Informationen zum Netzwerkzugriffsschutz in Configuration Manager-Hierarchien
Letzte Aktualisierung: Dezember 2009
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
Die folgenden Informationen behandeln alle Auswirkungen, die sich aus der Implementierung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) in einer Configuration Manager 2007-Hierarchie mit mehreren Standorten ergeben, und wie diese Implementierung das Verhalten von Configuration Manager-NAP-Richtlinien und -Roamingclients beeinflusst.
Aktivieren von NAP bei übergeordneten Standorten vor untergeordneten Standorten
Wenn Sie NAP in einer Configuration Manager-Hierarchie mit mehreren Standorten verwenden, aktivieren Sie NAP zuerst bei den übergeordneten Standorten und anschließend bei den untergeordneten Standorten. Erstellen Sie Configuration Manager-NAP-Richtlinien am zentralen oder primären Standort, an dem Sie Configuration Manager-Softwareupdates mit Microsoft synchronisieren. Configuration Manager-NAP-Richtlinien werden automatisch auf die nachgeordneten Hierarchieebenen übertragen.
Wichtig
NAP-Richtlinien können an einem Standort, an den Softwareupdates von einem übergeordneten Standort vererbt werden, nicht erstellt werden. Achten Sie beim Konfigurieren der Synchronisierung von Softwareupdates mit Microsoft darauf, dass Sie die Synchronisierung an dem Standort konfigurieren, über den Sie Configuration Manager-NAP-Richtlinien erstellen möchten.
Sie können Configuration Manager-NAP-Richtlinien an einem untergeordneten Standort erstellen, wenn an diesem Standort Softwareupdates von Microsoft synchronisiert werden. Wenn Sie die Konfiguration der Synchronisierung später jedoch so ändern, dass Softwareupdates an einem übergeordneten Standort mit Microsoft synchronisiert werden, führt dies zu folgenden Szenarien:
Wenn auf dem übergeordneten Standort die gleichen Configuration Manager-NAP-Richtlinien mit den gleichen Softwareupdates, aber unterschiedlichen Gültigkeitsdaten erstellt werden, werden die Configuration Manager-NAP-Richtlinien auf dem untergeordneten Standort (und weiteren untergeordneten Standorten) von den neuen, auf dem übergeordneten Standort erstellten Configuration Manager-NAP-Richtlinien außer Kraft gesetzt. Der untergeordnete Standort kann diese neuen Richtlinien weder ändern noch löschen.
Wenn auf dem übergeordneten nicht die gleichen Configuration Manager-NAP-Richtlinien wie auf dem untergeordneten Standort erstellt werden, verbleiben die ursprünglichen Configuration Manager-NAP-Richtlinien auf dem untergeordneten Standort (und werden von weiteren untergeordneten Standorten geerbt). Diese Configuration Manager-NAP-Richtlinien können vom untergeordneten Standort weiterhin geändert und gelöscht werden, es können hier jedoch keinen neuen Configuration Manager-NAP-Richtlinien mehr erstellt werden.
Falls ein untergeordneter Standort nicht für NAP aktiviert ist, können Sie die NAP-Richtlinien nicht über den Knoten Richtlinien anzeigen. Durch Ausführen des folgenden Berichts werden die Richtlinien jedoch aufgelistet: Liste der NAP-Richtlinien.
Verhalten des untergeordneten Standorts beim Netzwerkzugriffsschutz
Wenn die Configuration Manager-Hierarchie mehr als zwei Ebenen mit primären Standorten aufweist, blockiert das Deaktivieren von NAP auf einem untergeordneten primären Standort nicht die Vererbung der Configuration Manager-NAP-Richtlinien vom übergeordneten Standort an den zwei Ebenen untergeordneten Standort.
Sie können von einem übergeordneten Standort geerbte NAP-Richtlinien weder bearbeiten noch löschen, und Sie können keine NAP-Richtlinien erstellen, wenn der Standort Richtlinien von einem übergeordneten Standort erbt. Sie können jedoch den Netzwerkzugriffsschutz auf einem untergeordneten Standort deaktivieren, der NAP-Richtlinien geerbt hat.
Netzwerkzugriffsschutz und Roaming
Wenn ein NAP-fähiger Configuration Manager-Client mit aktiviertem NAP-Client-Agent zu einem anderen Configuration Manager-Standort wechselt, wird der Kompatibilitätsstatus dennoch nach den am ursprünglichen Standort definierten NAP-Richtlinien bewertet.
