NAP und kein Ende

[Thyral 10]

Hallo LEute,

 

ich bin kurz vor einer Herzatacke !!

 

Also, ich habe seit Wochen das Problem dass ich NAP nicht wirklich zum laufen bringe, ich habe ZIG neue Richlinien gemacht und alles probiert was geht. Die Lösung ist fern !

 

Der Webcast von MS Windows Server 2008 Security Teil 2 ist super, klappt aber nict, ich kann ich schon mitsprechen.

 

Also mein Problem ist eigentlich ganz enfach.

 

Wenn ich in DHCP für den Bereich in den NAP gelten soll NAP Einschalte, kommt der Client nicht mehr durch und bekommt eine 169.254.X.X Adresse.

 

Ich habe meines erachtens alle kunfiguriert wie es sein soll.

 

Bitte wenn einer weiss was ich eventuell ´falsch habe , der schreibe bitte eine Antwort.

 

Ich könnte meine ganze Konfiguration jetzt hier nieder schreiben, denke aber das es niemand was nutzt.

 

Im Grunde habe ich 3 Rechner, einen DC mit DNS, ein Member mit DHCP und NPS installiert und ein Vista Client.

 

Ich habe es wirklich so wie im Webcast versucht, aber es klappt nach 17584985748699696 +- 1 mal nicht.

 

Danke an ALLE für JEDE Hilfe, sitze hier und probiere es sofort aus !!

 

THX

[Necron 71]

Hi,

 

kann dir zwar nicht direkt bei deinem Problem helfen, aber in der Februar Ausgabe und März Ausgabe des IT-Administrators ist es sehr gut beschrieben wie man NAP einrichtet! Vielleicht hat jemand in deinem Umfeld den IT-Administrator abonniert, so dass du dir die Ausgaben ausleihen kannst.

[olafw 10]

Moin!

Hast du auf dem DHCP auch den NAP-Server als RADIUS definiert? Ist der NAP-Dienst auf dem Client gestartet?

[Thyral 10]

@olafw

 

Hallo Olaf, Danke

 

Also den Dienst habe ich auf den Client gestartet.

 

Den NAP Server als Radius definiert ? Wie ? gib bitte mal Beispiel!

 

Danke

[Thyral 10]

@all

 

ich habe wirklich alles jetzt 20 mal durch, es klappt nicht ! ich habe keine Ahnung warum nicht. Sobald ist in DHCP die Richtlinie anmache bekomme ich eine 169.254.x.x immer noch. ich werde weich !!

[stopsy 10]

Hei Du,

 

NAP-DHCP-Erzwingung:

 

1. Erstelle eine Windows-Sicherheitsintegritätsverifizierung (SHV)

Was für Vorausetzungen muss ein Client erfüllen - (für XP und Vista getrennt)

Verlange hier erstmal nur "Für alle Verbindungen ist eine Firewall aktiviert"

 

2. Integritätsrichtlinien

Es muss hier zwei geben - eine NAP DCHP Kompatibel und eine NAP DHCP Nicht kompatibel

 

Stelle hier bei Kompatibel - Client besteht alle SHV´s

Bei nicht kompatibel - Client besteht mindestens eine nicht

 

3. Netzwerkrichtlinien

3 Stück:

- NAP DHCP Kompatibel

- NAP DHCP Nicht kompatibel

- NAP DHCP Nicht NAP-fähig

 

zu kompatibel:

Registerkarte "Übersicht"

Richtlinie aktiviert

Zugriffsberechtigung: Zugriff gewähren

Netzwerkzugriffsmethode: DHCP-Server

 

Registerkarte Bedingugen:

- Verknüpft mit SHV kompatibel

 

 

Registerkarte Einstellungen:

- NAP-Erzwinguzng - Vollständigen Zugriff gewähren

 

 

zu nicht kompatibel:

Registerkarte "Übersicht"

Richtlinie aktiviert

Zugriffsberechtigung: Zugriff gewähren

Netzwerkzugriffsmethode: DHCP-Server

 

Registerkarte Bedingugen:

- Verknüpft mit SHV nicht kompatibel

 

 

Registerkarte Einstellungen:

- NAP-Erzwinguzng - Eingeschränkten Zugriff gewähren

Haken setzen bei Automatische Wartung

 

 

zu nicht NAP-fähig:

Registerkarte "Übersicht"

Richtlinie aktiviert

Zugriffsberechtigung: Zugriff gewähren

Netzwerkzugriffsmethode: DHCP-Server

 

Registerkarte Bedingugen:

- Verknüpft mit NAP-fähig - Computer ist nicht NAP-fähig

 

Registerkarte Einstellungen:

- NAP-Erzwinguzng - Vollständigen Zugriff gewähren

 

 

Verbindungsanforderung:

Registerkarte Übersicht:

-Richtlinie aktiviert

-Typ des Netzwerkzugriffsersers: DHCP-Server

 

Registerkarte Bedingungen: z.B. Uhrzeit einstellen

 

