steggli

Also mir geht es um folgendes:

Ich hab nun eine NAP Testumgebung aufgebaut, welche auch einwandfrei funktioniert. Ich hab einen Bericht gelesen, wo von auch mein Zitat ist, dass man vor der inbetriebnahme, erstmal testen kann, ohne das die "nicht gesunden" Computer ins Quarantänenetz kommen, wie viele Computer es denn währen, welche die Richtlinie nicht einhalten.

Dieser vorgang ist mir nun nicht klar, wie ich dies konfigurieren kann. Protokolliert wird bei mir unter Kontoführung. Dieser aber sehr unübersichtlich in einen .txt file.

Muss ich zusätzlich noch etwas installieren oder so? Ich stelle mir vor, dass ich eine Statistik erhalte, bei welcher angegeben ist, wie viele Computer die Richtlinie nicht erfüllen würden und wieso nicht.

Ich hoffe ich hab das nun bisschen genauer beschrieben und hoffe doch sehr, dass mir wer helfen kann.

Besten Dank für die Hilfe

Gruss Steggli

Guten Tag

NAP ist außerdem in der Lage, das Verfehlen von Richtlinien nur zu protokollieren. Nicht kompatible Clients werden dabei zunächst nicht ausgesperrt. Dieses Verfahren ist insbesondere in der Anfangsphase nach der Einrichtung von NAP äußerst empfehlenswert. So kann man sich erst einmal einen Überblick verschaffen, welchen und wie vielen Computern der Netzwerkzugriff aufgrund der definierten Richtlinien verweigert würde.

Ich würde diese Einstellung gern vornehmen. Aber ich weiss nicht, wie ich dies konfigurieren muss. Muss ich dafür noch zusätzliche Software installieren? Für die Protokollierung verwende ich kein SQL server.

Ich hab mir vorgestellt, das ich da dann irgend eine Statistik herauslesen kann etc. Ich hoffe mir kann wer weiter helfen. (*zwinker* Miguel) :)

Ich danke schon mal für die hilfe

Gruss Steggli

Guten Tag

Kennt jemand eine Seite wo man zusätzliche SHVs für NAP heruntenladen kann? Ein SHV selber zu erstellen, scheint mir doch relativ schwer zu sein, oder?! Speziell bin ich auf der suche nach einem SHV, welches die Kennwortrichtlinie überprüft.(Dass Benutzer ohne Kennwort, nicht vollen zugriff haben)

Danke für die Hilfe.

Gruss Steggli

Guten Morgen

Ja ich ich habe keinen Gateway, aber dies nur weil ich beim DHCP keinen konfiguriert habe. Mein Remediation Server ist eingetlich nur mein DC? Wartungsservergruppe da muss man das ein richten, oder? Was meinst du genau mit Route einträgen?

Firewall Service ist aktiv, ja.

Danke für die hilfe. Ich denke das ist extrem schwer herauszufinden, was ich falsch gemacht haben könnte, also falls wer irgend nen installations oder konfigurations guide hat (deutsch wenns geht) wär dies sicher auch net schlecht :)

Gruss Steggli

–

Hallo zusammen

yes! Ich habe es so eben geschafft. Mein NAP funktioniert. Das problem lag, bei der einstellung der Bereichsoptionen im DHCP.

Aber ich danke trotzdem für die Hilfe.

Gruss Steggli (sehr sehr glücklich und stolz :P)

Nach weiteren 3 Stunden Probieren und rumgoogle hab ich langsam das Gefühl, dass ich vielleicht mein DHCP nicht richtig konfiguriere....

Ich habe 2 Server mit statischen IPs

DC: 192.168.1.1

NPS: 192.168.1.2

mask: 255.255.255.0

Ich habe nur diesen range

DHCP Range: 192.168.1.5 -192.168.1.10 (dieser bereich ist aktiv)

In den Bereichsoptionen hab ich die sachen vom Webcast übernommen, aber ehrlichgesagt hab ich keine ahnung, was das soll da. Brauch ich einen 2ten Bereich für Nap?

Wenn ich auf einem Client ein ipconfig mache, Hab ich keinen StandardGateway, ka ob dies was zur sache tut. Ich arbeite in einer Testumgebung ohne internet etc. Nur ein kleines geschlossenes Netzwerk mit 3 clients und 2 server.

Ich bin zuversichtlich das mir wer helfen kann :) Besten dank an alle die sich die mühe machen!!

Gruss Steggli

Hallo Miguel

Erstmal vielen Dank für deine schnelle Antwort.

Ich nutze XP SP3 bei den Clients.

a) der NAP Agent gestartet?

Ja wird automatisch durch die Policy gestartet

b) das Security Center enabled?

Wird durch Policy aktiviert

c) ein QEC enabled?

