Sicherheitsregeln, NAP, Zertifikate

Praxis-Workshop: Windows-Firewall mit IPsec konfigurieren

NAP über IPsec verwenden

Für die Verwendung von NAP über IPsec müssen Sie in der NAP-Client-Konfiguration noch den Menüpunkt Integritätsregistrierungseinstellungen aufrufen:

1. Klicken Sie mit der rechten Maustaste auf die Gruppe Vertrauenswürdige Servergruppen und wählen Neu.

2. Geben Sie auf dem nächsten Fenster der Gruppe eine Bezeichnung. Geben Sie zum Beispiel HRA-Server ein.

3. Deaktivieren Sie das Kontrollkästchen Serververifizierung (https:) ist für alle Server in dieser Gruppe erforderlich.

4. Fügen Sie im Fenster noch die URL http://<NPS-Servername>/domainhra/hcsrvext.dll als Health Registration Authority (HRA) hinzu. Dieser Server stellt Zertifikate für jene Computer aus, die sich in der Domäne authentifiziert haben.

5. Als Nächstes fügen Sie die URL http://<NPS-Servername>/nondomainhra/hcsrvext.dll ein. Diese URL wird nach der oberen URL angeordnet. Durch diese Konfiguration ist sichergestellt, dass sich Clients erst authentifizieren müssen, wenn sie ein Zertifikat erhalten wollen. Gelingt das nicht, verwendet Windows die zweite URL, die ebenfalls einen anonymen Zugriff gestattet.

6. Wenn Sie auf dem NPS-Server den Internetinformationsdienste-Manager starten, können Sie diese beiden Webs anzeigen lassen.

7. Schließen Sie die Konfiguration ab. Anschließend sollten die vertrauten Server und deren URL in der NAP-Client-Verwaltungskonsole angezeigt werden.

Starten Sie den Client neu und melden Sie sich an. Öffnen Sie anschließend die Verwaltungskonsole für lokale Zertifikate. Fügen Sie dazu in einer Verwaltungskonsole das Snap-In Zertifikate hinzu und öffnen Sie den lokalen Zertifikatespeicher. Hier sollte ein Zertifikat angezeigt werden, das durch die Zertifizierungsstelle ausgestellt worden ist. Dazu muss eine lokale Zertifizierungsstelle so eingerichtet sein, dass Sie Zertifikate für IPsec-Clients ausstellen können. Achten Sie aber darauf, dass die Zertifizierungsstelle entsprechend konfiguriert sein muss. Informationen darüber, wie dies funktioniert, finden Sie im TechNet.