Informationen zu Systemintegritätsprüfungspunkten im Netzwerkzugriffsschutz
Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
In diesem Anschnitt erhalten Sie Informationen zur Verwendungsweise von Systemintegritätsprüfungspunkten in Configuration Manager 2007 mit dem Netzwerkzugriffsschutz.
Interaktion des Systemintegritätsprüfungspunkts mit Configuration Manager-Clients und der Windows NAP-Infrastruktur
Der Systemintegritätsprüfungspunkt ist die Configuration Manager 2007-Standortsystemrolle, die unter Windows Server 2008 mit der Netzwerkrichtlinienserver-Rollen (Network Policy Server, NPS) ausgeführt wird.
Wenn Sie Netzwerkzugriffsschutz (Network Access Protection oder NAP) in Configuration Manager 2007 verwenden, ist der Systemintegritätsprüfungspunkt erforderlich, um das Statement of Health (SoH) von den NAP-fähigen Configuration Manager-Clients zu überprüfen und daraus den Clientintegritätszustand „Kompatibel“ oder „Nicht kompatibel“ bzw. eine Fehlerbedingung zu erhalten, aufgrund derer der Integritätszustand nicht bestimmt werden konnte. Weitere Informationen zum SoH finden Sie unter Informationen zum Statement of Health (SoH) im Netzwerkzugriffsschutz.
Das SoH mit dem Integritätszustand des Clientcomputers oder der Fehlerbedingung wird an den Netzwerkrichtlinienserver weitergeleitet, der dann anhand der Konfiguration der Verbindungsanforderung und Netzwerkrichtlinien entscheidet, ob dem Client voller oder begrenzter Netzwerkzugriff gewährt wird. Ist der Client nicht kompatibel, kann der Netzwerkrichtlinienserver auch die Kompatibilität mithilfe der Wiederherstellung in einem eingeschränkten Netzwerk oder im vollen Netzwerk für eingeschränkte Zeit erzwingen. Weitere Informationen zu diesem Vorgang finden Sie unter Informationen zur Erzwingung der Kompatibilität mit Netzwerkzugriffsschutz.
Überprüfen der SoH-Meldungen des Clients
Der Systemintegritätsprüfungspunkt überprüft ein SoH mithilfe mehrerer Tests, die nacheinander durchgeführt werden. Diese umfassen Folgendes:
Überprüfung der Erstellungszeit des SoH
Überprüfung anhand der Integritätszustandsreferenz
Kompatibilitätsstatus und Fehler
Der Systemintegritätsprüfungspunkt kommuniziert nie direkt mit Configuration Manager 2007-Standortservern, um Client-SoHs zu überprüfen. Wenn eine Configuration Manager-NAP-Richtlinie erstellt oder geändert oder von einem übergeordneten Standort geerbt wird, schreibt der Standortserver eine Integritätszustandsreferenz in die Active Directory-Domänendienste. Der Systemintegritätsprüfungspunkt ruft die Integritätszustandsreferenzen für alle primären Configuration Manager-Standorte, die für den Netzwerkzugriffsschutz aktiviert wurden, in regelmäßigen Abständen ab.
Da Active Directory-Domänendienste zum Speichern der Integritätszustandsreferenzen verwendet werden, muss das Active Directory-Schema mit den Configuration Manager 2007-Erweiterungen erweitert werden. Die Integritätszustandsreferenz wird in einem Systemverwaltungscontainer in Active Directory veröffentlicht, was erfordert, dass Configuration Manager 2007 Standortinformationen in Active Directory-Domänendiensten veröffentlicht. Ist mehr als eine Active Directory-Gesamtstruktur vorhanden, und befinden sich die Configuration Manager-Standortserver und die Systemintegritätsprüfungspunkte nicht in der gleichen Gesamtstruktur, müssen Sie festlegen, in welcher Gesamtstruktur und Domäne die Integritätszustandsreferenzen gespeichert werden.
Weitere Informationen zum Erweitern des Active Directory-Schemas für Configuration Manager 2007 und zur Konfiguration des Standorts zur Veröffentlichung in Active Directory-Domänendiensten finden Sie unter den folgenden Themen:
Erweitern des Active Directory-Schemas für Configuration Manager
Veröffentlichen von Configuration Manager-Standortinformationen in Active Directory-Domänendiensten
Weitere Informationen zum Festlegen einer Gesamtstruktur und Domäne zum Speichern der Integritätszustandsreferenzen finden Sie unter Entscheiden, welche Gesamtstruktur Integritätszustandsreferenzen für den Netzwerkzugriffsschutz veröffentlichen soll.
