• Artikel

Planen von Betriebssystembereitstellungen in einer NAP-fähigen Umgebung

 

Betrifft: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

Wenn Sie ein Betriebssystem und den System Center 2012 Configuration Manager-Client für eine Umgebung mit Netzwerkzugriffsschutz (NAP) bereitstellen, müssen Sie zusätzliche Konfigurationsschritte ausführen. Ist ein Betriebssystem nicht ordnungsgemäß für den Netzwerkzugriffsschutz konfiguriert, weisen neu bereitgestellte Computer möglicherweise einen eingeschränkten Netzwerkzugriff mit fehlerhafter Wiederherstellung auf.

Der Netzwerkzugriffsschutz wird nur für Clients unter Windows Vista und Windows Server 2008 durch systemeigene Funktionen unterstützt, nicht jedoch für Computer unter Windows XP. Für Computer unter Windows XP ist die Installation eines zusätzlichen Clients für den Netzwerkzugriffsschutz erforderlich. Weitere Informationen zum NAP-Client für Windows XP finden Sie auf der Website Network Access Protection (Netzwerkzugriffsschutz).

Der Netzwerkzugriffsschutz unterstützt eine Reihe von Erzwingungsmechanismen, z. B. IPsec, 802.1X, VPN und DHCP. Für jeden Erzwingungsmechanismus muss der jeweilige NAP-Erzwingungsclient aktiviert sowie der Windows-Dienst für Netzwerkzugriffsschutz gestartet und für einen automatischen Start konfiguriert werden. Weitere Informationen zu den Voraussetzungen für die Verwendung des Netzwerkzugriffsschutzes mit Softwareupdates in Configuration Manager finden Sie unter Voraussetzungen für Softwareupdates in Configuration Manager.

Vergewissern Sie sich anhand der Schritte in den folgenden Abschnitten, dass der Erzwingungsmechanismus und der Windows-Dienst für Netzwerkzugriffsschutz aktiviert sind und ein ordnungsgemäßer Datenaustausch mit dem Configuration Manager-Client möglich ist, wenn ein Betriebssystem in einer NAP-fähigen Umgebung bereitgestellt wird.

Der Referenzcomputer ist für den Netzwerkzugriffsschutz konfiguriert

Das folgende Szenario ist geeignet, wenn alle Betriebssystembereitstellungen in einer NAP-fähigen Umgebung erfolgen und der gleiche NAP-Erzwingungsmechanismus verwendet wird:

  1. Konfigurieren des Referenzcomputers mit Betriebssystem, Service Packs, Sicherheitsupdates, Anwendungen, Einstellungen, Tools und Desktopanpassung

  2. Beim Betriebssystem Windows XP installieren Sie den NAP-Client für Windows XP.

  3. Aktivieren Sie die NAP-Erzwingungsclients.

  4. Konfigurieren Sie den automatischen Start des Windows-Diensts für Netzwerkzugriffsschutz, und starten Sie den Dienst.

  5. Erfassen Sie das Betriebssystemabbild mithilfe von Erfassungsmedien.

  6. Erstellen Sie eine Tasksequenz, die auf dieses erfasste Abbild verweist.

  7. Stellen Sie die Tasksequenz auf den Zielcomputern bereit.

Bei dieser Konfiguration werden der NAP-Erzwingungsclient und der Windows-Dienst für Netzwerkzugriffsschutz automatisch auf den neu bereitgestellten Computern gestartet, da diese zum Abbild gehören. Da sie zudem bereits ausgeführt werden, wenn der Configuration Manager-Client installiert wird, wird sichergestellt, dass der Configuration Manager-Client mit dem Windows-Dienst für Netzwerkzugriffsschutz verbunden werden kann.

Der Referenzcomputer ist nicht für den Netzwerkzugriffsschutz konfiguriert

Das folgende Szenario ist geeignet, wenn nur einige der Computer in einer NAP-fähigen Umgebung installiert sind oder die Konfiguration für den Netzwerkzugriffsschutz einem vorhandenen erfassten Abbild hinzugefügt werden muss:

  1. Konfigurieren des Referenzcomputers mit Betriebssystem, Service Packs, Sicherheitsupdates, Anwendungen, Einstellungen, Tools und Desktopanpassung

  2. Erfassen Sie das Betriebssystemabbild mithilfe von Erfassungsmedien.

  3. Erstellen Sie eine Bereitstellungstasksequenz, von der auf das erfasste Abbild verwiesen wird.

  4. Beim Betriebssystem Windows XP fügen Sie einen Tasksequenzschritt hinzu, der im neu bereitgestellten Betriebssystem ausgeführt wird, um den NAP-Client für Windows XP zu installieren.

  5. Fügen Sie einen benutzerdefinierten Tasksequenzschritt hinzu, der im neu bereitgestellten Betriebssystem ausgeführt wird, um die entsprechenden NAP-Erzwingungsclients zu aktivieren.

    System_CAPS_noteHinweis

    Verwenden Sie das Befehlszeilendienstprogramm netsh nap client set enforcement <enforcement ID> enable. Weitere Informationen finden Sie in der Dokumentation zum Windows-Netzwerkzugriffsschutz. Vergewissern Sie sich bei einer fortlaufenden Konfiguration, dass die Erzwingungsclients von der Gruppenrichtlinie konfiguriert werden.

  6. Fügen Sie einen Tasksequenzschritt hinzu, der im neu bereitgestellten Betriebssystem ausgeführt wird, um einen automatischen Start des Windows-Diensts für Netzwerkzugriffsschutz zu konfigurieren, und starten Sie den Dienst.

    System_CAPS_noteHinweis

    Vergewissern Sie sich bei einer fortlaufenden Konfiguration, dass dieser Dienst von der Gruppenrichtlinie konfiguriert wird.

  7. Fügen Sie einen Tasksequenzschritt hinzu, um den Computer neu zu starten.

    System_CAPS_noteHinweis

    Dieser Neustart ist erforderlich, um zu gewährleisten, dass die Erzwingungsclients und der Windows-Dienst für Netzwerkzugriffsschutz beim Start des Configuration Manager-Clients bereits ausgeführt werden und dass der Configuration Manager-Client ordnungsgemäß mit dem Windows-Dienst für Netzwerkzugriffsschutz verbunden werden kann.

  8. Stellen Sie die Tasksequenz auf den Zielcomputern bereit.