为 Configuration Manager 配置网络策略服务器
应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
在网络策略服务器上安装了 Configuration Manager 系统健康验证程序点之后,可支持 Configuration Manager 网络访问保护 (NAP) 的配置包括下列步骤:
创建两个健康策略:一个用于符合状态,另一个用于不符合状态。两者都必须选择“Configuration Manager 系统健康验证程序”,一个必须使用通过 SHV 检查的健康策略类型进行配置,另一个必须使用未通过 SHV 检查的健康策略类型进行配置。有关详细信息,请参阅为 Configuration Manager 网络访问保护配置健康策略。
如果使用 DHCP 或 VPN NAP 强制,请为基础结构服务器配置修正服务器组。添加修正过程中需要的基础结构服务器,如 DNS 服务器和域控制器。不需要将任何 Configuration Manager 服务器添加到此修正服务器组,因为这些服务器将由不符合的 Configuration Manager 客户端动态请求。有关详细信息,请参阅为 Configuration Manager 网络访问保护配置修正服务器组。
配置将网络访问保护强制机制选择为“网络访问服务器类型”(如 DHCP 服务器或健康注册机构)的连接请求策略,并包括时间和日期条件。有关详细信息,请参阅为 Configuration Manager 网络访问保护配置连接请求策略。
配置三个网络策略:一个用于 Configuration Manager 符合计算机,一个用于 Configuration Manager 不符合计算机,一个用于不能支持网络访问保护的计算机(即它们是不支持 NAP 的)。仅处理通过连接客户端匹配的第一个网络策略。这意味着这三个 Configuration Manager 网络策略必须排列在拒绝访问的常规网络策略之前。有关详细信息,请参阅为 Configuration Manager 网络访问保护配置网络策略。
重要
Configuration Manager 的策略必须配置为“授予访问”(即使是对不符合的计算机,以便它们可以访问修正服务器)和无身份验证。
在网络策略服务器上配置 Configuration Manager 系统健康验证程序。Configuration Manager 系统健康验证程序的属性只有一个“设置”选项卡。此选项卡式对话框中没有启用“配置”按钮,因为这些设置在 Configuration Manager 控制台中的“组件配置”、“系统健康验证程序点”之下配置。但是,您可以在此处配置“错误代码解析”,确定某些错误条件认为客户端符合还是不符合。有关详细信息,请参阅为 Configuration Manager 网络访问保护配置失败类别。
考虑在网络策略服务器上配置日志记录选项。有关详细信息,请参阅为 Configuration Manager 网络访问保护配置日志记录。
考虑修正失败时的用户体验,方法是构建有帮助的疑难解答网站。有关详细信息,请参阅配置 Configuration Manager 网络访问保护的修正用户体验。
有关网络访问保护和在网络策略服务器上配置策略的详细信息,请参阅关于网络访问保护简介(https://go.microsoft.com/fwlink/?LinkId=80666)(页面可能为英文)和在 Windows Server 2008 中配置网络访问保护策略 (https://go.microsoft.com/fwlink/?LinkId=57932)(页面可能为英文)的描述。
本节内容
使用下列主题作为指南在网络策略服务器上修改现有策略以包括 Configuration Manager 策略。在为 Configuration Manager 添加策略之前,确保下列各项已确认工作正常:
Windows 客户端可以使用默认 Windows 策略成功修正,例如没有配置为启用 Windows 防火墙的客户端将受限制,然后自动启用防火墙,客户端将具有完全网络访问权限。这样可在添加 Configuration Manager 策略之前证明网络访问保护的基础结构和配置工作正常。
Configuration Manager 客户端可以使用软件更新功能在不受限制的网络上成功安装所需的软件更新。这样可在将此功能移入网络访问保护环境之前证明 Configuration Manager 中的软件更新的基础结构和配置工作正常。
- 为 Configuration Manager 网络访问保护配置健康策略
指定网络策略服务器上的健康策略针对 Configuration Manager 网络访问保护所需的配置。
- 为 Configuration Manager 网络访问保护配置修正服务器组
指定网络策略服务器上的修正服务器组针对 Configuration Manager 网络访问保护所需的配置。
- 为 Configuration Manager 网络访问保护配置连接请求策略
指定网络策略服务器上的连接请求策略针对 Configuration Manager 网络访问保护所需的配置。
- 为 Configuration Manager 网络访问保护配置网络策略
指定网络策略服务器上的网络策略针对 Configuration Manager 网络访问保护所需的配置。
- 为 Configuration Manager 网络访问保护配置免除策略
提供如何为 Configuration Manager 网络访问保护配置免除策略的示例。
- 为 Configuration Manager 网络访问保护配置失败类别
指定配置 Configuration Manager 系统健康验证程序失败类别所需的步骤。
- 为 Configuration Manager 网络访问保护配置日志记录
指定在网络策略服务器上配置日志记录所需的步骤。
- 配置 Configuration Manager 网络访问保护的修正用户体验
提供有关如何配置在修正失败时用户定向到的网站的指导。
另请参阅
概念
确定网络访问保护策略
确定是否应为网络访问保护安装系统健康验证程序点
关于网络访问保护过程
关于网络访问保护中的系统健康验证程序点
关于网络访问保护修正
其他资源
有关其他信息,请参阅 Configuration Manager 2007 Information and Support。
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。