• Article

Planification de déploiements de système d'exploitation dans un environnement compatible NAP

 

S'applique à: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Lorsque vous déployez un système d'exploitation et un client System Center 2012 Configuration Manager dans un environnement qui utilise la protection d'accès au réseau (NAP), vous devez suivre des étapes de configuration supplémentaires. Une configuration incorrecte du déploiement du système d'exploitation pour la protection d'accès au réseau peut limiter l'accès réseau des nouveaux ordinateurs et faire échouer la correction.

Les clients qui exécutent Windows Vista et Windows Server 2008 prennent en charge la protection d'accès au réseau en mode natif, contrairement aux ordinateurs exécutant Windows XP qui ne prennent pas en charge la protection d'accès au réseau en mode natif et doivent installer un client de protection d'accès au réseau supplémentaire. Pour plus d'informations sur les clients de la protection d'accès au réseau pour Windows XP, consultez le site Web Network Access Protection (Protection d'accès au réseau).

La protection d'accès réseau prend en charge différents mécanismes de contrainte, tels que IPsec, 802,1X, VPN et DHCP. Pour chaque mécanisme de contrainte, le client de contrainte de mise en conformité NAP correspondant doit être activé, et le service de protection d'accès réseau Windows doit être lancé et configuré pour un démarrage automatique. Pour plus d'informations sur la configuration requise pour utiliser la protection d'accès au réseau avec les mises à jour logicielles dans Configuration Manager, voir Configuration requise pour les mises à jour logicielles dans Configuration Manager.

Pour vous assurer que le mécanisme de contrainte de mise en conformité et le service de protection d'accès au réseau sont activés et interagiront correctement avec le client Configuration Manager lors du déploiement d'un système d'exploitation dans un environnement compatible avec la protection d'accès au réseau (NAP), procédez comme indiqué dans les sections suivantes.

L'ordinateur de référence est configuré pour la protection d'accès réseau

Le scénario suivant est approprié si tous vos déploiements de système d'exploitation sont effectués dans un environnement compatible NAP, à l'aide du même mécanisme de contrainte de mise en conformité NAP :

  1. Configurez l'ordinateur de référence avec les mêmes système d'exploitation, service packs, mises à jour de sécurité, paramètres, outils et personnalisations du Bureau.

  2. Si le système d'exploitation est Windows XP, installez le client de protection d'accès réseau pour Windows XP.

  3. Activez les clients de contrainte de mise en conformité NAP appropriés.

  4. Configurez le service de protection d'accès réseau Windows pour un démarrage automatique et lancez-le.

  5. Capturez l'image du système d'exploitation en utilisant un média de capture.

  6. Créez une séquence de tâches qui fait référence à l'image capturée.

  7. Déployez la séquence de tâches sur les ordinateurs de destination.

Avec cette configuration, le client de contrainte de mise en conformité NAP et le service de protection d'accès au réseau Windows démarrent automatiquement sur le nouvel ordinateur déployé car ils font partie de l'image. Qui plus est, ils seront déjà en cours d'exécution lors de l'installation du client Configuration Manager, ce qui permettra au client Configuration Manager d'établir une liaison avec le service de protection d'accès au réseau Windows.

L'ordinateur de référence n'est pas configuré pour la protection d'accès réseau

Le scénario suivant serait approprié si seuls certains de vos ordinateurs sont installés dans un environnement compatible NAP ou si vous devez ajouter la configuration pour la protection d'accès au réseau à une image capturée existante :

  1. Configurez l'ordinateur de référence avec les mêmes système d'exploitation, service packs, mises à jour de sécurité, paramètres, outils et personnalisations du Bureau.

  2. Capturez l'image du système d'exploitation en utilisant un média de capture.

  3. Créez une séquence de tâches de déploiement qui fait référence à l'image capturée.

  4. Si le système d'exploitation est Windows XP, ajoutez une étape à la séquence de tâches qui s'exécutera dans le système d'exploitation qui vient d'être déployé pour installer le client de protection d'accès au réseau pour Windows XP.

  5. Ajoutez une étape à la séquence de tâches qui s'exécutera dans le système d'exploitation qui vient d'être déployé pour activer les clients de contrainte de mise en conformité NAP appropriés.

    Notes

    Utilisez l'utilitaire de ligne de commande, netsh nap client set enforcement <enforcement ID> enable. Pour plus d'informations, consultez la documentation sur la protection d'accès de réseau Windows. Pour une configuration en continu, assurez-vous que la stratégie de groupe configure les clients de contrainte.

  6. Ajoutez une étape à la séquence de tâches qui s'exécutera dans le système d'exploitation qui vient d'être déployé pour configurer le service de protection d'accès au réseau Windows afin qu'il démarre automatiquement, puis démarrez le service.

    Notes

    Pour une configuration en continu, assurez-vous que la stratégie de groupe configure ce service.

  7. Ajoutez une étape à la séquence de tâches pour redémarrer l'ordinateur.

    Notes

    Ce redémarrage est nécessaire pour s'assurer que les clients de contrainte de mise en conformité et le service de protection d'accès au réseau Windows sont déjà en cours d'exécution au démarrage du client Configuration Manager et il garantit que le client Configuration Manager parvient à établir une liaison avec le service de protection d'accès au réseau Windows.

  8. Déployez la séquence de tâches sur les ordinateurs de destination.