如何跨多个林部署网络访问保护

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

在跨多个 Active Directory 林部署 Configuration Manager 2007 网络访问保护 (NAP) 时必须执行的配置步骤取决于剖析图、现有配置以及您决定在何处发布 Configuration Manager 健康状况引用。如果您需要帮助确定在何处发布健康状况引用，请参阅决定哪个林发布网络访问保护的健康状况引用。

如果站点服务器驻留在一个 Active Directory 林中，并且所有系统健康验证程序点驻留在另一个 Active Directory 林中，请使用下列受支持的方案来选择合适的配置步骤，以便在 Configuration Manager 中跨多个 Active Directory 林部署网络访问保护：

• 当 Configuration Manager 健康状况引用发布到包含站点服务器的林时，跨两个林部署 Configuration Manager 网络访问保护

• 当 Configuration Manager 健康状况引用发布到包含系统健康验证程序点的林时，跨两个林部署 Configuration Manager 网络访问保护

• 当 Configuration Manager 健康状况引用发布到与其他两个林存在信任关系（可以是林信任或外部域信任）的第三个林时，跨两个林部署 Configuration Manager 网络访问保护

• 当 Configuration Manager 健康状况引用发布到与其他两个林没有信任关系的第三个林时，跨两个林部署 Configuration Manager 网络访问保护

当 Configuration Manager 健康状况引用发布到包含站点服务器的林时，跨两个林部署 Configuration Manager 网络访问保护

1. 如果尚未完成其他 Configuration Manager 功能，请完成下列步骤；

   • 使用 Configuration Manager 2007 扩展来扩展 Active Directory 架构。有关详细信息，请参阅如何为 Configuration Manager 扩展 Active Directory 架构。

   • 通过在包含站点服务器的每个域中创建系统管理容器来启用 Configuration Manager 健康状况引用的发布，并向站点服务器计算机帐户授予对此对象以及所有子对象的完全控制权限。

   • 将每个站点配置为发布到 Active Directory 域服务。有关详细信息，请参阅如何将 Configuration Manager 站点信息发布到 Active Directory 域服务。

2. 作为系统健康验证程序组件配置的一部分，请完成下列步骤：

   • 指定选项“指定 Active Directory 林”。有关详细信息，请参阅如何指定 NAP 健康状况引用的位置。

   • 在“域后缀”中指定在其中创建 NAP 策略的站点服务器的完全限定的域。这将告知系统健康验证程序点应该在何处检索 Configuration Manager 健康状况引用。由于每个域都将 Configuration Manager 健康状况引用写入全局目录，因此系统健康验证程序点将在您指定的域中查询全局目录，这意味着它可以从该林中的所有域检索 Configuration Manager 健康状况引用。

3. 如果您在域后缀中指定的域与系统健康验证程序点驻留在其中的域之间存在传出信任关系，则不需要进一步配置。系统健康验证程序点的计算机帐户将跨信任关系使用并进行身份验证。

4. 如果您在域后缀中指定的域与系统健康验证程序点驻留在其中的域之间不存在传出信任关系，则必须执行下列附加步骤：

   • 在包含站点服务器的林中创建 Microsoft Windows 用户帐户，并且使用永不过期的密码配置此帐户。

   • 在“组件配置”节点之下的“系统健康验证程序点组件属性”中，将此 Windows 用户帐户指定为健康状况引用查询帐户。有关详细信息，请参阅如何指定健康状况引用查询帐户。

当 Configuration Manager 健康状况引用发布到包含系统健康验证程序点的林时，跨两个林部署 Configuration Manager 网络访问保护

1. 在包含系统健康验证程序点的林中完成下列步骤：

   • 使用 Configuration Manager 2007 扩展来扩展 Active Directory 架构。有关详细信息，请参阅如何为 Configuration Manager 扩展 Active Directory 架构。

   • 在域中创建系统管理容器来存储 Configuration Manager 健康状况引用。

   • 创建一个域本地组，并向其授予系统管理容器的完全控制权限（针对此对象及其所有子对象）。

2. 作为系统健康验证程序组件配置的一部分，请完成下列步骤：

   • 选择选项“指定 Active Directory 林”。有关详细信息，请参阅如何指定 NAP 健康状况引用的位置。

   • 在“域后缀”中指定在其中创建系统管理容器的完全限定的域。这将告知系统健康验证程序点应该在何处检索 Configuration Manager 健康状况引用。

3. 如果您在域后缀中指定的域与站点服务器驻留在其中的域之间存在传出信任关系，则将每个站点服务器的计算机帐户添加到您创建的本地域组中。

4. 如果您在域后缀中指定的域与站点服务器驻留在其中的域之间不存在传出信任关系，则必须执行下列附加步骤：

   • 在包含系统健康验证程序点的林中创建 Microsoft Windows 用户帐户，并且使用永不过期的密码配置此帐户。

   • 在“组件配置”节点之下的“系统健康验证程序点组件属性”中，将此 Windows 用户帐户指定为健康状况引用发布帐户。有关详细信息，请参阅如何指定健康状况引用发布帐户。

