通过

关于网络访问保护修正

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

使用以下信息了解修正在 Configuration Manager 2007 网络访问保护中如何工作,以及修正对 Configuration Manager 客户端有何影响。

修正过程

网络访问保护 (NAP) 中的修正是使具有不符合健康状况的客户端进入符合状态的一种方式。Configuration Manager 2007 中的修正在 Microsoft Windows 网络策略服务器 (NPS) 上的网络策略对不符合的客户端强制网络访问保护 (NAP) 时发生。它涉及下列操作之一:

  • 客户端生成最新的健康声明。

  • 客户端下载最新的 Configuration Manager NAP 策略,重新评估符合性,并生成最新的健康声明。

  • 客户端安装符合性所需的软件更新,重新评估符合性,并生成最新的健康声明。

修正之外的其他 Configuration Manager 2007 功能在受限网络上不受支持。

当客户端具有有限网络访问权限或在有限时间内具有完全网络访问权限时,Configuration Manager 2007 修正可能发生。当修正成功时,如果客户端的健康状况仍为符合,则客户端具有完全网络访问权限。

重要

如果网络策略服务器允许完全网络访问(报表模式),Configuration Manager 2007 将不会在不受限的网络上进行修正。此功能通过标准的 Configuration Manager 2007 软件更新获得支持。

此外,如果网络策略服务器正在强制健康策略,则即使未启用网络策略服务器上的“启用客户端计算机的自动修正”选项,Configuration Manager 2007 也将始终修正不符合的计算机。

修正服务器

Configuration Manager 2007 修正服务器是具有客户端进入符合状态所需资源的服务器,并且是:

  • 在客户端需要下载最新的 Configuration Manager NAP 策略时的客户端管理点。

  • 客户端的软件更新点。

  • 宿主软件更新包的分发点,其中软件更新包包含客户端不符合时所需的软件更新。符合性所需的软件更新优先安装。

此外,为 Configuration Manager 站点分配和管理点提供服务位置的服务器还必须可用,并因此而被视为修正服务器。例如,为了让客户端访问发布到 Active Directory 域服务的站点信息,该客户端必须能够访问全局编录服务器。那些需要站点信息但无法从 Active Directory 域服务访问站点信息的客户端还需要服务器定位器点,服务器定位器点也可用于定位管理点。有关客户端是否必须能够访问服务器定位器点的详细信息,请参阅确定是否需要 Configuration Manager 客户端的服务器定位器点。有关 Configuration Manager 中的服务位置的详细信息,请参阅 Configuration Manager 和服务定位(站点信息和管理点)

如果您正在使用 DHCP 强制,则必须在网络策略服务器上的修正服务器组中配置修正服务器。它们通常包括 DNS、WINS 和域控制器等基础结构服务器。但是,请不要向修正服务器组添加被配置为管理点、软件更新点和分发点的服务器,因为这些服务器将由经历修正的客户端动态提供。

修正重新启动和重试

如果通过修正安装的软件更新要求计算机重新启动,重新启动将排入队列,直到符合性所需的所有软件更新均已安装完毕。另一种重新启动情况是,特定软件更新要求在安装修正所需的软件更新之前重新启动(Service Pack 通常有此要求)。

在这些重新启动情况中,如果修正发生在受限网络上,系统将通知用户它会自动执行重新启动,并且会出现倒计时以便用户保存他们所做的工作。如果客户端在有限时间内具有完全网络访问权限时发生修正,系统会通知用户需要重新启动,并出现重新启动或取消的提示。如果用户取消重新启动,则修正尚未完成,符合性状态将保持为不符合,直到软件更新安装完成。

如果客户端遇到修正失败且失败归因于暂时情况,则修正会在后台重试。如果客户端无法连接到它需要的修正服务器,或者无法成功地下载内容,它将依次在 1 分钟、2 分钟、4 分钟后重试并继续按呈指数增长的时间间隔重试,直到在 256 分钟的期间内重试 8 次。这些重试尝试会在后台自动执行,它们不是 Configuration Manager 2007 网络访问保护的可配置属性。

另请参阅

概念

关于 Configuration Manager 中网络访问保护的符合性
关于使用网络访问保护强制符合性
决定是否需要其他分发点用于网络访问保护修正
关于网络访问保护中的健康声明 (SoH)
关于网络访问保护中的系统健康验证程序点

其他资源

为 Configuration Manager 配置网络策略服务器

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。