在支援 NAP 的環境中規劃作業系統部署
適用於: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1
當您將作業系統及 System Center 2012 Configuration Manager 用戶端部署至使用網路存取保護 (NAP) 的環境內時,必須採取額外的設定步驟。 未能針對網路存取保護正確設定作業系統部署,可能導致新部署電腦的網路存取受限且無法補救。
執行 Windows Vista 和 Windows Server 2008 的用戶端原本就支援網路存取保護,而執行 Windows XP 的電腦並未擁有原始的網路存取保護支援,且需要安裝額外的網路存取保護用戶端。 如需有關 Windows XP 的網路存取保護用戶端的詳細資訊,請參閱 Network Access Protection (網路存取保護) 網站。
網路存取保護支援多種強制機制,例如 IPsec、802.1X、VPN 及 DHCP。 每一種強制機制都需要啟用個別的網路存取保護強制用戶端,且需要啟動 Windows 網路存取保護服務並設為自動啟動。 如需有關網路存取保護與 Configuration Manager 中的軟體更新搭配使用之必要條件的詳細資訊,請參閱在 Configuration Manager 中進行軟體更新的必要條件。
利用下面各節中的步驟確認已啟用強制機制和 Windows 網路存取保護服務,且在您將作業系統部署至啟用 NAP 的環境時,可與 Configuration Manager 用戶端正確互動。
設定參照電腦使用網路存取保護
如果您的所有作業系統部署都是在啟用 NAP 的環境中,且使用相同的 NAP 強制機制,則適用下列案例:
設定參照電腦的作業系統、Service Pack、安全性更新、應用程式、設定、工具及桌面自訂。
如果作業系統為 Windows XP,請安裝適用於 Windows XP 的網路存取保護用戶端。
啟用適當的網路存取保護強制用戶端。
將 Windows 網路存取保護服務設定為自動啟動,並啟動服務。
使用擷取媒體擷取作業系統映像。
建立參照所擷取映像的工作順序。
將工作順序部署至目的地電腦。
此設定可讓網路存取保護強制用戶端,及 Windows 網路存取保護服務在新部署的電腦中自動啟動,因為它們會是映像的一部分。 另外,Configuration Manager 用戶端安裝時,它們會是已執行狀態,如此可確保 Configuration Manager 用戶端能夠繫結至 Windows 網路存取保護服務。
參照電腦未設定使用網路存取保護
如果只有部分電腦安裝至啟用 NAP 的環境,或是您必須將網路存取保護的設定新增至現有的擷取映像中,則適用下列案例:
設定參照電腦的作業系統、Service Pack、安全性更新、應用程式、設定、工具及桌面自訂。
使用擷取媒體擷取作業系統映像。
建立參照所擷取映像的部署工作順序。
如果作業系統為 Windows XP,請新增一個在新部署的作業系統中執行的工作順序步驟,用來安裝適用 Windows XP 的網路存取保護用戶端。
新增一個在新部署的作業系統中執行的自訂工作順序步驟,用來啟用適當的網路存取保護強制用戶端。
注意事項 使用命令列公用程式 netsh nap client set enforcement <enforcement ID> enable。 如需詳細資訊,請參閱 Windows 網路存取保護文件。 對於進行中的設定,請確認群組原則設定強制用戶端。
新增一個在新部署的作業系統中執行的工作順序步驟,用來將 Windows 網路存取保護服務設定為自動啟動,並啟動服務。
注意事項 對於進行中的設定,請確認群組原則設定此服務。
新增工作順序步驟,用來重新啟動電腦。
注意事項 這是必要的重新啟動作業,可確保 Configuration Manager 用戶端啟動時,強制用戶端和 Windows 網路存取保護服務已在執行中,以及確保 Configuration Manager 用戶端可正確繫結至 Windows 網路存取保護服務。
將工作順序部署至目的地電腦。