Administratorcheckliste: Konfigurieren von Netzwerkzugriffsschutz für Configuration Manager

Letzte Aktualisierung: Dezember 2008

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Die folgende Checkliste enthält die erforderlichen Schritte zur Vorbereitung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) in Configuration Manager 2007 sowie zum Installieren, Konfigurieren, Überwachen und Behandeln von Problemen mit dem Netzwerkzugriffsschutz in Configuration Manager 2007.

Hinweis

Aktuelle Informationen zum Entwerfen, Konfigurieren und Implementieren der Netzwerkzugriffsschutz-Infrastruktur finden Sie auf der Netzwerkzugriffsschutz-Website (http://go.microsoft.com/fwlink/?LinkId=59125, möglicherweise in englischer Sprache).

Verwenden Sie diese Checkliste für den Administratorworkflow: Konfigurieren von Netzwerkzugriffsschutz für den Configuration Manager.

Schritt Referenz

Überprüfen Sie die Konzepte für den Microsoft Windows-Netzwerkzugriffsschutz (NAP) und Configuration Manager 2007.

Whitepaper: Einführung in den Netzwerkzugriffsschutz (http://go.microsoft.com/fwlink/?LinkId=60752) auf der Netzwerkzugriffsschutz-Website (http://go.microsoft.com/fwlink/?LinkId=59125, möglicherweise in englischer Sprache).

Grundlegendes zu Configuration Manager-Features.

Übersicht über den Netzwerkzugriffsschutz

Stellen Sie sicher, dass die erforderliche Netzwerkzugriffsschutz-Architektur implementiert wurde.

Whitepaper: Netzwerkzugriffsschutz-Plattformarchitektur (http://go.microsoft.com/fwlink/?LinkId=60753) auf der Netzwerkzugriffsschutz-Website (http://go.microsoft.com/fwlink/?LinkId=59125, möglicherweise in englischer Sprache).

Wenn für den Netzwerkzugriffsschutz das DHCP verwendet wird, müssen die folgenden Schritte abgeschlossen sein:

  • Der Netzwerkzugriffschutz wurde auf den DHCP-Servern aktiviert.

  • Auf Clients wurde der DHCP-Erzwingungsclient gestartet.

  • Der Netzwerkrichtlinienserver wurde installiert und für die DHCP-Erzwingung konfiguriert.

  • Auf den Clients wurde der Dienst „Netzwerkzugriffsschutz-Agent“ gestartet und auf automatische Ausführung festgelegt.

„Step-by-Step Guide: Demonstrate DHCP NAP Enforcement in a Test Lab“ (Schritt-für-Schritt-Anleitung zum Demonstrieren der DHCP-NAP-Erzwingung in einem Testlabor) auf der Netzwerkzugriffsschutz-Website (http://go.microsoft.com/fwlink/?LinkId=59125, möglicherweise in englischer Sprache).

Wenn für den Netzwerkzugriffsschutz IPsec verwendet wird, müssen die folgenden Schritte abgeschlossen sein:

  • Zertifikatdienste, die Integritätsregistrierungsstelle und IIS funktionieren.

  • Auf Clients wurde der IPsec-Erzwingungsclient gestartet.

  • Der Netzwerkrichtlinienserver wurde installiert und für die IPsec-Erzwingung konfiguriert.

  • Auf Clients ist der Dienst „Netzwerkzugriffsschutz-Agent“ gestartet und auf automatische Ausführung festgelegt.

  • In den Integritätsregistrierungseinstellungen von Clients sind vertrauenswürdige Servergruppen mit dem NAP-Clientkonfigurations-Snap-In konfiguriert.

  • Die folgenden Configuration Manager 2007-Wiederherstellungsserver sind als Grenzserver konfiguriert:

    • Verwaltungspunkte

    • Softwareupdatepunkte

    • Verteilungspunkte, die Softwareupdatepakete hosten

Hinweis

Infrastrukturserver wie Domänencontroller, DNS- und WINS-Server sollten ebenfalls als Grenzserver konfiguriert sein.

