der schreibe bitte eine Antwort. Ich könnte meine ganze Konfiguration jetzt hier nieder schreiben, denke aber das es niemand was nutzt. Im Grunde habe ich 3 Rechner, einen DC mit DNS, ein Member mit DHCP und NPS installiert und ein Vista Client. Ich habe es wirklich so wie im Webcast versucht, aber es klappt nach 17584985748699696 +- 1 mal nicht. Danke an ALLE für JEDE Hilfe, sitze hier und probiere es sofort aus !! THX Zitieren Link zu diesem Kommentar
Necron 71 Geschrieben 11. März 2009 Melden Teilen Geschrieben 11. März 2009 Hi, kann dir zwar nicht direkt bei deinem Problem helfen, aber in der Februar Ausgabe und März Ausgabe des IT-Administrators ist es sehr gut beschrieben wie man NAP einrichtet! Vielleicht hat jemand in deinem Umfeld den IT-Administrator abonniert, so dass du dir die Ausgaben ausleihen kannst. Zitieren Link zu diesem Kommentar
olafw 10 Geschrieben 11. März 2009 Melden Teilen Geschrieben 11. März 2009 Moin! Hast du auf dem DHCP auch den NAP-Server als RADIUS definiert? Ist der NAP-Dienst auf dem Client gestartet? Zitieren Link zu diesem Kommentar
Thyral 10 Geschrieben 12. März 2009 Autor Melden Teilen Geschrieben 12. März 2009 @olafw Hallo Olaf, Danke Also den Dienst habe ich auf den Client gestartet. Den NAP Server als Radius definiert ? Wie ? gib bitte mal Beispiel! Danke Zitieren Link zu diesem Kommentar
Thyral 10 Geschrieben 13. März 2009 Autor Melden Teilen Geschrieben 13. März 2009 @all ich habe wirklich alles jetzt 20 mal durch, es klappt nicht ! ich habe keine Ahnung warum nicht. Sobald ist in DHCP die Richtlinie anmache bekomme ich eine 169.254.x.x immer noch. ich werde weich !! Zitieren Link zu diesem Kommentar
stopsy 10 Geschrieben 15. März 2009 Melden Teilen Geschrieben 15. März 2009 Hei Du, NAP-DHCP-Erzwingung: 1. Erstelle eine Windows-Sicherheitsintegritätsverifizierung (SHV) Was für Vorausetzungen muss ein Client erfüllen - (für XP und Vista getrennt) Verlange hier erstmal nur "Für alle Verbindungen ist eine Firewall aktiviert" 2. Integritätsrichtlinien Es muss hier zwei geben - eine NAP DCHP Kompatibel und eine NAP DHCP Nicht kompatibel Stelle hier bei Kompatibel - Client besteht alle SHV´s Bei nicht kompatibel - Client besteht mindestens eine nicht 3. Netzwerkrichtlinien 3 Stück: - NAP DHCP Kompatibel - NAP DHCP Nicht kompatibel - NAP DHCP Nicht NAP-fähig zu kompatibel: Registerkarte "Übersicht" Richtlinie aktiviert Zugriffsberechtigung: Zugriff gewähren Netzwerkzugriffsmethode: DHCP-Server Registerkarte Bedingugen: - Verknüpft mit SHV kompatibel Registerkarte Einstellungen: - NAP-Erzwinguzng - Vollständigen Zugriff gewähren zu nicht kompatibel: Registerkarte "Übersicht" Richtlinie aktiviert Zugriffsberechtigung: Zugriff gewähren Netzwerkzugriffsmethode: DHCP-Server Registerkarte Bedingugen: - Verknüpft mit SHV nicht kompatibel Registerkarte Einstellungen: - NAP-Erzwinguzng - Eingeschränkten Zugriff gewähren Haken setzen bei Automatische Wartung zu nicht NAP-fähig: Registerkarte "Übersicht" Richtlinie aktiviert Zugriffsberechtigung: Zugriff gewähren Netzwerkzugriffsmethode: DHCP-Server Registerkarte Bedingugen: - Verknüpft mit NAP-fähig - Computer ist nicht NAP-fähig Registerkarte Einstellungen: - NAP-Erzwinguzng - Vollständigen Zugriff gewähren Verbindungsanforderung: Registerkarte Übersicht: -Richtlinie aktiviert -Typ des Netzwerkzugriffsersers: DHCP-Server Registerkarte Bedingungen: z.B. Uhrzeit einstellen Am Client - besser für den Client - Aktivere - am besten über GPO´s die "DHCP-Erwzinungsmethode (Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Netzwerkzugriffsschutz-Clientverwaltungseinstellungen) - Lasse den Dienst NAP-Agent (und den RPC-Dienst) automatisch starten (Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Systemdienste - NAP-Agent) Überprüfe ob beim DHCP-Server auch der Haken "Für diesen Bereich aktivieren" gesetzt ist (Eigenschaften vom betreffenden DHCP-Bereich) Starte den Client - überprüfe mit MMC - RSOP ob alle Richtlinien übernommen worden sind. Überprüfe deine zugewiesene IP-Adresse - wenn es eine 32bittige Maske ist greift NAP Deaktivere deine Firewall - er müsste sie dann gleich wieder aktivieren.... Habe NAP mit DHCP-Erzwingung in 2 Filialen von uns produktiv und völlig problemlos in Betrieb. Man kann diese Erzwinugnsmethode zwar einfach umgehen in dem man die IP-Adresse statisch vergibt - allerdings kann man dies auch mit GPO´s sperren - aber das wichtige ist für mich dabei: Es geht bei der DHCP-Erwzingung nicht darum böswillige Vireneinschleusungen zu verhindern - sondern Schutz vor Anwendern zu haben die nichtsahnend einen verseuchten PC in die Firma bringen. Zitieren Link zu diesem Kommentar
