Bereitstellen von Netzwerkzugriffsschutz in mehreren Gesamtstrukturen

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Die Konfigurationsschritte zum Bereitstellen des Netzwerkzugriffsschutzes (Network Access Protection, NAP) von Configuration Manager 2007 in mehreren Active Directory-Gesamtstrukturen hängen von der Topografie und der aktuellen Konfiguration ab sowie davon, wo die Configuration Manager-Integritätszustandsreferenzen veröffentlicht werden sollen. Hilfestellung bei der Entscheidung, wo die Integritätszustandsreferenzen veröffentlicht werden sollen, finden Sie unter Entscheiden, welche Gesamtstruktur Integritätszustandsreferenzen für den Netzwerkzugriffsschutz veröffentlichen soll.

Mithilfe der folgenden unterstützten Szenarien können Sie die geeigneten Konfigurationsschritte zum Bereitstellen des Netzwerkzugriffsschutzes im Configuration Manager in mehreren Active Directory-Gesamtstrukturen auswählen, wenn sich die Standortserver in einer Active Directory-Gesamtstruktur befinden und alle Systemintegritätsprüfungspunkte in einer anderen.

• Bereitstellen des Netzwerkzugriffsschutzes im Configuration Manager in zwei Gesamtstrukturen, wenn die Configuration Manager-Integritätszustandsreferenzen in der Gesamtstruktur veröffentlicht werden, die die Standortserver enthält

• Bereitstellen des Netzwerkzugriffsschutzes im Configuration Manager in zwei Gesamtstrukturen, wenn die Configuration Manager-Integritätszustandsreferenzen in der Gesamtstruktur veröffentlicht werden, die die Systemintegritätsprüfungspunkte enthält

• Bereitstellen des Netzwerkzugriffsschutzes im Configuration Manager in zwei Gesamtstrukturen, wenn die Configuration Manager-Integritätszustandsreferenzen in einer dritten Gesamtstruktur veröffentlicht werden, die Vertrauensstellungen zu den anderen beiden Gesamtstrukturen (zur Gesamtstruktur oder zu einer externen Domäne) besitzt

• Bereitstellen des Netzwerkzugriffsschutzes im Configuration Manager in zwei Gesamtstrukturen, wenn die Configuration Manager-Integritätszustandsreferenzen in einer dritten Gesamtstruktur veröffentlicht werden, die keine Vertrauensstellungen zu den anderen beiden Gesamtstrukturen besitzt

Bereitstellen des Netzwerkzugriffsschutzes im Configuration Manager in zwei Gesamtstrukturen, wenn die Configuration Manager-Integritätszustandsreferenzen in der Gesamtstruktur veröffentlicht werden, die die Standortserver enthält

1. Führen Sie die folgenden Schritte aus, wenn diese nicht bereits für andere Configuration Manager-Features ausgeführt wurden:

   • Erweitern Sie das Active Directory-Schema mit den Configuration Manager 2007-Erweiterungen. Weitere Informationen finden Sie unter Erweitern des Active Directory-Schemas für Configuration Manager.

   • Aktivieren Sie die Veröffentlichung der Configuration Manager-Integritätszustandsreferenzen, indem Sie in jeder Domäne, die einen Standortserver enthält, einen Systemverwaltungscontainer erstellen. Erteilen Sie den Standortserver-Computerkonten Vollzugriff (auf dieses Objekt und alle untergeordneten Objekte).

   • Konfigurieren Sie jeden Standort für die Veröffentlichung in Active Directory-Domänendiensten. Weitere Informationen finden Sie unter Veröffentlichen von Configuration Manager-Standortinformationen in Active Directory-Domänendiensten.

2. Führen Sie die folgenden Schritte aus, die Teil der Konfiguration der Systemintegritätsprüfungs-Komponente sind:

   • Geben Sie die Option Active Directory-Gesamtstruktur angeben an. Weitere Informationen finden Sie unter Angeben des Speicherorts der NAP-Integritätszustandsreferenz.