Ebenfalls eingerichtet (DHCP erzwingungsclient)

netsh nap client show state

Sehr viel les ich da nicht raus, ausser das eben der DHCP QEC installiert ist

Clientstatus:

----------------------------------------------------

Name = NAP-Client (Network Access Protection)

Beschreibung = Microsoft NAP-Client (Network Access Protection)

Protokollversion = 1.0

Status = Aktiviert

Einschränkungsstatus = Nicht eingeschränkt

Problembehebungs-URL =

Einschränkungsstartzeit=

Erweiterter Status =

 

Erzwingungsclientstatus:

----------------------------------------------------

ID = 79617

Name = DHCP Quarantine Enforcement Client

Beschreibung = Provides DHCP based enforcement for NAP

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Ja

 

ID = 79618

Name = Remote Access Quarantine Enforcement Client

Beschreibung = Provides the quarantine enforcement for RAS Client

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Nein

 

ID = 79619

Name = IPSec Relying Party

Beschreibung = Provides IPSec based enforcement for Network Access Pro

tection

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Nein

 

ID = 79620

Name = Wireless Eapol Quarantine Enforcement Client

Beschreibung = Provides wireless Eapol based enforcement for NAP

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Nein

 

ID = 79621

Name = TS Gateway Quarantine Enforcement Client

Beschreibung = Provides TS Gateway enforcement for NAP

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Nein

 

ID = 79623

Name = EAP-Quarantäneerzwingungsclient

Beschreibung = Bietet EAP-basierte Erzwingung für NAP.

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Nein

 

Systemintegritäts-Agent-Status:

----------------------------------------------------

ID = 79744

Name = Windows-Sicherheitsintegritäts-Agent

 

Beschreibung = Der Windows-Sicherheitsintegritäts-Agent prüft, ob ein

Computer die von einem Administrator definierte Richtlinie einhält.

 

Version = 1.0

 

Herstellername = Microsoft Corporation

 

Registrierungsdatum =

Initialisiert = Ja

Fehlerkategorie = Keine

Wiederherst.-status = Erfolgreich

Wiederherst.-prozentwert= 0

Fixup-Meldung = (3237937214) - Der Windows-Sicherheitsintegritäts-Agen

t hat die Aktualisierung seines Sicherheitsstatus fertig gestellt.

 

Kompatibilitätsergebnisse =

Wiederherstellungsergebnisse =

 

OK.

In dem Eventlog, war nichts vorhanden.

Wenn du mir helfen könntest wär ich dir echt sehr sehr dankbar, ich blick einfach nicht mehr durch, wo der Fehler sein könnte. :)

Gruss Steggli

Hallo zusammen

Ich habe auch ein Problem mit NAP.

Server:

DC (DNS, AD)

Netzwerkrichtlinienserver (NAP), DHCP

Was hab ich bis jetzt alles eingestellt:

Auf DC:

Sicherheitsgruppe angelegt

Richtlinie NAP Clienteinstellungen konfiguriert.

-> automatischer agent start

-> dhcp erzwingungsclient

-> Integritätsrichtline alle auf standard

Auf NAP Server:

Sicherheitsintegritätsprüfung (Firewall muss aktiv sein) aktiviert sonst nichts (Für XP SP3 Client)

- Integritätsrichtlinien Kompatbel und nicht kompatibel vorhanden

- Netzwerkrichtlinien auch vorhanden

Netzwerkrichtlinien konfiguriert

Wartungsservergruppen

Hab ich erstellt (meinen DC)

DHCP

Ich habe einfach einen Standard Scope konfiguriert (sonst nichts)

Gut möglich dass der Fehler hier ist. Ich weiss aber nicht genau was ich hier noch einstellen könnte.

Das Problem ist nun, dass der Agent einfach nicht wirkt. Ich habe keine meldung nichts. Irgendwas funktioniert noch nicht so wie es sollte und so langsam weiss ich nicht was ich noch konfigurieren muss. Vielleicht hat auch wer eine detailierte Installationsanleitung (Deutsch..) dann find ich den Fehler vielleicht selber.

Danke für die Hilfe

PS: Ich hoffe das ganze ist nicht all zu wirr :/

Gruss Steggli

Hallo zusammen

Ich habe auch ein Problem mit NAP.

Server:

DC (DNS, AD)

Netzwerkrichtlinienserver (NAP), DHCP

Was hab ich bis jetzt alles eingestellt:

Auf DC:

Sicherheitsgruppe angelegt

Richtlinie NAP Clienteinstellungen konfiguriert.

-> automatischer agent start

-> dhcp erzwingungsclient

-> Integritätsrichtline alle auf standard

Auf NAP Server:

Sicherheitsintegritätsprüfung (Firewall muss aktiv sein) aktiviert sonst nichts (Für XP SP3 Client)

- Integritätsrichtlinien Kompatbel und nicht kompatibel vorhanden

- Netzwerkrichtlinien auch vorhanden

Netzwerkrichtlinien konfiguriert

Wartungsservergruppen

Hab ich erstellt (meinen DC)

DHCP

Ich habe einfach einen Standard Scope konfiguriert (sonst nichts)

Gut möglich dass der Fehler hier ist. Ich weiss aber nicht genau was ich hier noch einstellen könnte.

Das Problem ist nun, dass der Agent einfach nicht wirkt. Ich habe keine meldung nichts. Irgendwas funktioniert noch nicht so wie es sollte und so langsam weiss ich nicht was ich noch konfigurieren muss. Vielleicht hat auch wer eine detailierte Installationsanleitung (Deutsch..) dann find ich den Fehler vielleicht selber.

Danke für die Hilfe

PS: Ich hoffe das ganze ist nicht all zu wirr :/

Gruss Steggli