Der Überprüfungsprozess
In diesem Abschnitt werden Sie schrittweise durch die jeweiligen Tests geführt, denen ein NAP-fähiger Client unterzogen wird, wenn der Systemintegritätsprüfungspunkt das SoH des Clients verarbeitet. Dieser Vorgang wird auch im folgenden Flussdiagramm dargestellt:
Systemintegritätsprüfungspunkt: Überprüfungsprozess für den Netzwerkzugriffsschutz
Der erste Test prüft, ob der Client gerade erst bereitgestellt wurde und die Computerrichtlinie noch nicht heruntergeladen hat, die bestimmt, ob der Client-Agent für Netzwerkzugriffsschutz aktiviert ist und welche Configuration Manager-NAP-Richtlinien definiert wurden. Ohne diese Richtlinie kann der Configuration Manager nicht bestimmen, ob der Client Softwareupdates benötigt oder ob sein Integritätszustand überprüft werden sollte. Der Client wird als kompatibel angesehen, kann also auf das Netzwerk zugreifen, um seine Computerrichtlinie herunterzuladen. Wenn der Client seine Standortrichtlinie erhalten hat, sendet er sofort ein neues SoH, um als voll funktionstüchtiger Client neu bewertet zu werden.
Der nächste Test des Systemintegritätsprüfungspunkts nach Bestimmung des erfolgreichen Herunterladens der Computerrichtlinie durch den Client besteht darin, die Clientidentität zu überprüfen. Dazu verwendet er die Integritätszustandsreferenz, die er regelmäßig aus den Active Directory-Domänendiensten abruft. Der Systemintegritätsprüfungspunkt überprüft die Identität des Configuration Manager 2007-Clientstandorts, um zu gewährleisten, dass der Client zu einem bekannten Configuration Manager 2007-Standort in der Hierarchie gehört. Wird dieser Test nicht bestanden, leitet der Systemintegritätsprüfungspunkt den Status „Unbekannt“ an den Windows-Netzwerkrichtlinienserver weiter, der die Configuration Manager-Systemintegritätsprüfungs-Kategorie Herstellerspezifischen Systemintegritäts-Agent-Fehlercode erhalten auf dem Netzwerkrichtlinienserver zuordnet. Standardmäßig ist die Kategorie Herstellerspezifischen Systemintegritäts-Agent-Fehlercode erhalten als nicht kompatibel konfiguriert, sie kann aber auch als kompatibel konfiguriert werden.
Wenn der Standort des Clients bestätigt wird, überprüft der Systemintegritätsprüfungspunkt, ob der Client-Agent für Netzwerkzugriffsschutz auf dem Client aktiviert oder deaktiviert ist. Ein NAP-fähiger Client, auf dem der Client-Agent für Netzwerkzugriffsschutz deaktiviert wurde, sendet trotzdem ein SoH für den Configuration Manager 2007-Netzwerkzugriffsschutz. Ein NAP-fähiger Client, auf dem der Client-Agent für Netzwerkzugriffsschutz nach Abschluss der vorherigen Tests deaktiviert wurde, wird vom Systemintegritätsprüfungspunkt als kompatibel bewertet, und sein Integritätszustand wird auf „Kompatibel“ festgelegt.
Der nächste Test des Systemintegritätsprüfungspunkts bei aktiviertem Client-Agent für Netzwerkzugriffsschutz ist die Zeitüberprüfung mithilfe der Eigenschaften des Systemintegritätsprüfungspunkts. Wenn die Option Erstellungsdatum muss später sein als festgelegt ist, prüft der Systemintegritätsprüfungspunkt, ob das SoH des Clients vor oder nach diesem Datum erstellt wurde. Wenn es an dem Einstellungsdatum oder davor erstellt wurde, wird der Clientintegritätszustand auf „Nicht kompatibel“ festgelegt. Wenn das SoH nach dem in der Konfigurationseinstellung auf dem Systemintegritätsprüfungspunkt angegebenen Datum erstellt wurde, prüft der Systemintegritätsprüfungspunkt, ob das Client-SoH älter als der auf dem Systemintegritätsprüfungspunkt konfigurierte Gültigkeitszeitraum ist. Ist das SoH älter als der konfigurierte Gültigkeitszeitraum, wird der Clientintegritätszustand auf „Nicht kompatibel“ festgelegt.
Wenn der Systemintegritätsprüfungspunkt feststellt, dass das SoH nicht älter als der konfigurierte Gültigkeitszeitraum ist, verwendet er die Integritätszustandsreferenz, um zu bestimmen, ob der Client aktuelle Configuration Manager-NAP-Richtlinien zur Bewertung seines SoH verwendet hat. Dazu wird der Zeitstempel in der Integritätszustandsreferenz mit dem in den Kompatibilitätsinformationen des SoH verglichen. Der Zeitstempel gibt an, wann die Configuration Manager-NAP-Richtlinien zuletzt erstellt oder geändert wurden. Ist der Zeitstempel in der Integritätszustandsreferenz neuer als der im SoH, wird der Clientintegritätszustand auf „Nicht kompatibel“ festgelegt.