   • 确保配置了名称解析，以便站点服务器可以解析系统健康验证程序点的林命名空间（例如使用 DNS 转发或根提示）。

当 Configuration Manager 健康状况引用发布到与其他两个林存在信任关系（可以是林信任或外部域信任）的第三个林时，跨两个林部署 Configuration Manager 网络访问保护

1. 在第三个 Active Directory 林中完成下列步骤：

   • 使用 Configuration Manager 2007 扩展来扩展 Active Directory 架构。有关详细信息，请参阅如何为 Configuration Manager 扩展 Active Directory 架构。

   • 在域中创建系统管理容器来存储 Configuration Manager 健康状况引用。

   • 创建一个域本地组，并向其授予系统管理容器的完全控制权限（针对此对象及其所有子对象）。

2. 作为系统健康验证程序组件配置的一部分，请完成下列步骤：

   • 指定选项“指定 Active Directory 林”。有关详细信息，请参阅如何指定 NAP 健康状况引用的位置。

   • 在“域后缀”中指定在其中创建系统管理容器的完全限定的域。这将告知站点服务器在何处写入 Configuration Manager NAP 健康状况引用，并告知系统健康验证程序点应该从何处检索 Configuration Manager NAP 健康状况引用。

3. 如果尚未配置，请在要启用网络访问保护的每个站点上启用选项“在 Active Directory 域服务中发布此站点”。有关详细信息，请参阅如何将 Configuration Manager 站点信息发布到 Active Directory 域服务。

4. 使用您在域后缀中指定的域与站点服务器驻留在其中的域之间的传出信任关系，将每个站点服务器的计算机帐户添加到您创建的本地域组中。

5. 系统健康验证程序点的计算机帐户将进行身份验证，以便跨您在域后缀中指定的域和系统健康验证程序点驻留在其中的域之间的传出信任关系检索 Configuration Manager 健康状况引用，无需进一步配置。

当 Configuration Manager 健康状况引用发布到与其他两个林没有信任关系的第三个林时，跨两个林部署 Configuration Manager 网络访问保护

1. 在第三个 Active Directory 林中完成下列步骤：

   • 使用 Configuration Manager 2007 扩展来扩展 Active Directory 架构。有关详细信息，请参阅如何为 Configuration Manager 扩展 Active Directory 架构。

   • 在域中创建系统管理容器来存储 Configuration Manager 健康状况引用。

   • 创建一个域本地组，并向其授予系统管理容器的完全控制权限（针对此对象及其所有子对象）。

   • 创建 Microsoft Windows 用户帐户以发布 Configuration Manager 健康状况引用。使用永不过期的密码配置此帐户，并使其成为您创建的域本地组的成员。

   • 创建 Windows 用户帐户以检索 Configuration Manager 健康状况引用。使用永不过期的密码配置此帐户。

2. 在“组件配置”节点之下配置系统健康验证程序点组件属性，如下所示：

   • 指定选项“指定 Active Directory 林”。有关详细信息，请参阅如何指定 NAP 健康状况引用的位置。

   • 在“域后缀”中指定在其中创建系统管理容器的完全限定的域。这将告知站点服务器在何处写入 Configuration Manager 健康状况引用，并告知系统健康验证程序点应该从何处检索 Configuration Manager 健康状况引用。

   • 指定您创建用于在健康状况引用发布帐户中发布 Configuration Manager 健康状况引用的 Windows 用户帐户。有关详细信息，请参阅如何指定健康状况引用发布帐户。

   • 指定您创建用于在健康状况引用查询帐户中读取 Configuration Manager 健康状况引用的 Windows 用户帐户。有关详细信息，请参阅如何指定健康状况引用查询帐户。

3. 如果尚未配置，请在要启用网络访问保护的每个站点上启用选项“在 Active Directory 域服务中发布此站点”。有关详细信息，请参阅如何将 Configuration Manager 站点信息发布到 Active Directory 域服务。

4. 使用您在域后缀中指定的域与站点服务器驻留在其中的域之间的传出信任关系，将每个站点服务器的计算机帐户添加到您创建的本地域组中。

5. 确保配置了名称解析，以便站点服务器和系统健康验证程序点可以解析第三个 Active Directory 林的林命名空间（例如使用 DNS 转发或根提示）。

另请参阅

任务

如何将 Configuration Manager 站点信息发布到 Active Directory 域服务
如何指定健康状况引用查询帐户
如何指定健康状况引用发布帐户
如何指定 NAP 健康状况引用的位置

概念

关于网络访问保护中的 NAP 健康状况引用
关于网络访问保护中的系统健康验证程序点
关于网络访问保护和多个 Active Directory 林
决定哪个林发布网络访问保护的健康状况引用

其他资源

如何为 Configuration Manager 扩展 Active Directory 架构

有关其他信息，请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系，请将电子邮件发送至 SMSdocs@microsoft.com。