在支持 NAP 的环境中规划操作系统部署

 

适用对象:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

在将操作系统和 System Center 2012 Configuration Manager 客户端部署到使用网络访问保护 (NAP) 的环境中时,你必须执行额外的配置步骤。 未针对网络访问保护正确地配置操作系统部署可能会导致新部署计算机的网络访问受限,并且修正会失败。

运行 Windows Vista 和 Windows Server 2008 的客户端本机支持网络访问保护,而运行 Windows XP 的计算机则不提供对网络访问保护的本机支持,并需要另外安装一个网络访问保护客户端。 有关适用于 Windows XP 的网络访问保护客户端的详细信息,请参阅 Network Access Protection(网络访问保护)网站。

网络访问保护支持多种强制机制,例如 IPsec、802.1X、VPN 和 DHCP。 每种强制机制都要求启用其各自的网络访问保护强制客户端,并且 Windows 网络访问保护服务已启动且配置为自动启动。 有关在 配置管理器 中将网络访问保护与软件更新配合使用的先决条件的详细信息,请参阅Configuration Manager 中的软件更新的先决条件

使用下列部分中的步骤来确保在你将操作系统部署到启用 NAP 的环境中时强制机制和 Windows 网络访问保护服务已启用,并且将与 配置管理器 客户端正确地交互。

为网络访问保护配置了引用计算机

如果你的所有操作系统部署均位于启用了 NAP 的环境中,并且使用相同的 NAP 强制机制,则以下方案适用:

  1. 使用操作系统、Service Pack、安全更新、应用程序、设置、工具和桌面自定义配置引用计算机。

  2. 如果操作系统为 Windows XP,请安装适用于 Windows XP 的网络访问保护客户端。

  3. 启用适当的网络访问保护强制客户端。

  4. 将 Windows 网络访问保护服务配置为自动启动,并启动该服务。

  5. 通过使用捕获媒体捕获操作系统映像。

  6. 创建引用捕获的映像的任务序列。

  7. 将任务序列部署到目标计算机。

借助此配置,网络访问保护强制客户端和 Windows 网络访问保护服务会在新部署的计算机中自动启动,因为它们是映像的一部分。 并且,当 配置管理器 客户端安装时它们将已在运行,从而确保可将 配置管理器 客户端绑定到 Windows 网络访问保护服务。

没有为网络访问保护配置引用计算机

如果只有部分计算机安装到启用 NAP 的环境中,或者你必须将网络访问保护的配置添加到现有已捕获映像中,则以下方案将适用:

  1. 使用操作系统、Service Pack、安全更新、应用程序、设置、工具和桌面自定义配置引用计算机。

  2. 通过使用捕获媒体捕获操作系统映像。

  3. 创建引用捕获的映像的部署任务序列。

  4. 如果操作系统为 Windows XP,则添加一个将在新部署的操作系统中运行的任务序列步骤,以便安装适用于 Windows XP 的网络访问保护客户端。

  5. 添加一个在新部署的操作系统中运行的自定义任务序列步骤,以便启用适当的网络访问保护强制客户端。

    System_CAPS_note注意

    使用命令行实用工具 netsh nap client set enforcement <enforcement ID> enable。 有关详细信息,请参阅 Windows 网络访问保护文档。 对于正在进行的配置,请确保组策略配置强制客户端。

  6. 添加一个在新部署的操作系统中运行的任务序列步骤,以便将 Windows 网络访问保护服务配置为自动启动,并启动该服务。

    System_CAPS_note注意

    对于正在进行的配置,请确保组策略配置此服务。

  7. 添加任务序列步骤以重启计算机。

    System_CAPS_note注意

    需要这一重启步骤以确保在 配置管理器 客户端启动时强制客户端和 Windows 网络访问保护服务已在运行,并确保 配置管理器 客户端可正确绑定到 Windows 网络访问保护服务。

  8. 将任务序列部署到目标计算机。