   • Geben Sie unter Domänensuffix die vollständig qualifizierte Domäne des Standortservers an, auf dem die NAP-Richtlinien erstellt werden sollen. Den Systemintegritätsprüfungspunkten ist somit bekannt, wo die Configuration Manager-Integritätszustandsreferenzen abgerufen werden sollen. Da jede Domäne die Configuration Manager-Integritätszustandsreferenzen in den globalen Katalog schreibt, fragt der Systemintegritätsprüfungspunkt den globalen Katalog in der angegebenen Domäne ab. Dies bedeutet, dass alle Configuration Manager-Integritätszustandsreferenzen von allen Domänen in dieser Gesamtstruktur abgerufen werden können.

3. Wenn eine ausgehende Vertrauensstellung von der im Domänensuffix angegebenen Domäne und der bzw. den Domänen existiert, in denen sich die Systemintegritätsprüfungspunkte befinden, ist keine weitere Konfiguration erforderlich. Die Computerkonten der Systemintegritätsprüfungspunkte werden verwendet und in der gesamten Vertrauensstellung authentifiziert.

4. Wenn keine ausgehende Vertrauensstellung von der im Domänensuffix angegebenen Domäne und der bzw. den Domänen existiert, in denen sich die Systemintegritätsprüfungspunkte befinden, müssen die folgenden zusätzlichen Schritte ausgeführt werden:

   • Erstellen Sie ein Microsoft Windows-Benutzerkonto in der Gesamtstruktur mit den Standortservern, und konfigurieren Sie dieses Konto mit einem Kennwort, das nicht abläuft.

   • Geben Sie dieses Windows-Benutzerkonto unter dem Knoten Komponentenkonfiguration in den Eigenschaften der Systemintegritätsprüfungspunkt-Komponente als Konto zum Abfragen der Integritätszustandsreferenz an. Weitere Informationen finden Sie unter Angeben des Kontos zum Abfragen der Integritätszustandsreferenz.

Bereitstellen des Netzwerkzugriffsschutzes im Configuration Manager in zwei Gesamtstrukturen, wenn die Configuration Manager-Integritätszustandsreferenzen in der Gesamtstruktur veröffentlicht werden, die die Systemintegritätsprüfungspunkte enthält

1. Führen Sie die folgenden Schritte in der Gesamtstruktur mit den Systemintegritätsprüfungspunkten aus:

   • Erweitern Sie das Active Directory-Schema mit den Configuration Manager 2007-Erweiterungen. Weitere Informationen finden Sie unter Erweitern des Active Directory-Schemas für Configuration Manager.

   • Erstellen Sie in einer Domäne einen Systemverwaltungscontainer als Speicherort für die Integritätszustandsreferenzen von Configuration Manager.

   • Erstellen Sie eine lokale Domänengruppe, und gewähren Sie ihr Vollzugriff (für dieses Objekt und alle untergeordneten Objekte) auf den Systemverwaltungscontainer.

2. Führen Sie die folgenden Schritte aus, die Teil der Konfiguration der Systemintegritätsprüfungs-Komponente sind:

   • Wählen Sie die Option Active Directory-Gesamtstruktur angeben aus. Weitere Informationen finden Sie unter Angeben des Speicherorts der NAP-Integritätszustandsreferenz.

   • Geben Sie unter Domänensuffix die vollständig qualifizierte Domäne an, in der Sie den Systemverwaltungscontainer erstellt haben. Den Systemintegritätsprüfungspunkten ist somit bekannt, wo die Configuration Manager-Integritätszustandsreferenzen abgerufen werden sollen.

3. Wenn eine ausgehende Vertrauensstellung von der im Domänensuffix angegebenen Domäne und der bzw. den Domänen existiert, in denen sich die Standortserver befinden, fügen Sie die Computerkonten der einzelnen Standortserver der lokalen Domänengruppe hinzu, die Sie erstellt haben.

4. Wenn keine ausgehende Vertrauensstellung von der im Domänensuffix angegebenen Domäne und der bzw. den Domänen existiert, in denen sich die Standortserver befinden, müssen die folgenden zusätzlichen Schritte ausgeführt werden:

   • Erstellen Sie ein Microsoft Windows-Benutzerkonto in der Gesamtstruktur mit den Systemintegritätsprüfungspunkten, und konfigurieren Sie dieses Konto mit einem Kennwort, das nicht abläuft.

