Informationen zu NAP-Integritätszustandsreferenzen im Netzwerkzugriffsschutz

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Diese Informationen erleichtern Ihnen das Verständnis der Verwendung von Integritätszustandsreferenzen des Configuration Manager-Netzwerkzugriffsschutzes (Network Access Protection, NAP) in Configuration Manager 2007. Außerdem erfahren Sie, warum Sie ihre Verwendung und Konfiguration im Configuration Manager in Betracht ziehen sollten.

So werden Integritätszustandsreferenzen erstellt, geändert und abgerufen

In Configuration Manager 2007 werden Configuration Manager-(NAP)-Integritätszustandsreferenzen im Systemverwaltungscontainer von Active Directory gespeichert und bei der Überprüfung der Client-SoHs von Systemintegritätsprüfungspunkten verwendet.

Die Integritätszustandsreferenzen werden von jedem Standortserver in der Hierarchie veröffentlicht. Sie werden aktualisiert, wenn eine Configuration Manager-NAP-Richtlinie erstellt, geändert oder von einem übergeordneten Standort geerbt wird.

Die Integritätszustandsreferenzen werden regelmäßig vom Systemintegritätsprüfungspunkt abgerufen, im Cache gespeichert und während des Prüfungsvorgangs verwendet.

So werden Integritätszustandsreferenzen während der Kompatibilitätsprüfung verwendet

Die Integritätszustandsreferenz wird zur Überprüfung des Configuration Manager-Standorts eines Clients verwendet. Mit ihr wird überprüft, ob der Client bei der Bewertung der Kompatibilität mit den in den Configuration Manager-NAP-Richtlinien angegebenen Softwareupdates aktuelle Configuration Manager-NAP-Richtlinien verwendet.

Wenn ein SoH (Statement of Health) von einem Systemintegritätsprüfungspunkt überprüft wurde, wird der Integritätszustand des Clients an den Microsoft Windows-Netzwerkrichtlinienserver mit dem Status „Kompatibel“, „Nicht kompatibel“ oder „Fehler“ übergeben.

Der Standortserver veröffentlicht die Integritätszustandsreferenz auf einem Domänencontroller mithilfe von LDAP (Lightweight Directory Access Protocol, Port 389 oder 636). Diese Referenz wird anschließend in den globalen Katalog repliziert, und der Systemintegritätsprüfungspunkt ruft die Integritätszustandsreferenz mit einer globalen Katalogabfrage ab (Port 3268 oder 3269).

Standardmäßig werden die Configuration Manager-Integritätszustandsreferenzen in der Active Directory-Gesamtstruktur des Standortservers veröffentlicht und aus der Active Directory-Gesamtstruktur der Systemintegritätsprüfungspunkte abgerufen. Wenn der Standortserver und die Systemintegritätsprüfungspunkte sich nicht in derselben Active Directory-Gesamtstruktur befinden, müssen Sie den Speicherort der Configuration Manager-Integritätszustandsreferenzen angeben. Weitere Informationen finden Sie unter Informationen zu Netzwerkzugriffsschutz und mehreren Active Directory-Gesamtstrukturen und Angeben des Speicherorts der NAP-Integritätszustandsreferenz.

noteHinweis
Wenn Sie den Configuration Manager-Netzwerkzugriffsschutz auf mehreren Active Directory-Standorten implementieren, sollten Sie die Wartezeit bei der Active Directory-Replikation berücksichtigen. Beispielsweise veröffentlichen die Standortserver die Configuration Manager-Integritätszustandsreferenz zwar auf einem Domänencontroller, wenn die Configuration Manager-NAP-Richtlinien geändert werden, diese neuen Daten stehen aber u. U. nicht sofort zum Abruf durch den Systemintegritätsprüfungspunkt zur Verfügung, da die Active Directory-Replikation zunächst abgeschlossen werden muss.

Aus diesem Grund sollten Sie den Client-Agent für Netzwerkzugriffsschutz nicht sofort auf neuen Configuration Manager-Standorten aktivieren, sondern warten, bis die Configuration Manager-Standortinformationen auf die globalen Katalogserver repliziert wurden, die von den Systemintegritätsprüfungspunkten verwendet werden. Dies ist besonders wichtig, wenn Ihr Windows-Netzwerkrichtlinienserver nicht kompatiblen Clients nur beschränkten Netzwerkzugriff gewährt.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: