Udostępnij za pośrednictwem

  • Artykuł

Planowanie wdrożeń systemów operacyjnych w środowisku z obsługą ochrony dostępu do sieci

 

Dotyczy: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Podczas wdrażania systemu operacyjnego i klienta programu System Center 2012 Configuration Manager w środowisku, które używa ochrony dostępu do sieci, należy wykonać dodatkowe kroki konfiguracji. Jeśli wdrożenie systemu operacyjnego nie zostanie skonfigurowane odpowiednio dla ochrony dostępu do sieci, nowo wdrożone komputery mogą mieć ograniczony dostęp do sieci, a korygowanie nie powiedzie się.

Klienci z systemem Windows Vista lub Windows Server 2008 zapewniają natywną obsługę ochrony dostępu do sieci, podczas gdy komputery z systemem Windows XP nie zapewniają natywnej obsługi tej funkcji i wymagają zainstalowania dodatkowego klienta ochrony dostępu do sieci. Więcej informacji o kliencie ochrony dostępu do sieci dla systemu Windows XP zawiera witryna sieci Web poświęcona funkcji Ochrona dostępu do sieci.

Ochrona dostępu do sieci obsługuje wiele mechanizmów wymuszania, takich jak IPsec, 802.1X, VPN i DHCP. Każdy mechanizm wymuszania wymaga włączenia odpowiedniego klienta wymuszania ochrony dostępu do sieci, a także uruchomienia i skonfigurowania usługi ochrony dostępu do sieci w systemie Windows w celu automatycznego uruchamiania. Więcej informacji o wymaganiach wstępnych dotyczących użycia ochrony dostępu do sieci dla aktualizacji oprogramowania w programie Menedżer konfiguracji zawiera temat Wymagania wstępne dotyczące aktualizacji oprogramowania w programie Configuration Manager.

Wykonanie procedur przedstawionych w poniższych sekcjach zapewni włączenie mechanizmu wymuszania i usługi ochrony dostępu do sieci systemu Windows oraz ich prawidłową interakcję z klientem programu Menedżer konfiguracji podczas wdrażania systemu operacyjnego w środowisku z włączoną ochroną dostępu do sieci.

Komputer referencyjny jest skonfigurowany do ochrony dostępu do sieci

Poniższy scenariusz ma zastosowanie, jeśli wszystkie wdrożenia systemu operacyjnego są wykonywane w środowisku z włączoną ochroną dostępu do sieci przy użyciu mechanizmu wymuszania ochrony dostępu do sieci:

  1. Skonfiguruj komputer referencyjny przy użyciu systemu operacyjnego dodatków Service Pack, aktualizacji zabezpieczeń, aplikacji, ustawień, narzędzi i dostosowanego pulpitu.

  2. Jeśli jest używany system operacyjny Windows XP, zainstaluj klienta ochrony dostępu do sieci dla systemu Windows XP.

  3. Włącz odpowiednich klientów wymuszania ochrony dostępu do sieci.

  4. Skonfiguruj usługę ochrony dostępu do sieci systemu Windows w celu automatycznego uruchamiania, a następnie uruchom tę usługę.

  5. Przechwyć obraz systemu operacyjnego przy użyciu nośnika przechwytywania.

  6. Utwórz sekwencję zadań, która odwołuje się do przechwyconego obrazu.

  7. Wdróż sekwencję zadań na komputerach docelowych.

W przypadku tej konfiguracji klient wymuszania ochrony dostępu do sieci i usługa ochrony dostępu do sieci systemu Windows są uruchamiane automatycznie na nowo wdrożonym komputerze, ponieważ stanowią część obrazu. Ponadto te elementy będą już uruchomione podczas instalacji klienta programu Menedżer konfiguracji, co zapewni powiązanie klienta programu Menedżer konfiguracji z usługą ochrony dostępu do sieci systemu Windows.

Komputer referencyjny nie jest skonfigurowany do ochrony dostępu do sieci

Poniższy scenariusz ma zastosowanie, jeśli tylko niektóre komputery są zainstalowane w środowisku z włączoną ochroną dostępu do sieci lub jeśli konieczne jest dodanie konfiguracji ochrony dostępu do sieci do istniejącego przechwyconego obrazu:

  1. Skonfiguruj komputer referencyjny przy użyciu systemu operacyjnego dodatków Service Pack, aktualizacji zabezpieczeń, aplikacji, ustawień, narzędzi i dostosowanego pulpitu.

  2. Przechwyć obraz systemu operacyjnego przy użyciu nośnika przechwytywania.

  3. Utwórz sekwencję zadań wdrażania, która odwołuje się do przechwyconego obrazu.

  4. W przypadku systemu operacyjnego Windows XP dodaj krok sekwencji zadań, który zostanie wykonany w nowo wdrożonym systemie operacyjnym w celu zainstalowania klienta ochrony dostępu do sieci dla systemu Windows XP.

  5. Dodaj niestandardowy krok sekwencji zadań, który zostanie wykonany w nowo wdrożonym systemie operacyjnym w celu włączenia odpowiednich klientów wymuszania ochrony dostępu do sieci.

    Uwaga

    Użyj narzędzia wiersza polecenia netsh nap client set enforcement <enforcement ID> enable. Więcej informacji znajduje się w dokumentacji dotyczącej ochrony dostępu do sieci systemu Windows. W przypadku ciągłej konfiguracji upewnij się, że zasady grupy konfigurują klientów wymuszania.

  6. Dodaj krok sekwencji zadań, który zostanie wykonany w nowo wdrożonym systemie operacyjnym, aby skonfigurować usługę ochrony dostępu do sieci w celu automatycznego uruchamiania, a następnie uruchom tę usługę.

    Uwaga

    W przypadku ciągłej konfiguracji upewnij się, że zasady grupy konfigurują tę usługę.

  7. Dodaj krok sekwencji zadań w celu ponownego uruchomienia komputera.

    Uwaga

    Jest to wymagane, aby zapewnić uruchomienie klientów wymuszania i usługi ochrony dostępu do sieci systemu Windows przed uruchomieniem klienta programu Menedżer konfiguracji. Zapewnia to również prawidłowe powiązanie klienta programu Menedżer konfiguracji z usługą ochrony dostępu do sieci systemu Windows.

  8. Wdróż sekwencję zadań na komputerach docelowych.