无法通过网络访问保护成功修正客户端
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
本节提供的疑难解答信息可以帮助您找出客户端无法成功修正 Configuration Manager 2007 中的网络访问保护 (NAP) 的原因并解决该问题。
Windows 网络访问保护代理服务未启动
必须启动 Windows 网络访问保护代理服务,Configuration Manager 客户端才能接收客户端策略以启用网络访问保护客户端代理。这样可以使 Configuration Manager 网络访问保护客户端代理绑定到 Windows 网络访问保护代理。
如果在 Configuration Manager 客户端上启用网络访问保护客户端代理之后启动 Windows 网络访问保护代理服务(或仍未启动),Configuration Manager 系统健康验证程序点上的客户端健康声明验证将失败。这种情况下,如果系统健康验证程序上的失败类别对应不符合的健康状况,则表明客户端的网络访问可能受限,且无法修正。
要确定此种情况,请在客户端日志文件 SMSSHA.LOG 中查看以下条目:
警告 - “核心:SHA 已成功注册 NAP 代理,但无法成功绑定”
错误 - “核心:NAP 代理服务可能未运行”
解决方案
如果此情况导致计算机网络受限,请执行下列步骤以使客户端可以从受限网络移动到不受限制的网络:
确保 Windows 网络访问保护代理服务已启动并配置为在计算机上自动启动。如有必要,请手动更改服务设置。
重新启动计算机。这样将使 Configuration Manager 客户端下载其客户端策略,而网络访问保护客户端代理将自动绑定到 Windows 网络访问保护代理。
如果计算机网络未因此情况而受限,但 Windows 网络访问保护代理服务是在启用 Configuration Manager 网络访问保护客户端代理之后启动的,请执行下列步骤:
确保 Windows 网络访问保护代理服务已启动且配置为在运行 Configuration Manager 客户端的所有具有 NAP 功能的计算机上自动启动。如有必要,配置组策略以启动此服务并确认该计算机配置了此设置。
重新启动 Configuration Manager 客户端计算机,或对一个策略周期(默认情况下为 60 分钟)禁用网络访问保护客户端代理,然后重新启用网络访问保护客户端代理。
在 Windows 中配置网络访问保护之前,操作系统部署首先安装 Configuration Manager 客户端
当您使用 Configuration Manager 中的操作系统部署功能在网络访问保护环境中部署操作系统,并且使用自定义任务序列步骤来启用 强制客户端并在 Windows 中启动网络访问保护时,如果向任务序列添加重新启动步骤失败,则可能导致计算机不符合并且无法成功修正。
解决方案
手动重新启动计算机。
要更正操作系统部署配置,请参阅在启用了 NAP 的环境中规划操作系统部署。
软件更新尚未复制到本地分发点
在这种情况下,当尝试从远程分发点检索软件更新时,正在修正的客户端可能会超时。
解决方案
等待直到复制完成。
配置一个在软件更新包已经复制到所有分发点之后的生效日期可以避免这种情况。要修改现有 Configuration Manager NAP 策略的生效日期,请参阅如何设置开始网络访问保护的 NAP 评估的生效日期和时间。
软件更新位于受保护的分发点
如果识别的客户端网络位置不在配置为受保护的分发点边界内,此配置可能导致客户端无法访问软件更新。
解决方案
重新配置受保护的分发点,或者将软件更新包添加到未受保护的分发点。
软件更新位于分支分发点
如果尝试从分支分发点下载必需的软件更新,且软件更新包配置了选项“如果受保护边界内的客户端请求,则使此包在受保护的分发点上可用”,则客户端尝试检索必需的软件更新时可能超时。
解决方案
如果用户等待,最终将可以下载内容并将自动重试修正。
要避免这种情况,请配置引用软件更新(为网络访问保护选择的)的软件更新包,使这些软件更新包不会配置为选项“如果受保护边界内的客户端请求,则使此包在受保护的分发点上可用”。
客户端无法连接到修正服务器。
使用 Configuration Manager 中的网络访问保护的客户端依赖于能否与修正服务器通信。有关详细信息,请参阅关于网络访问保护修正。
解决方案
要确保客户端可以与其所需的服务器通信,请验证以下各项:
确保客户端的默认管理点可操作。
如果使用 DHCP 或 VPN NAP 强制,请确保任何基础结构服务器(如 DNS 服务器和域控制器)已在修正服务器组中指定,并且包括在网络策略服务器上的网络策略中:
如果使用 IPSec 网络访问保护强制,请确保所有修正服务器(包括 Configuration Manager 管理点、软件更新点和分发点)已配置为边界服务器。
网络访问保护客户端代理在客户端进入修正阶段后被禁用
在这种情况下,客户端可能会出现不符合的健康状况,但无法再进行修正。
解决方案
重新启动计算机以开始下载计算机策略。这样将导致禁用网络访问保护客户端代理和符合状态。
重新启用了网络访问保护客户端代理
如果重新启用网络访问保护代理,则将重新启用先前配置的 Configuration Manager NAP 策略。如果这些策略包含不再宿主在分发点上的软件更新,则无法再进行修正,因为内容不再可用。
解决方案
要解决此问题,请完成下列步骤之一:
删除旧 Configuration Manager NAP 策略,然后重新启动计算机。有关步骤信息,请参阅如何删除 Configuration Manager NAP 策略以停止网络访问保护中的 NAP 评估。
使用 Configuration Manager NAP 策略中丢失的软件更新创建新的软件更新包。当内容可用时,本地管理员用户应单击“重试”。如果用户权限较低,则可以重新启动计算机。有关创建软件更新包的详细信息,请参阅如何创建部署包。
计算机未安装 Configuration Manager 客户端
这种情况下,Configuration Manager 系统健康验证程序无法检查客户端的健康状况。默认情况下,这种情况相当于被视为不符合的错误条件。Configuration Manager 中的修正不包括自动安装 Configuration Manager 客户端,因此永远无法自动修正此客户端。
解决方案
如果计算机应安装 Configuration Manager 客户端,请提供一种方式,以便用户可以在网络受限时手动安装 Configuration Manager 客户端。有关详细信息,请参阅配置 Configuration Manager 网络访问保护的修正用户体验。
如果计算机不应安装 Configuration Manager 客户端,请在网络策略服务器上配置网络策略,以便 Configuration Manager 系统健康验证程序不会检查此计算机的健康状况。有关详细信息,请参阅确定网络访问保护策略和为 Configuration Manager 网络访问保护配置免除策略。
未知原因
如果以上条件都不适用于修正失败,请查看 Configuration Manager 网络访问保护报表“指定时间段内的修正失败列表”以帮助识别错误。有关详细信息,请参阅如何运行网络访问保护报表。
另请参阅
概念
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。