La mise à jour du client n'a pas pu être correctement effectuée avec la protection d'accès réseau

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Cette section fournit des informations qui vous permettent d'identifier et de résoudre les problèmes liés à l'échec de la mise à jour des clients avec la protection d'accès réseau (NAP) dans Configuration Manager 2007.

Le service Agent de protection d'accès réseau Windows n'est pas démarré

Le service Agent de protection d'accès réseau Windows doit être démarré avant que le client Configuration Manager reçoive la stratégie du client afin de pouvoir activer l'agent du client de protection d'accès réseau. Ainsi, l'agent du client de protection d'accès réseau de Configuration Manager peut établir une liaison à l'agent de protection d'accès réseau Windows.

Si le service Agent de protection d'accès réseau Windows est démarré après l'activation de l'agent du client de protection d'accès réseau sur le client Configuration Manager (ou n'est pas démarré), la déclaration d'intégrité du client n'est pas validée sur le point du programme de validation d'intégrité système de Configuration Manager. Dans ce scénario, si les catégories d'échec du programme de validation d'intégrité système correspondent à un état d'intégrité non conforme, les clients disposeront peut-être d'un accès réseau limité et leur mise à jour ne pourra pas être effectuée.

Pour identifier ce scénario, recherchez les entrées suivantes dans le fichier journal du client SMSSHA.LOG :

Avertissement - « CORE : le SHA s'est enregistré correctement auprès de l'agent NAP, mais n'a pas pu établir de liaison »

Erreur - « CORE : le service de l'agent NAP n'est peut-être pas en cours d'exécution »

Solution

Suite à ce scénario, si les ordinateurs sont limités au réseau restreint, procédez comme suit pour que le client puisse passer du réseau restreint au réseau illimité :

1. Assurez-vous que le service Agent de protection d'accès réseau Windows est démarré et qu'il est configuré pour démarrer automatiquement sur l'ordinateur. Modifiez manuellement le paramètre du service si besoin est.

2. Redémarrez l'ordinateur. Suite à cette opération, le client Configuration Manager télécharge la stratégie du client et l'agent du client de protection d'accès réseau établit automatiquement une liaison à l'agent de protection d'accès réseau Windows.

Suite à ce scénario, si les ordinateurs ne se trouvent pas dans le réseau restreint et si le service Agent de protection d'accès réseau Windows a été démarré après l'activation de l'agent du client de protection d'accès réseau de Configuration Manager, procédez comme suit :

1. Assurez-vous que le service Agent de protection d'accès réseau Windows est démarré et qu'il est configuré pour démarrer automatiquement sur tous les ordinateurs compatibles NAP exécutant le client Configuration Manager. Si nécessaire, configurez une stratégie de groupe de façon à ce que ce service démarre et assurez-vous que ce paramètre a été défini sur les ordinateurs.

2. Redémarrez les ordinateurs clients Configuration Manager ou désactivez un cycle de stratégie de l'agent du client de protection d'accès réseau (par défaut, un cycle dure 60 minutes), puis réactivez l'agent.

Un déploiement de système d'exploitation installe le client Configuration Manager avant la configuration de la protection d'accès réseau dans Windows

Lors du déploiement d'un système d'exploitation dans un environnement de protection d'accès réseau à l'aide de la fonctionnalité de déploiement du système d'exploitation de Configuration Manager, si vous suivez les étapes d'une séquence de tâches personnalisée pour activer les clients de contrainte et démarrer le service Protection d'accès réseau dans Windows mais que vous n'ajoutez pas d'étape de redémarrage à la séquence de tâches, il est possible que l'ordinateur ne soit pas conforme et ne puisse pas être mis à jour.

Solution

Redémarrez l'ordinateur manuellement.

Pour corriger la configuration du déploiement de système d'exploitation, consultez Planification du déploiement du système d'exploitation dans un environnement compatible NAP.

Les mises à jour logicielles n'ont pas encore été répliquées sur le point de distribution local

Dans ce scénario, le délai imparti pour la mise à jour d'un client peut expirer lorsque les mises à jour logicielles sont extraites à partir d'un point de distribution distant.

Solution

Patientez jusqu'à la fin de la réplication.

Pour éviter cette situation, définissez une date d'effet postérieure à la réplication des packages de mises à jour logicielles sur la totalité des points de distribution. Pour modifier la date d'effet des stratégies NAP de Configuration Manager existantes, consultez Comment définir les date et heure d'effet de début de l'évaluation NAP pour la protection d'accès réseau.

Les mises à jour logicielles se trouvent sur un point de distribution protégé

Avec cette configuration, il est possible que les clients ne puissent pas accéder aux mises à jour logicielles si leur emplacement réseau n'est pas identifié comme se trouvant dans les limites configurées pour le point de distribution protégé.

Solution

Reconfigurez le point de distribution protégé ou ajoutez le package de mises à jour logicielles à un point de distribution non protégé.

Les mises à jour logicielles se trouvent sur un point de distribution de branche

Un client peut expirer alors qu'il tente de récupérer les mises à jour logicielles requises si leur téléchargement est effectué depuis un point de distribution de branche et si l'option Rendre ce package disponible sur les points de distribution protégés lorsqu'il est demandé par des clients dans les limites protégées est activée pour le package de mises à jour logicielles.

Solution

Si l'utilisateur patiente, le contenu sera finalement téléchargé et la mise à jour sera automatiquement retentée.

Vous pouvez éviter cette situation en désactivant l'option Rendre ce package disponible sur les points de distribution protégés lorsqu'il est demandé par des clients dans les limites protégées pour les packages de mises à jour logicielles désignant des mises à jour logicielles sélectionnées pour la protection d'accès réseau.

Le client ne peut pas se connecter aux serveurs de mise à jour

Les clients utilisant la protection d'accès réseau dans Configuration Manager sont dépendants de leur capacité à communiquer avec les serveurs de mise à jour. Pour plus d'informations, consultez À propos de la mise à jour de la protection d'accès réseau.

Solution

Pour vous assurer que les clients peuvent communiquer avec les serveurs requis, vérifiez les éléments suivants :

• Assurez-vous que le point de gestion par défaut du client est opérationnel.

• Si vous utilisez la méthode de contrainte de mise en conformité NAP DHCP ou VPN, assurez-vous que les serveurs d'infrastructure (tels que les serveurs DNS et les contrôleurs de domaine) sont spécifiés dans un groupe de serveurs de mise à jour et sont inclus dans la stratégie réseau du serveur de stratégie réseau :

  • Configuration des groupes de serveurs de mise à jour pour la protection d'accès réseau de Configuration Manager

  • Configuration des stratégies réseau pour la protection d'accès réseau de Configuration Manager

• Si vous utilisez la méthode de contrainte de mise en conformité NAP IPsec, assurez-vous que tous les serveurs de mise à jour (notamment les points de gestion de Configuration Manager, les points de mise à jour logicielle et les points de distribution) sont configurés en tant que serveurs limites.

L'agent du client de protection d'accès réseau a été désactivé après la mise à jour du client

Dans ce scénario, le client peut présenter un état d'intégrité non conforme mais sa mise à jour n'est plus possible.

Solution

Redémarrez l'ordinateur pour initier le téléchargement de la stratégie de l'ordinateur. Cela entraîne la désactivation de l'agent du client NPA et un état de conformité.

L'agent du client de protection d'accès réseau est réactivé

Si vous réactivez l'agent de protection d'accès réseau, vous réactivez les stratégies NAP de Configuration Manager précédemment configurées. Si ces stratégies incluent des mises à jour logicielles qui ne sont plus hébergées sur des points de distribution, la mise à jour est impossible car le contenu n'est plus disponible.

Solution

Pour résoudre ce problème, effectuez l'une des opérations suivantes :

• Supprimez les anciennes stratégies NAP de Configuration Manager, puis redémarrez l'ordinateur. Pour plus d'informations sur ces procédures, consultez Comment supprimer une stratégie NAP de Configuration Manager pour arrêter une évaluation NAP dans la protection d'accès réseau.

• Créez un nouveau package de mises à jour logicielles avec les mises à jour manquantes dans les stratégies NAP de Configuration Manager. Lorsque le contenu est disponible, un utilisateur qui est un administrateur local doit alors cliquer sur Recommencer. Si l'utilisateur dispose de droits limités, il peut redémarrer l'ordinateur. Pour plus d'informations sur la création de packages de mises à jour logicielles, consultez Comment créer un package de déploiements.

Le client Configuration Manager n'est pas installé sur l'ordinateur

Dans ce scénario, l'état d'intégrité du client ne peut pas être vérifié par le programme de validation d'intégrité système. Par défaut, cette situation représente une condition d'erreur et aboutit à une non-conformité. La mise à jour dans Configuration Manager n'inclut pas l'installation automatique du client Configuration Manager. Ce dernier n'est donc jamais mis à jour automatiquement.

Solution

Si le client Configuration Manager doit être installé sur l'ordinateur, une méthode d'installation manuelle de Configuration Manager sur le réseau restreint doit être mise à la disposition des utilisateurs. Pour plus d'informations, consultez Configuration de l'expérience utilisateur de correction pour la protection d'accès réseau de Configuration Manager.

Si le client Configuration Manager ne doit pas être installé sur l'ordinateur, configurez une stratégie réseau sur le serveur de stratégie réseau supprimant l'étape de vérification de l'état d'intégrité de l'ordinateur par le programme de validation d'intégrité système de Configuration Manager. Pour plus d'informations, consultez Détermination de votre stratégie pour la protection d'accès réseau et Configuration des stratégies d'exemption pour la protection d'accès réseau de Configuration Manager.

Causes inconnues

Si aucune des conditions présentées ci-dessus ne correspond à votre situation d'échec de la mise à jour, consultez la Liste des échecs de mise à jour pour une période donnée du rapport de protection d'accès réseau de Configuration Manager Network pour tenter d'identifier l'erreur. Pour plus d'informations, consultez Comment exécuter des rapports de protection d'accès réseau.

Voir aussi

Concepts

Dépannage de la protection d'accès réseau

Autres ressources

Présentation de la protection d'accès réseau

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.