sklarmann 10 Geschrieben 6. Juni 2014 Melden Teilen Geschrieben 6. Juni 2014 Hallo zusammen, ich brauche Hilfe bei einer Testinstallation. DC mit DHCP und NAP auf einem Windows 2012 r2 Installiert. Dies ist das erste Mal das ich mich überhaupt mit NAP beschäftige. Ich möchte folgendes erreichen... ein Client der eine feste IP eingestellt hat (egal ob zu meinem Subnetz passend oder nicht) soll vom Netzwerk ausgeschlossen werden. Kann man das mit NPS und NAP erreichen? Gruß Sven Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Juni 2014 Melden Teilen Geschrieben 6. Juni 2014 Nein. Das geht nicht. Mit NAP-Erzwingung für DHCP kannst Du non-compliant Clients im Routing beeinflussen: Mithilfe der DHCP-Erzwingung können DHCP-Server und der Netzwerkrichtlinienserver Integritätsrichtlinien erzwingen, wenn ein Computer versucht, eine IPv4-Adresse (IP Version 4) zu leasen oder zu erneuern. Wenn jedoch für Clientcomputer eine statische IP-Adresse konfiguriert ist oder sie anderweitig konfiguriert sind, um die Verwendung von DHCP zu umgehen, ist diese Erzwingungsmethode nicht wirksam. Clients, die kein DHCP nutzen, kannst Du so nicht steuern. Schau Dir mal NAP Erzwingung für 802.1X oder NAP-Erzwingung für die IPsec-Kommunikation an. Damit geht das. Zitieren Link zu diesem Kommentar
sklarmann 10 Geschrieben 6. Juni 2014 Autor Melden Teilen Geschrieben 6. Juni 2014 Danke für die schnelle Antwort. Ich habe mir gerade beide Artikel durchgelesen allerdings konnte ich den Hinweis dass es damit funktioniert nicht finden. Interessant wäre auch eine Anleitung falls du eine solche zur Hand hast mit der ich dies konfigurieren kann. Wenn das ganze dann richtig konfiguriert ist werden Clients mit statischer IP vom Netzwerk ausgeschlossen ja? Zitieren Link zu diesem Kommentar
Daniel -MSFT- 129 Geschrieben 6. Juni 2014 Melden Teilen Geschrieben 6. Juni 2014 (bearbeitet) Wen Du IPSec als Erzwingungsmethode nutzt, musst Du eine PKI aufbauen. Die Clients bekommen dann Zertifikate über den NPS zugewiesen, mit denen Sie IPSec Authentifizierung gegenüber anderen Resourcen wie Server oder andere Workstations durchführen können. Das ganze geht ohne spezielle Switch-Infrastuktur. Ein non-compliant Client hat einfach kein Zertifikat und kann die anderen Resourcen noch nicht mal anpingen. 802.1X bedeutet, dass der Switch dynamisch vom NPS gesteuert wird. Der Port, an dem der Client dran hängt, wird dann dynamisch einem VLAN zugeordnet. Ist der Client non-compliant, dann kommt er eben nicht mehr in das Produktions-VLAN, sondern in ein anderes, von wo er z.B. nur den WSUS oder den AV-Updateserver erreichen kann. Das ganze bedarf sauberer Planung und tiefen Netzwerktechnologie-Kenntnissen. Das klickt man sich nicht mal soeben mit einer Schritt-für-Schritt-Anleitung zusammen. Allein dass Du die Anleitungen bisher nicht gefunden hast, lässt mich daran zweifeln, ob Du das allein implementieren kannst: http://letmebingthatforyou.com/?q=NAP%20Step%20by%20Step%20Guide Step-by-Step Guide: Demonstrate NAP 802.1X Enforcement in a Test Lab Step-by-Step Guide: Demonstrate NAP IPsec Enforcement in a Test Lab Wenn DU das mal im Video Dir anschauen willst, hier ein Einstieg: http://www.microsoft.com/germany/technet/webcasts/default.aspx?author=Daniel+Melanchthon&select=&qu=NAP Was genau willst Du denn erreichen als Ziel und welche Resourcen und Know How stehen Dir zur Verfügung? Have fun!Daniel bearbeitet 6. Juni 2014 von Daniel -MSFT- Zitieren Link zu diesem Kommentar
Empfohlene Beiträge
Schreibe einen Kommentar
Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.