Ist der Zeitstempel im SoH neuer als der in der Integritätszustandsreferenz oder hat er das gleiche Datum, wird der Clientkompatibilitätszustand im SoH überprüft. Enthält das SoH einen kompatiblen Status, legt der Systemintegritätsprüfungspunkt den Clientintegritätszustand auf „Kompatibel“ fest. Enthält das SoH aber keinen kompatiblen Status, prüft der Systemintegritätsprüfungspunkt, ob auf dem Client ein Fehler aufgetreten ist, der verhindert hat, dass ein kompatibler Status ausgegeben wurde. Diese Bedingung führt dazu, dass eine von zwei Fehlerkategorien sowie ein Fehlercode festgelegt werden. Sind keine Fehler aufgetreten, legt der Systemintegritätsprüfungspunkt den Clientintegritätszustand auf „Nicht kompatibel“ fest.
Sind Fehlerkategorie und -code festgelegt, prüft der Systemintegritätsprüfungspunkt, ob der Fehlercode einem ihm bekannten Fehlercode entspricht. Gibt es eine Übereinstimmung, wird die Fehlerkategorie zum Netzwerkrichtlinienserver weitergeleitet, der die Fehlerkategorie dann einer von zwei Clientfehlerkategorien zuordnet, die in den Einstellungen der Systemintegritätsprüfung des Configuration Managers konfiguriert sind. Standardmäßig werden beide Fehlerkategorien in der Systemintegritätsprüfung des Configuration Managers so konfiguriert, dass der Client den Integritätszustand „Nicht kompatibel“ erhält, er kann aber auch so konfiguriert werden, dass er den Zustand „Kompatibel“ erhält. Wird für den Fehlercode aber keine Übereinstimmung gefunden, leitet der Systemintegritätsprüfungspunkt den Fehler an den Netzwerkrichtlinienserver weiter, und zwar unter der Fehlerkategorie Herstellerspezifischen Systemintegritäts-Agent-Fehlercode erhalten. Dies kann auch in der Systemintegritätsprüfung des Configuration Managers konfiguriert werden. Standardmäßig erhält der Client den Integritätszustand „Nicht kompatibel“.
Wenn nicht kompatible Clients für die NAP-Erzwingung und Wiederherstellung auf dem Netzwerkrichtlinienserver konfiguriert sind, sendet der Systemintegritätsprüfungspunkt evtl. Anweisungen an den Client, je nachdem, welche Prüfung nicht bestanden wurde. Wurde die Zeitüberprüfung des SoH nicht bestanden, weist der Systemintegritätsprüfungspunkt den Client an, sein SoH erneut zu bewerten und dann ein neues SoH vorzulegen. Wird die Zeitstempelprüfung mit der Integritätszustandreferenz nicht bestanden, weist der Systemintegritätsprüfungspunkt den Client an, seine Computerrichtlinie von seinem Verwaltungspunkt herunterzuladen, seinen Kompatibilitätsstatus mit den neuesten Configuration Manager-NAP-Richtlinien erneut zu bewerten und dann ein neues SoH vorzulegen.
Wird die Kompatibilitätsprüfung nicht bestanden, weist der Systemintegritätsprüfungspunkt den Client an, diesen Fehler zu protokollieren. Der Systemintegritätsprüfungspunkt liefert dem Client statische Routen zu den Verteilungspunkten, auf denen die Softwareupdates gehostet werden, die der Client zum Wiederherstellen seiner Kompatibilität benötigt. Der Client installiert jedes erforderliche Softwareupdate. Nach erfolgreicher Installation legt er ein neues SoH vor.
Nachdem das neue SoH erstellt wurde, führt der Systemintegritätsprüfungspunkt die Überprüfungen erneut durch. Besteht der Client jetzt hinsichtlich aller Überprüfungskriterien den Test, legt der Systemintegritätsprüfungspunkt den Integritätszustand auf „Kompatibel“ fest und gibt dies an den Netzwerkrichtlinienserver weiter.
Siehe auch
Tasks
Erstellen einer NAP-Richtlinie für den Netzwerkzugriffsschutz in Configuration Manager
Konzepte
Informationen zur Kompatibilität für Netzwerkzugriffsschutz in Configuration Manager
Informationen zu Netzwerkzugriffsschutz und mehreren Active Directory-Gesamtstrukturen
Informationen zu NAP-Integritätszustandsreferenzen im Netzwerkzugriffsschutz
Informationen zum Netzwerkzugriffsschutz in Configuration Manager-Hierarchien
Netzwerkzugriffsschutz-Fehlerkategorien und -codes
Informationen zur Wiederherstellung des Netzwerkzugriffsschutzes
Informationen zu Configuration Manager-NAP-Richtlinien für den Netzwerkzugriffsschutz
Informationen zum Statement of Health (SoH) im Netzwerkzugriffsschutz
Systemintegritätsprüfungspunkt: Überprüfungsprozess für den Netzwerkzugriffsschutz
Andere Ressourcen
Konfigurieren des Systemintegritätsprüfungspunkts für den Netzwerkzugriffsschutz
Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com