В этом разделе приводятся сведения об устранении неполадок, позволяющие выявлять и устранять причины, вызывающие неудачное обновление клиентов с использованием защиты доступа к сети в Configuration Manager 2007.
Служба агента защиты доступа к сети
Windows не запущена
Служба агента защиты доступа к сети Windows должна запускаться до того, как клиент Configuration Manager получит политику клиентов для включения агента клиента защиты доступа к сети. Это позволяет агенту клиента защиты доступа к сети Configuration Manager выполнить привязку к агенту защиты доступа к сети Windows.
Если службу агента защиты доступа к сети Windows запустить после включения агента клиента защиты доступа к сети на клиенте Configuration Manager (или вообще не запускать ее), проверить состояние работоспособности клиента в точке средства проверки работоспособности системы Configuration Manager не удается. В такой ситуации, если категории сбоев в средстве проверки работоспособности системы можно сопоставить несоответствующим состояниям работоспособности, доступ клиентов к сети может быть ограничен без возможности выполнить обновление.
Чтобы выявить такую ситуацию, попробуйте найти в файла журнала клиента (SMSSHA.LOG) следующие записи.
Предупреждение - "CORE. Агент работоспособности системы успешно зарегистрирован с агентом NAP, однако выполнить привязку не удалось"
Ошибка - "CORE. Служба агента NAP может не работать"
Решение
Если в результате возникновения такой ситуации компьютеры оказываются в сети с ограниченным доступом, выполните следующие действия, чтобы можно было переместить клиенты из сети с ограниченным доступом в сеть с неограниченным доступом.
- Убедитесь, что служба агента защиты доступа к сети Windows
запущена и настроена на автоматический запуск на компьютере. При
необходимости вручную измените параметры службы.
- Перезапустите компьютер. В результате клиент Configuration
Manager загрузит свою политику клиента, а агент клиента защиты
доступа к сети будет автоматически привязан к агенту защиты доступа
к сети Windows.
Если в результате возникновения такой ситуации компьютеры не находятся в сети с ограниченным доступом, но служба агента защиты доступа к сети Windows была запущена после включения агента клиента защиты доступа к сети Configuration Manager, выполните следующие действия.
- Убедитесь, что служба агента защиты доступа к сети Windows
запущена и настроена на автоматический запуск на всех компьютерах с
поддержкой защиты доступа к сети и клиентом Configuration Manager.
Если необходимо, настройте групповую политику для запуска этой
службы и проверьте, что компьютеры настроены правильно.
- Перезапустите клиентские компьютеры Configuration Manager или
отключите агент клиента защиты доступа к сети на один цикл политики
(по умолчанию 60 минут), а затем снова включите агент клиента
защиты доступа к сети.
При развертывании операционной
системы клиент Configuration Manager устанавливается перед
настройкой защиты доступа к сети Windows
При развертывании операционной системы в среде с защитой доступа к сети с помощью функции развертывания операционной системы в Configuration Manager, если используются специальные этапы последовательности задач для включения клиентов принудительной защиты и запуска защиты доступа к сети в Windows, отказ от добавления этапа перезапуска в последовательность задач может привести к несоответствию компьютера и невозможности успешного обновления.
Решение
Вручную перезапустите компьютер.
Сведения об исправлении конфигурации развертывания операционной системы см. в разделе Планирование развертывания операционной системы в среде с включенной защитой доступа к сети.
Обновления программного обеспечения
еще не были реплицированы в локальную точку распространения
В этом сценарии время ожидания находящегося в состоянии обновления клиента может истечь при попытке получить обновления программного обеспечения из удаленной точки распространения.
Решение
Дождитесь завершения репликации.
Избегайте возникновения такой ситуации. Для этого установите дату вступления в силу, которая наступит после репликации пакетов обновления программного обеспечения во все точки распространения. Сведения об изменении даты вступления в силу для существующих политик защиты доступа к сети Configuration Manager см. в разделе Настройка даты и времени начала оценки NAP для защиты доступа к сети.
Обновления программного обеспечения
расположены в защищенной точке распространения
Такая конфигурация может привести к тому, что клиенты не смогут получать доступ к обновлениям программного обеспечения, если не удается подтвердить, что их расположение в сети находится в пределах границ, заданных для защищенной точки распространения.
Решение
Перенастройте защищенную точку распространения или добавьте пакет обновления программного обеспечения в незащищенную точку распространения.