 

 

 

 

Am Client - besser für den Client

- Aktivere - am besten über GPO´s die "DHCP-Erwzinungsmethode

(Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Netzwerkzugriffsschutz-Clientverwaltungseinstellungen)

 

- Lasse den Dienst NAP-Agent (und den RPC-Dienst) automatisch starten

(Richtlinien - Windows-Einstellungen - Sicherheitseinstellungen - Systemdienste - NAP-Agent)

 

 

Überprüfe ob beim DHCP-Server auch der Haken "Für diesen Bereich aktivieren" gesetzt ist

(Eigenschaften vom betreffenden DHCP-Bereich)

 

 

 

Starte den Client - überprüfe mit MMC - RSOP ob alle Richtlinien übernommen worden sind.

 

Überprüfe deine zugewiesene IP-Adresse - wenn es eine 32bittige Maske ist greift NAP

 

Deaktivere deine Firewall - er müsste sie dann gleich wieder aktivieren....

 

 

 

 

Habe NAP mit DHCP-Erzwingung in 2 Filialen von uns produktiv und völlig problemlos in Betrieb. Man kann diese Erzwinugnsmethode zwar einfach umgehen in dem man die IP-Adresse statisch vergibt - allerdings kann man dies auch mit GPO´s sperren - aber das wichtige ist für mich dabei:

 

Es geht bei der DHCP-Erwzingung nicht darum böswillige Vireneinschleusungen zu verhindern - sondern Schutz vor Anwendern zu haben die nichtsahnend einen verseuchten PC in die Firma bringen.

[Thyral 10]

@stopsy

 

Danke, Danke so eine Anleitung hatte ich noch nie. Werde es gleich mal versuchen.

 

THX

[stopsy 10]

Hei Du,

 

zu nicht NAP-fähig:

Registerkarte "Übersicht"

Richtlinie aktiviert

Zugriffsberechtigung: Zugriff gewähren

Netzwerkzugriffsmethode: DHCP-Server

 

 

Ups - Fehler meinerseits...

 

logischerweise bei "nicht-NAP-fähig" nur "Eingeschränkten Zugriff" gewähren

... am besten mit automatischer Wartung

 

Sonst macht es nicht viel Sinn :-)

 

Gruß

Stefan

[steggli 10]

Hallo zusammen

 

Ich habe auch ein Problem mit NAP.

 

Server:

DC (DNS, AD)

Netzwerkrichtlinienserver (NAP), DHCP

 

Was hab ich bis jetzt alles eingestellt:

Auf DC:

Sicherheitsgruppe angelegt

 

Richtlinie NAP Clienteinstellungen konfiguriert.

-> automatischer agent start

-> dhcp erzwingungsclient

-> Integritätsrichtline alle auf standard

 

Auf NAP Server:

Sicherheitsintegritätsprüfung (Firewall muss aktiv sein) aktiviert sonst nichts (Für XP SP3 Client)

 

- Integritätsrichtlinien Kompatbel und nicht kompatibel vorhanden

- Netzwerkrichtlinien auch vorhanden

 

Netzwerkrichtlinien konfiguriert

 

Wartungsservergruppen

Hab ich erstellt (meinen DC)

 

DHCP

Ich habe einfach einen Standard Scope konfiguriert (sonst nichts)

Gut möglich dass der Fehler hier ist. Ich weiss aber nicht genau was ich hier noch einstellen könnte.

 

Das Problem ist nun, dass der Agent einfach nicht wirkt. Ich habe keine meldung nichts. Irgendwas funktioniert noch nicht so wie es sollte und so langsam weiss ich nicht was ich noch konfigurieren muss. Vielleicht hat auch wer eine detailierte Installationsanleitung (Deutsch..) dann find ich den Fehler vielleicht selber.

 

 

Danke für die Hilfe

 

PS: Ich hoffe das ganze ist nicht all zu wirr :/

 

Gruss Steggli

[TheDonMiguel 11]

Hallo

 

Mit welchem Client OS testest du denn? Ist beim Client:

a) der NAP Agent gestartet?

b) das Security Center enabled?

c) ein QEC enabled?

 

Lass mal "netsh nap client show state" laufen, was bekommst du dann? Events zu NAP findest du hier "Windows Logs \ Applications and Services Logs \ Microsoft \ Windows \ Network Access Protection"

 

Cheers

Miguel

[steggli 10]

Hallo Miguel

 

Erstmal vielen Dank für deine schnelle Antwort.

 

Ich nutze XP SP3 bei den Clients.

 

a) der NAP Agent gestartet?

Ja wird automatisch durch die Policy gestartet

b) das Security Center enabled?

Wird durch Policy aktiviert

c) ein QEC enabled?

