Поделиться через


Развертывание защиты доступа к сети для нескольких лесов

Назначение: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Шаги настройки, которые требуется выполнить при развертывании защиты доступа к сети (NAP) Configuration Manager 2007 в нескольких лесах Active Directory, зависят от топографии, существующей конфигурации и принятого решения о месте публикации ссылки на состояние работоспособности Configuration Manager. Если при принятии решения, в каком лесу будут публиковаться ссылки на состояние работоспособности, требуется помощь, см. раздел Определение леса публикации ссылок на состояние работоспособности для защиты доступа к сети.

Воспользуйтесь следующим сценарием для выбора подходящих шагов по настройке для развертывания защиты доступа к сети в Configuration Manager в нескольких лесах Active Directory при нахождении серверов сайта в одном лесу Active Directory, а всех точек средства проверки работоспособности системы — в другом.

  • Развертывание защиты доступа к сети Configuration Manager в двух лесах при публикации ссылок на состояние работоспособности Configuration Manager в лесу, в котором содержатся серверы сайта.

  • Развертывание защиты доступа к сети Configuration Manager в двух лесах, когда ссылки на состояние работоспособности Configuration Manager публикуются в лесу, в котором содержатся точки средства проверки работоспособности системы

  • Развертывание защиты доступа к сети Configuration Manager над двумя лесами при публикации ссылок на состояние работоспособности Configuration Manager в третьем лесу, имеющем отношения доверия с двумя другими лесами (либо доверие лесу, либо доверие внешнему домену)

  • Развертывание защиты доступа к сети Configuration Manager в двух лесах при публикации ссылок на состояние работоспособности Configuration Manager в третьем лесу, не обладающем отношениями доверия с двумя другими лесами.

Развертывание защиты доступа к сети Configuration Manager в двух лесах при публикации ссылок на состояние работоспособности Configuration Manager в лесу, в котором содержатся серверы сайта.

  1. Выполните следующие действия, если они еще не выполнены для других функций Configuration Manager.

    • Расширьте схему Active Directory с помощью расширений Configuration Manager 2007. Дополнительные сведения см. в разделе Расширение схемы Active Directory для Configuration Manager.

    • Включите публикацию ссылок на состояние работоспособности Configuration Manager, создав контейнер System Management в каждом домене, содержащем сервер сайта, и предоставьте разрешения "Полный доступ" (к этому объекту и ко всем дочерним объектам) учетным записям компьютера сервера основного сайта.

    • Настройте все сайты для публикации в доменных службах Active Directory. Дополнительные сведения см. в разделе Публикация сведений о сайте Configuration Manager в доменных службах Active Directory.

  2. В качестве части настройки компонента средства проверки работоспособности системы выполните следующие действия.

    • Укажите значение для параметра Назначить лес Active Directory. Дополнительные сведения см. в разделе Указание расположения ссылки на состояние работоспособности защиты доступа к сети.

    • Укажите полное доменное имя сервера сайта, где будут созданы политики защиты доступа к сети в поле Суффикс домена. Это сообщит точкам средства проверки работоспособности системы, где они должны получать ссылки на сведения о состоянии работоспособности Configuration Manager. Поскольку каждый домен сохраняет ссылки на сведения о состоянии работоспособности Configuration Manager в глобальный каталог, точка средства проверки работоспособности системы запрашивает глобальный каталог в указанном домене, что означает, что она может получить все ссылки на сведения о состоянии Configuration Manager изо всех доменов в этом лесу.

  3. При наличии исходящего отношения доверия из домена, указанного в суффиксе домена, и доменов, в которых находятся точки средства проверки работоспособности системы дополнительная настройка не требуется. Учетные записи точки средства проверки работоспособности системы будут использоваться и проходить проверку подлинности во всех доверенных доменах.

  4. При отсутствии исходящего отношения доверия из домена, указанного в суффиксе домена, и доменов, в которых находятся точки средства проверки работоспособности системы, необходимо выполнить следующие дополнительные действия.

