Computer haben vollen Netzwerkzugriff, wenn dies mit Netzwerkzugriffsschutz nicht der Fall sein sollte

Betrifft: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Dieser Abschnitt enthält Informationen zur Problembehandlung, wenn Computer über einen vollständigen Netzwerkzugriff verfügen und dies aber bei der Verwendung des Netzwerkzugriffsschutzes in Configuration Manager 2007 nicht der Fall sein sollte.

Für Configuration Manager-Clients ist es erforderlich, dass die Unterstützung des Netzwerkzugriffsschutzes gewährleistet ist. Weitere Informationen finden Sie unter Informationen zum NAP-Clientstatus im Netzwerkzugriffsschutz.

Lösung

Aktualisieren Sie die Clients zur Unterstützung des Netzwerkzugriffsschutzes, falls dies möglich ist. Weitere Informationen finden Sie unter Vorbereiten des Standorts auf Netzwerkzugriffsschutz-Clients.

Wenn der Standort einige Clients aufweist, die keinen Netzwerkschutz unterstützen, konfigurieren Sie die Netzwerkrichtlinien auf dem Netzwerkrichtlinienserver neu, damit Clients, die nicht NAP-fähig sind, über einen begrenzten Netzwerkzugriff verfügen (auch wenn sie nicht wiederhergestellt werden können). Weitere Informationen finden Sie unter Bestimmen der Richtlinienstrategie für den Netzwerkzugriffsschutz.

Diese beiden Bedingungen können verursachen, dass nicht kompatible Computer einen vollständigen Netzwerkzugriff erhalten.

Lösung

Der Windows-NAP-Dienst wird nicht standardmäßig gestartet. Starten Sie den Dienst, und konfigurieren Sie einen automatischen Start.

Wenn eine lokale Richtlinie die Aktivierung des Netzwerkzugriffsschutz-Client-Agents auf dem Client verhindert, entfernen Sie die lokale Configuration Manager-Richtlinie oder konfigurieren sie neu.

Dies ist eine ordnungsgemäße Richtlinienkonfiguration, mit der nicht kompatible Computer für begrenzte Zeit über einen vollständigen Netzwerkzugriff verfügen. Innerhalb dieses Zeitraums werden Computer automatisch wiederhergestellt und haben nach erfolgreicher Wiederherstellung einen kompatiblen Netzwerkstatus für vollen Netzwerkzugriff.

Lösung

Wenn nicht kompatible Computer nie über einen vollständigen Netzwerkzugriff verfügen sollen, konfigurieren Sie die Netzwerkrichtlinien neu und deaktivieren den vollständigen Netzwerkzugriff für begrenzte Zeit. Weitere Informationen finden Sie unter Konfigurieren von Netzwerkrichtlinien für den Netzwerkzugriffsschutz in Configuration Manager.

Wenn Sie den Netzwerkzugriffsschutz-Client-Agent erst vor kurzem aktiviert haben, verfügen die Clients so lange über einen vollständigen Netzwerkzugriff, bis die Computerrichtlinie gemäß dem Zeitplan heruntergeladen wurde (standardmäßig alle 60 Minuten). Sie können dieses Intervall in den Eigenschaften des Computerclient-Agents mit der Option RichtlinienabrufintervallEigenschaften von Computerclient-Agent: Registerkarte „Allgemein“ anzeigen oder ändern.

Lösung

Warten Sie entweder, bis die Clients die Clientrichtlinie gemäß dem Zeitplan heruntergeladen haben, oder initiieren Sie den Richtlinienabruf auf dem Client. Dies können Sie manuell oder mit einem Skript ausführen.

Informationen zum Abrufen einer Clientrichtlinie finden Sie unter Initiieren des Richtlinienabrufs für einen Configuration Manager-Client.

Der Netzwerkzugriffsschutz von Configuration Manager-Clients wird nicht begrenzt, wenn Sie die ausgewählten Softwareupdates nicht vor dem in den Configuration Manager-NAP-Richtlinien konfigurierten Datum erhalten. Weitere Informationen finden Sie unter Informationen zum NAP-Gültigkeitsdatum im Netzwerkzugriffsschutz.