Ebenfalls eingerichtet (DHCP erzwingungsclient)

 

netsh nap client show state

Sehr viel les ich da nicht raus, ausser das eben der DHCP QEC installiert ist

Clientstatus:

----------------------------------------------------

Name = NAP-Client (Network Access Protection)

Beschreibung = Microsoft NAP-Client (Network Access Protection)

Protokollversion = 1.0

Status = Aktiviert

Einschränkungsstatus = Nicht eingeschränkt

Problembehebungs-URL =

Einschränkungsstartzeit=

Erweiterter Status =

 

Erzwingungsclientstatus:

----------------------------------------------------

ID = 79617

Name = DHCP Quarantine Enforcement Client

Beschreibung = Provides DHCP based enforcement for NAP

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Ja

 

ID = 79618

Name = Remote Access Quarantine Enforcement Client

Beschreibung = Provides the quarantine enforcement for RAS Client

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Nein

 

ID = 79619

Name = IPSec Relying Party

Beschreibung = Provides IPSec based enforcement for Network Access Pro

tection

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Nein

 

ID = 79620

Name = Wireless Eapol Quarantine Enforcement Client

Beschreibung = Provides wireless Eapol based enforcement for NAP

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Nein

 

ID = 79621

Name = TS Gateway Quarantine Enforcement Client

Beschreibung = Provides TS Gateway enforcement for NAP

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Nein

 

ID = 79623

Name = EAP-Quarantäneerzwingungsclient

Beschreibung = Bietet EAP-basierte Erzwingung für NAP.

Version = 1.0

Herstellername = Microsoft Corporation

Registrierungsdatum =

Initialisiert = Nein

 

Systemintegritäts-Agent-Status:

----------------------------------------------------

ID = 79744

Name = Windows-Sicherheitsintegritäts-Agent

 

Beschreibung = Der Windows-Sicherheitsintegritäts-Agent prüft, ob ein

Computer die von einem Administrator definierte Richtlinie einhält.

 

Version = 1.0

 

Herstellername = Microsoft Corporation

 

Registrierungsdatum =

Initialisiert = Ja

Fehlerkategorie = Keine

Wiederherst.-status = Erfolgreich

Wiederherst.-prozentwert= 0

Fixup-Meldung = (3237937214) - Der Windows-Sicherheitsintegritäts-Agen

t hat die Aktualisierung seines Sicherheitsstatus fertig gestellt.

 

Kompatibilitätsergebnisse =

Wiederherstellungsergebnisse =

 

OK.

 

In dem Eventlog, war nichts vorhanden.

 

Wenn du mir helfen könntest wär ich dir echt sehr sehr dankbar, ich blick einfach nicht mehr durch, wo der Fehler sein könnte. :)

 

Gruss Steggli

[steggli 10]

Nach weiteren 3 Stunden Probieren und rumgoogle hab ich langsam das Gefühl, dass ich vielleicht mein DHCP nicht richtig konfiguriere....

 

Ich habe 2 Server mit statischen IPs

 

DC: 192.168.1.1

NPS: 192.168.1.2

mask: 255.255.255.0

 

Ich habe nur diesen range

DHCP Range: 192.168.1.5 -192.168.1.10 (dieser bereich ist aktiv)

 

In den Bereichsoptionen hab ich die sachen vom Webcast übernommen, aber ehrlichgesagt hab ich keine ahnung, was das soll da. Brauch ich einen 2ten Bereich für Nap?

 

Wenn ich auf einem Client ein ipconfig mache, Hab ich keinen StandardGateway, ka ob dies was zur sache tut. Ich arbeite in einer Testumgebung ohne internet etc. Nur ein kleines geschlossenes Netzwerk mit 3 clients und 2 server.

 

Ich bin zuversichtlich das mir wer helfen kann :) Besten dank an alle die sich die mühe machen!!

 

Gruss Steggli

[TheDonMiguel 11]

Hi

 

Du erhälst bei NAP keinen GW, wenn dein Client nicht compliant ist. Wenn du deine Route Einträge anschaust, solltest du manuelle Einträge zur Remidiation Server sehen. Ist dies so? Firewall Service ist auch an, oder?

 

Cheers

Miguel

[steggli 10]

Guten Morgen

 

Ja ich ich habe keinen Gateway, aber dies nur weil ich beim DHCP keinen konfiguriert habe. Mein Remediation Server ist eingetlich nur mein DC? Wartungsservergruppe da muss man das ein richten, oder? Was meinst du genau mit Route einträgen?

 

Firewall Service ist aktiv, ja.

 

 

Danke für die hilfe. Ich denke das ist extrem schwer herauszufinden, was ich falsch gemacht haben könnte, also falls wer irgend nen installations oder konfigurations guide hat (deutsch wenns geht) wär dies sicher auch net schlecht :)

 

Gruss Steggli

–

Hallo zusammen

 

yes! Ich habe es so eben geschafft. Mein NAP funktioniert. Das problem lag, bei der einstellung der Bereichsoptionen im DHCP.

 

Aber ich danke trotzdem für die Hilfe.

 

Gruss Steggli (sehr sehr glücklich und stolz :P)