关于网络访问保护中的系统健康验证程序点

项目
12/19/2014

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

使用此信息确定 Configuration Manager 2007 中系统健康验证程序点与网络访问保护配合使用的方式。

系统健康验证程序点与 Configuration Manager 客户端及 Windows NAP 基础结构交互的方式

系统健康验证程序点是 Configuration Manager 2007 站点系统角色，此角色在 Windows Server 2008 上与网络策略服务器 (NPS) 角色一同运行。

在 Configuration Manager 2007 中使用网络访问保护 (NAP) 时，需要使用系统健康验证程序点对来自支持 NAP 的 Configuration Manager 客户端的健康声明进行验证，以生成符合或不符合的客户端健康状况，或阻止对健康状况进行确定的错误条件。有关健康声明的详细信息，请参阅关于网络访问保护中的健康声明 (SoH)。

将包含客户端计算机的健康状况或错误条件的健康声明传递到网络策略服务器上，随后，就可以根据连接请求和网络策略的配置方式决定客户端是具有完全还是受限的网络访问权限。如果客户端不符合，则网络策略服务器也可以采取以下方式强制符合性：在受限网络上进行修正，或使客户端在有限时间内拥有完全的网络访问权限。有关此进程的详细信息，请参阅关于使用网络访问保护强制符合性。

验证健康消息的客户端声明。

系统健康验证程序点按顺序使用一系列检查来验证健康声明。包括以下内容：

健康声明的创建时间验证。
对健康状况引用的验证。
符合性状态和失败。

系统健康验证程序点从不直接与 Configuration Manager 2007 站点服务器通信以验证客户端健康声明。创建或修改完 Configuration Manager NAP 策略或从父站点继承该策略后，站点服务器将健康状况引用写入 Active Directory 域服务。系统健康验证程序点定期对所有为网络访问保护启用的 Configuration Manager 主站点检索健康状况引用。

由于 Active Directory 域服务是用来存储健康状况引用的，因此，必须使用 Configuration Manager 2007 扩展对 Active Directory 架构进行扩展。将健康状况引用发布到 Active Directory 中的系统管理容器，此操作需要 Configuration Manager 2007 将站点信息发布到 Active Directory 域服务。当您具备多个 Active Directory 林而您的 Configuration Manager 站点服务器和系统健康验证程序点不在同一林中时，您必须指定存储健康状况引用的林和域。

有关为 Configuration Manager 2007 扩展 Active Directory 架构及配置要发布到 Active Directory 域服务的站点的详细信息，请参阅下列主题：

