À propos des points du programme de validation d'intégrité système dans la protection d'accès réseau

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Utilisez ces informations pour identifier la manière dont le point du programme de validation d'intégrité système dans Configuration Manager 2007 est utilisé avec la protection d'accès réseau.

Comment le point du programme de validation d'intégrité système interagit avec les clients Configuration Manager et l'infrastructure NAP Windows

Le point du programme de validation d'intégrité système est le rôle de système de site Configuration Manager 2007 exécuté sur Windows Server 2008 avec le rôle de serveur NPS.

Lorsque vous utilisez la protection d'accès réseau (NAP) dans Configuration Manager 2007, le point du programme de validation d'intégrité système est indispensable pour valider la déclaration d'intégrité des clients Configuration Manager conformes NAP et générer un état d'intégrité client conforme ou non conforme, ou une condition d'erreur qui a empêché la détermination de l'état d'intégrité. Pour plus d'informations sur la déclaration d'intégrité, reportez-vous à la rubrique À propos de la déclaration d'intégrité (SoH) dans la protection d'accès réseau.

La déclaration d'intégrité contenant l'état d'intégrité de l'ordinateur client ou la condition d'erreur est transféré au serveur NPS, lequel décide, en fonction de la configuration des stratégies réseau et de requête de connexion, si un client est doté d'un accès complet ou limité au réseau. Si le client n'est pas conforme, le serveur NPS peut également activer la conformité via correction sur un réseau limité ou sur l'ensemble du réseau pour une période de temps limitée. Pour plus d'informations sur ce processus, reportez-vous à la rubrique À propos de l'activation de la conformité avec la protection d'accès réseau.

Validation des messages de déclaration d'intégrité des clients

Pour valider une déclaration d'intégrité, le point du programme de validation d'intégrité utilise une série séquentielle de vérifications. Ces vérifications incluent :

• Validation de l'heure de la création de la déclaration d'intégrité.

• Validation par rapport à la référence d'état d'intégrité.

• Échecs et états de conformité.

Le point du programme de validation d'intégrité système ne communique jamais directement avec les serveurs de site Configuration Manager 2007 pour valider les déclarations d'intégrité des clients. Lorsqu'une stratégie NAP de Configuration Manager est créée, modifiée ou héritée d'un site parent, le serveur de site enregistre une référence d'état d'intégrité sur les services de domaine Active Directory. Le point du programme de validation d'intégrité système extrait régulièrement les références d'état d'intégrité de tous les sites principaux Configuration Manager activés pour la protection d'accès réseau.

Étant donné que les services de domaine Active Directory permettent de stocker les références d'état d'intégrité, le schéma Active Directory doit être étendu avec les extensions Configuration Manager 2007. La référence d'état d'intégrité est publiée dans un conteneur System Management dans Active Directory, lequel exige de Configuration Manager 2007 qu'il publie les informations de site aux services de domaine Active Directory. Lorsque vous possédez plusieurs forêts Active Directory et que les serveurs de site Configuration Manager et les points du programme de validation d'intégrité système ne résident pas sur la même forêt, vous devez désigner la forêt et le domaine dans lesquels les références d'état d'intégrité sont stockées.

Pour plus d'informations sur l'extension du schéma Active Directory pour Configuration Manager 2007 et la configuration du site pour publier des informations vers des services de domaine Active Directory, reportez-vous aux rubriques suivantes :

• Comment étendre le schéma Active Directory pour Configuration Manager

• Comment publier des informations de site Configuration Manager sur les services de domaine Active Directory

Pour plus d'informations sur la désignation d'une forêt et d'un domaine sur lesquels stocker les références d'état d'intégrité, reportez-vous à la rubrique Décider quelle forêt publiera les références de l'état d'intégrité pour la protection d'accès réseau.