Lösung

Wenn nicht kompatible Computer vor dem Gültigkeitsdatum nicht über einen vollständigen Netzwerkzugriff verfügen dürfen, müssen Sie das Gültigkeitsdatum neu konfigurieren. Weitere Informationen finden Sie unter Festlegen des Gültigkeitsdatums und der Uhrzeit des Beginns der NAP-Evaluierung für den Netzwerkzugriffsschutz.

Wenn Sie Configuration Manager-NAP-Richtlinien erst vor kurzem konfiguriert oder hinzugefügt haben, haben die Clients diese möglicherweise noch nicht bewertet.

Lösung

Warten Sie, bis die Clients die Richtlinie (mit den Configuration Manager-NAP-Richtlinien) gemäß dem Zeitplan herunterladen (standardmäßig alle 60 Minuten).

Informationen, wie Sie durch das Initiieren eines Ad-coc-Richtlinienabrufs von einem Client den Vorgang für ausgewählte Clients beschleunigen können, finden Sie unter Initiieren des Richtlinienabrufs für einen Configuration Manager-Client.

Zum Beschleunigen des Vorgangs für alle Clients beenden Sie den Dienst SMS_SYSTEM_HEALTH_VALIDATOR auf dem Netzwerkrichtlinienserver und starten ihn dann neu. Dies führt dazu, dass Clients, die das SoH (Statement of Health) an den Netzwerkrichtlinienserver senden, die aktuellen Configuration Manager-NAP-Richtlinien herunterladen und ihre Kompatibilität neu bewerten. Wenn jedoch Richtlinien auf dem Netzwerkrichtlinienserver so konfiguriert sind, dass der Netzwerkzugriff für nicht kompatible Computer begrenzt wird, verfügen die Computer bei diesem Vorgang nur über einen begrenzten Netzwerkzugriff.

Ziehen Sie als dauerhafte Lösung das Angeben eines kürzeren Abfrageintervalls für den Systemintegritätsprüfungspunkt in Betracht. Weitere Informationen finden Sie unter Konfigurieren des Active Directory-Domänendienste-Abfrageintervalls der Systemintegritätsprüfung.

Überprüfen Sie außerdem die Active Directory-Replikationsverzögerung auf dem Standortserver, der die Configuration Manager 2007-Integritätszustandsreferenz schreibt und sie an den globalen, vom Systemintegritätsprüfungspunkt verwendeten Katalogserver repliziert.

Der Configuration Manager-Systemintegritätsprüfungspunkt auf dem Netzwerkrichtlinienserver ist standardmäßig so konfiguriert, dass alle Fehler dem Zustand „nicht kompatibel“ zugeordnet werden. Die Clients können dann nur soweit auf das Netzwerk zugreifen, wie dies für den nicht kompatiblen Zustand zulässig ist. Diese Fehler können jedoch auch dem Zustand „kompatibel“ zugeordnet werden. Dies kann möglicherweise dazu führen, dass ein Client ohne die erforderlichen Softwareupdates über einen vollständigen Netzwerkzugriff verfügt, da dort ein Fehler aufgetreten ist.

Lösung

Ändern Sie die Fehlerbedingung für die Configuration Manager-Systemintegritätsprüfung von „kompatibel“ in „nicht kompatibel“: Weitere Informationen finden Sie unter Konfigurieren der Fehlerkategorien für den Netzwerkzugriffsschutz in Configuration Manager.

Der Configuration Manager-Systemintegritätsprüfungspunkt muss installiert und funktionsfähig sein, damit nicht kompatible Computer nur über einen begrenzten Netzwerkzugriff verfügen.

Lösung

Installieren Sie den Systemintegritätsprüfungspunkt. Informationen zur Vorgehensweise finden Sie unter Installieren des des Systemintegritätsprüfungspunkts.