有关指定存储健康状况引用的林和域的详细信息，请参阅决定哪个林发布网络访问保护的健康状况引用。

验证过程

本节提供当系统健康验证程序点处理客户端的健康声明时，支持 NAP 的客户端按顺序执行的一系列检查的步骤。该过程也可使用下列流程图来描述：

系统健康验证程序点：网络访问保护的验证过程

首先是检查是否刚部署完客户端且尚未下载计算机策略，该策略用来确定是否已启用网络访问保护客户端代理及已定义哪个 Configuration Manager NAP 策略。缺少此策略，Configuration Manager 就无法确定客户端是否需要软件更新，即使在应进行健康状况检查的情况下也如此。客户端将被视为符合，以便它能访问网络以下载其计算机策略。当客户端接收到其站点策略时，它会立即发送新的健康声明，以将该客户端作为完全运行的客户端进行重新评估。
如果系统健康验证程序点确定客户端已成功下载其计算机策略，则由此验证程序点所进行的下一步检查即验证客户端标识。要进行验证，系统健康验证程序点使用其定期从 Active Directory 域服务检索的健康状况引用。系统健康验证程序点检查客户端 Configuration Manager 2007 站点的标识，以验证该客户端是否来自层次结构中的已知 Configuration Manager 2007 站点。如果此检查失败，系统健康验证程序点向 Windows 网络策略服务器传递“未知”状态并映射到网络策略服务器中的 Configuration Manager 系统健康验证程序类别“已收到 SHA 供应商特定错误代码”。默认情况下，“已收到 SHA 供应商特定错误代码”类别被配置为不符合，但它也可以被配置为符合。
如果确认了客户端站点，那么系统健康验证程序点随后将确认客户端上是启用还是禁用了网络访问保护客户端代理。禁用了网络访问保护客户端代理的支持 NAP 的客户端仍将发送带 Configuration Manager 2007 网络访问保护的健康声明。在上一检查完成后，禁用了网络访问保护客户端代理的支持 NAP 的客户端将被系统健康验证程序点视为符合，同时其健康状况设置为符合。
如果启用了网络访问保护客户端代理，则由系统健康验证程序点进行的下一步检查即为时间验证，该检查使用在系统健康验证程序点属性中配置的设置。如果设置了“创建日期必须晚于”选项，则系统健康验证程序点会检查客户端的健康声明是在此日期之前还是之后创建。如果创建日期与配置的设置日期相同或早于该日期，则客户端健康状况设置为不符合。如果健康声明的创建日期晚于系统健康验证程序点中配置的设置日期，那么系统健康验证程序点随后将检查客户端健康声明是否早于在系统健康验证程序点中配置的有效期。如果健康声明早于配置的有效期，则客户端健康状况设置为不符合。
如果系统健康验证程序确认健康声明不早于配置的有效期，则系统健康验证程序点随后将使用健康状况引用来确定客户端在评估其健康声明时，使用的是否是最新的 Configuration Manager NAP 策略。这可以通过比较健康状况引用与健康符合性信息声明中的时间戳来确定。时间戳指明 Configuration Manager NAP 策略最终的创建时间和修改时间。如果健康状况引用中的时间戳晚于健康声明中的时间戳，则客户端健康状况设置为不符合。
如果健康声明中的时间戳晚于健康状况引用中的时间戳或与之相同，则将对健康声明中的客户端符合性状态进行检查。如果健康声明包含符合的状态，则系统健康验证程序点将客户端健康状况设置为符合。但是，如果健康声明不包含符合的状态，则系统健康验证程序点将检查客户端上是否发生了阻止其生成符合状态的失败。这种情况将导致对两个失败类别之一和一个错误代码进行设置。如果没有失败，则系统健康验证程序点将客户端健康状况设置为不符合。
如果设置了失败类别和代码，则系统健康验证程序点将检查此代码是否与其中一个已知代码相匹配。如果匹配成功，系统健康验证程序点将失败类别传递到网络策略服务器上，然后将失败类别映射到 Configuration Manager 系统健康验证程序中配置的两个客户端失败类别之一。默认情况下，两个失败类别均被配置到 Configuration Manager 系统健康验证程序上以确定客户端的不符合健康状况，但是，可以将其配置为符合。然而，如果代码错误，找不到匹配项，则系统健康验证程序点将失败传递到“已收到 SHA 供应商特定错误代码”的失败类别下的网络策略服务器。也可在 Configuration Manager 系统健康验证程序上对其进行配置，默认情况下，将其配置为确定客户端的不符合健康状况。

为网络策略服务器上的 NAP 强制和修正配置不符合的客户端时，系统健康验证程序点可能将说明发送给客户端（这取决于失败的检查）。如果健康声明时间验证失败，则系统健康验证程序点指示客户端对其健康声明进行重新评估，然后显示新的健康声明。如果健康状况引用时间戳检查失败，则系统健康验证程序点指示客户端从其管理点下载计算机策略，用最新的 Configuration Manager NAP 策略重新评估其符合性状态，然后显示新的健康声明。

如果符合检查失败，则系统健康验证程序点指示客户端记录此失败。系统健康验证程序点为客户端提供到分发点的静态路由，此分发点宿主客户端实现符合性所缺少的软件更新。客户端安装每个所需的软件更新，安装成功后，显示新的健康声明。

创建新的健康声明后，系统健康验证程序点完成相同的验证检查。如果现在每个验证条件都通过检查，则系统健康验证程序点将健康状况设置为符合（传递到网络策略服务器上）。

另请参阅

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。

通过