Computer haben vollen Netzwerkzugriff, wenn dies mit Netzwerkzugriffsschutz nicht der Fall sein sollte
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Dieser Abschnitt enthält Informationen zur Problembehandlung, wenn Computer über einen vollständigen Netzwerkzugriff verfügen und dies aber bei der Verwendung des Netzwerkzugriffsschutzes in Configuration Manager 2007 nicht der Fall sein sollte.
Clients unterstützen keinen Netzwerkzugriffsschutz (NAP)
Für Configuration Manager-Clients ist es erforderlich, dass die Unterstützung des Netzwerkzugriffsschutzes gewährleistet ist. Weitere Informationen finden Sie unter Informationen zum NAP-Clientstatus im Netzwerkzugriffsschutz.
Lösung
Aktualisieren Sie die Clients zur Unterstützung des Netzwerkzugriffsschutzes, falls dies möglich ist. Weitere Informationen finden Sie unter Vorbereiten des Standorts auf Netzwerkzugriffsschutz-Clients.
Wenn der Standort einige Clients aufweist, die keinen Netzwerkschutz unterstützen, konfigurieren Sie die Netzwerkrichtlinien auf dem Netzwerkrichtlinienserver neu, damit Clients, die nicht NAP-fähig sind, über einen begrenzten Netzwerkzugriff verfügen (auch wenn sie nicht wiederhergestellt werden können). Weitere Informationen finden Sie unter Bestimmen der Richtlinienstrategie für den Netzwerkzugriffsschutz.
Der Microsoft Windows-NAP-Dienst wurde nicht gestartet, oder eine lokale Configuration Manager-Richtlinie deaktiviert die Standorteinstellung zum Aktivieren des Netzwerkzugriffsschutz-Client-Agents
Diese beiden Bedingungen können verursachen, dass nicht kompatible Computer einen vollständigen Netzwerkzugriff erhalten.
Lösung
Der Windows-NAP-Dienst wird nicht standardmäßig gestartet. Starten Sie den Dienst, und konfigurieren Sie einen automatischen Start.
Wenn eine lokale Richtlinie die Aktivierung des Netzwerkzugriffsschutz-Client-Agents auf dem Client verhindert, entfernen Sie die lokale Configuration Manager-Richtlinie oder konfigurieren sie neu.
Der Netzwerkrichtlinienserver wurde so konfiguriert, dass nicht kompatible Computer für begrenzte Zeit vollen Netzwerkzugriff haben
Dies ist eine ordnungsgemäße Richtlinienkonfiguration, mit der nicht kompatible Computer für begrenzte Zeit über einen vollständigen Netzwerkzugriff verfügen. Innerhalb dieses Zeitraums werden Computer automatisch wiederhergestellt und haben nach erfolgreicher Wiederherstellung einen kompatiblen Netzwerkstatus für vollen Netzwerkzugriff.
Lösung
Wenn nicht kompatible Computer nie über einen vollständigen Netzwerkzugriff verfügen sollen, konfigurieren Sie die Netzwerkrichtlinien neu und deaktivieren den vollständigen Netzwerkzugriff für begrenzte Zeit. Weitere Informationen finden Sie unter Konfigurieren von Netzwerkrichtlinien für den Netzwerkzugriffsschutz in Configuration Manager.
Clients haben die Computerrichtlinie zum Aktivieren des Netzwerkzugriffsschutz-Client-Agents nicht heruntergeladen
Wenn Sie den Netzwerkzugriffsschutz-Client-Agent erst vor kurzem aktiviert haben, verfügen die Clients so lange über einen vollständigen Netzwerkzugriff, bis die Computerrichtlinie gemäß dem Zeitplan heruntergeladen wurde (standardmäßig alle 60 Minuten). Sie können dieses Intervall in den Eigenschaften des Computerclient-Agents mit der Option RichtlinienabrufintervallEigenschaften von Computerclient-Agent: Registerkarte „Allgemein“ anzeigen oder ändern.
Lösung
Warten Sie entweder, bis die Clients die Clientrichtlinie gemäß dem Zeitplan heruntergeladen haben, oder initiieren Sie den Richtlinienabruf auf dem Client. Dies können Sie manuell oder mit einem Skript ausführen.
Informationen zum Abrufen einer Clientrichtlinie finden Sie unter Initiieren des Richtlinienabrufs für einen Configuration Manager-Client.