    • Создайте учетную запись пользователя Microsoft Windows в лесу, в котором содержатся серверы сайта, и укажите для этой учетной записи пароль, срок которого никогда не истекает.

    • Укажите эту учетную запись пользователя Windows как Учетную запись запросов на ссылки на состояние работоспособности в свойствах компонента точки средства проверки работоспособности системы в разделе Конфигурация компонента. Дополнительные сведения см. в разделе Указание учетной записи запросов ссылок на состояние работоспособности.

Развертывание защиты доступа к сети Configuration Manager в двух лесах, когда ссылки на состояние работоспособности Configuration Manager публикуются в лесу, в котором содержатся точки средства проверки работоспособности системы

  1. В лесу, в котором содержатся точки средства проверки работоспособности системы, выполните следующие действия.

    • Расширьте схему Active Directory с помощью расширений Configuration Manager 2007. Дополнительные сведения см. в разделе Расширение схемы Active Directory для Configuration Manager.

    • Создайте в одном домене контейнер System Management для хранения ссылок на сведения о состоянии работоспособности Configuration Manager.

    • Создайте локальную группу домена и предоставьте ей разрешения "Полный доступ" (для этого объекта и всех дочерних объектов) к контейнеру System Management.

  2. В качестве части настройки компонента средства проверки работоспособности системы выполните следующие действия.

    • Выберите значение для параметра Назначить лес Active Directory. Дополнительные сведения см. в разделе Указание расположения ссылки на состояние работоспособности защиты доступа к сети.

    • В поле Суффикс домена укажите полное доменное имя сервера сайта, где был создан контейнер System Management. Это сообщит точкам средства проверки работоспособности системы, где они должны получать ссылки на сведения о состоянии работоспособности Configuration Manager.

  3. При наличии исходящего отношения доверия из домена, указанного в суффиксе домена, и доменов, в которых находятся серверы сайта, добавьте учетные записи компьютеров каждого сервера сайта в созданную локальную группу домена.

  4. При отсутствии исходящего отношения доверия из домена, указанного в суффиксе домена, и доменов, в которых находятся серверы сайта, необходимо выполнить следующие дополнительные действия.

    • Создайте учетную запись пользователя Microsoft Windows в лесу, в котором содержатся точки средства проверки работоспособности системы, и настройте для этой учетной записи пароль, срок которого никогда не истекает.

    • Укажите эту учетную запись пользователя Windows как Учетную запись публикации ссылок на состояние работоспособности в свойствах компонента точки средства проверки работоспособности системы в разделе Конфигурация компонента. Дополнительные сведения см. в разделе Настройка учетной записи публикации ссылок на сведения о состоянии работоспособности.

    • Убедитесь, что разрешение имен настроено таким образом, что серверы сайта могут разрешить пространство имен леса для точек средства проверки работоспособности системы (например, с помощью DNS-переадресации или подсказок корня).

Развертывание защиты доступа к сети Configuration Manager над двумя лесами при публикации ссылок на состояние работоспособности Configuration Manager в третьем лесу, имеющем отношения доверия с двумя другими лесами (либо доверие лесу, либо доверие внешнему домену)

  1. В третьем лесу Active Directory выполните следующие действия.

    • Расширьте схему Active Directory с помощью расширений Configuration Manager 2007. Дополнительные сведения см. в разделе Расширение схемы Active Directory для Configuration Manager.

    • Создайте в одном домене контейнер System Management для хранения ссылок на сведения о состоянии работоспособности Configuration Manager.

    • Создайте локальную группу домена и предоставьте ей разрешения "Полный доступ" (для этого объекта и всех дочерних объектов) к контейнеру System Management.

  2. В качестве части настройки компонента средства проверки работоспособности системы выполните следующие действия.

    • Укажите значение для параметра Назначить лес Active Directory. Дополнительные сведения см. в разделе Указание расположения ссылки на состояние работоспособности защиты доступа к сети.

