计算机在应使用网络访问保护时不具有完全网络访问权限

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

本节提供疑难解答信息，帮助您确定和解决在使用 Configuration Manager 2007 中的网络访问保护时计算机没有本应该拥有的完全网络访问权限的原因。

Configuration Manager 健康状况引用未完成 Active Directory 复制

网络访问保护依靠 Active Directory 域服务来发布和检索健康状况引用。

在安装新的 Configuration Manager 站点时，请等待 Configuration Manager 站点的复制完成，然后再配置 Configuration Manager 网络访问保护 (NAP) 策略。

解决方案

等待 Active Directory 复制完成。

系统健康验证程序点无法检索 Configuration Manager 健康状况引用

网络访问保护使用 Active Directory 域服务来发布和检索健康状况引用。如果没有配置或未正常运行，符合的客户端的网络访问可能会受到限制。

解决方案

首先，请确保已经使用 Configuration Manager 2007 架构扩展扩展了 Active Directory 架构，并且 Configuration Manager 站点正在发布到 Active Directory。有关详细信息，请参阅以下内容：

• 如何为 Configuration Manager 扩展 Active Directory 架构

• 如何将 Configuration Manager 站点信息发布到 Active Directory 域服务

• 如何验证是否已将站点信息发布到 Active Directory 域服务

其次，请确保已经针对您的环境正确配置了 Configuration Manager 健康状况引用设置。有关详细信息，请参阅以下内容：

• 关于网络访问保护和多个 Active Directory 林

• 如何指定 NAP 健康状况引用的位置

• 如何指定健康状况引用发布帐户

• 如何指定健康状况引用查询帐户

出现错误条件

默认情况下，在网络访问保护过程中出现错误条件的客户端会被视为不符合。但是，可以对错误条件进行重新配置，以使客户端具有符合状态，从而获得完全网络访问权限。有关详细信息，请参阅网络访问保护失败类别和错误代码。

解决方案

通过参阅网络访问保护日志可以找到错误，然后更正错误。有关日志文件的详细信息，请参阅网络访问保护的日志文件。

或者，您可以重新配置网络策略服务器上的失败类别，使它映射到符合状态。有关详细信息，请参阅为 Configuration Manager 网络访问保护配置失败类别。

其他系统健康代理（不包括 Configuration Manager）是造成不符合状态的原因

当网络策略服务器正在检查多个系统健康代理而不仅仅是 Configuration Manager 的健康状况时，符合配置的软件更新的 Configuration Manager 客户端对于不同的系统健康代理可能不符合，因此网络访问会受到限制。

解决方案

无。登录网络策略服务器，识别哪个系统健康代理返回了不符合的健康状况。

网络策略服务器上 Configuration Manager 的网络策略配置不正确

Configuration Manager 中的网络访问保护依赖于网络策略服务器上正确的策略配置。

解决方案

确保在网络策略服务器上正确配置了策略。有关详细信息，请参阅以下内容：

• 为 Configuration Manager 网络访问保护配置网络策略

• 为 Configuration Manager 配置网络策略服务器

计算机向其 Configuration Manager 层次结构以外的系统健康验证程序点发送其健康声明

此方案将导致客户端具有未知的健康状况，默认情况下，它映射到网络策略服务器上的 Configuration Manager 系统健康验证程序的“已收到 SHA 供应商特定错误代码”。默认情况下，选项“已收到 SHA 供应商特定错误代码”配置为“不符合”。

解决方案

如果不希望有此行为，请将 Configuration Manager 系统健康验证程序上的“已收到 SHA 供应商特定错误代码”从“不符合”重新配置为“符合”。有关详细信息，请参阅为 Configuration Manager 网络访问保护配置失败类别。

网络访问保护代理已重新启用

如果您启用了网络访问保护，创建了一些 Configuration Manager NAP 策略，然后又禁用网络访问保护，此时不会自动删除 Configuration Manager NAP 策略。因此，在相同站点上重新启用网络访问保护时，也会重新启用旧的 Configuration Manager NAP 策略。

有关详细信息，请参阅关于启用和禁用网络访问保护。

解决方案

删除不想要的旧的 Configuration Manager NAP 策略。有关详细信息，请参阅如何删除 Configuration Manager NAP 策略以停止网络访问保护中的 NAP 评估。

另请参阅

概念

网络访问保护疑难解答

其他资源

网络访问保护概述

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。