Informationen zu Netzwerkzugriffsschutz und mehreren Active Directory-Gesamtstrukturen

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Im Folgenden werden alle Auswirkungen erläutert, die sich aus der Implementierung des Netzwerkzugriffsschutzes (Network Access Protection, NAP) in Configuration Manager 2007 ergeben, wenn die Configuration Manager-Hierarchie mehr als eine Active Directory-Gesamtstruktur umfasst. Zusätzlich werden die für diese Umgebung unterstützten Szenarien aufgelistet.

NAP in Configuration Manager wird durch mehrere Gesamtstrukturen beeinflusst

Wenn Sie NAP in Configuration Manager 2007 verwenden und die Configuration Manager-Hierarchie mehr als eine Active Directory-Gesamtstruktur umfasst, müssen zusätzliche Konfigurationsanforderungen erfüllt werden. Dies liegt daran, dass NAP in Configuration Manager die Integritätszustandsreferenzen in Active Directory speichert. Wenn Sie eine Configuration Manager-NAP-Richtlinie erstellen oder ändern, veröffentlicht der Standortserver die Configuration Manager-Integritätszustandsreferenz bzw. Änderungen daran in Active Directory.

Wenn ein untergeordneter Standort Configuration Manager-NAP-Richtlinien vom übergeordneten Standort erbt, veröffentlicht der Standortserver des untergeordneten Standorts die Integritätszustandsreferenz ebenfalls in Active Directory. Diese Integritätszustandsreferenzen werden dann von Systemintegritätsprüfungspunkten aus Active Directory abgerufen, indem eine Abfrage an den globalen Katalogserver erstellt wird.

Standardmäßig veröffentlichen Standortserver Integritätszustandsreferenzen in einer eigenen Active Directory-Gesamtstruktur, während die Integritätszustandsreferenzen von Systemintegritätsprüfungspunkten aus ihrer Active Directory-Gesamtstruktur abgerufen werden. Wenn sich die Standortserver und Systemintegritätsprüfungspunkte nicht in derselben Active Directory-Gesamtstruktur befinden, müssen Sie daher die Active Directory-Gesamtstruktur und Domäne festlegen, in der die Integritätszustandsreferenzen gespeichert werden sollen. Dabei kann es sich auch um eine dritte Gesamtstruktur und nicht die der Standortserver und Systemintegritätsüberprüfungspunkte handeln.

Die Active Directory-Gesamtstruktur, in der die Configuration Manager-Integritätszustandsreferenzen gespeichert sind, muss mit den Configuration Manager 2007-Schemaerweiterungen erweitert sein. Die Standortserver müssen für die Veröffentlichung von Identitätsdaten in Active Directory konfiguriert sein, wenn der Standort für NAP aktiviert ist. Außerdem muss die vorgesehene Gesamtstruktur einen System Management-Container mit den entsprechenden Berechtigungen für die Standortserver und Systemintegritätsüberprüfungspunkte enthalten.

Hinweis

Weitere Informationen zum Erweitern des Schemas und Aktivieren der Veröffentlichung für Configuration Manager 2007 finden Sie unter Erweitern des Active Directory-Schemas für Configuration Manager und Veröffentlichen von Configuration Manager-Standortinformationen in Active Directory-Domänendiensten.

Unterstützte Szenarien bei mehreren Gesamtstrukturen

Die Konfigurationsschritte, die bei mehreren Active Directory-Gesamtstrukturen ausgeführt werden müssen, hängen von der Topografie sowie der vorhandenen Konfiguration und der Entscheidung ab, wo die Configuration Manager 2007-Integritätszustandsreferenzen veröffentlicht werden. Im Folgenden werden vier grundlegende Szenarien aufgelistet, die vom Configuration Manager unterstützt werden, wenn sich die Standortserver in einer Active Directory-Gesamtstruktur und alle Systemintegritätsprüfungspunkte in einer anderen Active Directory-Gesamtstruktur befinden:

  • Die Configuration Manager-Integritätszustandsreferenzen werden in der Gesamtstruktur veröffentlicht, die die Standortserver enthält.

  • Die Configuration Manager-Integritätszustandsreferenzen werden in der Gesamtstruktur veröffentlicht, die die Systemintegritätsprüfungspunkte enthält.

  • Die Configuration Manager-Integritätszustandsreferenzen werden in einer dritten Active Directory-Gesamtstruktur veröffentlicht, die Vertrauensstellungen mit den beiden anderen Gesamtstrukturen aufweist (Vertrauensstellung entweder mit Gesamtstruktur oder mit externer Domäne).

  • Die Configuration Manager-Integritätszustandsreferenzen werden in einer dritten Active Directory-Gesamtstruktur veröffentlicht, die keine Vertrauensstellungen mit den beiden anderen Gesamtstrukturen aufweist (Vertrauensstellung weder mit Gesamtstruktur noch mit externer Domäne).

Hilfestellung bei der Entscheidung, welche Gesamtstruktur die Integritätszustandsreferenzen veröffentlichen soll, finden Sie unter Entscheiden, welche Gesamtstruktur Integritätszustandsreferenzen für den Netzwerkzugriffsschutz veröffentlichen soll.

Informationen zur Vorgehensweise bei der Bereitstellung von Active Directory und die zusätzlichen Konfigurationsschritte, die in Configuration Manager beim Verwenden von NAP in mehreren Gesamtstrukturen erforderlich sind, finden Sie unter Bereitstellen von Netzwerkzugriffsschutz in mehreren Gesamtstrukturen.

Siehe auch

Tasks

Installieren des des Systemintegritätsprüfungspunkts
Veröffentlichen von Configuration Manager-Standortinformationen in Active Directory-Domänendiensten

Konzepte

Informationen zu NAP-Integritätszustandsreferenzen im Netzwerkzugriffsschutz
Informationen zu Systemintegritätsprüfungspunkten im Netzwerkzugriffsschutz

Andere Ressourcen

Erweitern des Active Directory-Schemas für Configuration Manager

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com