Jump to content

Hilfe zu Network Access Protection


Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo zusammen,

 

ich brauche Hilfe bei einer Testinstallation.

DC mit DHCP und NAP auf einem Windows 2012 r2 Installiert.

Dies ist das erste Mal das ich mich überhaupt mit NAP beschäftige. 

 

Ich möchte folgendes erreichen...

 

ein Client der eine feste IP eingestellt hat (egal ob zu meinem Subnetz passend oder nicht) soll vom Netzwerk ausgeschlossen werden.

 

Kann man das mit NPS und NAP erreichen?

 

 

Gruß Sven

Link zu diesem Kommentar

Nein. Das geht nicht. Mit NAP-Erzwingung für DHCP kannst Du non-compliant Clients im Routing beeinflussen:

Mithilfe der DHCP-Erzwingung können DHCP-Server und der Netzwerkrichtlinienserver Integritätsrichtlinien erzwingen, wenn ein Computer versucht, eine IPv4-Adresse (IP Version 4) zu leasen oder zu erneuern. Wenn jedoch für Clientcomputer eine statische IP-Adresse konfiguriert ist oder sie anderweitig konfiguriert sind, um die Verwendung von DHCP zu umgehen, ist diese Erzwingungsmethode nicht wirksam.

Clients, die kein DHCP nutzen, kannst Du so nicht steuern. Schau Dir mal NAP Erzwingung für 802.1X oder NAP-Erzwingung für die IPsec-Kommunikation an. Damit geht das.

Link zu diesem Kommentar

Danke für die schnelle Antwort.

 

Ich habe mir gerade beide Artikel durchgelesen allerdings konnte ich den Hinweis dass es damit funktioniert nicht finden.

Interessant wäre auch eine Anleitung falls du eine solche zur Hand hast mit der ich dies konfigurieren kann.

Wenn das ganze dann richtig konfiguriert ist werden Clients mit statischer IP vom Netzwerk ausgeschlossen ja?

Link zu diesem Kommentar

Wen Du IPSec als Erzwingungsmethode nutzt, musst Du eine PKI aufbauen. Die Clients bekommen dann Zertifikate über den NPS zugewiesen, mit denen Sie IPSec Authentifizierung gegenüber anderen Resourcen wie Server oder andere Workstations durchführen können. Das ganze geht ohne spezielle Switch-Infrastuktur. Ein non-compliant Client hat einfach kein Zertifikat und kann die anderen Resourcen noch nicht mal anpingen.

 

802.1X bedeutet, dass der Switch dynamisch vom NPS gesteuert wird. Der Port, an dem der Client dran hängt, wird dann dynamisch einem VLAN zugeordnet. Ist der Client non-compliant, dann kommt er eben nicht mehr in das Produktions-VLAN, sondern in ein anderes, von wo er z.B. nur den WSUS oder den AV-Updateserver erreichen kann.

 

Das ganze bedarf sauberer Planung und tiefen Netzwerktechnologie-Kenntnissen. Das klickt man sich nicht mal soeben mit einer Schritt-für-Schritt-Anleitung zusammen. Allein dass Du die Anleitungen bisher nicht gefunden hast, lässt mich daran zweifeln, ob Du das allein implementieren kannst: http://letmebingthatforyou.com/?q=NAP%20Step%20by%20Step%20Guide

Wenn DU das mal im Video Dir anschauen willst, hier ein Einstieg: http://www.microsoft.com/germany/technet/webcasts/default.aspx?author=Daniel+Melanchthon&select=&qu=NAP

 

Was genau willst Du denn erreichen als Ziel und welche Resourcen und Know How stehen Dir zur Verfügung?

 

Have fun!
Daniel

bearbeitet von Daniel -MSFT-
Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...