关于网络访问保护中的 NAP 健康状况引用

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

使用此信息了解如何在 Configuration Manager 2007 中使用 Configuration Manager 网络访问保护 (NAP) 健康状况引用,以及为何可能需要考虑它们在 Configuration Manager 中的使用和配置。

如何创建、修改和检索健康状况引用

Configuration Manager 2007 中的 Configuration Manager (NAP) 健康状况引用存储在 Active Directory 的系统管理容器中,由系统健康验证程序点在验证客户端健康声明时使用。

健康状况引用由层次结构中的每台站点服务器发布,并在创建、修改或从父站点继承 Configuration Manager 网络访问保护 (NAP) 策略时更新。

然后健康状况引用由系统健康验证程序点定期检索,进行缓存,并在验证过程中使用。

在符合性验证期间如何使用健康状况引用

健康状况引用用于验证客户端的 Configuration Manager 站点,并验证客户端在评估其与 Configuration Manager NAP 策略中指定的软件更新的符合性时是否使用了最新的 Configuration Manager NAP 策略。

在系统健康验证程序点已验证健康声明之后,客户端的健康状况将作为符合或不符合状态传递到 Microsoft Windows 网络策略服务器 (NPS),或验证失败。

站点服务器使用轻型目录访问协议 (LDAP)(端口 389 或 636)将健康状况引用发布到域控制器。然后此引用复制到全局编录,系统健康验证程序点使用全局编录查询(端口 3268 或 3269)来检索健康状况引用。

默认情况下,Configuration Manager 健康状况引用在站点服务器的 Active Directory 林中发布,并从系统健康验证程序点的 Active Directory 林中检索。当站点服务器和系统健康验证程序点不在同一 Active Directory 林中时,必须指定 Configuration Manager 健康状况引用的位置。有关详细信息,请参阅关于网络访问保护和多个 Active Directory 林如何指定 NAP 健康状况引用的位置

备注

在跨 Active Directory 站点实施 Configuration Manager 网络访问保护时,请注意 Active Directory 复制延迟。例如,虽然在修改 Configuration Manager NAP 策略时站点服务器将 Configuration Manager 健康状况引用发布到域控制器,但在 Active Directory 复制完成之前,系统健康验证程序点可能不能立即检索到此新数据。

因此,不要立即在新的 Configuration Manager 站点上启用网络访问保护客户端代理,而是等到 Configuration Manager 站点信息已复制到系统健康验证程序点使用的全局编录服务器之后。如果您的 Windows 网络策略服务器将为不符合的客户端提供受限制的网络访问权限,这特别重要。

另请参阅

任务

如何配置系统健康验证程序 Active Directory 域服务查询间隔
如何安装系统健康验证程序点
如何指定健康状况引用发布帐户
如何指定健康状况引用查询帐户
如何指定 NAP 健康状况引用的位置

概念

关于 Configuration Manager 中网络访问保护的符合性
关于网络访问保护和多个 Active Directory 林
关于 Configuration Manager 层次结构中的网络访问保护
关于网络访问保护中的 Configuration Manager NAP 策略
关于网络访问保护中的健康声明 (SoH)
系统健康验证程序点:网络访问保护的验证过程
关于网络访问保护中的系统健康验证程序点

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。