   • Geben Sie dieses Windows-Benutzerkonto unter dem Knoten Komponentenkonfiguration in den Eigenschaften der Systemintegritätsprüfungspunkt-Komponente als Konto zum Veröffentlichen der Integritätszustandsreferenz an. Weitere Informationen finden Sie unter Angeben des Kontos zum Veröffentlichen der Integritätszustandsreferenz.

   • Stellen Sie sicher, dass die Namensauflösung so konfiguriert ist, dass Standortserver den Gesamtstruktur-Namespace der Systemintegritätsprüfungspunkte auflösen können (z. B. mit DNS-Weiterleitung oder Stammhinweisen).

Bereitstellen des Netzwerkzugriffsschutzes im Configuration Manager in zwei Gesamtstrukturen, wenn die Configuration Manager-Integritätszustandsreferenzen in einer dritten Gesamtstruktur veröffentlicht werden, die Vertrauensstellungen zu den anderen beiden Gesamtstrukturen (zur Gesamtstruktur oder zu einer externen Domäne) besitzt

1. Führen Sie in der dritten Active Directory-Gesamtstruktur die folgenden Schritte aus:

   • Erweitern Sie das Active Directory-Schema mit den Configuration Manager 2007-Erweiterungen. Weitere Informationen finden Sie unter Erweitern des Active Directory-Schemas für Configuration Manager.

   • Erstellen Sie in einer Domäne einen Systemverwaltungscontainer als Speicherort für die Integritätszustandsreferenzen von Configuration Manager.

   • Erstellen Sie eine lokale Domänengruppe, und gewähren Sie ihr Vollzugriff (für dieses Objekt und alle untergeordneten Objekte) auf den Systemverwaltungscontainer.

2. Führen Sie die folgenden Schritte aus, die Teil der Konfiguration der Systemintegritätsprüfungs-Komponente sind:

   • Geben Sie die Option Active Directory-Gesamtstruktur angeben an. Weitere Informationen finden Sie unter Angeben des Speicherorts der NAP-Integritätszustandsreferenz.

   • Geben Sie unter Domänensuffix die vollständig qualifizierte Domäne an, in der Sie den Systemverwaltungscontainer erstellt haben. Den Standortservern ist somit bekannt, wohin sie die Configuration Manager-NAP-Integritätszustandsreferenzen schreiben sollen, und den Systemintegritätsprüfungspunkten ist bekannt, wo sie die Configuration Manager-NAP-Integritätszustandsreferenzen abrufen sollen.

3. Wenn dies nicht bereits konfiguriert ist, aktivieren Sie die Option Diesen Standort in den Active Directory-Domänendiensten veröffentlichen für jeden Standort, der für den Netzwerkzugriffsschutz aktiviert wird. Weitere Informationen finden Sie unter Veröffentlichen von Configuration Manager-Standortinformationen in Active Directory-Domänendiensten.

4. Verwenden Sie die ausgehende Vertrauensstellung von der im Domänensuffix angegebenen Domäne und der bzw. den Domänen, in denen sich die Standortserver befinden, um die Computerkonten der einzelnen Standortserver der lokalen Domänengruppe hinzuzufügen, die Sie erstellt haben.

5. Die Computerkonten der Systemintegritätsprüfungspunkte werden dafür authentifiziert, die Configuration Manager-Integritätszustandsreferenzen über die ausgehende Vertrauensstellung von der im Domänensuffix angegebenen Domäne und der bzw. den Domänen, in denen sich die Standortserver befinden, abzurufen. Dazu ist keine weitere Konfiguration erforderlich.

Bereitstellen des Netzwerkzugriffsschutzes im Configuration Manager in zwei Gesamtstrukturen, wenn die Configuration Manager-Integritätszustandsreferenzen in einer dritten Gesamtstruktur veröffentlicht werden, die keine Vertrauensstellungen zu den anderen beiden Gesamtstrukturen besitzt

1. Führen Sie in der dritten Active Directory-Gesamtstruktur die folgenden Schritte aus:

   • Erweitern Sie das Active Directory-Schema mit den Configuration Manager 2007-Erweiterungen. Weitere Informationen finden Sie unter Erweitern des Active Directory-Schemas für Configuration Manager.

   • Erstellen Sie in einer Domäne einen Systemverwaltungscontainer als Speicherort für die Integritätszustandsreferenzen von Configuration Manager.

