通过

关于网络访问保护和多个 Active Directory 林

  • 项目

应用到: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

使用下列信息来了解当 Configuration Manager 层次结构跨多个 Active Directory 林时在 Configuration Manager 2007 中实施网络访问保护 (NAP) 的隐患,并确定此环境的支持方案。

为什么多个林影响 Configuration Manager 中的网络访问保护

当您正在 Configuration Manager 2007 中使用网络访问保护 (NAP) 并且您的 Configuration Manager 层次结构跨多个 Active Directory 林时,有其他配置要求。这是因为 Configuration Manager 中的网络访问保护在 Active Directory 中存储健康状况引用。当您创建或修改 Configuration Manager NAP 策略时,站点服务器发布或发布更新到 Active Directory 中的 Cofiguration Manager 健康状况引用。

当子站点从父站点继承 Configuration Manager NAP 策略时,该子站点的站点服务器也会将其健康状况引用发布到 Active Directory。然后,查询全局编录服务器的系统健康验证程序点从 Active Directory 中检索这些健康状况引用。

默认情况下,站点服务器发布到其自己的 Active Directory 林,并且系统健康验证程序点从其自己的 Active Directory 林中检索健康状况引用。因此如果您的站点服务器和系统健康验证程序点不在同一 Active Directory 林中,您必须指定将存储健康状况引用的 Active Directory 林和域。指定的林和域甚至可以与站点服务器和系统健康验证程序点完全不同。

存储 Configuration Manager 健康状况引用的 Active Directory 林必须已使用 Configuration Manager 2007 架构扩展进行扩展;如果站点服务器的站点已启用网络访问保护,则站点服务器必须配置为将标识数据发布到 Active Directory;并且具有站点服务器和系统健康验证程序点所需的合适权限的指定林中必须有系统管理容器。

备注

有关如何扩展架构以及为 Configuration Manager 2007 启用发布的信息,请参阅如何为 Configuration Manager 扩展 Active Directory 架构如何将 Configuration Manager 站点信息发布到 Active Directory 域服务

多个林的支持方案

必须为多个 Active Directory 林执行的配置步骤取决于剖析图、现有配置以及您决定在何处发布 Configuration Manager 2007 健康状况引用。下面列出了当站点服务器驻留在一个 Active Directory 林中而所有系统健康验证程序点驻留在其他 Active Directory 林中时,Configuration Manager 中支持的四个基本方案:

  • Configuration Manager 健康状况引用被发布到包含站点服务器的林中。

  • Configuration Manager 健康状况引用被发布到包含系统健康验证程序点的林中。

  • Configuration Manager 健康状况引用被发布到与其他两个林有信任关系(林信任或外部域信任)的第三个 Active Directory 林中。

  • Configuration Manager 健康状况引用被发布到与其他两个林没有信任关系(没有林信任或外部域信任)的第三个 Active Directory 林中。

要帮助您决定哪个林将发布健康状况引用,请参阅决定哪个林发布网络访问保护的健康状况引用

有关在跨多个林使用网络访问保护时如何设置 Configuration Manager 中所需的 Active Directory 和其他配置步骤的过程步骤,请参阅如何跨多个林部署网络访问保护

另请参阅

任务

如何安装系统健康验证程序点
如何将 Configuration Manager 站点信息发布到 Active Directory 域服务

概念

关于网络访问保护中的 NAP 健康状况引用
关于网络访问保护中的系统健康验证程序点

其他资源

如何为 Configuration Manager 扩展 Active Directory 架构

有关其他信息,请参阅 Configuration Manager 2007 Information and Support
要与文档团队联系,请将电子邮件发送至 SMSdocs@microsoft.com。