Обновления программного обеспечения
расположены в точке распространения филиала
Время ожидания может истечь при попытке клиента получить необходимые обновления программного обеспечения из точки распространения филиала, если для пакета обновления программного обеспечения включен параметр Сделать этот пакет доступным на защищенных точках распространения только при запросах от клиентов внутри защищенных границ.
Решение
Если клиент подождет, содержимое будет в конце концов загружено и попытка обновления будет автоматически повторена.
Избегайте возникновения такой ситуации. Для этого настраивайте пакеты обновления программного обеспечения, которые ссылаются на обновления программного обеспечения, выбранные для защиты доступа к сети, чтобы не был включен параметр Сделать этот пакет доступным на защищенных точках распространения только при запросах от клиентов внутри защищенных границ.
Клиенту не удается подключиться к
серверам обновлений
Клиенты, использующие защиту доступа к сети в Configuration Manager, зависят от возможности взаимодействия с серверами обновлений. Дополнительные сведения см. в разделе Об исправлении защиты доступа к сети.
Решение
Чтобы убедиться, что клиенты могут взаимодействовать с нужными серверами, проверьте следующее.
- Убедитесь, что точка управления по умолчанию
клиента функционирует.
- Если используется DHCP или принудительная
защита доступа к сети VPN, убедитесь, что все серверы
инфраструктуры, например DNS-серверы и контроллеры доменов, указаны
в группе сервера обновлений и включены в политику сети на сервере
политики сети.
- Если используется принудительная защита
доступа к сети IPsec, убедитесь, что все серверы восстановления
(включая точки управления Configuration Manager, точки обновления
программного обеспечения и точки распространения) настроены в
качестве граничных серверов.
Агент клиента защиты доступа к сети
был отключен после того, как клиент начал обновление
В этом случае клиент может представляться как несоответствующий по состоянию работоспособности, однако обновление уже невозможно.
Решение
Перезапустите компьютер, чтобы инициировать загрузку политики компьютера. В результате агент клиента защиты доступа к сети будет отключен, а состояние изменится на соответствующее.
Агент клиента защиты доступа к сети
включен заново
В случае повторного включения агента защиты доступа к сети заново включаются ранее настроенные политики защиты доступа к сети Configuration Manager. Если эти политики включают обновления программного обеспечения, которые уже отсутствуют в точках распространения, обновление становится невозможным, поскольку содержимое недоступно.
Решение
Для решения проблемы воспользуйтесь одним из следующих способов.
- Удалите старые политики защиты доступа к сети
Configuration Manager и перезапустите компьютер. Сведения об этой
процедуре см. в разделе Удаление политики NAP
Configuration Manager для прекращения оценки NAP в защите доступа к
сети.
- Создайте новые пакеты обновления программного
обеспечения с недостающими обновлениями из политик защиты доступа к
сети Configuration Manager. Когда содержимое станет доступным,
пользователь, являющийся локальным администратором, должен щелкнуть
команду Повторить попытку. Если у пользователя недостаточно
прав, он может перезапустить компьютер. Дополнительные сведения о
создании пакетов обновления программного обеспечения см. в разделе
Создание пакета
развертывания.
На компьютере не установлен клиент
Configuration Manager
В этом случае состояние работоспособности компьютера невозможно проверить с помощью средства проверки работоспособности системы Configuration Manager. По умолчанию это приводит к появлению ошибки, которая представляет компьютер как несоответствующий требованиям. Обновление в Configuration Manager не включает автоматической установки клиента Configuration Manager, поэтому клиент не может быть обновлен автоматически.
Решение
Если на компьютер необходимо удалить клиент Configuration Manager, предоставьте находящимся в сети с ограниченным доступом пользователям способ вручную установить клиент Configuration Manager. Дополнительные сведения см. в разделе Настройка взаимодействия с пользователем при обновлении для защиты доступа к сети в Configuration Manager.
Если клиент Configuration Manager не должен быть установлен на компьютере, настройте политику сети на сервере политики сети таким образом, чтобы состояние работоспособности компьютера не проверялось средством проверки работоспособности системы Configuration Manager. Дополнительные сведения см. в разделах Определение своей стратегии политики для защиты доступа к сети и Настройка политик исключения для защиты доступа к сети в Configuration Manager.
Неизвестные причины
Если сбой при обновлении не связан ни с одной из перечисленных выше причин, изучите Список отказов исправлений за указанный период времени в отчете о защите доступа к сети Configuration Manager, чтобы попробовать найти проблему. Дополнительные сведения см. в разделе Запуск отчетов защиты доступа к сети.