Informationen zur Kompatibilität für Netzwerkzugriffsschutz in Configuration Manager

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Im Folgenden wird erklärt, wie von Configuration Manager 2007 die Kompatibilität mit Softwareupdates für den Netzwerkzugriffsschutz (Network Access Protection, NAP) bestimmt wird. Diese Informationen unterstützen Sie bei der Vorbereitung der Implementierung von Netzwerkzugriffsschutz sowie bei der Problembehandlung in Situationen, in denen die Kompatibilitätsergebnisse nicht wie erwartet ausfallen.

Kompatibilität als mehrstufiger Prozess

Das Bestimmen der Kompatibilität für Netzwerkzugriffsschutz (Network Access Protection, NAP) im Configuration Manager ist ein mehrstufiger Prozess:

  • Der NAP-fähige Configuration Manager-Client bewertet, ob alle erforderlichen Softwareupdates an ihrem Gültigkeitsdatum vorhanden sind. Der Client überträgt diese Kompatibilitäts- bzw. Nichtkompatibilitätsinformation in seinem SoH an den Systemintegritätspunkt. Tritt bei der Bewertung ein Fehler auf, sendet der Client Fehlerinformationen im SoH.

  • Der Systemintegritätsprüfungspunkt überprüft dann das SoH des Clients anhand einer Reihe von Kompatibilitätskriterien. Für den Überprüfungsprozess werden die in den Active Directory-Domänendiensten veröffentlichte Configuration Manager-Integritätszustandsreferenz und die vom Systemintegritätsprüfungspunkt konfigurierten Einstellungen verwendet.

  • In einigen Situationen reichen die Überprüfungskriterien für die Bestimmung der Kompatibilität bzw. Nichtkompatibilität durch den Systemintegritätsprüfungspunkt nicht aus. Dies kann zum Beispiel der Fall sein, wenn der Client unbekannt ist oder ein Fehler auftritt. Das Bestimmen der Kompatibilität bzw. Nichtkompatibilität erfolgt dann über die Konfiguration des Systemintegritätsprüfungspunkts auf dem Netzwerkrichtlinienserver. Die Standardkonfiguration ist „Nicht kompatibel“.

Gründe für die Nichtkompatibilität eines Clients trotz vorhandener erforderlicher Softwareupdates

Die dreistufige Überprüfung der Kompatibilität ist eine hoch entwickelte und effiziente Methode, mit der der Configuration Manager die Kompatibilität eines Clients mit Softwareupdates bestimmen kann. Die Methode kann aber auch eine gewisse Komplexität für Administratoren darstellen, die verstehen möchten, warum ein Client als nicht kompatibel gemeldet wurde. Beispiel: Obwohl Clients, die Softwareupdates benötigen, stets den Integritätszustand „Nicht kompatibel“ von einem Systemintegritätsprüfungspunkt erhalten, werden Clients, die alle erforderlichen Softwareupdates besitzen, vom Systemintegritätsprüfungspunkt ggf. als nicht kompatibel gemeldet.

Ein Client, auf dem alle erforderlichen Softwareupdates vorhanden sind, kann u. a. in folgenden Situationen als nicht kompatibel eingestuft werden:

  • Ist der Clientstandort dem Systemintegritätsprüfungspunkt nicht bekannt, erhält der Client anstatt des Status „Kompatibel“ oder „Nicht kompatibel“ den Status „Unbekannt“. Diese Fehlerbedingung tritt auf, wenn der Systemintegritätsprüfungspunkt keine Integritätszustandsreferenz für den Standortnamen und den Code im Statement of Health des Clients findet. Dies kann der Fall sein, wenn die Active Directory-Replikation für einen neu installierten Configuration Manager-Standort noch nicht abgeschlossen wurde. Eine weitere Ursache kann sein, dass ein Client außerhalb seiner Configuration Manager-Hierarchie liegt. Die Fehlerbedingung „Unbekannt“ wird der Fehlerkategorie Herstellerspezifischen Systemintegritäts-Agent-Fehlercode erhalten der Systemintegritätsprüfung auf dem Netzwerkrichtlinienserver zugeordnet, die standardmäßig als nicht kompatibel konfiguriert ist. Diese Fehlerkategorie kann jedoch als „Kompatibel“ oder „Nicht kompatibel“ konfiguriert werden.

