Frage zu Clients von NPS/NAP/802.1X

[bisselbock 10]

Hallo zusammen!

 

Wir planen, die 802.1X-Authentifizierung mit einer Compliance-Prüfung der Clients durchzuführen. Dafür haben wir einen Windows 2008 NPS Server aufgesetzt. Hier wurden NAP-Policies für 802.1X konfiguriert und grundsätzlich funktioniert auch alles. Leider haben wir bei den Clients (Windows XP SP3) einige Phänomene, die wir nicht verstehen.

 

Beim Erstellen der NAP-Policies werden ja immer drei Network Access Policies erstellt.

 

1. Compliant Policy für einen "gesunden" Client

2. Noncompliant-Policy für einen nicht ausreichend gesicherten Client

3. Non-NAP-Capable-Policy für einen Client, der NAP nicht unterstützt (z. B. kein SP3)

 

Zurück zu den Clients. Üblich war folgendes Verhalten. Der Client fährt hoch und authentifiziert sich über den Switchport am NPS-Server. Er bekommt die Non-NAP-Capable-Policy, weil (wahrscheinlich) der NAP-Agent noch nicht gestartet ist. Nach ca. 15 Sekunden (zu verfolgen im NPS-Log) erfolgt ein neuer Authentifizierungsversuch. Dieses mal bekommt er die (Non)Compliant-Policy je nach Status.

 

Nun haben wir aber sporadisch auch Fälle, in denen der Statuswechsel des Client ohne manuelles Abziehen und Neueinstecken des Netzwerkkabels nicht erkannt wird. Der Client bleibt Non-NAP-Capable und bleibt dementsprechend im Quarantäne-Netz.

 

Weiß dafür jemand eine Erklärung?