Les ordinateurs disposent d'un accès réseau complet alors qu'ils ne le devraient pas si la protection d'accès réseau est utilisée
S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Cette section fournit des informations qui vous permettent d'identifier et de résoudre les problèmes liés aux ordinateurs qui disposent d'un accès réseau complet alors qu'ils ne le devraient pas lorsqu'ils utilisent la protection d'accès réseau dans Configuration Manager 2007.
Les clients ne prennent pas en charge la protection d'accès réseau (NAP)
Les clients Configuration Manager doivent pouvoir prendre en charge la protection d'accès réseau. Pour plus d'informations, consultez À propos de l'état du client NAP dans la protection d'accès réseau.
Solution
Si possible, mettez à niveau les clients pour qu'ils prennent en charge la protection d'accès réseau. Pour plus d'informations, consultez Comment préparer le site pour les clients de protection d'accès réseau.
Si le site contient plusieurs clients qui ne gèrent pas la protection d'accès réseau, reconfigurez les stratégies réseau sur le serveur NPS (Network Policy Server) pour que les clients non compatibles NAP disposent d'un accès réseau limité (bien qu'ils ne puissent pas être mis à jour). Pour plus d'informations, consultez Détermination de votre stratégie pour la protection d'accès réseau.
Le service NAP de Microsoft Windows n'est pas démarré, ou une stratégie Configuration Manager locale désactive le paramètre de site qui permet d'activer l'agent du client de protection d'accès réseau
Ces deux conditions peuvent expliquer pourquoi des ordinateurs non conformes disposent d'un accès réseau complet.
Solution
Le service NAP de Windows n'est pas démarré par défaut. Démarrez le service et configurez-le pour qu'il démarre automatiquement.
Si une stratégie locale empêche l'activation de l'agent du client de protection d'accès réseau sur le client, supprimez ou reconfigurez la stratégie Configuration Manager locale.
Le serveur NPS a été configuré de sorte que les ordinateurs non conformes disposent d'un accès réseau complet pendant une durée limitée
Cette configuration correspond à une stratégie justifiée qui permet d'accorder à des ordinateurs non conformes un accès réseau complet pendant une durée limitée. Au cours de cette période, les ordinateurs font l'objet d'une mise à jour automatique et, si l'opération aboutit, présentent alors un état de conformité qui leur offre un accès complet au réseau.
Solution
Si les ordinateurs non conformes ne doivent jamais disposer d'un accès complet au réseau, reconfigurez la stratégie réseau en désélectionnant l'option Accès complet au réseau pour une durée limitée. Pour plus d'informations, consultez Configuration des stratégies réseau pour la protection d'accès réseau de Configuration Manager.
Les clients n'ont pas téléchargé leur stratégie d'ordinateur permettant d'activer l'agent du client de protection d'accès réseau
Si vous avez récemment activé l'agent du client de protection d'accès réseau, les clients disposeront d'un accès complet au réseau tant qu'ils n'auront pas téléchargé leur stratégie d'ordinateur conformément au calendrier (par défaut, toutes les 60 minutes). Vous pouvez afficher ou modifier la fréquence à l'aide de l'option Intervalle d'interrogation de stratégie dans Propriétés de l'agent du client de l'ordinateur : Onglet Général
Solution
Patientez jusqu'à ce que les clients aient téléchargé leur stratégie conformément au calendrier ou lancez une récupération de la stratégie du client, manuellement ou à l'aide d'un script.
Pour lancer une récupération de la stratégie du client, consultez Comment lancer une récupération de stratégie pour un client Configuration Manager.
La date du jour est antérieure à la date d'effet de la stratégie NAP de Configuration Manager
Les clients Configuration Manager ne sont pas restreints s'ils ne disposent pas des mises à jour logicielles sélectionnées avant la date indiquée par la stratégie NAP de Configuration Manager. Pour plus d'informations, consultez À propos de la date d'effet de la protection d'accès réseau.
Solution
Si les ordinateurs non conformes ne doivent pas disposer d'un accès complet au réseau avant la date d'effet, reconfigurez la date d'effet. Pour plus d'informations, consultez Comment définir les date et heure d'effet de début de l'évaluation NAP pour la protection d'accès réseau.
Les clients n'ont pas téléchargé les dernières stratégies NAP de Configuration Manager
Si vous avez récemment configuré ou ajouté des stratégies NAP de Configuration Manager, les clients n'effectueront pas les évaluations immédiatement.
Solution
Patientez jusqu'à ce que les clients téléchargent leur stratégie (qui inclut les stratégies NAP de Configuration Manager) conformément au calendrier (par défaut, toutes les 60 minutes).
Pour accélérer le processus pour les clients sélectionnés, lancez une récupération ad hoc de la stratégie à partir d'un client, consultez Comment lancer une récupération de stratégie pour un client Configuration Manager.
Pour accélérer le processus pour tous les clients, arrêtez puis redémarrez le service SMS_SYSTEM_HEALTH_VALIDATOR sur le serveur NPS. Cette opération force les clients qui envoient leur déclaration d'intégrité au serveur NPS à télécharger les dernières stratégies NAP de Configuration Manager et à réévaluer leur conformité. Cependant, si les stratégies du NPS sont configurées pour restreindre l'accès des ordinateurs non conformes, ces derniers disposent d'un accès réseau restreint lorsque cette opération est en cours.