Processus de validation

Cette section présente les différentes vérifications séquentielles effectuées sur un client conforme NAP lorsque le point du programme de validation d'intégrité système traite la déclaration d'intégrité du client. Ce processus est également décrit dans l'organigramme suivant :

Point du programme de validation d'intégrité système : processus de validation pour la protection d'accès réseau

1. La première étape consiste à vérifier si le client vient d'être déployé et n'a pas encore téléchargé la stratégie d'ordinateur qui détermine si l'agent du client de protection d'accès réseau est activé et quelles stratégies NAP de Configuration Manager ont été définies. Sans cette stratégie, Configuration Manager ne peut pas déterminer si des mises à jour logicielles sont nécessaires pour le client, ni même si son état d'intégrité doit être vérifié. Le client est jugé conforme afin qu'il puisse accéder au réseau pour télécharger sa stratégie d'ordinateur. Lorsque le client a reçu sa stratégie de site, il envoie immédiatement une nouvelle déclaration d'intégrité pour être évalué en tant que client pleinement fonctionnel.

2. Si le point du programme de validation d'intégrité système considère que le client a téléchargé sa stratégie d'ordinateur avec succès, la prochaine vérification consiste à valider l'identité du client. Pour ce faire, il utilise la référence d'état d'intégrité qu'il extrait régulièrement des services de domaine Active Directory. Le point du programme de validation d'intégrité système vérifie l'identité du site Configuration Manager 2007 du client afin de s'assurer qu'il provient d'un site Configuration Manager 2007 connu de la hiérarchie. Dans le cas contraire, le point du programme de validation d'intégrité système envoie l'état « inconnu » au serveur NPS Windows, lequel correspond à la catégorie du programme de validation d'intégrité système de Configuration Manager Réception d'un code d'erreur spécifique au fabricant SHA sur le serveur NPS. Par défaut, la catégorie Réception d'un code d'erreur spécifique au fabricant SHA est configurée pour être non conforme, mais vous pouvez la rendre conforme.

3. Si le site du client est confirmé, le point du programme de validation d'intégrité système confirme ensuite si l'agent du client de protection d'accès réseau est activé ou non sur le client. Un client conforme NAP dont l'agent du client de protection d'accès réseau est activé envoie toujours une déclaration d'intégrité avec la protection d'accès réseau Configuration Manager 2007. Un client conforme NAP dont l'agent du client de protection d'accès réseau est désactivé après les vérifications précédentes est jugé conforme par le point du programme de validation d'intégrité système et son état d'intégrité est défini sur conforme.

4. Les vérifications suivantes du point du programme de validation d'intégrité système si l'agent du client de protection d'accès réseau est activé consistent en la validation temporelle à l'aide des paramètres configurés dans les propriétés du point du programme de validation d'intégrité système. Si l'option La date de création doit être ultérieure est définie, le point du programme de validation d'intégrité système vérifie si la déclaration d'intégrité du client a été créée avant ou après cette date. Si la date de création est antérieure ou égale au paramètre configuré, l'état d'intégrité du client est défini sur non conforme. Si la date de création est postérieure, le point du programme de validation d'intégrité système vérifie alors si la déclaration d'intégrité du client est antérieure à la Période de validité configurée sur le point du programme de validation d'intégrité système. Si c'est le cas, l'état d'intégrité du client est défini sur non conforme.

5. Si le programme de validation d'intégrité système confirme au contraire que la déclaration d'intégrité n'est pas antérieure à la période de validité configurée, le point du programme de validation d'intégrité système utilise alors la référence d'état d'intégrité pour déterminer si le client a utilisé des stratégies NAP de Configuration Manager à jour lorsqu'il a évalué sa déclaration d'intégrité. Pour ce faire, il compare l'heure et la date mentionnées dans la référence d'état d'intégrité avec celles qui apparaissent dans les informations de conformité de la déclaration d'intégrité. Ces informations indiquent l'heure et la date de la dernière création ou modification des stratégies NAP de Configuration Manager. Si l'heure et la date de la référence d'état d'intégrité sont postérieures à celles de la déclaration d'intégrité, l'état d'intégrité du client est défini sur non conforme.

6. Si l'heure et la date de la déclaration d'intégrité sont postérieures ou égales à celles de la référence d'état d'intégrité, l'état de conformité du client figurant dans la déclaration d'intégrité est alors vérifié. S'il s'agit d'un état conforme, le point du programme de validation d'intégrité système définit l'état d'intégrité du client sur conforme. Dans le cas contraire, il vérifie si un échec empêchant le client de générer un état de conformité est survenu sur le client. Cette condition entraîne la définition d'une des deux catégories d'échec et d'un code d'erreur. Si aucun échec n'est détecté, le point du programme de validation d'intégrité système définit l'état d'intégrité du client sur non conforme.

7. Si la catégorie et le code d'échec sont définis, le point du programme de validation d'intégrité système vérifie si le code correspond à l'un de ses codes connus. En cas de correspondance, il transfère la catégorie d'échec au serveur NPS, lequel la fait ensuite correspondre à l'une des deux catégories d'échec client configurées dans le programme de validation d'intégrité système de Configuration Manager. Par défaut, les deux catégories d'échec du programme de validation d'intégrité système de Configuration Manager sont configurées pour donner un état d'intégrité non conforme au client. Vous pouvez néanmoins les configurer sur conforme. Cependant, si aucune correspondance n'est trouvée pour le code d'erreur, le point du programme de validation d'intégrité système transfère l'échec au serveur NPS sous la catégorie d'échec Réception d'un code d'erreur spécifique au fabricant SHA. Vous pouvez également configurer cette catégorie dans le programme de validation d'intégrité système de Configuration Manager, mais elle est configurée par défaut pour donner un état d'intégrité non conforme au client.

Lorsque des clients non conformes sont configurés pour subir une contrainte ou une mise à jour NAP sur le serveur NPS, le point du programme de validation d'intégrité système peut envoyer des instructions au client, en fonction de la vérification ayant échoué. Si la validation temporelle de la déclaration d'intégrité a échoué, le point du programme de validation d'intégrité système demande au client de réévaluer sa déclaration d'intégrité et d'en présenter une nouvelle. Si la vérification de l'heure et de la date a échoué avec la référence d'état d'intégrité, le point du programme de validation d'intégrité système demande au client de télécharger sa stratégie d'ordinateur à partir de son point de gestion, de réévaluer son état de conformité à l'aide des stratégies NAP de Configuration Manager les plus récentes, puis de présenter une nouvelle déclaration d'intégrité.

Si la vérification de conformité a échoué, le point du programme de validation d'intégrité système demande au client de consigner cet échec. Il fournit ensuite au client des itinéraires statiques vers les points de distribution hébergeant les mises à jour logicielles indispensables au client pour être conforme. Le client installe chaque mise à jour logicielle requise et, lorsque cette opération est terminée, présente une nouvelle déclaration d'intégrité.

Lors de la création de la nouvelle déclaration d'intégrité, le point du programme de validation d'intégrité système passe par les mêmes vérifications de validation. Si chaque critère de validation est conforme, le point du programme de validation d'intégrité système définit l'état d'intégrité sur conforme, lequel est ensuite transféré au serveur NPS.

Voir aussi

Tâches

Comment créer une stratégie NAP de Configuration Manager pour la protection d'accès réseau

Concepts

À propos de la conformité pour la protection d'accès réseau dans Configuration Manager
À propos de la protection d'accès réseau et des forêts Active Directory multiples
À propos des références de l'état d'intégrité NAP dans la protection d'accès réseau
À propos de la protection d'accès réseau dans les hiérarchies Configuration Manager
Catégories d'échec et codes d'erreur de la protection d'accès réseau
À propos de la mise à jour de la protection d'accès réseau
À propos des stratégies NAP de Configuration Manager dans la protection d'accès réseau
À propos de la déclaration d'intégrité (SoH) dans la protection d'accès réseau
Point du programme de validation d'intégrité système : processus de validation pour la protection d'accès réseau

Autres ressources

Comment configurer le point du programme de validation d'intégrité système pour la protection d'accès réseau

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.