202 Kapitel 4: Netzwerkzugriffssicherheit
dem Client angezeigt. Außerdem können Sie Einstellungen für die Integritätsregistrierungs-
stelle vornehmen, falls Sie die Erzwingungsmethode NAP mit IPSec verwenden.
Abbildung 4.28 NAP-Erzwingungsclients
Gewöhnlich empfiehlt es sich auch, eine Gruppenrichtlinie zu konfigurieren, die für den
automatischen Start des NAP-Agenten auf Clientcomputern sorgt. Der Rest dieser Lektion
beschreibt, wie die verschiedenen Methoden der NAP-Erzwingung implementiert und kon-
figuriert werden.
Hinweis Für NAP ungeeignete Clientcomputer
Zur Bereitstellung von NAP gehört es, eine Lösung für Clientcomputer zu finden, die nicht
für NAP geeignet sind. Es wurden zwar für viele Betriebssysteme, die nicht von Microsoft
stammen, NAP-Clients entwickelt, aber manche Clients eignen sich nicht für den Prozess.
Wenn Sie eine NAP-Richtlinie konfigurieren, haben Sie die Möglichkeit, den Computern,
die sich nicht für NAP eignen, den vollen Netzwerkzugriff zu gewähren.
NAP-Erzwingung mit DHCP
Von den NAP-Erzwingungsmethoden, die Administratoren unter Windows Server 2008 zur
Verfügung stehen, ist die DHCP-Erzwingungsmethode am einfachsten zu implementieren.
Wenn Sie NAP mit DHCP erzwingen, richten Sie einen DHCP-Server so ein, dass er für
Computer, die die Zugangsvoraussetzungen erfüllen, einen bestimmten IPv4-Adressbereich
vorsieht, und für die anderen Computer, die die Zugangsvoraussetzungen nicht erfüllen,
einen anderen verwendet. Die IPv4-Adressen, die an konforme Computer ausgegeben wer-
den, ermöglichen den unbeschränkten Zugang zu anderen Hosts aus dem Netzwerk. Die
IPv4-Adressen, die an Computer ausgegeben werden, die nicht die Zugangsvoraussetzungen
erfüllen, lassen nur den Zugriff auf eine bestimmte Teilmenge der Hosts zu. Gewöhnlich
handelt es sich dabei um Hosts, die für die Wartung verwendet werden.
Wird die DHCP-NAP-Erzwingungsmethode verwendet, erfolgt die Erzwingung nur wäh-
rend der ersten Adresszuweisung oder während der Adresserneuerung. Da es durchaus ge-
schehen kann, dass ein Host nicht mehr die Zugangsvoraussetzungen erfüllt, nachdem er
eine gültige IP-Adresse erhalten hat, sollten Sie kurze DHCP-Leases konfigurieren. Kurze