计算机在不应使用网络访问保护时具有完全网络访问权限
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
本节提供一些疑难解答信息来帮助您在 Configuration Manager 2007 中识别和解决下列问题:在使用网络访问保护时,计算机不应具有完全网络访问权限,但实际上具有此权限。
客户端不支持网络访问保护 (NAP)
Configuration Manager 客户端必须能够支持网络访问保护 (NAP)。有关详细信息,请参阅 关于网络访问保护中的 NAP 客户端状态。
解决方案
如果可能,请升级客户端以支持网络访问保护。有关详细信息,请参阅如何为网络访问保护客户端准备站点。
如果站点包含一些无法支持网络访问保护的客户端,请在网络策略服务器上重新配置网络策略,以便不支持 NAP 的客户端的网络访问受到限制(尽管不能对其进行修正)。有关详细信息,请参阅确定网络访问保护策略。
Microsoft Windows NAP 服务未启动,或者本地 Configuration Manager 策略通过禁用站点设置来启用网络访问保护客户端代理
这两种情况都可以解释不符合的计算机具有完全网络访问权限的原因。
解决方案
默认情况下,Windows NAP 服务未启动。请启动该服务并将其配置为自动启动。
如果本地策略阻止在客户端上启用网络访问保护客户端代理,请删除或重新配置本地 Configuration Manager 策略。
已配置网络策略服务器,以便不符合的计算机在有限时间内具有完全网络访问权限
这是一种合法的策略配置,它将导致不符合的计算机在有限时间内具有完全网络访问权限。在此期间,计算机将进行自动修正;如果成功,即会存在一个符合状态,为其提供完全网络访问权限。
解决方案
如果不符合的计算机不应具有访问整个网络的权限,请重新配置网络策略,以不选择“有限时间内的完全网络访问权限”:有关详细信息,请参阅为 Configuration Manager 网络访问保护配置网络策略。
客户端尚未下载用于启用网络访问保护客户端代理的计算机策略
如果您最近启用了网络访问保护客户端代理,则在客户端按照计划(默认为每隔 60 分钟)下载它们的计算机策略之前,客户端将具有完全网络访问权限。您可以通过计算机客户端代理属性:“常规”选项卡中的“策略轮询间隔”选项来查看或更改间隔。
解决方案
等待直到客户端按照计划下载了其客户端策略,或者手动或使用脚本从客户端启动策略检索。
要启动客户端策略检索,请参阅如何启动 Configuration Manager 客户端策略检索。
它在 Configuration Manager NAP 策略的生效日期之前
如果 Configuration Manager 客户端未选择在 Configuration Manager NAP 策略中配置的日期之前的软件更新,则将无法限制 Configuration Manager 客户端。有关详细信息,请参阅关于网络访问保护中的 NAP 生效日期。
解决方案
如果不符合的计算机在生效日期之前不能具有完全网络访问权限,请重新配置生效日期。有关详细信息,请参阅如何设置开始网络访问保护的 NAP 评估的生效日期和时间。
客户端尚未下载最新的 Configuration Manager NAP 策略
如果您最近配置或添加了 Configuration Manager NAP 策略,则客户端将无法立即对这些策略进行评估。
解决方案
等待直到客户端按照计划(默认为每隔 60 分钟)下载其策略(其中包括 Configuration Manager NAP 策略)。
要对所选客户端加快该过程,并从客户端启动临时策略检索,请参阅如何启动 Configuration Manager 客户端策略检索。
要对所有客户端加快该过程,请在网络策略服务器计算机上停止并重新启动服务 SMS_SYSTEM_HEALTH_VALIDATOR。这将强制那些将其健康声明发送给网络策略服务器的客户端下载最新的 Configuration Manager NAP 策略并重新评估它们的符合性。然而,如果网络策略服务器上的策略已配置为限制不符合的计算机,则当计算机执行此操作时,将限制这些计算机的网络访问权限。
对于现行解决方案,请考虑在系统健康验证程序点上指定一个较短的查询间隔。有关详细信息,请参阅如何配置系统健康验证程序 Active Directory 域服务查询间隔。
此外,请检查写入 Configuration Manager 2007 健康状况引用并将其复制到系统健康验证程序点所使用的全局编录服务器的站点服务器的 Active Directory 复制延迟。
出现错误条件
默认情况下,网络策略服务器上的 Configuration Manager 系统健康验证程序被配置为将所有错误映射到不符合状态。随后按照不符合状态对客户端指定网络访问权限。然而,可以将这些错误配置为符合状态,这将导致没有所需软件更新的客户端具有完全网络访问权限,因为该客户端遇到错误。
解决方案
将 Configuration Manager 系统健康验证程序错误条件从符合重新配置为不符合。有关详细信息,请参阅为 Configuration Manager 网络访问保护配置失败类别。
系统健康验证程序点未安装或不可操作
Configuration Manager 系统健康验证程序点必须安装且可操作,才能对不符合的客户端进行限制。
解决方案
安装系统健康验证程序点。有关过程信息,请参阅如何安装系统健康验证程序点。
如果系统健康验证程序点已安装但不可操作,请使用下列步骤识别和更正操作问题:
检查与系统健康验证程序点有关的状态消息。
验证每个网络访问保护组件:如何验证网络访问保护组件
有关错误,请参阅网络访问保护日志文件:网络访问保护的日志文件
网络策略服务器没有为 Configuration Manager 配置策略
网络策略服务器必须具有包括 Configuration Manager 系统健康验证程序的策略。有关详细信息,请参阅关于使用网络访问保护强制符合性。
解决方案
在网络策略服务器上创建或修改策略。有关详细信息,请参阅为 Configuration Manager 配置网络策略服务器。
网络策略服务器配置了一些未选择复选框“启用客户端计算机的自动修正”的策略
如果强制网络访问保护,则 Configuration Manager 将始终修正。有关详细信息,请参阅确定网络访问保护策略。
解决方案
无。如果未自动修正,则无法在 Configuration Manager 2007 中限制网络访问保护客户端。
策略被错误配置
网络策略服务器上存在已配置为在有限的时间内向不符合的计算机提供完全网络访问权限(而不是配置为 NAP 强制)的策略、网络策略的排序错误或者某个其他错误配置均会导致计算机在不应具有完全网络访问权限时具有此权限。
向符合或不符合的计算机授予的网络访问权限依赖于在网络策略服务器上配置策略的方式。有关详细信息,请参阅确定网络访问保护策略。
解决方案
如果错误配置了策略以致不符合的计算机在不应具有完全网络访问权限时具有此权限,请重新配置这些策略。有关详细信息,请参阅为 Configuration Manager 网络访问保护配置网络策略。
客户端使用缓存的健康声明
客户端可以提供一个可能已过期的缓存健康声明。有关如何将健康声明用于网络访问保护的详细信息,请参阅关于网络访问保护中的健康声明 (SoH)。
要查看客户端将在哪些条件下使用缓存的健康声明,请参阅 Configuration Manager 客户端的 NAP 评估条件。
解决方案
要修改这些设置以便客户端从不使用缓存的健康声明,请参阅如何配置 NAP 评估设置。
要重新配置缓存的健康声明的有效期,请参阅如何为健康声明指定有效期。
对于不影响其他客户端的临时解决方案,请重新启动客户端计算机。
客户端已分配给子站点,并且 NAP 策略尚未沿着层次结构向下复制
Configuration Manager NAP 策略设计为沿着层次结构向下复制,并且这会导致创建或修改 Configuration Manager NAP 策略与在子站点中的客户端上生效之间出现延迟。
解决方案
等待站点复制操作完成。
另请参阅
概念
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。