    • В поле Суффикс домена укажите полное доменное имя сервера сайта, где был создан контейнер System Management. Это сообщит серверам сайта, куда сохранять ссылки на состояние работоспособности Configuration Manager, а точкам средств проверки работоспособности системы — где они должны получать данные ссылки.

  3. Установите флажок для параметра Опубликовать этот сайт в доменных службах Active Directory на каждом сайте, который будет поддерживать защиту доступа к сети, если он еще не установлен. Дополнительные сведения см. в разделе Публикация сведений о сайте Configuration Manager в доменных службах Active Directory.

  4. С помощью исходящего отношения доверия из домена, указанного в суффиксе домена, и доменов, в которых находятся серверы сайта, добавьте учетные записи компьютеров каждого сервера сайта в созданную локальную группу домена.

  5. Будет проверена подлинность учетных записей точек средства проверки работоспособности системы для получения ссылок на работоспособность системы Configuration Manager с помощью исходящего отношения доверия между доменом, указанным в суффиксе домена, и доменами, в которых находятся точки средства проверки работоспособности системы, без дополнительной настройки.

Развертывание защиты доступа к сети Configuration Manager в двух лесах при публикации ссылок на состояние работоспособности Configuration Manager в третьем лесу, не обладающем отношениями доверия с двумя другими лесами.

  1. В третьем лесу Active Directory выполните следующие действия.

    • Расширьте схему Active Directory с помощью расширений Configuration Manager 2007. Дополнительные сведения см. в разделе Расширение схемы Active Directory для Configuration Manager.

    • Создайте в одном домене контейнер System Management для хранения ссылок на сведения о состоянии работоспособности Configuration Manager.

    • Создайте локальную группу домена и предоставьте ей разрешения "Полный доступ" (для этого объекта и всех дочерних объектов) к контейнеру System Management.

    • Создайте учетную запись пользователя Windows для публикации ссылок на состояние работоспособности Configuration Manager. Укажите для этой учетной записи пароль, срок которого никогда не истекает, а также сделайте ее членом локальной группы созданного домена.

    • Создайте учетную запись пользователя Windows для получения ссылок на состояние работоспособности Configuration Manager. Укажите для этой учетной записи пароль, срок которого никогда не истекает.

  2. Настройте свойства компонента точки средства проверки работоспособности системы в разделе Конфигурация компонента, выполнив следующие действия.

  3. Установите флажок для параметра Опубликовать этот сайт в доменных службах Active Directory на каждом сайте, который будет поддерживать защиту доступа к сети, если он еще не установлен. Дополнительные сведения см. в разделе Публикация сведений о сайте Configuration Manager в доменных службах Active Directory.

  4. С помощью исходящего отношения доверия из домена, указанного в суффиксе домена, и доменов, в которых находятся серверы сайта, добавьте учетные записи компьютеров каждого сервера сайта в созданную локальную группу домена.

  5. Убедитесь, что разрешение имен настроено таким образом, что серверы сайта и точки средства проверки работоспособности системы могут разрешить пространство имен третьего леса Active Directory (например, с помощью DNS-переадресации или подсказок корня).

См. также

Задачи

Публикация сведений о сайте Configuration Manager в доменных службах Active Directory
Указание учетной записи запросов ссылок на состояние работоспособности
Настройка учетной записи публикации ссылок на сведения о состоянии работоспособности
Указание расположения ссылки на состояние работоспособности защиты доступа к сети

Основные понятия

О ссылках на состояние работоспособности NAP в защите доступа к сети
О точках средства проверки работоспособности системы в защите доступа к сети
О защите доступа к сети и нескольких лесах Active Directory
Определение леса публикации ссылок на состояние работоспособности для защиты доступа к сети

Другие ресурсы

Расширение схемы Active Directory для Configuration Manager

Дополнительные сведения см. на странице Configuration Manager 2007 Information and Support [Информация и поддержка Configuration Manager 2007].
Для обращений в группу разработчиков документации используйте адрес электронной почты SMSdocs@microsoft.com.