Partager via

À propos de la mise à jour de la protection d'accès réseau

  • Article

Mis à jour: décembre 2009

S'applique à: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Les informations suivantes permettent de comprendre le fonctionnement du processus d'actions correctives dans la protection d'accès réseau (NAP) de Configuration Manager 2007, et dans quelle mesure il affecte les clients Configuration Manager.

Processus d'actions correctives

Le processus d'actions correctives, dans la protection d'accès réseau, permet aux clients présentant un état d'intégrité non conforme de passer à un état d'intégrité conforme. Le processus d'actions correctives dans Configuration Manager 2007 survient lorsque les stratégies réseau du serveur NPS (serveur de stratégie réseau) appliquent la protection d'accès réseau sur les ordinateurs non conformes. Le processus d'actions correctives implique l'exécution des actions suivantes :

  • Le client émet une déclaration d'intégrité à jour.

  • Le client télécharge les dernières stratégies NAP de Configuration Manager, procède à une nouvelle évaluation de conformité et émet une déclaration d'intégrité à jour.

  • Le client installe les mises à jour logicielles requises pour la conformité, procède à une nouvelle évaluation de la conformité et émet une déclaration d'intégrité à jour.

Les autres fonctionnalités de Configuration Manager 2007 ne sont pas prises en charge sur le réseau limité.

Le processus d'actions correctives de Configuration Manager 2007 peut survenir lorsque le client dispose d'un accès limité au réseau ou d'un accès complet au réseau pendant une durée limitée. Si le processus d'actions correctives aboutit, le client dispose alors d'un accès complet au réseau, s'il présente toujours un état d'intégrité conforme.

Important

Si le serveur de stratégie réseau (NPS) autorise un accès complet au réseau (mode rapport), Configuration Manager 2007 ne procède pas aux actions correctives sur le réseau non restreint. Cette fonction est prise en charge par les mises à jour logicielles standard de Configuration Manager 2007.

En outre, si le serveur de stratégie réseau applique les stratégies d'intégrité, Configuration Manager 2007 lancera toujours les actions correctives sur les ordinateurs non conformes, même si l'option du serveur de stratégie réseau Activer la mise à jour automatique des ordinateurs clients n'est pas activée.

Serveurs de mise à jour

Les serveurs de mise à jour de Configuration Manager 2007, énoncés ci-après, sont les serveurs disposant des ressources requises par les clients pour devenir conformes :

  • le point de gestion du client, lorsque le client doit télécharger les dernières stratégies NAP de Configuration Manager ;

  • le point de mise à jour logicielle ;

  • les points de distribution sur lesquels résident les packages de mises à jour logicielles contenant les mises à jour logicielles requises, lorsque le client n'est pas conforme. Les mises à jour logicielles requises pour la conformité sont installées en haute priorité.

En outre, les serveurs qui fournissent l'emplacement du service d'attribution de site Configuration Manager et les points de gestion doivent également être disponibles et sont donc considérés comme des serveurs de mise à jour. Par exemple, pour qu'un client puisse accéder aux informations de site qui sont publiées sur les services de domaine Active Directory, il doit être en mesure d'accéder à un serveur de catalogue global. Les clients nécessitant des informations de site mais ne pouvant pas y accéder depuis les services de domaine Active Directory requièrent également un point de recherche de serveur. Un point de recherche de serveur peut également être utilisé pour localiser des points de gestion. Pour savoir si des clients doivent avoir accès à un point de recherche de serveur, consultez Déterminer si vous avez besoin d'un Point de recherche de serveur pour les clients Configuration Manager. Pour plus d'informations sur l'emplacement du service dans Configuration Manager, consultez Configuration Manager et emplacement des services (points d'informations et de gestion de site).

Les serveurs de mise à jour doivent être configurés dans un groupe de serveurs de mise à jour, sur le serveur de stratégie réseau, si vous utilisez une contrainte DHCP. Ils comportent généralement des serveurs d'infrastructure, tels que DNS ou WINS, et des contrôleurs de domaine. Il est toutefois recommandé de ne pas ajouter de serveur configuré en tant que point de gestion, point de mise à jour logicielle et point de distribution aux groupes de serveurs de mise à jour, car ils seront fournis de manière dynamique par une mise à jour d'un client en cours.

Redémarrage et nouvelles tentatives des actions correctives

Si une mise à jour logicielle installée via le processus d'actions correctives requiert un redémarrage du système, le redémarrage sera mis en file d'attente jusqu'à ce que toutes les mises à jour logicielles requises pour la conformité aient été installées. Il existe un autre scénario de redémarrage, lorsqu'une mise à jour logicielle spécifique requiert un redémarrage avant l'installation des mises à jour logicielles requises pour les actions correctives (les Service Packs imposent souvent cette contrainte).

Dans ces scénarios de redémarrage, si le processus d'actions correctives est exécuté sur le réseau limité, l'utilisateur est informé que le redémarrage s'exécutera automatiquement, et un compte à rebours s'affichera pour permettre au client d'enregistrer les tâches en cours. Lorsque les actions correctives interviennent alors que le client dispose d'un accès complet au réseau mais limité dans le temps, l'utilisateur est informé qu'un redémarrage est requis par une invite de redémarrage ou d'annulation. Si l'utilisateur choisit l'annulation, le processus d'actions correctives ne sera pas exécuté et l'état de conformité restera inchangé tant que l'installation de la mise à jour logicielle n'aura pas abouti.

Si le client est confronté à des dysfonctionnements du processus d'actions correctives, ce dernier sera de nouveau exécuté en arrière-plan si des conditions temporaires sont responsables du dysfonctionnement. Si le client ne peut pas se connecter aux serveurs de mise à jour dont il a besoin, ou s'il ne parvient pas à télécharger correctement le contenu requis, le processus sera automatiquement relancé après 1 minute, puis après 2 minutes, 4 minutes, et ainsi de suite, de façon exponentielle jusqu'au terme de 8 tentatives sur une période de 256 minutes. Ces tentatives sont exécutées automatiquement en arrière-plan et ne contiennent aucune propriété configurable pour la protection d'accès réseau de Configuration Manager 2007.

Voir aussi

Concepts

À propos de la conformité pour la protection d'accès réseau dans Configuration Manager
À propos de l'activation de la conformité avec la protection d'accès réseau
Décider si vous devez ajouter des points de distribution supplémentaires pour la mise à niveau de la protection d'accès réseau
À propos de la déclaration d'intégrité (SoH) dans la protection d'accès réseau
À propos des points du programme de validation d'intégrité système dans la protection d'accès réseau

Autres ressources

Configuration du serveur NPS pour Configuration Manager

Pour plus d'informations, consultez Informations et prise en charge de Configuration Manager 2007.
Pour contacter l'équipe de documentation, envoyez un e-mail à SMSdocs@microsoft.com.