关于网络访问保护中的健康声明 (SoH)

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

使用下列信息来了解 Configuration Manager 2007 客户端如何在网络访问保护 (NAP) 过程中使用健康声明及其原因,以及它包含的信息。

健康声明内容

在 Configuration Manager 2007 中,如果 Windows 网络访问保护代理发出请求,则所有支持 NAP 的客户端都会生成健康声明(通常简称 SoH)。

此健康声明始终至少包含下列信息:

  • 客户端的符合性状态。

  • 客户端的站点。

  • 用来标识客户端用于评估其符合性的 Configuration Manager NAP 策略的时间戳引用。

如何向客户端发送和从中发送健康声明

在轮流向 Microsoft Windows 网络策略服务器 (NPS) 发送包含客户端健康状况的健康声明响应 (SoHR) 之前,Configuration Manager 2007 客户端会将其健康声明发送到 Configuration Manager 系统健康验证程序点进行验证。

客户端健康状况也会以健康声明响应 (SoHR) 的形式从网络策略服务器发送回客户端。

健康声明中的符合性信息

客户端健康状况可能是符合(这种情况下,客户端通常具有不受限制的网络访问权限),也可能是不符合(这种情况下,可以调用修正以使客户端符合)。

最初,即使未对站点启用网络访问保护,所有支持 Configuration Manager NAP 的客户端也都会生成符合状态的健康声明。当对站点启用网络访问保护 (NAP) 时,分配到该站点的所有支持 NAP 的客户端随后将通过一个评估来评估符合性,该评估基于在该站点中创建的或从父站点继承的任何 Configuration Manager NAP 策略。此后,如果客户端不符合,发送到系统健康验证程序点的客户端健康声明可能会导致强制修正。

缓存的健康声明

客户端生成健康声明需要时间和处理过程,因此,为提高效率,客户端健康声明将自动缓存在客户端计算机上。如果未选择下列网络访问保护客户端代理选项,客户端将使用缓存的健康声明:为每个评估强制全新扫描。有关详细信息,请参阅如何配置 NAP 评估设置

如果缓存的健康声明在配置的有效期内,并且不与可选设置“创建日期必须晚于 (UTC)”冲突,系统健康验证程序点将从客户端接受缓存的健康声明。有关详细信息,请参阅如何为健康声明指定有效期以及如何为健康声明指定选项“创建日期必须晚于”

健康声明消息中记录的评估失败

如果对客户端启用了网络访问保护,客户端发送到系统健康验证程序点的健康声明包含的符合性状态可能为符合(如果它符合下载的 Configuration Manager NAP 策略),也可能为不符合(如果它不符合下载的 Configuration Manager NAP 策略)。但是,如果客户端无法成功确定其符合性状态,客户端健康声明将包含结果客户端失败类别和代码。

当客户端健康声明到达系统健康验证程序点时,系统健康验证程序点将检查该失败是否与其列出的已知失败之一相匹配。如果是已知失败,系统健康验证程序点将向网络策略服务器发送包含已知失败的健康声明。如果失败对于系统健康验证程序点未知,则系统健康验证程序点将向网络策略服务器发送包含“未知响应状态”失败的健康声明。

有关失败类别的详细信息,请参阅为 Configuration Manager 网络访问保护配置失败类别

在系统健康验证程序点验证健康声明

在系统健康验证程序点将包含客户端健康状况的健康声明响应发送到网络策略服务器之前,它会对接收到的客户端健康声明进行一系列验证检查。

这可能意味着发送到系统健康验证程序点的包含符合状态的客户端健康声明可能导致系统健康验证程序向网络策略服务器发送不符合健康状况。例如,下列情况下可能会发生这种情况:客户端符合下载的 Configuration Manager NAP 策略,但是存在为该站点配置的更新的 Configuration Manager NAP 策略,并且客户端未下载这些策略,则符合性状态已过期,因而无效。

备注

有关客户端可以发送包含不符合状态的健康声明,但向网络策略服务器发送包含不符合健康状态的健康声明的不同情况的详细信息,请参阅关于 Configuration Manager 中网络访问保护的符合性

如果系统健康验证程序点无法成功确定客户端健康状况,它将向网络策略服务器发送包含遇到的服务器失败类别和代码的健康声明。

有关系统健康验证程序点对客户端健康声明执行的验证检查的列表以及处理这些检查的顺序,请参阅系统健康验证程序点:网络访问保护的验证过程

因修正而重新发送的健康声明

如果客户端因其不符合状态而进入修正,它将立即生成另一客户端健康声明,此健康声明包括要使客户端符合所需的 Configuration Manager 修正服务器的列表(客户端的管理点、分发点和软件更新点)。有关修正过程的详细信息,请参阅关于网络访问保护修正

成功修正客户端之后,客户端将生成另一健康声明,此健康声明包含符合状态。系统健康验证程序点将客户端健康状况验证为符合,并将此传递到网络策略服务器。此时发送到客户端的健康声明响应包括为符合客户端(通常对网络的完全访问权限不受时间限制)执行的操作。

另请参阅

任务

如何配置 NAP 评估设置
如何为网络访问保护创建 Configuration Manager NAP 策略
如何启用网络访问保护客户端代理
如何为健康声明指定有效期

概念

关于 Configuration Manager 中网络访问保护的符合性
为 Configuration Manager 网络访问保护配置失败类别
关于使用网络访问保护强制符合性
关于网络访问保护中的 NAP 客户端状态
关于网络访问保护修正
关于网络访问保护中的系统健康验证程序点

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。