Partager via

À propos de la protection d'accès réseau dans les hiérarchies Configuration Manager

  • Article

Mis à jour: décembre 2009

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Les informations suivantes permettent de comprendre les implications inhérentes à l'implémentation de la protection d'accès réseau (NAP) dans une hiérarchie Configuration Manager 2007 à plusieurs sites et la façon dont cela affecte le comportement des stratégies NAP et des clients itinérants de Configuration Manager.

Activer les sites parents pour la protection d'accès réseau avant les sites enfants

Lorsque vous implémentez la protection d'accès réseau (NAP) dans une hiérarchie Configuration Manager de plusieurs sites, respectez un ordre descendant (du haut vers le bas). Créez des stratégies NAP pour Configuration Manager sur le site central ou le site principal de synchronisation des mises à jour logicielles de Configuration Manager avec Microsoft. Les stratégies NAP de Configuration Manager suivent automatiquement la hiérarchie.

Important

Vous ne pouvez pas créer de stratégies NAP sur un site qui hérite des mises à jour logicielles à partir d'un site parent. Lorsque vous configurez la synchronisation des mises à jour de logiciel avec Microsoft, assurez-vous que vous configurez cette synchronisation sur le site à partir duquel vous souhaitez créer des stratégies NAP pour Configuration Manager.

Vous pouvez créer des stratégies NAP pour Configuration Manager sur un site enfant si ce site synchronise les mises à jour logicielles depuis Microsoft. Toutefois, si vous changez ultérieurement la configuration de synchronisation pour qu'un site parent se synchronise avec Microsoft, il en résulte les scénarios suivants :

  • Si les mêmes stratégies NAP de Configuration Manager sont créées sur le site parent avec les mêmes mises à jour logicielles mais avec des dates d'effet différentes, les stratégies NAP de Configuration Manager du site enfant (dont héritent également les prochains sites enfants) seront remplacées par les nouvelles stratégies NAP de Configuration Manager créées sur le site parent. Le site enfant ne peut pas les modifier, ni les supprimer.

  • Si le site parent ne crée pas les mêmes stratégies NAP de Configuration Manager que celles créées sur le site enfant, les stratégies NAP d'origine de Configuration Manager sont conservées sur le site enfant (et sont héritées par les prochains sites enfants). Ces stratégies NAP  de Configuration Manager peuvent toujours être modifiées et supprimées sur le site enfant, mais les nouvelles stratégies NAP de Configuration Manager ne peuvent pas être créées au niveau du site enfant.

Si la protection d'accès réseau n'est pas activée pour un site enfant, vous ne pourrez pas consulter les stratégies NAP via le nœud Stratégies. Vous pourrez cependant les répertorier en exécutant le rapport suivant : Liste des stratégies de protection d'accès réseau (NAP).

Comportement du site enfant avec la protection d'accès réseau

Si la hiérarchie Configuration Manager comprend plus de deux niveaux de sites principaux, la désactivation de la protection d'accès réseau sur un site principal enfant ne bloque pas l'héritage des stratégies NAP de Configuration Manager entre le site parent et le site petit-enfant.

Vous ne pouvez ni modifier ni supprimer les stratégies NAP héritées d'un site parent, et vous ne pouvez pas créer de stratégies NAP si le site hérite de stratégies d'un site parent. Cependant, vous pouvez désactiver la protection d'accès réseau (NAP) sur un site enfant qui a hérité des stratégies NAP.

Protection d'accès réseau et itinérance

Lorsqu'un client Configuration Manager compatible NAP avec l'agent du client NAP activé se déplace dans un autre site Configuration Manager, son état de conformité est évalué en fonction des stratégies NAP de Configuration Manager définies sur son propre site.

Le point du programme de validation d'intégrité système auquel le client transmet sa déclaration d'intégrité ne dépend pas du site Configuration Manager, mais plutôt du système d'application sous-jacent de la protection NAP. Cela signifie qu'un changement de l'emplacement réseau peut amener le client à utiliser un autre point du programme de validation d'intégrité système lorsqu'il se déplace dans un autre site (par exemple, si vous utilisez DHCP pour appliquer la protection NAP).

Un client itinérent compatible NAP d'un site Configuration Managerqui n'est pas activé pour la protection NAP et qui est dirigé vers le point du programme de validation d'intégrité système d'un site est jugé conforme par ce dernier. Dans ce scénario, le point du programme de validation d'intégrité système incrémente son compteur de performance du programme de validation d'intégrité système : Agent NAP du client Configuration Manager désactivé.

Les points du programme de validation d'intégrité système dans un site Configuration Manager partagent les mêmes options de configuration utilisées pour déterminer l'état d'intégrité d'un client. Ces options de configuration sont les suivantes :

  • La fréquence de consultation de la référence d'état d'intégrité.

  • La nécessité de créer la déclaration d'intégrité du client après une date et heure spécifiées.

  • La période de validité de la déclaration d'intégrité.

Les différences de configuration entre les sites appartenant à la même hiérarchie Configuration Manager peuvent produire une déclaration d'intégrité différente pour un client compatible avec ses stratégies NAP de Configuration Manager.

Important

Un client Configuration Manager avec l'agent du client NAP activé peut se déplacer dans une autre hiérarchie Configuration Manager et avoir sa déclaration d'intégrité client validée par un point du programme de validation d'intégrité système situé à l'extérieur de sa hiérarchie Configuration Manager. Dans ce scénario, le processus de validation échoue au test de vérification du site, sauf si les références de la déclaration d'intégrité NAP des deux hiérarchies renvoient la publication au même emplacement.

Si le point du programme de validation d'intégrité système ne peut pas vérifier le site du client, l'état d'intégrité du client est considéré comme inconnu, ce qui est par défaut configuré comme non conforme sur le serveur NPS. Si le serveur de stratégie réseau est associé à des stratégies réseau configurées pour un accès limité à la protection NAP, ces clients ne peuvent pas être corrigés et risquent de ne plus pouvoir accéder au réseau entier. Dans ce scénario, une stratégie d'exemption sur le serveur NPS peut permettre aux clients Configuration Manager de se déplacer à l'extérieur de l'accès réseau complet de leur hiérarchie Configuration Manager.

Voir aussi

Tâches

Comment configurer l'intervalle entre les requêtes des services de domaine Active Directory pour le programme de validation d'intégrité système
Comment configurer l'option « La date de création doit être ultérieure au temps universel » pour la déclaration d'intégrité
Comment spécifier la période de validité de la déclaration d'intégrité
Comment créer une stratégie NAP de Configuration Manager pour la protection d'accès réseau
Comment désactiver l'agent du client de protection d'accès réseau
Comment activer l'agent du client de protection d'accès réseau
Comment exécuter des rapports de protection d'accès réseau
Comment afficher les stratégies NAP de Configuration Manager pour la protection d'accès réseau

Concepts

À propos de la conformité pour la protection d'accès réseau dans Configuration Manager
À propos des références de l'état d'intégrité NAP dans la protection d'accès réseau
Comment contrôler le point du programme de validation d'intégrité système à l'aide de compteurs de performance pour la protection d'accès réseau
Point du programme de validation d'intégrité système : processus de validation pour la protection d'accès réseau
À propos des points du programme de validation d'intégrité système dans la protection d'accès réseau
Configuration des stratégies d'exemption pour la protection d'accès réseau de Configuration Manager

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.