Wenn der Systemintegritätsprüfungspunkt zwar installiert ist, aber nicht ausgeführt werden kann, identifizieren und beheben Sie das operative Problem mithilfe der folgenden Schritte:

Der Netzwerkrichtlinienserver muss über Richtlinien verfügen, die auch die Configuration Manager-Systemintegritätsprüfung beinhalten. Weitere Informationen finden Sie unter Informationen zur Erzwingung der Kompatibilität mit Netzwerkzugriffsschutz.

Lösung

Erstellen oder ändern Sie die Richtlinien auf dem Netzwerkrichtlinienserver. Weitere Informationen finden Sie unter Konfigurieren des Netzwerkrichtlinienservers für Configuration Manager.

Configuration Manager führt immer eine Wiederherstellung durch, wenn der Netzwerkzugriffsschutz erzwungen wird. Weitere Informationen finden Sie unter Bestimmen der Richtlinienstrategie für den Netzwerkzugriffsschutz.

Lösung

Keine Es ist nicht möglich, den Netzwerkzugriff von NAP-Clients in Configuration Manager 2007 ohne die automatische Wiederherstellung zu begrenzen.

Wenn Computer über einen vollständigen Netzwerkzugriff verfügen, obwohl dies nicht der Fall sein sollte, kann dies verschiedene Ursachen haben. Möglicherweise sind Richtlinien auf dem Netzwerkrichtlinienserver so konfiguriert, dass nicht kompatiblen Computern für begrenzte Zeit ein vollständiger Netzwerkzugriff gewährt wird. Möglich wäre auch, dass die NAP-Erzwingung fehlt oder die Konfiguration andere Fehler aufweist.

Der für kompatible oder nicht kompatible Computer gewährte Netzwerkzugriff hängt von der Konfiguration der Richtlinien auf dem Netzwerkrichtlinienserver ab. Weitere Informationen finden Sie unter Bestimmen der Richtlinienstrategie für den Netzwerkzugriffsschutz.

Lösung

Wenn diese Richtlinien falsch konfiguriert sind und nicht kompatible Computer nicht über einen vollständigen Netzwerkzugriff verfügen sollen, müssen Sie die Richtlinien neu konfigurieren. Weitere Informationen finden Sie unter Konfigurieren von Netzwerkrichtlinien für den Netzwerkzugriffsschutz in Configuration Manager.

Möglicherweise weisen Clients ein veraltetes zwischengespeichertes Statement of Health auf. Weitere Informationen zur Verwendung des SoH für den Netzwerkzugriffsschutz finden Sie unter Informationen zum Statement of Health (SoH) im Netzwerkzugriffsschutz.

Die Bedingungen, bei denen Clients ein zwischengespeichertes SoH verwenden, finden Sie unter NAP-Evaluierungsbedingungen für Configuration Manager-Clients.

Lösung

Informationen zum Ändern der Einstellungen, damit Clients keine zwischengespeicherten SoHs verwenden, finden Sie unter Konfigurieren von NAP-Evaluierungseinstellungen.

Informationen zur Neukonfiguration des Gültigkeitszeitraums für ein zwischengespeichertes SoH finden Sie unter Angeben des Gültigkeitszeitraums für das SoH.

Eine Ad-hoc-Lösung, die sich nur auf diesen Computer auswirkt, ist das Neustarten des Clientcomputers.

Configuration Manager-NAP-Richtlinien wurden so entwickelt, dass sie in der Hierarchie nach unten repliziert werden. Dies kann zu einer Verzögerung zwischen dem Erstellen oder Ändern einer Configuration Manager-NAP-Richtlinie und deren Inkrafttreten auf einem Client an einem untergeordneten Standort führen.

Lösung

Warten Sie, bis die Standortreplikation abgeschlossen ist.

Weitere Informationen finden Sie unter Configuration Manager 2007 – Informationen und Support (möglicherweise in englischer Sprache).
Das Dokumentationsteam erreichen Sie per E-Mail unter: SMSdocs@microsoft.com
Anzeigen: