关于 Configuration Manager 层次结构中的网络访问保护
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
使用下列信息来了解在 Configuration Manager 2007 多站点层次结构中实施网络访问保护 (NAP) 的任何隐患,以及此操作如何影响 Configuration Manager NAP 策略和漫游客户端的行为。
在子站点之前为父站点启用网络访问保护
当您在 Configuration Manager 多站点层次结构中实施网络访问保护 (NAP) 时,将以从上至下的方式来启用网络访问保护。在将 Configuration Manager 软件更新与 Microsoft 同步的中央站点或主站点上创建 Configuration Manager NAP 策略。Configuration Manager NAP 策略将沿层次结构自动向下传递。
重要
您无法在从父站点继承软件更新的站点上创建 NAP 策略。在配置与 Microsoft 之间的软件更新同步时,请确保在想要从其中创建 Configuration Manager NAP 策略的站点上配置此同步。
如果子站点将软件更新与 Microsoft 同步,则可以在该站点上创建 Configuration Manager NAP 策略。但是,如果您稍后更改同步配置,使父站点与 Microsoft 同步,则这会导致以下情况发生:
如果在父站点上创建了软件更新相同,但生效日期不同的相同 Configuration Manager NAP 策略,则子站点上的 Configuration Manager NAP 策略将被在父站点上创建的新 Configuration Manager NAP 策略覆盖(并被下一级子站点继承),且子站点无法修改或删除这些策略。
如果父站点创建的 Configuration Manager NAP 策略与在子站点上创建的不同,则原始 Configuration Manager NAP 策略将保留在子站点上(并被下一级子站点继承)。这些 Configuration Manager NAP 策略仍然可以在子站点上修改和删除,但无法在子站点上创建新的 Configuration Manager NAP 策略。
如果没有为子站点启用网络访问保护,您将不能使用“策略”节点查看 NAP 策略,但是运行下列报表将列出这些策略:网络访问保护策略列表。
具有网络访问保护的子站点行为
如果您的 Configuration Manager 层次结构包含两个以上的主站点级别,则在子主站点上禁用网络访问保护不会阻止对从父站点到孙站点的 Configuration Manager NAP 策略的继承。
您将不能修改或删除从父站点继承的 NAP 策略,如果此站点从父站点继承策略,您也不能创建 NAP 策略。但是,您可以在继承了 NAP 策略的子站点上禁用网络访问保护。
网络访问保护和漫游
当启用了网络访问保护客户端代理并且支持 NAP 的 Configuration Manager 客户端漫游到不同的 Configuration Manager 站点时,它仍将根据自身站点上定义的 Configuration Manager NAP 策略评估其符合性状态。
客户端向其传递客户端健康声明的系统健康验证程序点不是依赖于 Configuration Manager 站点,而是依赖于基础网络访问保护强制机制。这意味着网络位置的变化可能导致客户端在漫游到其他站点时使用不同的系统健康验证程序点(例如,如果您正在使用 DHCP 作为网络访问保护强制机制)。
如果某个 Configuration Manager 站点未启用网络访问保护,并且被定向以使用站点的系统健康验证程序点,则来自该站点的支持 NAP 的漫游客户端将被系统健康验证程序点视为符合。在这种情况下,系统健康验证程序点将增大其 SHV 验证程序性能计数器“Configuration Manager NAP 客户端代理被禁用”。
Configuration Manager 站点内的系统健康验证程序点共享相同的配置选项,这些选项用于确定客户端的健康状态。这些配置选项如下:
健康状况引用被检索的频率。
在特定日期和时间之后是否需要创建客户端健康声明。
健康声明的有效期。
在同一 Configuration Manager 层次结构中的站点之间的这些配置区别可能导致符合其 Configuration Manager NAP 策略的客户端具有不同的健康状况。
重要
启用了网络访问保护客户端代理的 Configuration Manager 客户端可以漫游到不同的 Configuration Manager 层次结构,并允许来自其 Configuration Manager 层次结构以外的系统健康验证程序点验证客户端健康声明。在这种情况下,验证过程的站点检查将失败,除非两个层次结构的 NAP 健康状况引用都发布到同一位置。
如果系统健康验证程序点不能验证客户端的站点,这样将导致客户端健康状况为未知,这在网络策略服务器上默认配置为不符合。如果网络策略服务器的网络策略配置为限制网络访问保护的访问,则这些客户端无法进行修正,可能无法访问整个网络。要解决此问题,网络策略服务器上的免除策略将赋予漫游到 Configuration Manager 层次结构以外的 Configuration Manager 客户端完全网络访问权限。另请参阅
任务
如何配置系统健康验证程序 Active Directory 域服务查询间隔
如何为健康声明指定选项“创建日期必须晚于”
如何为健康声明指定有效期
如何为网络访问保护创建 Configuration Manager NAP 策略
如何禁用网络访问保护客户端代理
如何启用网络访问保护客户端代理
如何运行网络访问保护报表
如何查看网络访问保护的 Configuration Manager NAP 策略
概念
关于 Configuration Manager 中网络访问保护的符合性
关于网络访问保护中的 NAP 健康状况引用
如何为网络访问保护使用性能计数器监视系统健康验证程序点
系统健康验证程序点:网络访问保护的验证过程
关于网络访问保护中的系统健康验证程序点
为 Configuration Manager 网络访问保护配置免除策略
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。