Der Systemintegritätsüberprüfungspunkt, an den der Client das Client-SoH weiterleitet, ist nicht vom Configuration Manager-Standort abhängig, sondern von der zugrunde liegenden NAP-Erzwingungsmethode. Dies bedeutet, dass eine Änderung des Netzwerkorts möglicherweise dazu führt, dass der Client einen anderen Systemintegritätsüberprüfungspunkt verwendet, wenn er zu einem anderen Standort wechselt. (z. B. wenn DHCP als NAP-Erzwingungsmethode verwendet wird).
Ein NAP-fähiger Roamingclient eines Configuration Manager-Standorts, der nicht für NAP aktiviert ist und der zur Verwendung eines Systemintegritätsüberprüfungspunkts konfiguriert ist, wird vom Systemintegritätsüberprüfungspunkt als „kompatibel“ eingestuft. In diesem Fall erhöht der Systemintegritätsüberprüfungspunkt den Leistungsindikator für die Überprüfung des Systemintegritätsüberprüfungspunkts, NAP-Client-Agent des Configuration Manager deaktiviert.
Systemintegritätsüberprüfungspunkte innerhalb eines Configuration Manager-Standorts weisen die gleichen Konfigurationsoptionen auf, die zur Bestimmung der Integrität eines Clients verwendet werden. Diese Konfigurationsoptionen sind wie folgt:
Häufigkeit der Abfrage des Integritätszustands
Notwendigkeit der Erstellung des Client-SoH nach einem bestimmten Zeitpunkt
Gültigkeitszeitraum für das SoH
Unterschiede bei diesen Konfigurationsoptionen zwischen Standorten innerhalb der gleichen Configuration Manager-Hierarchie können zu unterschiedlichen Integritätszuständen bei einem Client führen, der mit den Configuration Manager-NAP-Richtlinien kompatibel ist.
Wichtig
Ein Configuration Manager-Client mit aktiviertem NAP-Client-Agent könnte in eine andere Configuration Manager-Hierarchie wechseln und das Client-SoH von einem Systemintegritätsüberprüfungspunkt außerhalb seiner Configuration Manager-Hierarchie überprüfen lassen. In diesem Fall wird die Standortüberprüfung nicht erfolgreich ausgeführt, es sei denn, die NAP-Integritätszustandsreferenzen für beide Hierarchien werden am gleichen Ort veröffentlicht.
Wenn der Systemintegritätsüberprüfungspunkt den Clientstandort nicht überprüfen kann, wird die Clientintegrität mit „Unbekannt“ bewertet, was auf dem Netzwerkrichtlinienserver in der Standardkonfiguration als „nicht kompatibel“ betrachtet wird. Wenn auf dem Netzwerkrichtlinienserver als Netzwerkzugriffsschutz Netzwerkrichtlinien mit begrenztem Zugriff konfiguriert sind, können diese Clients nicht wiederhergestellt werden und erhalten möglicherweise keinen vollständigen Zugriff auf das Netzwerk. Eine Ausnahmerichtlinie auf dem Netzwerkrichtlinienserver kann dieses Problem beheben, indem Configuration Manager-Clients, die sich zeitweise außerhalb der Configuration Manager-Hierarchie befinden, vollständigen Zugriff auf das Netzwerk erhalten.Siehe auch
Tasks
Konfigurieren des Active Directory-Domänendienste-Abfrageintervalls der Systemintegritätsprüfung
Angeben der Option „Erstellungsdatum muss später sein als“ für das SoH
Angeben des Gültigkeitszeitraums für das SoH
Erstellen einer NAP-Richtlinie für den Netzwerkzugriffsschutz in Configuration Manager
Deaktivieren des Netzwerkzugriffsschutz-Client-Agents
Aktivieren des Client-Agents für Netzwerkzugriffsschutz
Ausführen von Netzwerkzugriffsschutz-Berichten
Anzeigen der Configuration Manager-NAP-Richtlinien für den Netzwerkzugriffsschutz
Konzepte
Informationen zur Kompatibilität für Netzwerkzugriffsschutz in Configuration Manager
Informationen zu NAP-Integritätszustandsreferenzen im Netzwerkzugriffsschutz
Überwachen des Systemintegritätsprüfungspunkts mit Leistungsindikatoren für den Netzwerkzugriffsschutz
Systemintegritätsprüfungspunkt: Überprüfungsprozess für den Netzwerkzugriffsschutz
Informationen zu Systemintegritätsprüfungspunkten im Netzwerkzugriffsschutz
Konfigurieren der Ausnahmerichtlinien für den Netzwerkzugriffsschutz in Configuration Manager
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com