   • Erstellen Sie eine lokale Domänengruppe, und gewähren Sie ihr Vollzugriff (für dieses Objekt und alle untergeordneten Objekte) auf den Systemverwaltungscontainer.

   • Erstellen Sie ein Microsoft Windows-Benutzerkonto für die Veröffentlichung der Configuration Manager-Integritätszustandsreferenzen. Konfigurieren Sie dieses Konto mit einem Kennwort, das nicht abläuft, und definieren Sie das Konto als Mitglied der lokalen Domänengruppe, die Sie erstellt haben.

   • Erstellen Sie ein Windows-Benutzerkonto zum Abrufen der Configuration Manager-Integritätszustandsreferenzen. Konfigurieren Sie dieses Konto mit einem Kennwort, das nicht abläuft.

2. Konfigurieren Sie die Eigenschaften der Systemintegritätsprüfungspunkt-Komponente unter dem Knoten Komponentenkonfiguration wie folgt:

   • Geben Sie die Option Active Directory-Gesamtstruktur angeben an. Weitere Informationen finden Sie unter Angeben des Speicherorts der NAP-Integritätszustandsreferenz.

   • Geben Sie unter Domänensuffix die vollständig qualifizierte Domäne an, in der Sie den Systemverwaltungscontainer erstellt haben. Den Standortservern ist somit bekannt, wohin sie die Configuration Manager-Integritätszustandsreferenzen schreiben sollen, und den Systemintegritätsprüfungspunkten ist bekannt, wo sie die Configuration Manager-Integritätszustandsreferenzen abrufen sollen.

   • Geben Sie das Windows-Benutzerkonto an, das Sie zum Veröffentlichen der Configuration Manager-Integritätszustandsreferenzen unter „Konto zum Veröffentlichen der Integritätszustandsreferenz“ erstellt haben. Weitere Informationen finden Sie unter Angeben des Kontos zum Veröffentlichen der Integritätszustandsreferenz.

   • Geben Sie das Windows-Benutzerkonto an, das Sie zum Lesen der Configuration Manager-Integritätszustandsreferenzen unter Konto zum Abfragen der Integritätszustandsreferenz erstellt haben. Weitere Informationen finden Sie unter Angeben des Kontos zum Abfragen der Integritätszustandsreferenz.

3. Wenn dies nicht bereits konfiguriert ist, aktivieren Sie die Option Diesen Standort in den Active Directory-Domänendiensten veröffentlichen für jeden Standort, der für den Netzwerkzugriffsschutz aktiviert wird. Weitere Informationen finden Sie unter Veröffentlichen von Configuration Manager-Standortinformationen in Active Directory-Domänendiensten.

4. Verwenden Sie die ausgehende Vertrauensstellung von der im Domänensuffix angegebenen Domäne und der bzw. den Domänen, in denen sich die Standortserver befinden, um die Computerkonten der einzelnen Standortserver der lokalen Domänengruppe hinzuzufügen, die Sie erstellt haben.

5. Stellen Sie sicher, dass die Namensauflösung so konfiguriert ist, dass Standortserver und Systemintegritätsprüfungspunkte den Gesamtstruktur-Namespace der dritten Active Directory-Gesamtstruktur auflösen können (z. B. mit DNS-Weiterleitung oder Stammhinweisen).

Siehe auch

Tasks

Veröffentlichen von Configuration Manager-Standortinformationen in Active Directory-Domänendiensten
Angeben des Kontos zum Abfragen der Integritätszustandsreferenz
Angeben des Kontos zum Veröffentlichen der Integritätszustandsreferenz
Angeben des Speicherorts der NAP-Integritätszustandsreferenz

Konzepte

Informationen zu NAP-Integritätszustandsreferenzen im Netzwerkzugriffsschutz
Informationen zu Systemintegritätsprüfungspunkten im Netzwerkzugriffsschutz
Informationen zu Netzwerkzugriffsschutz und mehreren Active Directory-Gesamtstrukturen
Entscheiden, welche Gesamtstruktur Integritätszustandsreferenzen für den Netzwerkzugriffsschutz veröffentlichen soll

Andere Ressourcen

Erweitern des Active Directory-Schemas für Configuration Manager

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com