Plánování nasazení operačních systémů v prostředí povolené architektury NAP

  • Článek

 

Rozsah platnosti: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Když nasazujete operační systém a klienta nástroje System Center 2012 Configuration Manager do prostředí, které používá architekturu Network Access Protection (NAP), musíte provést další kroky konfigurace. Nesprávné nakonfigurování nasazení operačního systému pro architekturu Network Access Protection může mít za následek omezený přístup k síti pro nově nasazené počítače s neúspěšnou nápravou.

Klienti se systémem Windows Vista a Windows Server 2008 nativně podporují architekturu Network Access Protection, zatímco počítače se systémem Windows XP nativně nepodporují architekturu Network Access Protection a vyžadují instalaci dalšího klienta architektury Network Access Protection. Další informace o klientovi architektury Network Access Protection pro systém Windows XP naleznete na webové stránce Network Access Protection.

Architektura Network Access Protection podporuje řadu implementačních mechanismů, například IPsec, 802.1X, VPN a DHCP. Každý implementační mechanismus vyžaduje, aby byl jeho příslušný implementační klient architektury Network Access Protection povolen a aby služba Windows Network Access Protection Service byla spuštěna a nakonfigurována pro automatické spuštění. Další informace o nezbytných podmínkách pro používání architektury Network Access Protection s aktualizacemi softwaru v nástroji Configuration Manager naleznete v tématu Nezbytné podmínky pro aktualizace softwaru v nástroji Configuration Manager.

Použijte kroky v následujících částech k zajištění, aby implementační mechanismus a služba Windows Network Access Protection Service byly povoleny a správně komunikovaly s klientem nástroje Configuration Manager, když budete nasazovat operační systém do prostředí povolené architektury NAP.

Referenční počítač je nakonfigurován pro architekturu Network Access Protection

Následující příklad je vhodný, když všechna vaše nasazení operačního systému jsou v prostředí povolené architektury NAP používající stejný implementační mechanismus architektury NAP.

  1. Nakonfigurujte referenční počítač s operačním systémem, aktualizacemi Service Packs, aktualizacemi zabezpečení, aplikacemi, nastaveními a vlastním nastavením pracovní plochy.

  2. Pokud operační systém je Windows XP, nainstalujte klienta architektury Network Access Protection pro systém Windows XP.

  3. Povolte vhodné implementační klienty architektury Network Access Protection.

  4. Nakonfigurujte službu Windows Network Access Protection Service pro automatické spouštění a spusťte ji.

  5. Proveďte zachycení bitové kopie operačního systému pomocí zachycovacího média.

  6. Vytvořte sekvenci úloh, která používá zachycenou bitovou kopii.

  7. Nasaďte sekvenci úloh na cílové počítače.

S touto konfigurací se implementační klient architektury Network Access Protection a služba Windows Network Access Protection Service spouští automaticky v nově nasazeném počítači, protože jsou součástí bitové kopie. Budou spuštěny také při instalaci klienta nástroje Configuration Manager, kdy budou zajišťovat, že klient nástroje Configuration Manager může vytvořit vazbu na službu Windows Network Access Protection Service.

Referenční počítač není nakonfigurován pro architekturu Network Access Protection

Následující příklad je vhodný, pouze pokud jsou některé z vašich počítačů nainstalovány do prostředí povolené architektury NAP nebo když musíte přidat konfiguraci pro architekturu Network Access Protection k existující zachycené bitové kopii:

  1. Nakonfigurujte referenční počítač s operačním systémem, aktualizacemi Service Packs, aktualizacemi zabezpečení, aplikacemi, nastaveními a vlastním nastavením pracovní plochy.

  2. Proveďte zachycení bitové kopie operačního systému pomocí zachycovacího média.

  3. Vytvořte sekvenci úloh nasazení, která používá zachycenou bitovou kopii.

  4. Pokud operační systém je Windows XP, přidejte krok sekvence úloh, který se spustí v nově nasazeném operačním systému k nainstalování klienta architektury Network Access Protection pro systém Windows XP.

  5. Přidejte vlastní krok sekvence úloh, který se spustí v nově nasazeném operačním systému k povolení implementačních klientů architektury Network Access Protection.

    Poznámka

    Použijte příkazový řádek, netsh nap client set enforcement <enforcement ID> enable. Další informace naleznete v dokumentaci architektury Windows Network Access Protection. Pro nepřerušenou konfiguraci zajistěte, aby zásady skupiny konfigurovaly implementační klienty.

  6. Přidejte krok sekvence úloh, který se spustí v nově nasazeném operačním systému k nakonfigurování služby Windows Network Access Protection Service k jejímu automatickému spouštění a službu spusťte.

    Poznámka

    Pro nepřerušenou konfiguraci zajistěte, aby zásady skupiny konfigurovaly tuto službu.

  7. Přidejte krok sekvence úloh k restartování počítače.

    Poznámka

    Tento restart je nutný k zajištění, aby byli již spuštěni implementační klienti a služba Windows Network Access Protection Service, když se spouští klient nástroje Configuration Manager a aby zajistil, že klient nástroje Configuration Manager správně vytvoří vazbu na službu Windows Network Access Protection Service.

  8. Nasaďte sekvenci úloh na cílové počítače.

Viz také

Plánování nasazení operačních systémů v produktu Configuration Manager