Thyral 10 Geschrieben 16. März 2009 Autor Melden Teilen Geschrieben 16. März 2009 @stopsy Danke, Danke so eine Anleitung hatte ich noch nie. Werde es gleich mal versuchen. THX Zitieren Link zu diesem Kommentar
stopsy 10 Geschrieben 16. März 2009 Melden Teilen Geschrieben 16. März 2009 Hei Du, zu nicht NAP-fähig: Registerkarte "Übersicht" Richtlinie aktiviert Zugriffsberechtigung: Zugriff gewähren Netzwerkzugriffsmethode: DHCP-Server Ups - Fehler meinerseits... logischerweise bei "nicht-NAP-fähig" nur "Eingeschränkten Zugriff" gewähren ... am besten mit automatischer Wartung Sonst macht es nicht viel Sinn :-) Gruß Stefan Zitieren Link zu diesem Kommentar
steggli 10 Geschrieben 23. März 2009 Melden Teilen Geschrieben 23. März 2009 Hallo zusammen Ich habe auch ein Problem mit NAP. Server: DC (DNS, AD) Netzwerkrichtlinienserver (NAP), DHCP Was hab ich bis jetzt alles eingestellt: Auf DC: Sicherheitsgruppe angelegt Richtlinie NAP Clienteinstellungen konfiguriert. -> automatischer agent start -> dhcp erzwingungsclient -> Integritätsrichtline alle auf standard Auf NAP Server: Sicherheitsintegritätsprüfung (Firewall muss aktiv sein) aktiviert sonst nichts (Für XP SP3 Client) - Integritätsrichtlinien Kompatbel und nicht kompatibel vorhanden - Netzwerkrichtlinien auch vorhanden Netzwerkrichtlinien konfiguriert Wartungsservergruppen Hab ich erstellt (meinen DC) DHCP Ich habe einfach einen Standard Scope konfiguriert (sonst nichts) Gut möglich dass der Fehler hier ist. Ich weiss aber nicht genau was ich hier noch einstellen könnte. Das Problem ist nun, dass der Agent einfach nicht wirkt. Ich habe keine meldung nichts. Irgendwas funktioniert noch nicht so wie es sollte und so langsam weiss ich nicht was ich noch konfigurieren muss. Vielleicht hat auch wer eine detailierte Installationsanleitung (Deutsch..) dann find ich den Fehler vielleicht selber. Danke für die Hilfe PS: Ich hoffe das ganze ist nicht all zu wirr :/ Gruss Steggli Zitieren Link zu diesem Kommentar
TheDonMiguel 11 Geschrieben 23. März 2009 Melden Teilen Geschrieben 23. März 2009 Hallo Mit welchem Client OS testest du denn? Ist beim Client: a) der NAP Agent gestartet? b) das Security Center enabled? c) ein QEC enabled? Lass mal "netsh nap client show state" laufen, was bekommst du dann? Events zu NAP findest du hier "Windows Logs \ Applications and Services Logs \ Microsoft \ Windows \ Network Access Protection" Cheers Miguel Zitieren Link zu diesem Kommentar
steggli 10 Geschrieben 23. März 2009 Melden Teilen Geschrieben 23. März 2009 Hallo Miguel Erstmal vielen Dank für deine schnelle Antwort. Ich nutze XP SP3 bei den Clients. a) der NAP Agent gestartet? Ja wird automatisch durch die Policy gestartet b) das Security Center enabled? Wird durch Policy aktiviert c) ein QEC enabled? Ebenfalls eingerichtet (DHCP erzwingungsclient) netsh nap client show state Sehr viel les ich da nicht raus, ausser das eben der DHCP QEC installiert ist Clientstatus: ---------------------------------------------------- Name = NAP-Client (Network Access Protection) Beschreibung = Microsoft NAP-Client (Network Access Protection) Protokollversion = 1.0 Status = Aktiviert Einschränkungsstatus = Nicht eingeschränkt Problembehebungs-URL = Einschränkungsstartzeit= Erweiterter Status = Erzwingungsclientstatus: ---------------------------------------------------- ID = 79617 Name = DHCP Quarantine Enforcement Client Beschreibung = Provides DHCP based enforcement for NAP Version = 1.0 Herstellername = Microsoft Corporation Registrierungsdatum = Initialisiert = Ja ID = 79618 Name = Remote Access Quarantine Enforcement Client Beschreibung = Provides the quarantine enforcement for RAS Client Version = 1.0 Herstellername = Microsoft Corporation Registrierungsdatum = Initialisiert = Nein ID = 79619 Name = IPSec Relying Party Beschreibung = Provides IPSec based enforcement for Network Access Pro tection Version = 1.0 Herstellername = Microsoft Corporation Registrierungsdatum = Initialisiert = Nein ID = 79620 Name = Wireless Eapol Quarantine Enforcement Client Beschreibung = Provides wireless Eapol based enforcement for NAP Version = 1.0 Herstellername = Microsoft Corporation Registrierungsdatum = Initialisiert = Nein ID = 79621 Name = TS Gateway Quarantine Enforcement Client Beschreibung = Provides TS Gateway enforcement for NAP Version = 1.0 Herstellername = Microsoft Corporation Registrierungsdatum = Initialisiert = Nein ID = 79623 Name = EAP-Quarantäneerzwingungsclient Beschreibung = Bietet EAP-basierte Erzwingung für NAP. Version = 1.0 Herstellername = Microsoft Corporation Registrierungsdatum = Initialisiert = Nein Systemintegritäts-Agent-Status: ---------------------------------------------------- ID = 79744 Name = Windows-Sicherheitsintegritäts-Agent Beschreibung = Der Windows-Sicherheitsintegritäts-Agent prüft, ob ein Computer die von einem Administrator definierte Richtlinie einhält. Version = 1.0 Herstellername = Microsoft Corporation Registrierungsdatum = Initialisiert = Ja Fehlerkategorie = Keine Wiederherst.-status = Erfolgreich Wiederherst.-prozentwert= 0 Fixup-Meldung = (3237937214) - Der Windows-Sicherheitsintegritäts-Agen t hat die Aktualisierung seines Sicherheitsstatus fertig gestellt. Kompatibilitätsergebnisse = Wiederherstellungsergebnisse = OK. In dem Eventlog, war nichts vorhanden. Wenn du mir helfen könntest wär ich dir echt sehr sehr dankbar, ich blick einfach nicht mehr durch, wo der Fehler sein könnte. :) Gruss Steggli Zitieren Link zu diesem Kommentar
steggli 10 Geschrieben 23. März 2009 Melden Teilen Geschrieben 23. März 2009 Nach weiteren 3 Stunden Probieren und rumgoogle hab ich langsam das Gefühl, dass ich vielleicht mein DHCP nicht richtig konfiguriere.... Ich habe 2 Server mit statischen IPs DC: 192.168.1.1 NPS: 192.168.1.2 mask: 255.255.255.0 Ich habe nur diesen range DHCP Range: 192.168.1.5 -192.168.1.10 (dieser bereich ist aktiv) In den Bereichsoptionen hab ich die sachen vom Webcast übernommen, aber ehrlichgesagt hab ich keine ahnung, was das soll da. Brauch ich einen 2ten Bereich für Nap? Wenn ich auf einem Client ein ipconfig mache, Hab ich keinen StandardGateway, ka ob dies was zur sache tut. Ich arbeite in einer Testumgebung ohne internet etc. Nur ein kleines geschlossenes Netzwerk mit 3 clients und 2 server. Ich bin zuversichtlich das mir wer helfen kann :) Besten dank an alle die sich die mühe machen!! Gruss Steggli Zitieren Link zu diesem Kommentar
TheDonMiguel 11 Geschrieben 23. März 2009 Melden Teilen Geschrieben 23. März 2009 Hi Du erhälst bei NAP keinen GW, wenn dein Client nicht compliant ist. Wenn du deine Route Einträge anschaust, solltest du manuelle Einträge zur Remidiation Server sehen. Ist dies so? Firewall Service ist auch an, oder? Cheers Miguel Zitieren Link zu diesem Kommentar
steggli 10 Geschrieben 24. März 2009 Melden Teilen Geschrieben 24. März 2009 Guten Morgen Ja ich ich habe keinen Gateway, aber dies nur weil ich beim DHCP keinen konfiguriert habe. Mein Remediation Server ist eingetlich nur mein DC? Wartungsservergruppe da muss man das ein richten, oder? Was meinst du genau mit Route einträgen? Firewall Service ist aktiv, ja. Danke für die hilfe. Ich denke das ist extrem schwer herauszufinden, was ich falsch gemacht haben könnte, also falls wer irgend nen installations oder konfigurations guide hat (deutsch wenns geht) wär dies sicher auch net schlecht :) Gruss Steggli – Hallo zusammen yes! Ich habe es so eben geschafft. Mein NAP funktioniert. Das problem lag, bei der einstellung der Bereichsoptionen im DHCP. Aber ich danke trotzdem für die Hilfe. Gruss Steggli (sehr sehr glücklich und stolz :P) Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.