  • Treten während der Überprüfung Fehler auf, kann sich der kompatible Status eines Clients in eine der beiden Serverfehlerkategorien ändern. Standardmäßig sind beide Serverfehlerkategorien der Systemintegritätsprüfung auf dem Windows-Netzwerkrichtlinienserver als nicht kompatibel konfiguriert. Beide Kategorien können jedoch als kompatibel oder nicht kompatibel konfiguriert werden.

  • Tritt bei einer der folgenden Überprüfungen ein Fehler auf, wird ein mit den Configuration Manager-NAP-Richtlinien kompatibler Client als nicht kompatibel eingestuft:

    • Das Client-SoH ist älter als die Systemintegritätsprüfungspunkt-Einstellung der Option Erstellungsdatum muss später sein als. In dieser Situation ist es wahrscheinlich, dass neue und wichtige Configuration Manager-NAP-Richtlinien konfiguriert wurden, und es ist zwingend notwendig, die Kompatibilität des Clients mit den aktuellen Configuration Manager-NAP-Richtlinien zu bewerten.

    • Das Client-SoH liegt nicht im Rahmen der Systemintegritätsprüfungspunkt-Einstellung der Option Gültigkeitszeitraum. In dieser Situation verwendet der Client ein zwischengespeichertes Statement of Health. Wenn die Kompatibilität des Clients erneut bewertet wird, ist er ggf. nicht mehr kompatibel (z. B. wenn Softwareupdates deinstalliert wurden).

    • Die Kompatibilität des Clients wurde nicht mit den aktuellen Configuration Manager-NAP-Richtlinien bewertet. In dieser Situation ist der Richtlinienzeitstempel im Client-SoH älter als der Zeitstempel in der Integritätszustandsreferenz. Dies deutet darauf hin, dass Änderungen an den Configuration Manager-NAP-Richtlinien vorgenommen wurden, seitdem die Configuration Manager-NAP-Richtlinien das letzte Mal vom Client heruntergeladen wurden.

Wiederherstellungsschritte für einen Client, der über die erforderlichen Softwareupdates verfügt

Wenn ein Client mit den Configuration Manager-NAP-Richtlinien kompatibel ist, jedoch nicht mit den Kriterien der Systemintegritätsprüfung, sind die beiden folgenden Schritte für eine erfolgreiche Wiederherstellung nötig:

  • Wenn der Client nicht anhand der aktuellen Configuration Manager-NAP-Richtlinien bewertet wurde, muss er seine Computerrichtlinie herunterladen, die die Configuration Manager-NAP-Richtlinien enthält.

  • Die Kompatibilität des Clients wird erneut überprüft und ein neues SoH an den Systemintegritätsprüfungspunkt gesendet.

  • Wenn der Status immer noch kompatibel ist und die Überprüfungen erfolgreich abgeschlossen sind, erhält der Client den Integritätszustand „Kompatibel“.

Siehe auch

Tasks

Angeben der Option „Erstellungsdatum muss später sein als“ für das SoH
Angeben des Gültigkeitszeitraums für das SoH

Konzepte

Konfigurieren der Fehlerkategorien für den Netzwerkzugriffsschutz in Configuration Manager
Informationen zum NAP-Gültigkeitsdatum im Netzwerkzugriffsschutz
Informationen zu NAP-Integritätszustandsreferenzen im Netzwerkzugriffsschutz
Informationen zu Configuration Manager-NAP-Richtlinien für den Netzwerkzugriffsschutz
Informationen zum Statement of Health (SoH) im Netzwerkzugriffsschutz
Systemintegritätsprüfungspunkt: Überprüfungsprozess für den Netzwerkzugriffsschutz
Informationen zu Systemintegritätsprüfungspunkten im Netzwerkzugriffsschutz

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com