Partager via

À propos de la protection d'accès réseau et des forêts Active Directory multiples

  • Article

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Pour comprendre les implications de l'implémentation de la protection d'accès réseau (NAP) dans Configuration Manager 2007 lorsque votre hiérarchie Configuration Manager s'étend sur plusieurs forêts Active Directory, et pour identifier les scénarios pris en charge pour cet environnement, reportez-vous aux informations suivantes.

Pour quelles raisons plusieurs forêts affectent-elles la protection d'accès réseau dans Configuration Manager ?

Lorsque vous utilisez la protection d'accès réseau dans Configuration Manager 2007 et que votre hiérarchie Configuration Manager s'étend sur plusieurs forêts Active Directory, des impératifs de configuration supplémentaires sont à prendre en compte. Cela s'explique par le fait que la protection d'accès réseau de Configuration Manager enregistre des références de l'état d'intégrité dans Active Directory. Lorsque vous créez ou modifiez une stratégie NAP de Configuration Manager, le serveur de site publie la référence de l'état d'intégrité de Configuration Manager dans Active Directory, ou des mises à jour de cette référence.

Lorsqu'un site enfant hérite des stratégies NAP de Configuration Manager d'un site parent, le serveur de site de ce site enfant publie également sa référence d'état d'intégrité dans Active Directory. Les références d'état d'intégrité sont ensuite récupérées depuis Active Directory par les points du programme de validation d'intégrité système interrogeant un serveur de catalogue global.

Par défaut, les serveurs de site publient vers leur propre forêt Active Directory. Les points du programme de validation d'intégrité système récupèrent les références de l'état d'intégrité depuis leurs propres forêts Active Directory. Pour cette raison, si vos serveurs de site et vos points du programme de validation d'intégrité système ne se trouvent pas dans la même forêt Active Directory, vous devez désigner la forêt Active Directory et le domaine qui stockeront les références d'état d'intégrité. Il peut même s'agir d'une forêt totalement différente de celle des serveurs de site et des points du programme de validation d'intégrité système.

La forêt Active Directory stockant les références d'état d'intégrité de Configuration Manager doit être étendue à l'aide des extensions de schéma Configuration Manager 2007 ; les serveurs de site doivent être configurés pour publier des données d'identité dans Active Directory lorsque la protection d'accès réseau est activée pour leur site ; enfin, un conteneur de Configuration Manager doit se trouver dans la forêt désignée et doit disposer des autorisations requises par les serveurs de site et les points du programme de validation d'intégrité système.

Notes

Pour plus d'informations sur la façon d'étendre le schéma et d'activer la publication pour Configuration Manager 2007, consultez Comment étendre le schéma Active Directory pour Configuration Manager et Comment publier des informations de site Configuration Manager sur les services de domaine Active Directory.

Scénarios pris en charge pour plusieurs forêts

Les étapes de configuration à entreprendre en présence de plusieurs forêts Active Directory dépendent de la topographie, de la configuration existante et du choix de la destination pour la publication des références d'état d'intégrité de Configuration Manager 2007. Vous trouverez ci-après quatre scénarios de base pris en charge dans Configuration Manager lorsque les serveurs de site se trouvent dans une forêt Active Directory et que tous les points du programme de validation d'intégrité système se trouvent dans une autre forêt :

  • Les références d'état d'intégrité de Configuration Manager sont publiées dans la forêt qui contient les serveurs de site.

  • Les références d'état d'intégrité de Configuration Manager sont publiées dans la forêt qui contient les points du programme de validation d'intégrité système.

  • Les références d'état d'intégrité de Configuration Manager sont publiées dans une troisième forêt Active Directory approuvée par les deux autres forêts (soit une approbation de forêt, soit des approbations de domaines externes).

  • Les références d'état d'intégrité de Configuration Manager sont publiées dans une troisième forêt Active Directory qui n'est pas approuvée par les deux autres forêts (ni une approbation de forêt, ni des approbations de domaines externes).

Pour vous aider à déterminer les forêts qui publieront les références d'état d'intégrité, consultez Décider quelle forêt publiera les références de l'état d'intégrité pour la protection d'accès réseau.

Pour obtenir une procédure détaillée de la mise à disponibilité d'Active Directory et des étapes de configuration supplémentaires requises dans Configuration Manager lors de l'utilisation de la protection d'accès réseau sur plusieurs forêts, consultez Comment déployer la protection d'accès réseau vers plusieurs forêts.

Voir aussi

Tâches

Comment installer le point du programme de validation d'intégrité système
Comment publier des informations de site Configuration Manager sur les services de domaine Active Directory

Concepts

À propos des références de l'état d'intégrité NAP dans la protection d'accès réseau
À propos des points du programme de validation d'intégrité système dans la protection d'accès réseau

Autres ressources

Comment étendre le schéma Active Directory pour Configuration Manager

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.