Sicherheitsregeln, NAP, Zertifikate

Praxis-Workshop: Windows-Firewall mit IPsec konfigurieren

Fehlersuche beim Einrichten von NAP über IPsec

Sie können mit dem Befehl

netsh nap client show configuration

die Konfiguration des NAP-Clients in der Befehlszeile anzeigen lassen. Um ein neues Integritätszertifikat anzufordern, reicht es, wenn Sie den Systemdienst des NAP-Agenten neu starten.

Wichtig ist, dass der Erzwingungs-Client für IPsec aktiviert ist, die URLs für die vertrauenswürdige Servergruppe stimmen und der NAP-Client-Dienst gestartet ist. Die aktuelle Logdatei für den NPS finden Sie auf dem Server im Verzeichnis C:\Windows\System32\LogFiles. Hier finden Sie viele Infos, was die Arbeit des NPS transparenter macht. Auch in den Ereignisanzeigen des NPS-Servers schreibt Windows viele Ereignisse, wenn die NAP-Vorgänge ablaufen. Sie finden diese Fehler im Systemprotokoll auf dem Server. Auf dem Client erreichen Sie in der Ereignisanzeige über Anwendungs- und Dienstprotokolle/Microsoft/Windows/Network Access Protection zahlreiche Ereignisse, wenn Sie den NAP-Agent-Dienst neu starten. Diese Ereignisse haben die Quelle Network Access Protection und SystemHealthState. Zusätzlich sollten Sie noch folgende Funktionen überprüfen:

Check: Lassen Sie sich die NAP-Client-Konfiguration in der Befehlszeile anzeigen.
Check: Lassen Sie sich die NAP-Client-Konfiguration in der Befehlszeile anzeigen.

Stellen Sie sicher, dass das Computerkonto des NPS-Servers in den Eigenschaften der Zertifizierungsstelle auf der Registerkarte Sicherheit eingetragen ist und über die Rechte Zertifikate ausstellen und verwalten und Zertifikate anfordern verfügt. Überprüfen Sie, ob für die Zertifizierungsstelle auf der Registerkarte Richtlinienmodul die automatische Registrierung aktiviert ist.

Stellen Sie sicher, dass die Objekterkennung von Zertifikatvorlagen in der Zertifikatvorlagenverwaltung auf der Registerkarte Erweiterungen über Anwendungsrichtlinien/Bearbeiten/Systemintegritätsauthentifizierung/Bearbeiten auf 1.3.6.1.4.1.311.47.1.1 gesetzt ist. Testen Sie, ob der NPS-Server, der auch als Health Registration Authority dient, ein Systemintegritätsauthentifizierungs-Zertifikat hat.

Sollten Sie immer noch kein Zertifikat erhalten, können Sie über die Zertifikateverwaltung des Clients durch Rechtsklick auf Eigene Zertifikate/Alle Aufgaben/Neues Zertifikat anfordern ein Zertifikat manuell ausstellen. Hier sollte auf jeden Fall das Zertifikat für die Systemintegritäts-Authentifizierung vorhanden sein. Um die IPsec-Einrichtung vornehmen zu können, besteht ebenso die Möglichkeit, dass Sie sich zunächst manuell ein Zertifikat ausstellen, die IPsec-Einrichtung durchführen und später überprüfen, warum das automatische Registrieren von Zertifikaten nicht funktioniert. Microsoft stellt eine englischsprachige Anleitung zur Verfügung, die die Einrichtung in einer Testumgebung zeigt. (mje)