Informationen zum Statement of Health (SoH) im Netzwerkzugriffsschutz
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Im Folgenden wird erklärt, wie und warum Configuration Manager 2007-Clients ein Statement of Health im NAP-Prozess (Network Access Protection, Netzwerkzugriffsschutz) verwenden und welche Informationen es enthält.
SoH-Inhalte
In Configuration Manager 2007 erstellen alle NAP-fähigen Clients ein Statement of Health (oft mit SoH abgekürzt), wenn dieses vom Windows-Netzwerkzugriffsschutz-Agent angefordert wird.
Dieses Statement of Health enthält immer mindestens folgende Informationen:
Kompatibilitätsstatus des Clients
Standort des Clients
Eine Zeitstempelreferenz zur Identifizierung der Configuration Manager-NAP-Richtlinien, die der Client für die Bewertung seiner Kompatibilität verwendet hat
Senden des Statement of Health zum und vom Client
Der Configuration Manager 2007-Client sendet sein Statement of Health zur Überprüfung an einen Configuration Manager-Systemintegritätsprüfungspunkt. Dieser sendet wiederum eine SoH-Antwort mit dem Client-SoH an den Microsoft Windows-Netzwerkrichtlinienserver.
Vom Netzwerkrichtlinienserver wird zudem eine SoH-Antwort mit dem Clientintegritätszustand an den Client zurückgesendet.
Kompatibilitätsinformationen in einem Statement of Health
Ein Client kann sich im Integritätszustand „Kompatibel“ (mit in der Regel unbegrenztem Netzwerkzugriff) oder „Nicht kompatibel“ befinden (wobei der Client mithilfe einer Wiederherstellung in einen kompatiblen Zustand versetzt werden kann).
Zunächst wird von allen NAP-fähigen Configuration Manager-Clients ein Statement of Health mit dem Status „Kompatibel“ erstellt. Dies ist selbst dann der Fall, wenn der Standort nicht für den Netzwerkzugriffsschutz aktiviert ist. Ist der Standort für den Netzwerkzugriffsschutz aktiviert, wird die Kompatibilität aller NAP-fähigen Clients, die diesem Standort zugewiesen sind, bewertet. Die Bewertung basiert auf den Configuration Manager-NAP-Richtlinien, die an diesem Standort erstellt oder von einem übergeordneten Standort geerbt wurden. Von diesem Zeitpunkt an kann das an den Systemintegritätsprüfungspunkt gesendete Client-SoH zu einer erzwungenen Wiederherstellung führen, wenn der Client nicht kompatibel ist.
Zwischengespeicherte Statements of Health
Das Erstellen eines SoH durch einen Client ist mit Zeit- und Arbeitsaufwand verbunden. Zur Steigerung der Effizienz wird deshalb automatisch ein Client-SoH auf dem Clientcomputer zwischengespeichert. Der Client verwendet ein zwischengespeichertes SoH, wenn die folgende Netzwerkzugriffsschutz-Option des Client-Agents nicht ausgewählt ist: Neue Überprüfung für jede Bewertung erzwingen. Weitere Informationen finden Sie unter Konfigurieren von NAP-Evaluierungseinstellungen.
Auf dem Systemintegritätsprüfungspunkt wird ein zwischengespeichertes SoH von einem Client akzeptiert, wenn es innerhalb des konfigurierten Gültigkeitszeitraums liegt und nicht mit der optionalen Einstellung Erstellungsdatum muss später sein als (UTC) in Konflikt steht. Weitere Informationen finden Sie unter Angeben des Gültigkeitszeitraums für das SoH und Angeben der Option „Erstellungsdatum muss später sein als“ für das SoH.
In SoH-Meldungen aufgezeichnete Bewertungsfehler
Ist der Client für den Netzwerkzugriffsschutz aktiviert, kann das vom Client an den Systemintegritätsprüfungspunkt gesendete SoH den Kompatibilitätsstatus „Kompatibel“ enthalten, wenn der Client mit den heruntergeladenen Configuration Manager-NAP-Richtlinien kompatibel ist. Wenn der Client nicht mit den heruntergeladenen Configuration Manager-NAP-Richtlinien kompatibel ist, enthält es den Status „Nicht kompatibel“. Kann der Client seinen Kompatibilitätsstatus jedoch nicht erfolgreich bestimmen, enthält das Client-SoH die entsprechende Clientfehlerkategorie sowie den Fehlercode.
Wenn das Client-SoH den Systemintegritätsprüfungspunkt erreicht, wird vom Systemintegritätsprüfungspunkt überprüft, ob der Fehler mit einem ihm bekannten Fehler übereinstimmt. Handelt es sich um einen bekannten Fehler, wird das SoH vom Systemintegritätsprüfungspunkt mit dem bekannten Fehler an den Netzwerkrichtlinienserver gesendet. Handelt es sich um einen unbekannten Fehler, wird das SoH vom Systemintegritätsprüfungspunkt mit der Fehlermeldung eines unbekannten Antwortzustands an den Netzwerkrichtlinienserver gesendet.
Weitere Informationen zu den Fehlerkategorien finden Sie unter Konfigurieren der Fehlerkategorien für den Netzwerkzugriffsschutz in Configuration Manager.
Überprüfen des Statement of Health auf dem Systemintegritätsprüfungspunkt
Bevor die SoH-Antwort mit dem Clientintegritätszustand vom Systemintegritätsprüfungspunkt an den Netzwerkrichtlinienserver gesendet wird, werden am empfangenen Statement of Health eine Reihe von Überprüfungen ausgeführt.
Das bedeutet zum Beispiel, dass ein Client-SoH, das mit dem Status „Kompatibel“ an den Systemintegritätsprüfungspunkt gesendet wurde, von diesem als SoH mit dem Zustand „Nicht kompatibel“ an den Netzwerkrichtlinienserver gesendet werden kann. Dies kann zum Beispiel auftreten, wenn der Client mit den heruntergeladenen Configuration Manager-NAP-Richtlinien kompatibel ist, für den Standort jedoch aktualisierte Configuration Manager-NAP-Richtlinien vorhanden sind, die noch nicht vom Client heruntergeladen wurden. Der Kompatibilitätsstatus des Clients ist somit veraltet und nicht mehr gültig.
Hinweis
Weitere Informationen zu den verschiedenen Szenarien, in denen vom Client ein SoH mit dem Status „Kompatibel“ und an den Netzwerkrichtlinienserver dennoch ein SoH mit dem Status „Nicht kompatibel“ gesendet wird, finden Sie unter Informationen zur Kompatibilität für Netzwerkzugriffsschutz in Configuration Manager.
Wenn der Systemintegritätsprüfungspunkt den Integritätszustand des Clients nicht erfolgreich bestimmen kann, wird ein SoH mit der Serverfehlerkategorie und dem Fehlercode an den Netzwerkrichtlinienserver gesendet.
Eine Liste der Überprüfungen, die der Systemintegritätsprüfungspunkt am Client-SoH vornimmt, sowie die Reihenfolge, in der die Überprüfungen verarbeitet werden, finden Sie unter Systemintegritätsprüfungspunkt: Überprüfungsprozess für den Netzwerkzugriffsschutz.
Aufgrund der Wiederherstellung erneut gesendetes Statement of Health
Wenn der Client aufgrund des Status „Nicht kompatibel“ wiederhergestellt werden muss, erstellt er sofort ein weiteres SoH, das nun die Liste der Wiederherstellungsserver des Configuration Managers enthält (Verwaltungspunkt des Clients, Verteilungspunkte und Softwareupdatepunkt), die zum Erlangen des Kompatibilitätsstatus erforderlich sind. Weitere Informationen zum Wiederherstellungsprozess finden Sie unter Informationen zur Wiederherstellung des Netzwerkzugriffsschutzes.
Nach der erfolgreichen Wiederherstellung des Clients erstellt dieser ein weiteres SoH, das nun einen Kompatibilitätsstatus enthält. Vom Systemintegritätsprüfungspunkt wird sichergestellt, dass der Clientintegritätszustand kompatibel ist, und diese Information an den Netzwerkrichtlinienserver weitergeleitet. Die SoH-Antwort, die dieses Mal an den Client gesendet wird, enthält die für einen kompatiblen Client notwendigen Aktionen. Dazu zählt in der Regel der unbegrenzte Vollzugriff auf das Netzwerk.
Siehe auch
Tasks
Konfigurieren von NAP-Evaluierungseinstellungen
Erstellen einer NAP-Richtlinie für den Netzwerkzugriffsschutz in Configuration Manager
Aktivieren des Client-Agents für Netzwerkzugriffsschutz
Angeben des Gültigkeitszeitraums für das SoH
Konzepte
Informationen zur Kompatibilität für Netzwerkzugriffsschutz in Configuration Manager
Konfigurieren der Fehlerkategorien für den Netzwerkzugriffsschutz in Configuration Manager
Informationen zur Erzwingung der Kompatibilität mit Netzwerkzugriffsschutz
Informationen zum NAP-Clientstatus im Netzwerkzugriffsschutz
Informationen zur Wiederherstellung des Netzwerkzugriffsschutzes
Informationen zu Systemintegritätsprüfungspunkten im Netzwerkzugriffsschutz
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com