Partager via

À propos des références de l'état d'intégrité NAP dans la protection d'accès réseau

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Les informations de cette rubrique vous permettent de comprendre comment les références d'état d'intégrité de la protection d'accès réseau (NAP) dans Configuration Manager sont utilisées dans Configuration Manager 2007, et indiquent pourquoi vous devrez peut-être les utiliser et les configurer dans Configuration Manager.

Comment les références d'état d'intégrité sont créées, modifiées et extraites

Les références d'état d'intégrité de la protection d'accès réseau (NAP) dans Configuration Manager 2007 sont stockées dans un conteneur « Gestion de système » d'Active Directory et utilisées par des points du programme de validation d'intégrité système lors de la validation de déclarations d'intégrité de client.

Les références d'état d'intégrité sont publiées par chaque serveur de site dans la hiérarchie et mises à jour lorsqu'une stratégie de protection d'accès réseau de Configuration Manager est créée, modifiée ou héritée d'un site parent.

Les références d'état d'intégrité sont ensuite extraites régulièrement par le point du programme de validation d'intégrité système, puis mises en cache et utilisées lors du processus de validation.

Comment les références d'état d'intégrité sont utilisées au cours de la validation de conformité

Les références d'état d'intégrité sont utilisées pour contrôler un site Configuration Manager du client et vérifient si le client a utilisé des stratégies NAP de protection d'accès réseau à jour lors de l'évaluation de sa conformité avec les mises à jour logicielles spécifiées dans les stratégies NAP de Configuration Manager.

Une fois qu'une déclaration d'intégrité a été validée par un point du programme de validation d'intégrité système, l'état d'intégrité du client (conforme/non conforme ou échec) est transmis au serveur de stratégie réseau (NPS) Microsoft Windows.

Le serveur de site publie la référence d'état d'intégrité sur un contrôleur de domaine, via le protocole LDAP (Lightweight Directory Access Protocol) (port 389 ou 636). Cette référence est ensuite répliquée sur le catalogue global, puis le point du programme de validation d'intégrité système extrait la référence d'état d'intégrité à l'aide d'une requête de catalogue global (port 3268 ou 3269).

Les références d'état d'intégrité de Configuration Manager sont publiées par défaut dans la forêt Active Directory du serveur de site, puis extraites à partir de la forêt Active Directory des points du programme de validation d'intégrité système. Si le serveur de site et les points du programme de validation d'intégrité système ne se trouvent pas dans la même forêt Active Directory, vous devez spécifier l'emplacement des références d'état d'intégrité de Configuration Manager. Pour plus d'informations, consultez À propos de la protection d'accès réseau et des forêts Active Directory multiples et Comment spécifier l'emplacement pour la référence d'état d'intégrité NAP.

Notes

Lors de l'implémentation de la protection d'accès réseau de Configuration Manager sur des sites Active Directory, prenez en compte la latence de réplication Active Directory. Par exemple, même si les serveurs de site publient la référence d'état d'intégrité de Configuration Manager sur un contrôleur de domaine lorsque des stratégies NAP de Configuration Manager sont modifiées, ces nouvelles données ne sont peut-être pas disponibles immédiatement pour extraction par le point du programme de validation d'intégrité système tant que la réplication Active Directory n'est pas terminée.

Ainsi, il est conseillé de ne pas activer l'Agent du client de protection d'accès au réseau immédiatement sur des nouveaux sites Configuration Manager, mais d'attendre que les informations de site Configuration Manager aient été répliquées sur des serveurs de catalogue globaux utilisés par les points du programme de validation d'intégrité système. Cela est très important si votre serveur de stratégie réseau Windows fournit un accès limité au réseau pour les clients non conformes.

Voir aussi

Tâches

Comment configurer l'intervalle entre les requêtes des services de domaine Active Directory pour le programme de validation d'intégrité système
Comment installer le point du programme de validation d'intégrité système
Comment spécifier le compte de publication de la référence d'état d'intégrité
Comment spécifier le compte d'interrogation de référence d'état d'intégrité
Comment spécifier l'emplacement pour la référence d'état d'intégrité NAP

Concepts

À propos de la conformité pour la protection d'accès réseau dans Configuration Manager
À propos de la protection d'accès réseau et des forêts Active Directory multiples
À propos de la protection d'accès réseau dans les hiérarchies Configuration Manager
À propos des stratégies NAP de Configuration Manager dans la protection d'accès réseau
À propos de la déclaration d'intégrité (SoH) dans la protection d'accès réseau
Point du programme de validation d'intégrité système : processus de validation pour la protection d'accès réseau
À propos des points du programme de validation d'intégrité système dans la protection d'accès réseau

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.