„Step-by-Step Guide: Demonstrate IPsec NAP Enforcement in a Test Lab“ (Schritt-für-Schritt-Anleitung zum Demonstrieren der IPsec-NAP-Erzwingung in einem Testlabor) auf der Netzwerkzugriffsschutz-Website (http://go.microsoft.com/fwlink/?LinkId=59125, möglicherweise in englischer Sprache).

Wenn für den Netzwerkschutz ein virtuelles privates Netzwerk (VPN) verwendet wird, müssen die folgenden Schritte abgeschlossen sein:

  • Zertifikatdienste, Routing und Remotezugriff funktionieren.

  • Auf Clients wurde der VPN-Erzwingungsclient gestartet.

  • Der Netzwerkrichtlinienserver ist installiert und für die VPN-Erzwingung konfiguriert.

  • Auf Clients ist der Dienst „Netzwerkzugriffsschutz-Agent“ gestartet und auf automatische Ausführung festgelegt.

„Step-by-Step Guide: Demonstrate VPN NAP Enforcement in a Test Lab“ (Schritt-für-Schritt-Anleitung zum Demonstrieren der VPN-NAP-Erzwingung in einem Testlabor) auf der Netzwerkzugriffsschutz-Website (http://go.microsoft.com/fwlink/?LinkId=59125, möglicherweise in englischer Sprache).

Wenn für den Netzwerkzugriffsschutz 802.1X verwendet wird, müssen die folgenden Schritte abgeschlossen sein:

  • Ein mit 802.1X kompatibler Switch oder Zugriffspunkt, der die Verwendung von RADIUS-Tunnelattributen unterstützt, wurde installiert und für die 802.1X-Authentifizierung konfiguriert.

  • Auf Clients wurde der EAP-Erzwingungsclient gestartet.

  • Der Netzwerkrichtlinienserver ist installiert und für die 802.1X-Erzwingung konfiguriert.

  • Auf Clients ist der Dienst „Netzwerkzugriffsschutz-Agent“ gestartet und auf automatische Ausführung festgelegt.

  • Auf Clients wurde in einer kabelgebundenen Konfiguration der Dienst für die automatische Konfiguration verkabelter Netzwerke gestartet und auf „Automatisch“ festgelegt.

  • Auf Clients wurde in einer kabellosen Konfiguration der Dienst für die automatische WLAN-Konfiguration gestartet und auf „Automatisch“ festgelegt.

  • Auf Clients wurde die 802.1X-Authentifizierung für Netzwerkverbindungen aktiviert und konfiguriert.

„Step-by-Step Guide: Anleitung zum Demonstrieren der 802.1X-NAP-Erzwingung in einem Testlabor auf der Netzwerkzugriffsschutz-Website (http://go.microsoft.com/fwlink/?LinkId=59125, möglicherweise in englischer Sprache)

Stellen Sie durch Erweiterung des Schemas sicher, dass Active Directory-Domänendienste für Configuration Manager 2007 bereitgestellt wurden, und prüfen Sie, ob Standorte erfolgreich in Active Directory-Domänendiensten veröffentlichen.

Überprüfen, ob Active Directory für den Netzwerkzugriffsschutz bereitgestellt wurde

Erweitern des Active Directory-Schemas für Configuration Manager

Veröffentlichen von Configuration Manager-Standortinformationen in Active Directory-Domänendiensten

Installieren Sie in Configuration Manager 2007 die Configuration Manager-Systemintegritätsprüfungspunkte auf dem Betriebssystem Windows Server 2008 mit der Rolle „Netzwerkrichtlinienserver“, und konfigurieren Sie die Systemintegritätsprüfungspunkte als NAP-Integritätsrichtlinienserver.