Une solution permanente consiste à spécifier un intervalle d'interrogation plus court pour le point du programme de validation d'intégrité système. Pour plus d'informations, consultez Comment configurer l'intervalle entre les requêtes des services de domaine Active Directory pour le programme de validation d'intégrité système.
Vérifiez également le délai de réplication Active Directory du serveur de site qui enregistre la référence d'état d'intégrité de Configuration Manager 2007 et la réplique sur le serveur de catalogue global utilisé par le point du programme de validation d'intégrité système.
Une condition d'erreur s'est produite
Par défaut, le programme de validation d'intégrité système de Configuration Manager sur le serveur NPS est configuré pour associer toutes les erreurs à un état de non-conformité. Les clients présentant un état de non-conformité disposent d'un accès réseau correspondant. Cependant, ces erreurs peuvent être associées à un état de conformité. Par conséquent, un client ne possédant pas les mises à jour logicielles requises peut potentiellement disposer d'un accès réseau complet en raison d'une condition erreur.
Solution
Reconfigurez la condition d'erreur du programme de validation d'intégrité système de Configuration Manager en sélectionnant l'option Non conforme. Pour plus d'informations, consultez Configuration de catégories d'échec pour la protection d'accès réseau de Configuration Manager.
Le point du programme de validation d'intégrité système n'est pas installé ou opérationnel
Le point du programme de validation d'intégrité système doit être installé et opérationnel pour que les clients non conformes disposent d'un accès restreint.
Solution
Installez le point du programme de validation d'intégrité système. Pour plus d'informations sur ces procédures, consultez Comment installer le point du programme de validation d'intégrité système.
Si le point du programme de validation d'intégrité système est installé mais non opérationnel, identifiez le problème de fonctionnement et corrigez-le en effectuant les opérations suivantes :
Vérifiez les messages d'état liés au point du programme de validation d'intégrité système.
Vérifiez chaque composant de la protection d'accès réseau : Comment vérifier les composants de la protection d'accès réseau
Consultez les erreurs dans les fichiers journaux de la protection d'accès réseau : Fichiers journaux de la protection d'accès réseau
Aucune stratégie n'est configurée pour Configuration Manager sur le serveur NPS
Le serveur NPS doit disposer de stratégies incluant le programme de validation d'intégrité système de Configuration Manager. Pour plus d'informations, consultez À propos de l'activation de la conformité avec la protection d'accès réseau.
Solution
Créez des stratégies sur le serveur NPS ou modifiez-les. Pour plus d'informations, consultez Configuration du serveur NPS pour Configuration Manager.
Le serveur NPS possède des stratégies configurées mais la case à cocher Activer la mise à jour automatique des ordinateurs clients n'est pas activée
Configuration Manager effectue toujours la mise à jour lorsque la protection d'accès réseau est appliquée. Pour plus d'informations, consultez Détermination de votre stratégie pour la protection d'accès réseau.
Solution
Aucun. Il est impossible de restreindre les clients de protection d'accès réseau dans Configuration Manager 2007 sans mise à jour automatique.
Les stratégies sont mal configurées
Lorsque les stratégies du serveur NPS sont configurées pour accorder un accès réseau complet aux ordinateurs non conformes pendant une durée limitée ou ne sont pas configurées pour la contrainte NAP ou lorsque l'ordre des stratégies réseau est incorrect, ou encore en cas de configuration incorrecte, les ordinateurs peuvent disposer d'un accès réseau complet injustifié.
L'accès réseau qui est accordé aux ordinateurs conformes et non conformes dépend de la configuration des stratégies sur le serveur NPS. Pour plus d'informations, consultez Détermination de votre stratégie pour la protection d'accès réseau.
Solution
Si les stratégies ne sont pas configurées correctement et que les ordinateurs non conformes disposent d'un accès réseau complet injustifié, reconfigurez les stratégies. Pour plus d'informations, consultez Configuration des stratégies réseau pour la protection d'accès réseau de Configuration Manager.
Les clients utilisent une déclaration d'intégrité en cache
Il est possible que la déclaration d'intégrité en cache des clients soit périmée. Pour plus d'informations sur l'utilisation d'une déclaration d'intégrité avec la protection d'accès réseau, consultez À propos de la déclaration d'intégrité (SoH) dans la protection d'accès réseau.
Pour plus d'informations sur les conditions d'utilisation d'une déclaration d'intégrité en cache, consultez Conditions d'évaluation NAP pour les clients Configuration Manager..
Solution
Pour modifier les paramètres afin que les clients n'utilisent jamais de déclaration d'intégrité en cache, consultez Comment configurer des paramètres d'évaluation NAP.
Pour reconfigurer la période de validité d'une déclaration d'intégrité en cache, consultez Comment spécifier la période de validité de la déclaration d'intégrité.
Pour une solution ad hoc n'affectant pas d'autres clients, redémarrez l'ordinateur client.
Le client est attribué à un site enfant et la stratégie NAP n'a pas encore été répliquée en aval dans la hiérarchie
Les stratégies NAP de Configuration Manager sont conçues pour être répliquées en aval dans la hiérarchie. Un délai peut donc être constaté avant qu'une stratégie NAP de Configuration Manager créée ou modifiée ne prenne effet sur le client d'un site enfant.
Solution
Patientez jusqu'à la fin de la réplication du site.
Voir aussi
Concepts
Dépannage de la protection d'accès réseau
Autres ressources
Présentation de la protection d'accès réseau
Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.