Приведенные ниже сведения позволяют понять все преимущества реализации защиты доступа к сети (NAP) в многосайтовой иерархии Configuration Manager 2007, а также ее воздействие на поведение политик защиты доступа к сети Configuration Manager и клиентов в роуминге.
Включение защиты доступа к сети для родительских сайтов, затем для дочерних сайтов
При реализации защиты доступа к сети (NAP) в многосайтовой иерархии Configuration Manager используйте подход "сверху вниз". Создайте политики защиты доступа к сети Configuration Manager на центральном или основном сайте, с которого осуществляется синхронизация обновлений Configuration Manager с веб-сайтами корпорации Майкрософт. Политики защиты доступа к сети Configuration Manager автоматически применяются к нижележащим сайтам иерархии.
Важно! |
---|
Политики защиты доступа к сети нельзя создать на сайте, наследующем обновления программного обеспечения с родительского сайта. При настройке синхронизации обновлений программного обеспечения с веб-сайтом Майкрософт убедитесь, что эта синхронизация настраивается на сайте, на котором будут создаваться политики защиты доступа к сети. |
Политики защиты доступа к сети Configuration Manager можно создавать на дочернем сайте, если на этом сайте выполняется синхронизация обновлений программного обеспечения с веб-сайтом Майкрософт. Однако, если затем перенести синхронизацию обновлений программного обеспечения с веб-сайтом Майкрософт на родительский сайт, это приведет к следующим последствиям.
- При создании таких же политик защиты доступа
к сети Configuration Manager на родительском сайте с такими же
обновлениями программного обеспечения, но различными датами
вступления в силу, политики защиты доступа к сети Configuration
Manager, созданные на дочернем сайте (и наследуемые его дочерними
сайтами), будут переопределены политиками защиты доступа к сети
Configuration Manager, созданными на родительском сайте, и на
дочернем сайте будет невозможно изменять или удалять эти
политики.
- Если политики защиты доступа к сети
Configuration Manager, созданные на родительском сайте, отличаются
от политик, созданных на дочернем сайте, исходные политики защиты
доступа к сети Configuration Manager, созданные на дочернем сайте,
не изменяются (и наследуются его дочерними сайтами). Эти политики
защиты доступа к сети Configuration Manager по-прежнему могут
изменяться и удаляться на дочернем сайте, однако создание на нем
новых политик защиты доступа к сети Configuration Manager будет
невозможно.
Если на дочернем сайте не включена защита доступа к сети, политики защиты доступа к сети не отображаются в узле Политики; тем не менее, их можно просмотреть, запустив следующий отчет: Список политик защиты доступа к сети.
Поведение дочернего сайта с включенной защитой доступа к сети
Если в иерархии Configuration Manager существует более двух уровней основных сайтов, отключение защиты доступа к сети на основном дочернем сайте не приводит к запрету наследования политик защиты доступа к сети Configuration Manager родительского сайта внучатым сайтом.
Изменение или удаление политик защиты доступа к сети, унаследованных от родительского сайта, будет невозможно. Кроме того, на сайте, который наследует политики от родительского сайта, будет невозможно создавать политики защиты доступа к сети. Однако на дочернем сайте, унаследовавшем политики NAP, можно отключить защиту доступа к сети.
Защита доступа к сети и роуминг
При перемещении клиента Configuration Manager с включенным агентом защиты доступа к сети (NAP) на другой сайт Configuration Manager этот клиент по-прежнему оценивает свое состояние соответствия на основе политик защиты доступа к сети Configuration Manager, определенных на его собственном сайте.
Выбор точки средства проверки работоспособности системы, которой клиент передает сообщение о своем состоянии работоспособности, определяется не сайтом Configuration Manager, а базовым механизмом принудительной защиты доступа к сети. Это означает, что изменение расположения в сети (перемещение на другой сайт) может привести к использованию клиентом другой точки средства проверки работоспособности системы (например, при использовании протокола DHCP в качестве механизма принудительной защиты доступа к сети).
Находящийся в роуминге клиент с поддержкой защиты доступа к сети (NAP) из сайта Configuration Manager, на котором не включена защита доступа к сети и который настроен на использование функционирующей на сайте точки средства проверки работоспособности системы, будет считаться соответствующим этой точкой средства проверки работоспособности системы. В этом сценарии точка средства проверки работоспособности системы увеличивает значение своего счетчика производительности, Агент клиента Configuration Manager NAP выключен.
Точка средства проверки работоспособности системы и сайт Configuration Manager используют одни и те же параметры конфигурации, позволяющие определить состояние работоспособности клиента. К этим параметрам относятся следующие:
- Частота извлечения ссылки на состояние
работоспособности.
- Необходимость создания сведений о состоянии
работоспособности клиента при наступлении заданных даты и
времени.
- Период действия сведений о состоянии
работоспособности.
Задание различных значений этих параметров конфигурации на различных сайтах в одной и той же иерархии Configuration Manager может привести к созданию различных сведений о состоянии работоспособности клиента, соответствующего определенным для него политикам защиты доступа к сети Configuration Manager.
Важно! |
---|
Клиент Configuration Manager с включенным агентом защиты доступа к сети может перемещаться в другую иерархию Configuration Manager, где состояние работоспособности клиента будет проверяться точкой средства проверки работоспособности системы вне его иерархии Configuration Manager. В этом сценарии процесс проверки сайта закончится неудачей, если ссылки на состояние работоспособности NAP для обеих иерархий не будут опубликованы в одном и том же расположении. Если точка средства проверки работоспособности системы не может проверить сайт клиента, состояние клиента остается неизвестным, что по умолчанию настроено на сервере политики сети как несоответствие. Если на сервере политики сети задействованы политики ограниченного доступа к сети, исправление клиентов не выполняется и они могут не получить полный доступ к сети. В этом сценарии предоставить клиентам Configuration Manager, перемещающимся вне своей иерархии Configuration Manager, полный доступ к сети можно путем задания политики исключения на сервере политики сети. |
См. также
Задачи
Настройка интервала запросов доменных служб Active Directory в средстве проверки работоспособности системыЗадание параметра "Дата создания должна быть позже" для сообщения о состоянии работоспособности
Определение периода действия сведений о состоянии работоспособности
Создание политики NAP в Configuration Manager для защиты доступа к сети
Отключение агент клиента защиты доступа к сети
Включение агента клиента защиты доступа к сети
Запуск отчетов защиты доступа к сети
Просмотр политик NAP Configuration Manager для защиты доступа к сети
Основные понятия
Соответствие для защиты доступа к сети в Configuration ManagerО ссылках на состояние работоспособности NAP в защите доступа к сети
Отслеживание точки средства проверки работоспособности системы с помощью счетчиков производительности для защиты доступа к сети
Точка средства проверки работоспособности системы: Процесс проверки для защиты доступа к сети
О точках средства проверки работоспособности системы в защите доступа к сети
Настройка политик исключения для защиты доступа к сети в Configuration Manager