2K8 - NAP SHA nicht vorhanden

[Wuesten]

Hallo zusammen,

ich bereite mich gerade auf meine anstehende Prüfung zum MCTS 70-642 vor.

Darum wollte ich zur Übung Network Acces Protection mittels DHCP in einer virtuellen Umgebung aufbauen.

Soweit ist alles installiert (NAP, DHCP) und konfiguriert (dcsrv1 ist mein NAP und DHCP Server sowie Wartungsserver mit der IP 192.168.0.1).
NAP ist auf dem DHCP Server aktiviert und auf Eingeschränkter Zugriff gestellt.

Bei dem Clienten (boston, Windows Server 2008) habe ich mittels GPO den NAP-Client dienst aktiviert, auf DHCP Enforcement gestellt und das Sicherheitscenter aktiviert.

Als Integritätsrichtlinie dient mir die standard Windows Sicherheitsintegritätsverifizierung. (Hier sind alle Richtlinien deaktiviert die ein Client erfüllen muss um Vollzugriff auf das Netzwerk zu erhalten, bis auf "Windows Firewall für jede Netzwerkverbindung aktiviert").

Wenn ich nun den Clienten Boston starte, läd er sich die GPO`s und wird promt in die Quarantäne gesteckt (IP 192.168.0.10 255.255.255.255, mit Routen zum Wartungsserver). Aber Boston hat auf allen LAN verbindungen die Windows Firewall aktiviert.

Auf boston erscheint auch dann folgende Meldung:


Angeblich sei der standard Windows System Health Agent nicht vorhanden.
Der standard SHA für die standard Integritätsrichtlinie ist doch das Sicherheitscenter, oder liege ich hier falsch?
(Es wurde auch via GPO Computerkonfiguration/Richtlinie/Administrative Vorlagen/ Windows Komponente/Sicherheitscenter von mir aktiviert.)

Wie kann man überprüfen ob das Sicherheitscenter / der SHA auf Boston aktiv ist? Bzw. wie kann ich ihn aktivieren?
(PS: In der Systemsteuerung taucht kein Button Sicherheitscenter, sowie z.B. bei Vista/ XP, auf- sollte er das?)

Wie kann ich, ganz allgemein überhaupt überprüfen welche GPO`s auf dem lokalen Clienten aktiv sind?

PS: Im Ereigniss Protokoll auf dcsrv1 wird boston kurzzeitig authentifiziert und angemeldet, aber in der selben Sekunde in die Quarantäne verfrachtet.



Edit:
Selbst wenn ich in der integritätsrichtlinie KEINE Bedingung stelle, wird Boston in die Quarantäne verschoben, mit dem selben fehler.

Gruß
Marco

[TheDonMiguel]

Hallo Marco

Also, du hast NAP DHCP Enforcement aktiviert und im NPS den SHV "Windows Security Health Agent" ausgewählt - das ist schon mal gut. Dieser SHA/SHV ist bei Windows XP, Vista und Server 2008 dabei. Ein anderes OS wird als "Non NAP Capable" eingestuft...

Damit du dein Problem troubleshooten kannst, prüfe mal das Event Log auf dem Client und Server. Du kannst den Status auch mit NetShell auslesen: netsh nap client show state

Gruss
Miguel

P.S. Wenn du dich mit NAP vertraut machen willst, schau dir IPsec Enforcement an. Diese ist viel sicherer und auch interessanter zu konfigurieren

[Wuesten]

Hallo Miguel,

Im Protokoll kommt die Fehlermeldung:

"Der NAP-Agent konnte die Peripheriekomponente MSSHA nicht laden.
Fehlercode: 2147942526"

Desweiteren eine Warnung:

"Der NAP-Agent konnte nicht ermitteln von welchen HRAs ein Integritätszertifikat angefordert werden soll"


Die Fehlermeldung verstehe ich ja, der SHA läuft auf boston nicht.

Sofern der standard SHA auf dem Sicherheitscenter basiert, müsste er eigentlich über das GPO gestartet sein. Jedoch finde ich unter den Diensten keinen Dienst namens Sicherheitscenter (so wie bei Vista und XP).
Hat Windows Server 2008 überhaupt so ein typisches Sicherheitscenter wie die Client OS Vista / XP?

Aber die zweite Meldung ist für mich etwas verwirrend....bei DHCP Enforcements braucht man doch keine HRA (Helth Registration Authority). Diese werden doch nur bei IP-Sec NAp benötigt.

PS: Sobald es mit DHCP Enforcement klappt, werde ich es auch mal praktisch auf IP-Sec Basis probieren.

gru
Marco

[TheDonMiguel]

Hi Marco

Teste deine Konfiguration doch mal mit einem anderen Vista Client. Prüfe zwingend vorher, dass die GPO sauber angewendet resp. Security Center, NAP Agent und DHCP Enforcement aktiviert sind.

Wenns auch hier nicht klappt, poste mal Event ID und Meldung (nicht nur Text, habe kein Deutsches OS )

Hast du die Einstellungen auf dem Server nach einer Anleitung durchgeführt? Denn HRA brauchts nur mit IPsec...

Prüfe auch mal noch den Output von "netsh nap client show configuration" und "netsh nap client show grouppolicy", ist ein QEC enabled?

Gruss
Miguel

[steggli]

Hallo zusammen

Ich habe auch ein Problem mit NAP.

Server:
DC (DNS, AD)
Netzwerkrichtlinienserver (NAP), DHCP

Was hab ich bis jetzt alles eingestellt:
Auf DC:
Sicherheitsgruppe angelegt

Richtlinie NAP Clienteinstellungen konfiguriert.
-> automatischer agent start
-> dhcp erzwingungsclient
-> Integritätsrichtline alle auf standard

Auf NAP Server:
Sicherheitsintegritätsprüfung (Firewall muss aktiv sein) aktiviert sonst nichts (Für XP SP3 Client)

- Integritätsrichtlinien Kompatbel und nicht kompatibel vorhanden
- Netzwerkrichtlinien auch vorhanden

Netzwerkrichtlinien konfiguriert

Wartungsservergruppen
Hab ich erstellt (meinen DC)

DHCP
Ich habe einfach einen Standard Scope konfiguriert (sonst nichts)
Gut möglich dass der Fehler hier ist. Ich weiss aber nicht genau was ich hier noch einstellen könnte.

Das Problem ist nun, dass der Agent einfach nicht wirkt. Ich habe keine meldung nichts. Irgendwas funktioniert noch nicht so wie es sollte und so langsam weiss ich nicht was ich noch konfigurieren muss. Vielleicht hat auch wer eine detailierte Installationsanleitung (Deutsch..) dann find ich den Fehler vielleicht selber.


Danke für die Hilfe

PS: Ich hoffe das ganze ist nicht all zu wirr :/

Gruss Steggli

[TheDonMiguel]

Siehe hier: https://www.mcseboard.de/windows-for...tml#post919333