Es liegt vor dem Gültigkeitsdatum in der Configuration Manager-NAP-Richtlinie
Der Netzwerkzugriffsschutz von Configuration Manager-Clients wird nicht begrenzt, wenn Sie die ausgewählten Softwareupdates nicht vor dem in den Configuration Manager-NAP-Richtlinien konfigurierten Datum erhalten. Weitere Informationen finden Sie unter Informationen zum NAP-Gültigkeitsdatum im Netzwerkzugriffsschutz.
Lösung
Wenn nicht kompatible Computer vor dem Gültigkeitsdatum nicht über einen vollständigen Netzwerkzugriff verfügen dürfen, müssen Sie das Gültigkeitsdatum neu konfigurieren. Weitere Informationen finden Sie unter Festlegen des Gültigkeitsdatums und der Uhrzeit des Beginns der NAP-Evaluierung für den Netzwerkzugriffsschutz.
Clients haben die neuesten Configuration Manager-NAP-Richtlinien nicht heruntergeladen
Wenn Sie Configuration Manager-NAP-Richtlinien erst vor kurzem konfiguriert oder hinzugefügt haben, haben die Clients diese möglicherweise noch nicht bewertet.
Lösung
Warten Sie, bis die Clients die Richtlinie (mit den Configuration Manager-NAP-Richtlinien) gemäß dem Zeitplan herunterladen (standardmäßig alle 60 Minuten).
Informationen, wie Sie durch das Initiieren eines Ad-coc-Richtlinienabrufs von einem Client den Vorgang für ausgewählte Clients beschleunigen können, finden Sie unter Initiieren des Richtlinienabrufs für einen Configuration Manager-Client.
Zum Beschleunigen des Vorgangs für alle Clients beenden Sie den Dienst SMS_SYSTEM_HEALTH_VALIDATOR auf dem Netzwerkrichtlinienserver und starten ihn dann neu. Dies führt dazu, dass Clients, die das SoH (Statement of Health) an den Netzwerkrichtlinienserver senden, die aktuellen Configuration Manager-NAP-Richtlinien herunterladen und ihre Kompatibilität neu bewerten. Wenn jedoch Richtlinien auf dem Netzwerkrichtlinienserver so konfiguriert sind, dass der Netzwerkzugriff für nicht kompatible Computer begrenzt wird, verfügen die Computer bei diesem Vorgang nur über einen begrenzten Netzwerkzugriff.
Ziehen Sie als dauerhafte Lösung das Angeben eines kürzeren Abfrageintervalls für den Systemintegritätsprüfungspunkt in Betracht. Weitere Informationen finden Sie unter Konfigurieren des Active Directory-Domänendienste-Abfrageintervalls der Systemintegritätsprüfung.
Überprüfen Sie außerdem die Active Directory-Replikationsverzögerung auf dem Standortserver, der die Configuration Manager 2007-Integritätszustandsreferenz schreibt und sie an den globalen, vom Systemintegritätsprüfungspunkt verwendeten Katalogserver repliziert.
Ein Fehler ist aufgetreten
Der Configuration Manager-Systemintegritätsprüfungspunkt auf dem Netzwerkrichtlinienserver ist standardmäßig so konfiguriert, dass alle Fehler dem Zustand „nicht kompatibel“ zugeordnet werden. Die Clients können dann nur soweit auf das Netzwerk zugreifen, wie dies für den nicht kompatiblen Zustand zulässig ist. Diese Fehler können jedoch auch dem Zustand „kompatibel“ zugeordnet werden. Dies kann möglicherweise dazu führen, dass ein Client ohne die erforderlichen Softwareupdates über einen vollständigen Netzwerkzugriff verfügt, da dort ein Fehler aufgetreten ist.
Lösung
Ändern Sie die Fehlerbedingung für die Configuration Manager-Systemintegritätsprüfung von „kompatibel“ in „nicht kompatibel“: Weitere Informationen finden Sie unter Konfigurieren der Fehlerkategorien für den Netzwerkzugriffsschutz in Configuration Manager.
Der Systemintegritätsprüfungspunkt ist nicht installiert oder nicht funktionsfähig
Der Configuration Manager-Systemintegritätsprüfungspunkt muss installiert und funktionsfähig sein, damit nicht kompatible Computer nur über einen begrenzten Netzwerkzugriff verfügen.
Lösung
Installieren Sie den Systemintegritätsprüfungspunkt. Informationen zur Vorgehensweise finden Sie unter Installieren des des Systemintegritätsprüfungspunkts.
Wenn der Systemintegritätsprüfungspunkt zwar installiert ist, aber nicht ausgeführt werden kann, identifizieren und beheben Sie das operative Problem mithilfe der folgenden Schritte:
Überprüfen Sie die mit dem Systemintegritätsprüfungspunkt verbundenen Statusmeldungen.
