Aufbau und Umsetzung von NAP

Remediation Server konfigurieren

Die Konfiguration von Remediation Servern lässt sich in drei Teile gliedern:

  • Die Einrichtung der Remediation Server selbst. Dazu gehört die Konfiguration eines DNS-Servers und die Einrichtung beispielsweise des Windows Software Update Services (WSUS). Wie dieser Konfigurationsschritt abläuft, hängt primär davon ab, ob und welche Dienste genutzt werden. Darauf wird an dieser Stelle nicht näher eingegangen.

  • Die Konfiguration so genannter Remediation Server Groups, also von Gruppen von Servern, die Remediation-Funktionen anbieten. Diese werden in der Anwendung Network Policy Server im Bereich Network Access Policies – Remediation Server Groups definiert.

  • Die Festlegung der Remediation Server-Gruppen, die bei bestimmten Authorization Policies verwendet werden sollen.

Einfach: Um einen Server in eine Remediation Server Group aufzunehmen, muss nur dessen Name oder IP-Adresse angegeben werden. Weitere Einstellungen sind nicht erforderlich.
Einfach: Um einen Server in eine Remediation Server Group aufzunehmen, muss nur dessen Name oder IP-Adresse angegeben werden. Weitere Einstellungen sind nicht erforderlich.

Bei der Zuordnung einer Remediation Server-Gruppe zu einer Autorisierungsrichtlinie muss im ersten Schritt im Register Settings bei Network Access Protection – NAP Enforcement die Option Enforce gewählt werden. Die Gruppen können nur für aktive Autorisierungsrichtlinien konfiguriert werden.

Verknüpft: Remediation Server-Gruppen werden mit Autorisierungsrichtlinien verknüpft. Für unterschiedliche Richtlinien können daher auch unterschiedliche Remediation-Server genutzt werden.
Verknüpft: Remediation Server-Gruppen werden mit Autorisierungsrichtlinien verknüpft. Für unterschiedliche Richtlinien können daher auch unterschiedliche Remediation-Server genutzt werden.

Anschließend kann bei Network Access Protection – Remediation Servers die Gruppe ausgewählt werden. Die Zuordnung von Autorisierungsrichtlinien und den Gruppen von Remediation Servern macht Sinn. Zum einen werden je nach Richtlinie gegebenenfalls unterschiedliche „Reparaturfunktionen“ benötigt. Zum anderen kann darüber auch gesteuert werden, auf welchen Teil der Ressourcen im Netzwerk welche Systeme – je nach Autorisierung – Zugriff erhalten sollen. So könnte eine Richtlinie auf Remediation Server verweisen, die tatsächlich nur Aktualisierungen zulassen, während andere Richtlinie auf Remediation Server verweisen, die den Zugang zumindest zu einigen Anwendungen und Daten bieten.

Im abschließenden Teil der Serie wird auf weitere Konfigurationsschritte eingegangen. Dazu zählen Einstellungen für den DHCP-Server und das Zusammenspiel zwischen Clients und Servern sowie eine zusammenfassende Darstellung des Ablaufs bei Network Access Protection, wenn Clients sich mit dem Netzwerk verbinden. Da die Network Access Protection auch vom System Center Configuration Manager 2007, dem Nachfolgeprodukt des Systems Management Server 2003, unterstützt werden wird, wird auf die dort geplante Funktionalität und deren Verhältnis zu den in „Longhorn“ implementierten NAP-Diensten ebenfalls ein Blick geworfen.