Fehler beim Wiederherstellen des Clients mit Netzwerkzugriffsschutz
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Dieser Abschnitt enthält Informationen zur Problembehandlung, wenn Clients in Configuration Manager 2007 keine erfolgreiche Wiederherstellung mit NAP (Netzwerkzugriffsschutz) ausführen können.
Der Windows-Dienst „Netzwerkzugriffsschutz-Agent“ wurde nicht gestartet
Der Windows-Dienst „Netzwerkzugriffsschutz-Agent“ muss gestartet werden, bevor der Configuration Manager-Client die Clientrichtlinie zum Aktivieren des Netzwerkzugriffsschutz-Client-Agents empfängt. Nur so ist es möglich, dass der Netzwerkzugriffsschutz-Client-Agent in Configuration Manager eine Verbindung mit dem Windows-Netzwerkzugriffsschutz-Agent herstellen kann.
Wenn der Windows-Dienst „Netzwerkzugriffsschutz-Agent“ gestartet wird, nachdem der Netzwerkzugriffsschutz-Client-Agent auf dem Configuration Manager-Client aktiviert wurde, oder wenn der Dienst nicht gestartet wird, kann das Client-SoH nicht auf dem Configuration Manager-Systemintegritätsprüfungspunkt überprüft werden. Wenn die Fehlerkategorien auf dem Systemintegritätsprüfungspunkt in diesem Szenario den Integritätszustand „Nicht kompatibel“ zuordnen, erhalten Clients nur einen begrenzten Netzwerkzugriff und können keine Wiederherstellung ausführen.
Sie können dieses Szenario identifizieren, indem Sie in der Clientprotokolldatei „SMSSHA.LOG“ nach den folgenden Einträgen suchen:
Warnung – „KERN: SHA wurde erfolgreich beim NAP-Agent registriert, konnte jedoch keine Verbindung herstellen“
Fehler – „KERN: NAP-Agent-Dienst wird möglicherweise nicht ausgeführt“
Lösung
Wenn Computer aufgrund dieses Szenarios nur über einen begrenzten Netzwerkzugriff verfügen, gehen Sie wie folgt vor, um diese Begrenzung des Clients aufzuheben:
Vergewissern Sie sich, dass der Windows-Dienst „Netzwerkzugriffsschutz-Agent“ gestartet wurde und für einen automatischen Start auf dem Computer konfiguriert ist. Ändern Sie bei Bedarf die Diensteinstellungen manuell.
Starten Sie den Computer neu. Durch diesen Schritt lädt der Configuration Manager-Client die Clientrichtlinie herunter, und der Netzwerkzugriffsschutz-Client-Agent stellt automatisch eine Verbindung mit dem Windows-Netzwerkzugriffsschutz-Agent her.
Wenn Computer in diesem Szenario keinen begrenzten Netzwerkzugriff aufweisen, der Windows-Dienst „Netzwerkzugriffsschutz-Agent“ jedoch nach der Aktivierung des Configuration Manager-NAP-Client-Agents gestartet wurde, gehen Sie wie folgt vor:
Vergewissern Sie sich, dass der Windows-Dienst „Netzwerkzugriffsschutz-Agent“ gestartet wurde und für einen automatischen Start auf allen NAP-fähigen Computern mit dem Configuration Manager-Client konfiguriert ist. Konfigurieren Sie bei Bedarf die Gruppenrichtlinie zum Starten dieses Diensts, und überprüfen Sie, ob alle Computer diese Einstellung erhalten haben.
Führen Sie auf den Configuration Manager-Clientcomputern entweder einen Neustart aus, oder deaktivieren Sie den Netzwerkzugriffsschutz-Client-Agent für einen Richtlinienzyklus (standardmäßig 60 Minuten). Aktiveren Sie dann den Netzwerkzugriffsschutz-Client-Agent erneut.
Eine Betriebssystembereitstellung installiert den Configuration Manager-Client vor dem Konfigurieren des Netzwerkzugriffsschutzes in Windows
Wenn Sie in einer NAP-Umgebung ein Betriebssystem mithilfe des Betriebssystembereitstellungs-Features von Configuration Manager bereitstellen und benutzerdefinierte Tasksequenzschritte zum Aktivieren der Erzwingungsclients und zum Starten des Netzwerkzugriffsschutzes in Windows verwenden, kann das Fehlen eines Neustartschritts in der Tasksequenz dazu führen, dass der Computer nicht kompatibel ist und keine Wiederherstellung ausführen kann.
Lösung
Führen Sie einen manuellen Neustart aus.
Informationen zum Korrigieren der Konfiguration der Betriebssystembereitstellung finden Sie unter Planen der Betriebssystembereitstellung in einer NAP-fähigen Umgebung.
Softwareupdates wurden noch nicht auf den lokalen Verteilungspunkt repliziert
In diesem Szenario kann ein Timeout der Clientwiederherstellung auftreten, wenn der Client versucht, Softwareupdates von einem Remoteverteilungspunkt abzurufen.
Lösung
Warten Sie, bis die Replikation abgeschlossen ist.
Diese Situation kann durch die Konfiguration eines Gültigkeitsdatums vermieden werden, dass nach der Replikation der Softwareupdatepakete auf alle Verteilungspunkte in Kraft tritt. Informationen zum Ändern des Gültigkeitsdatums von vorhandenen Configuration Manager-NAP-Richtlinien finden Sie unter Festlegen des Gültigkeitsdatums und der Uhrzeit des Beginns der NAP-Evaluierung für den Netzwerkzugriffsschutz.
Softwareupdates befinden sich auf einem geschützten Verteilungspunkt
Diese Konfiguration kann dazu führen, dass Clients nicht auf Softwareupdates zugreifen können, wenn sich ihr Netzwerkspeicherort nicht innerhalb der für den geschützten Verteilungspunkt konfigurierten Grenzen befindet.
Lösung
Konfigurieren Sie den geschützten Verteilungspunkt neu, oder fügen Sie das Softwareupdatepaket einem ungeschützten Verteilungspunkt hinzu.
Softwareupdates befinden sich auf einem Zweigverteilungspunkt
Wenn ein Client erforderliche Softwareupdates von einem Zweigverteilungspunkt herunterlädt und das Softwareupdatepaket mit der Option Dieses Paket an geschützten Verteilungspunkten bereitstellen, wenn es von Clients innerhalb der geschützten Grenzen angefordert wird konfiguriert ist, kann ein Timeout beim Clientabruf auftreten.
Lösung
Nach einiger Zeit werden die Inhalte jedoch heruntergeladen, und die Wiederherstellung wird automatisch neu gestartet.
Diese Situation kann durch die Konfiguration von Softwareupdatepaketen vermieden werden, die auf für den Netzwerkzugriffsschutz ausgewählte Softwareupdates verweisen. Diese sind nicht mit der Option Dieses Paket an geschützten Verteilungspunkten bereitstellen, wenn es von Clients innerhalb der geschützten Grenzen angefordert wird konfiguriert.
Der Client kann keine Verbindung mit Wiederherstellungsservern herstellen
Für Clients, die den Netzwerkzugriffsschutz in Configuration Manager verwenden, ist eine Verbindung mit Wiederherstellungsservern zwingend erforderlich. Weitere Informationen finden Sie unter Informationen zur Wiederherstellung des Netzwerkzugriffsschutzes.
Lösung
Überprüfen Sie folgende Punkte, um die Verbindung der Clients mit den erforderlichen Servern zu gewährleisten:
Vergewissern Sie sich, dass der Standardverwaltungspunkt des Clients funktionsbereit ist.
Wenn Sie eine DHCP oder VPN als NAP-Erzwingungsmechanismus verwenden, müssen Sie sicherstellen, dass alle Infrastrukturserver, z. B. DNS-Server und Domänencontroller, in einer Wiederherstellungsservergruppe angegeben und in der Netzwerkrichtlinie des Netzwerkrichtlinienservers enthalten sind:
Wenn Sie IPSec als NAP-Erzwingung verwenden, stellen Sie sicher, dass alle Wiederherstellungsserver (einschließlich Configuration Manager-Verwaltungspunkte, Softwareupdatepunkte und Verteilungspunkte) als Grenzserver konfiguriert sind.
Der Netzwerkzugriffsschutz-Client-Agent wurde deaktiviert, nachdem der Client mit der Wiederherstellung begann
In diesem Szenario weist der Client möglicherweise den Integritätszustand „Nicht kompatibel“ auf, und die Wiederherstellung kann nicht fortgesetzt werden.
Lösung
Starten Sie den Computer neu, um den Download der Computerrichtlinien einzuleiten. Dies führt dazu, dass der Netzwerkzugriffsschutz-Client-Agent deaktiviert und die Kompatibilität hergestellt wird.
Der Netzwerkzugriffsschutz-Client-Agent wird erneut aktiviert
Wenn Sie den Netzwerkzugriffsschutz-Agent erneut aktivieren, werden auch bereits konfigurierte Configuration Manager-NAP-Richtlinien erneut aktiviert. Diese Richtlinien können Softwareupdates enthalten, die nicht mehr auf den Verteilungspunkten gehostet werden. In diesem Fall ist keine Wiederherstellung möglich, da die Inhalte nicht mehr verfügbar sind.
Lösung
Gehen Sie wie folgt vor, um dieses Problem zu beheben:
Löschen Sie die alten Configuration Manager-NAP-Richtlinien, und starten Sie den Computer neu. Informationen zur Vorgehensweise finden Sie unter Beenden einer NAP-Evaluierung im Netzwerkzugriffsschutz durch Löschen einer Configuration Manager-NAP-Richtlinie.
Erstellen Sie ein neues Softwareupdatepaket mit den fehlenden Softwareupdates in den Configuration Manager-NAP-Richtlinien. Wenn die Inhalte verfügbar sind, sollte ein Benutzer, der eine lokale Administratorrolle aufweist, auf Wiederholen klicken. Benutzer mit geringsten Rechten können den Computer dann neu starten. Weitere Informationen zum Erstellen von Softwareupdatepaketen finden Sie unter Erstellen eines Bereitstellungspakets.
Auf dem Computer ist kein Configuration Manager-Client installiert
In diesem Szenario kann der Integritätszustand des Clients nicht von der Configuration Manager-Systemintegritätsüberprüfung überprüft werden. Standardmäßig wird hier eine Fehlerbedingung zugeordnet, die den Client als nicht kompatibel konfiguriert. Die Wiederherstellung in Configuration Manager enthält keine automatische Installation des Configuration Manager-Clients, d. h. dieser Client wird nicht automatisch wiederhergestellt.
Lösung
Wenn der Computer den Configuration Manager-Client installieren soll, stellen Sie eine Möglichkeit bereit, mit der Benutzer den Configuration Manager-Client im eingeschränkten Netzwerk manuell installieren können. Weitere Informationen finden Sie unter Konfigurieren der Benutzerführung bei der Wiederherstellung für den Netzwerkzugriffsschutz in Configuration Manager.
Wenn auf dem Computer der Configuration Manager-Client nicht installiert werden soll, konfigurieren Sie eine Netzwerkrichtlinie auf dem Netzwerkrichtlinienserver, damit der Integritätszustand dieses Computers nicht von der Configuration Manager-Systemintegritätsprüfung überprüft wird. Weitere Informationen finden Sie unter Bestimmen der Richtlinienstrategie für den Netzwerkzugriffsschutz und Konfigurieren der Ausnahmerichtlinien für den Netzwerkzugriffsschutz in Configuration Manager.
Unbekannte Ursachen
Wenn keine der oben genannten Bedingungen auf den Wiederherstellungsfehler zutreffen, können Sie den Fehler in folgendem Bericht zum Netzwerkzugriffsschutz im Configuration Manager identifizieren: Liste der Fehler bei der Wiederherstellung innerhalb eines bestimmten Zeitraums. Weitere Informationen finden Sie unter Ausführen von Netzwerkzugriffsschutz-Berichten.
Siehe auch
Konzepte
Problembehandlung beim Netzwerkzugriffsschutz
Andere Ressourcen
Übersicht über den Netzwerkzugriffsschutz
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com