Überprüfen Sie jede Komponente des Netzwerkzugriffsschutzes: Überprüfen der Netzwerkzugriffsschutz-Komponenten
Suchen Sie in den Protokolldateien für den Netzwerkzugriffsschutz nach Fehlern: Protokolldateien für den Netzwerkzugriffsschutz
Auf dem Netzwerkrichtlinienserver sind keine Richtlinien für Configuration Manager konfiguriert
Der Netzwerkrichtlinienserver muss über Richtlinien verfügen, die auch die Configuration Manager-Systemintegritätsprüfung beinhalten. Weitere Informationen finden Sie unter Informationen zur Erzwingung der Kompatibilität mit Netzwerkzugriffsschutz.
Lösung
Erstellen oder ändern Sie die Richtlinien auf dem Netzwerkrichtlinienserver. Weitere Informationen finden Sie unter Konfigurieren des Netzwerkrichtlinienservers für Configuration Manager.
Auf dem Netzwerkrichtlinienserver sind Richtlinien konfiguriert, bei denen das Kontrollkästchen „Automatische Wiederherstellung auf Clientcomputern aktivieren“ nicht aktiviert ist
Configuration Manager führt immer eine Wiederherstellung durch, wenn der Netzwerkzugriffsschutz erzwungen wird. Weitere Informationen finden Sie unter Bestimmen der Richtlinienstrategie für den Netzwerkzugriffsschutz.
Lösung
Keine Es ist nicht möglich, den Netzwerkzugriff von NAP-Clients in Configuration Manager 2007 ohne die automatische Wiederherstellung zu begrenzen.
Falsch konfigurierte Richtlinien
Wenn Computer über einen vollständigen Netzwerkzugriff verfügen, obwohl dies nicht der Fall sein sollte, kann dies verschiedene Ursachen haben. Möglicherweise sind Richtlinien auf dem Netzwerkrichtlinienserver so konfiguriert, dass nicht kompatiblen Computern für begrenzte Zeit ein vollständiger Netzwerkzugriff gewährt wird. Möglich wäre auch, dass die NAP-Erzwingung fehlt oder die Konfiguration andere Fehler aufweist.
Der für kompatible oder nicht kompatible Computer gewährte Netzwerkzugriff hängt von der Konfiguration der Richtlinien auf dem Netzwerkrichtlinienserver ab. Weitere Informationen finden Sie unter Bestimmen der Richtlinienstrategie für den Netzwerkzugriffsschutz.
Lösung
Wenn diese Richtlinien falsch konfiguriert sind und nicht kompatible Computer nicht über einen vollständigen Netzwerkzugriff verfügen sollen, müssen Sie die Richtlinien neu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Netzwerkrichtlinien für den Netzwerkzugriffsschutz in Configuration Manager.
Clients verwenden ein zwischengespeichertes Statement of Health
Möglicherweise weisen Clients ein veraltetes zwischengespeichertes Statement of Health auf. Weitere Informationen zur Verwendung des SoH für den Netzwerkzugriffsschutz finden Sie unter Informationen zum Statement of Health (SoH) im Netzwerkzugriffsschutz.
Die Bedingungen, bei denen Clients ein zwischengespeichertes SoH verwenden, finden Sie unter NAP-Evaluierungsbedingungen für Configuration Manager-Clients.
Lösung
Informationen zum Ändern der Einstellungen, damit Clients keine zwischengespeicherten SoHs verwenden, finden Sie unter Konfigurieren von NAP-Evaluierungseinstellungen.
Informationen zur Neukonfiguration des Gültigkeitszeitraums für ein zwischengespeichertes SoH finden Sie unter Angeben des Gültigkeitszeitraums für das SoH.
Eine Ad-hoc-Lösung, die sich nur auf diesen Computer auswirkt, ist das Neustarten des Clientcomputers.
Der Client ist einem untergeordneten Standort zugewiesen, und die NAP-Richtlinie wurde noch nicht innerhalb der Hierarchie nach unten repliziert
Configuration Manager-NAP-Richtlinien wurden so entwickelt, dass sie in der Hierarchie nach unten repliziert werden. Dies kann zu einer Verzögerung zwischen dem Erstellen oder Ändern einer Configuration Manager-NAP-Richtlinie und deren Inkrafttreten auf einem Client an einem untergeordneten Standort führen.
Lösung
Warten Sie, bis die Standortreplikation abgeschlossen ist.
Siehe auch
Konzepte
Problembehandlung beim Netzwerkzugriffsschutz
Andere Ressourcen
Übersicht über den Netzwerkzugriffsschutz
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com