Informationen zur Wiederherstellung des Netzwerkzugriffsschutzes

Letzte Aktualisierung: Dezember 2009

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Im Folgenden wird erklärt, wie der Netzwerkzugriffsschutz (Network Access Protection, NAP) in Configuration Manager 2007 wiederhergestellt wird und wie sich dieser Prozess auf Configuration Manager-Clients auswirkt.

Der Wiederherstellungsprozess

Durch die Wiederherstellung von NAP werden Clients mit dem Integritätszustand „Nicht kompatibel“ in einen kompatiblen Zustand umgewandelt. Die Wiederherstellung in Configuration Manager 2007 wird ausgeführt, wenn die Netzwerkrichtlinien auf dem Microsoft Windows-Netzwerkrichtlinienserver den Netzwerkzugriffsschutz für nicht kompatible Clients erzwingen. Dies beinhaltet eine der folgenden Aktionen:

  • Der Client erstellt ein aktuelles SoH.

  • Der Client lädt die aktuellen Configuration Manager-NAP-Richtlinien herunter, bewertet die Kompatibilität neu und erstellt ein aktuelles SoH.

  • Der Client installiert die für die Kompatibilität erforderlichen Softwareupdates, bewertet die Kompatibilität neu und erstellt ein aktuelles SoH.

Andere Configuration Manager 2007-Funktionen als die Wiederherstellung werden im eingeschränkten Netzwerk nicht unterstützt.

Configuration Manager 2007-Wiederherstellungen können ausgeführt werden, wenn der Client über einen beschränkten Netzwerkzugriff oder für einen begrenzten Zeitraum über einen vollständigen Netzwerkzugriff verfügt. Nach einer erfolgreichen Wiederherstellung verfügt der Client über einen vollständigen Netzwerkzugriff, wenn der Integritätszustand weiterhin „kompatibel“ ist.

ImportantWichtig
Wenn der Netzwerkrichtlinienserver den vollständigen Netzwerkzugriff zulässt (Berichterstattungsmodus), führt Configuration Manager 2007 keine Wiederherstellung im uneingeschränkten Netzwerk aus. Diese Funktion wird von den Configuration Manager 2007-Standardsoftwareupdates unterstützt.

Wenn der Netzwerkrichtlinienserver außerdem Integritätsrichtlinien erzwingt, führt Configuration Manager 2007 auch dann immer die Wiederherstellung von nicht kompatiblen Computern aus, wenn auf dem Netzwerkrichtlinienserver die Option Automatische Wiederherstellung auf Clientcomputern aktivieren nicht aktiviert ist.

Wiederherstellungsserver

Configuration Manager 2007-Wiederherstellungsserver sind Server mit Ressourcen, die von Clients zum Erreichen der Kompatibilität erforderlich sind. Diese sind wie folgt:

  • Der Verwaltungspunkt des Clients, wenn der Client die aktuellen Configuration Manager-NAP-Richtlinien herunterladen muss.

  • Der Softwareupdatepunkt des Clients.

  • Verteilungspunkte, die Softwareupdatepakete mit erforderlichen Softwareupdates hosten, wenn der Client nicht kompatibel ist. Die für die Kompatibilität erforderlichen Softwareupdates werden mit hoher Priorität installiert.

Darüber hinaus müssen Server, von denen die Dienstsuche für die Configuration Manager-Standortzuweisung bereitgestellt wird, und Verwaltungspunkte verfügbar sein. Diese Server werden daher als Wiederherstellungsserver betrachtet. Beispiel: Damit von einem Client auf Standortinformationen zugegriffen werden kann, die in Active Directory-Domänendienste veröffentlicht werden, benötigt der Client Zugriff auf einen globalen Katalogserver. Clients, die Standortinformationen benötigen, aber keinen Zugriff auf Active Directory-Domänendienste haben, benötigen einen Serverlocatorpunkt. Mit einem Serverlocatorpunkt kann darüber hinaus auch nach Verwaltungspunkten gesucht werden. Weitere Informationen dazu, ob der Zugriff auf einen Serverlocatorpunkt für Clients erforderlich ist, finden Sie unter Bestimmen, ob ein Serverlocatorpunkt für Configuration Manager-Clients erforderlich ist. Weitere Informationen zur Dienstsuche in Configuration Manager finden Sie unter Configuration Manager und Dienstsuche (Standortinformationen und Verwaltungspunkte).

Wenn Sie die DHCP-Erzwingung verwenden, müssen Wiederherstellungsserver in einer Wiederherstellungsservergruppe auf dem Netzwerkrichtlinienserver konfiguriert sein. Diese enthalten normalerweise Infrastrukturserver wie DNS, WINS oder Domänencontroller. Fügen Sie jedoch Wiederherstellungsservergruppen keine Server hinzu, die als Verwaltungspunkt, Softwareupdatepunkt und Verteilungspunkt konfiguriert wurden, da diese von einem wiederhergestellten Client dynamisch bereitgestellt werden.

Neustarts und Wiederholungen bei der Wiederherstellung

Wenn ein durch die Wiederherstellung installiertes Softwareupdate einen Computerneustart erfordert, wird dieser in die Warteschlange eingereiht, bis alle für die Kompatibilität erforderlichen Softwareupdates installiert wurden. Ein weiteres Neustartszenario ist ein bestimmtes Softwareupdate, das vor dem Installieren der für die Wiederherstellung erforderlichen Softwareupdates einen Neustart erfordert (Service Packs enthalten oft diese Anforderung).

Wenn die Wiederherstellung in diesen Neustartszenarien im eingeschränkten Netzwerk ausgeführt wird, werden Benutzer darüber informiert, dass der Neustart automatisch ausgeführt wird, und ein Countdown wird angezeigt, sodass die Benutzer ihre Arbeit speichern können. Erfolgt eine Wiederherstellung bei einem Client, der für einen begrenzten Zeitraum über einen vollständigen Netzwerkzugriff verfügt, wird der Benutzer darüber informiert, dass ein Neustart erforderlich ist, und aufgefordert, einen Neustart auszuführen oder den Vorgang abzubrechen. Wenn der Vorgang abgebrochen wird, wird die Wiederherstellung nicht abgeschlossen, und der Kompatibilitätszustand bleibt „Nicht kompatibel“, bis die Softwareupdateinstallation abgeschlossen wurde.

Wenn der Client Wiederherstellungsfehler entdeckt, wird im Hintergrund eine Wiederholung ausgeführt, falls der Fehler von vorübergehenden Bedingungen verursacht wurde. Wenn der Client keine Verbindung mit den erforderlichen Wiederherstellungsservern herstellen kann oder beim Download von Inhalt ein Fehler auftritt, wird zuerst nach 1 Minute, dann nach 2 Minuten, 4 Minuten etc. eine Wiederholung gestartet, bis in einem Zeitraum von 256 Minuten 8 mal ein Versuch gestartet wurde. Diese Wiederholungen werden automatisch im Hintergrund ausgeführt, sie können nicht in den Eigenschaften für den Configuration Manager 2007-Netzwerkzugriffsschutz konfiguriert werden.

Siehe auch

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: