Planen der Betriebssystembereitstellung in einer NAP-fähigen Umgebung

  • Artikel

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Letzte Aktualisierung – November 2007

Wenn Sie ein Betriebssystem und einen Configuration Manager 2007-Client für eine Umgebung mit Netzwerkzugriffsschutz (NAP) bereitstellen, müssen Sie zusätzliche Konfigurationsschritte ausführen. Ist ein Betriebssystem nicht ordnungsgemäß für den Netzwerkzugriffsschutz konfiguriert, kann dies dazu führen, dass neu bereitgestellte Computer einen eingeschränkten Netzwerkzugriff mit fehlerhafter Wiederherstellung aufweisen.

Clients mit Windows Vista und Windows Server 2008 unterstützen den Netzwerkzugriffsschutz durch systemeigene Funktionen, doch bei Windows XP ist dies nicht der Fall. Hier ist die Installation eines zusätzlichen Netzwerkzugriffsschutz-Clients erforderlich. Weitere Informationen zum NAP-Client für Windows XP finden Sie auf der Netzwerkzugriffsschutz-Website (https://go.microsoft.com/fwlink/?LinkId=59125, möglicherweise in englischer Sprache).

Der Netzwerkzugriffsschutz unterstützt eine Reihe von Erzwingungsmechanismen, z. B. IPsec, 802.1X, VPN und DHCP. Für jeden Erzwingungsmechanismus muss der jeweilige Netzwerkzugriffsschutz-Erzwingungsclient aktiviert sowie der Windows-Netzwerkzugriffsschutz-Dienst gestartet und für einen automatischen Start konfiguriert werden. Weitere Informationen zum Bereitstellen und Konfigurieren des Netzwerkzugriffsschutzes für Configuration Manager finden Sie unter Netzwerkzugriffsschutz in Configuration Manager.

Führen Sie die Schritte in den folgenden Abschnitten aus, um sich zu vergewissern, dass der Erzwingungsmechanismus und Windows-Netzwerkzugriffsschutz-Dienst aktiviert sind und ordnungsgemäß für den Configuration Manager-Client ausgeführt werden, wenn ein Betriebssystem in einer NAP-fähigen Umgebung bereitgestellt wird.

Der Referenzcomputer ist für den Netzwerkzugriffsschutz konfiguriert

Das folgende Szenario ist geeignet, wenn sich alle Betriebssystembereitstellungen in einer NAP-fähigen Umgebung befinden und denselben NAP-Erzwingungsmechanismus verwenden:

  1. Konfigurieren des Referenzcomputers mit Betriebssystem, Service Packs, Sicherheitsupdates, Anwendungen, Einstellungen, Tools und Desktopanpassung

  2. Beim Betriebssystem Windows XP installieren Sie den NAP-Client für Windows XP.

  3. Aktivieren Sie die NAP-Erzwingungsclients.

  4. Konfigurieren Sie den automatischen Start des Windows-Netzwerkzugriffsschutz-Diensts, und starten Sie den Dienst.

  5. Erfassen Sie das Abbild.

  6. Erstellen Sie eine Tasksequenz, die auf dieses Abbild verweist.

  7. Kündigen Sie die Tasksequenz für die Computer an.

Bei dieser Konfiguration starten der NAP-Erzwingungsclient und Windows-Netzwerkzugriffsschutz-Dienst automatisch auf den neu bereitgestellten Computern, da sie einen Teil des Abbilds darstellen. Sie werden außerdem dann bereits ausgeführt, wenn der Configuration Manager-Client installiert wird. Somit wird sichergestellt, dass der Configuration Manager-Client eine Verbindung zum Windows-Netzwerkzugriffsschutz-Dienst herstellen kann.

Der Referenzcomputer ist nicht für den Netzwerkzugriffsschutz konfiguriert

Das folgende Szenario ist geeignet, wenn nur einige der Computer in einer NAP-fähigen Umgebung installiert sind, oder wenn die Konfiguration für den Netzwerkzugriffsschutz einem vorhandenen erfassten Abbild hinzugefügt werden muss:

  1. Konfigurieren des Referenzcomputers mit Betriebssystem, Service Packs, Sicherheitsupdates, Anwendungen, Einstellungen, Tools und Desktopanpassung

  2. Erfassen Sie das Abbild.

  3. Erstellen Sie eine Tasksequenz, die auf dieses Abbild verweist.

  4. Beim Betriebssystem Windows XP fügen Sie einen benutzerdefinierten Tasksequenzschritt hinzu, der im neu bereitgestellten Betriebssystem ausgeführt wird, um den NAP-Client für Windows XP zu installieren.

  5. Fügen Sie einen benutzerdefinierten Tasksequenzschritt hinzu, der im neu bereitgestellten Betriebssystem ausgeführt wird, um die entsprechenden NAP-Erzwingungsclients zu aktivieren.

    Hinweis

    Verwenden Sie das Befehlszeilendienstprogramm netsh nap client set enforcement <Erzwingungs-ID> enable. Weitere Informationen finden Sie in der Dokumentation zum Windows-Netzwerkzugriffsschutz. Vergewissern Sie sich bei einer fortlaufenden Konfiguration, dass die Erzwingungsclients von der Gruppenrichtlinie konfiguriert werden.

  6. Fügen Sie einen benutzerdefinierten Tasksequenzschritt hinzu, der im neu bereitgestellten Betriebssystem ausgeführt wird, um einen automatischen Start des Windows-Netzwerkzugriffsschutz-Diensts zu konfigurieren, und starten Sie den Dienst.

    Hinweis

    Vergewissern Sie sich bei einer fortlaufenden Konfiguration, dass dieser Dienst von der Gruppenrichtlinie konfiguriert wird.

  7. Fügen Sie einen benutzerdefinierten Tasksequenzschritt hinzu, um den Computer neu zu starten.

    Hinweis

    Dieser Neustart ist erforderlich, um zu gewährleisten, dass die Erzwingungsclients und der Windows-Netzwerkzugriffsschutz-Dienst bereits ausgeführt werden, wenn der Configuration Manager-Client gestartet wird. Somit wird sichergestellt, dass der Configuration Manager-Client eine ordnungsgemäße Verbindung zum Windows-Netzwerkzugriffsschutz-Dienst herstellen kann.

  8. Kündigen Sie die Tasksequenz für die Computer an.

Siehe auch

Konzepte

Planen der Bereitstellung des Betriebssystemabbilds

Andere Ressourcen

Netzwerkzugriffsschutz in Configuration Manager
Planen der Betriebssystembereitstellung

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com