关于 Configuration Manager 中网络访问保护的符合性

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

使用下列信息了解 Configuration Manager 2007 如何确定与网络访问保护 (NAP) 的软件更新的符合性。此信息将帮助您准备网络访问保护实施,并在符合性结果不如预期那样时诊断状况。

以多阶段过程形式表示的符合性

确定 Configuration Manager 网络访问保护 (NAP) 的符合性是多阶段过程:

  • 支持 NAP 的 Configuration Manager 客户端评估它在生效日期之前是否具有所有必需的软件更新。客户端在其健康声明中将此符合或不符合信息传递到系统健康验证程序点。如果评估失败,则客户端在健康声明中发送失败信息。

  • 然后,系统健康验证程序点使用一系列符合性条件验证客户端的健康声明。验证过程使用发布到 Active Directory 域服务的 Configuration Manager 健康状况引用以及系统健康验证程序点配置的设置。

  • 在某些情况下,验证条件不足以让系统健康验证程序点确定客户端是符合还是不符合。如果客户端未知或发生错误,则会出现这种情况。然后,网络策略服务器上的系统健康验证程序的配置确定客户端是符合还是不符合。默认配置为不符合。

为什么具有必需软件更新的客户端可能不符合

使用多达三个符合性检查阶段来为 Configuration Manager 提供检测客户端是否符合软件更新的全面而高效的方法。但是,对于想要了解为什么将客户端报告为不符合的管理员,它可能带来某种程度的复杂性。例如,虽然系统健康验证程序点会对需要软件更新的客户端给予不符合健康状况,但是系统健康验证程序也可能对具有所有必需软件更新的客户端报告为不符合。

客户端具有所有必需软件更新却被视为不符合的情况包括:

  • 如果系统健康验证程序点不知道客户端站点,则会给予该客户端未知状态而不是符合或不符合。如果系统健康验证程序点在客户端的健康声明中找不到站点名称和代码的健康状况引用,就会发生此错误。此错误发生的原因可能是安装了新的 Configuration Manager 站点但 Active Directory 复制未完成。如果客户端在其 Configuration Manager 层次结构外部,也会出现这种情况。错误条件“未知”映射至 Windows 网络策略服务器的系统健康验证程序上的失败类别“已收到 SHA 供应商特定错误代码”,默认情况下,网络策略服务器被配置为不符合。但是,此失败类别可以配置为符合或不符合。

  • 如果在验证期间出现任何错误,则客户端的符合状态可以更改为两个服务器失败类别的其中一种。默认情况下,两个服务器失败类别在 Windows 网络策略服务器的系统健康验证程序上都配置为不符合,但是两者都可以配置为符合或不符合。

  • 如果下列任何验证检查失败,则符合其 Configuration Manager NAP 策略的客户端会被视为不符合:

    • 来自客户端的健康声明旧于选项“创建日期必须晚于”的系统健康验证程序点设置。在这种情况下,可能配置了新的和重要的 Configuration Manager NAP 策略,并且客户端必须使用最新的 Configuration Manager NAP 策略评估其符合性。

    • 来自客户端的健康声明不在选项“有效期”的系统健康验证程序点设置中。在这种情况下,客户端使用缓存的健康声明。如果客户端再次重新评估其符合性,它可能不再符合(例如,如果已卸载软件更新)。

    • 客户端不会使用最新的 Configuration Manager NAP 策略评估其符合性。在这种情况下,客户端的健康声明中的策略时间戳旧于健康状况引用中的时间戳,这表示自客户端上次下载其 Configuration Manager NAP 策略以来已对 Configuration Manager NAP 策略做了更改。

具有必需软件更新的客户端的修正步骤

如果客户端符合其 Configuration Manager NAP 策略,但不符合系统健康验证程序条件,则成功修正按顺序包含下列步骤:

  • 如果客户端尚未评估最新的 Configuration Manager NAP 策略,则系统会指示客户端下载其计算机策略,其中包括 Configuration Manager NAP 策略。

  • 客户端重新评估其符合性并将新的健康声明发送到系统健康验证程序点。

  • 如果状态仍然符合并且所有验证均已通过,则会给客户端提供符合健康状况。

另请参阅

任务

如何为健康声明指定选项“创建日期必须晚于”
如何为健康声明指定有效期

概念

为 Configuration Manager 网络访问保护配置失败类别
关于网络访问保护中的 NAP 生效日期
关于网络访问保护中的 NAP 健康状况引用
关于网络访问保护中的 Configuration Manager NAP 策略
关于网络访问保护中的健康声明 (SoH)
系统健康验证程序点:网络访问保护的验证过程
关于网络访问保护中的系统健康验证程序点

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。