Installieren des des Systemintegritätsprüfungspunkts

Wenn sich Ihre Configuration Manager 2007-Standortserver und Systemintegritätsprüfungspunkte nicht in derselben Gesamtstruktur des Active Directory-Domänendiensts befinden, konfigurieren Sie in Configuration Manager 2007 die Configuration Manager-Integritätszustandsreferenzen.

Angeben des Speicherorts der NAP-Integritätszustandsreferenz

Angeben des Kontos zum Veröffentlichen der Integritätszustandsreferenz

Angeben des Kontos zum Abfragen der Integritätszustandsreferenz

Überprüfen Sie in Configuration Manager 2007, ob NAP-fähige Clients vorhanden sind, und aktualisieren Sie die Clients bei Bedarf.

Informationen zum NAP-Clientstatus im Netzwerkzugriffsschutz

Überprüfen Sie in Configuration Manager 2007, ob die Configuration Manager-Softwareupdateinfrastruktur konfiguriert ist und funktioniert.

Administratorchecklisten für Softwareupdates

Stellen Sie auf dem Netzwerkrichtlinienserver sicher, dass die Configuration Manager-Systemintegritätsprüfung für die einzelnen Fehlercodeauflösungen entsprechend konfiguriert ist.

Konfigurieren der Fehlerkategorien für den Netzwerkzugriffsschutz in Configuration Manager

Stellen Sie auf dem Netzwerkrichtlinienserver sicher, dass Integritätsrichtlinien vorhanden sind, die für kompatible und nicht kompatible Configuration Manager 2007-Clients auf die Configuration Manager-Systemintegritätsprüfung verweisen.

Konfigurieren von Integritätsrichtlinien für den Netzwerkzugriffsschutz in Configuration Manager

Stellen Sie, wenn Sie die DHCP- oder VPN-Erzwingung verwenden, auf dem Netzwerkrichtlinienserver sicher, dass eine Wiederherstellungsservergruppe für die Infrastrukturserver vorhanden ist, welche für die Configuration Manager-Wiederherstellung erforderlich sind.

Konfigurieren der Wiederherstellungsservergruppen für den Netzwerkzugriffsschutz in Configuration Manager

Stellen Sie auf dem Netzwerkrichtlinienserver sicher, dass Verbindungsanforderungs- und Netzwerkrichtlinien für kompatible, nicht kompatible und nicht NAP-fähige Clients (Netzwerkzugriffsschutz, NAP) vorhanden sind.

Konfigurieren von Verbindungsanforderungsrichtlinien für den Netzwerkzugriffsschutz in Configuration Manager

Konfigurieren von Netzwerkrichtlinien für den Netzwerkzugriffsschutz in Configuration Manager

Aktivieren Sie in Configuration Manager 2007 den Netzwerkzugriffsschutz.

Aktivieren des Client-Agents für Netzwerkzugriffsschutz

Erstellen Sie in Configuration Manager 2007 Configuration Manager-NAP-Richtlinien.

Erstellen einer NAP-Richtlinie für den Netzwerkzugriffsschutz in Configuration Manager

Überwachen Sie in Configuration Manager 2007 den Netzwerkzugriffsschutz.

Zeigen Sie mit dem Knoten Netzwerkzugriffsschutz die Startseite für den Netzwerkzugriffsschutz an.

Netzwerkzugriffsschutz-Startseite

Ausführen von Netzwerkzugriffsschutz-Berichten

Überwachen des Systemintegritätsprüfungspunkts mit Leistungsindikatoren für den Netzwerkzugriffsschutz

Beheben Sie in Configuration Manager 2007 bei Bedarf Netzwerkzugriffsschutz-Probleme.

Problembehandlung bei Problemen mit dem Netzwerkzugriffsschutz

Problembehandlung beim Netzwerkzugriffsschutz

Siehe auch

Konzepte

Administratorworkflow: Konfigurieren von Netzwerkzugriffsschutz für den Configuration Manager

Andere Ressourcen

Netzwerkzugriffsschutz in Configuration Manager

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com