Этот раздел дает сведения об устранении неполадок и помогает идентифицировать и устранить причины наличия у компьютеров полного доступа к сети, которого не должно быть при использовании защиты доступа к сети в Configuration Manager 2007.
Клиенты не поддерживают защиту
доступа к сети (NAP)
Клиенты Configuration Manager должны поддерживать защиту доступа к сети (NAP). Дополнительные сведения см. в разделе Состояние клиента NAP в защите доступа к сети.
Решение
При возможности необходимо обновить клиенты для обеспечения поддержки защиты доступа к сети. Дополнительные сведения см. в разделе Подготовка сайта для клиентов защиты доступа к сети.
Если сайт содержит клиенты, которые не могут поддерживать защиту доступа к сети, необходимо перенастроить сетевые политики на сервере политики сети так, чтобы клиенты, не подходящие для защиты доступа к сети, имели ограниченный доступ к сети (и также не могли его изменить). Дополнительные сведения см. в разделе Определение своей стратегии политики для защиты доступа к сети.
Служба Microsoft Windows NAP не
запущена или локальными политиками Configuration Manager отключена
возможность сайта разрешать работу агента клиента защиты доступа к
сети.
Оба эти условия могут объяснить причину того, что несоответствующие политике безопасности компьютеры имеют полный доступ к сети.
Решение
Служба Windows NAP не запущена по умолчанию. Запустите службу и настройте ее для автоматического запуска.
Если локальная политика не разрешает включение агента клиента защиты доступа к сети, необходимо удалить или перенастроить локальную политику Configuration Manager.
Сервер политики сети был настроен
так, чтобы несоответствующие политике компьютеры имели полный
доступ к сети в течение ограниченного времени
Это недопустимая настройка политики, результатом которой является полный доступ несоответствующих политике компьютеров к сети в течение ограниченного времени. В течение этого времени компьютеры подвергаются автоматическому обновлению и, в случае успеха, им будет представлен соответствующий статус, который дает полный доступ к сети.
Решение
В том случае, если несоответствующие политике компьютеры никогда не должны получать полный доступ к сети, необходимо перенастроить сетевую политику таким образом, чтобы Полный доступ к сети в течение ограниченного времени не был выбран. Дополнительные сведения см. в разделе Настройка сетевых политик для защиты доступа к сети в Configuration Manager.
Клиенты не получили политику
компьютера для разрешения агента клиента защиты доступа к сети
Если агент клиента защиты доступа к сети был запущен недавно, клиенты имеют полный доступ к сети до тех пор, пока они не загрузят политику компьютера в соответствии с расписанием (по умолчанию каждые 60 минут). Можно просмотреть или изменить интервал параметром Интервал опроса политики в Свойства агента клиента компьютера: вкладка "Общие".
Решение
Необходимо либо дождаться, пока клиенты загрузят политики в соответствии с расписанием, либо запустить процедуру получения политики вручную или с помощью выполнения сценария.
Описание запуска процедуры получения политики клиента см. в разделе Инициация получения политики для клиента Configuration Manager.
Действия происходят раньше даты,
определенной в Configuration Manager в политике защиты доступа к
сети
Для клиентов Configuration Manager не будет ограничен доступ, если у них не установлены выбранные обновления программного обеспечения до указанной в политике NAP в Configuration Manager даты. Дополнительные сведения см. в разделе О дате начала действия NAP в защите доступа к сети.
Решение
Если не соответствующие политике компьютеры не должны иметь полный доступ к сети до определенной даты, необходимо изменить значение даты вступления политики в силу. Дополнительные сведения см. в разделе Настройка даты и времени начала оценки NAP для защиты доступа к сети.
Клиенты не загрузили последние
политики защиты доступа к сети Configuration Manager
Клиенты не могут оценить политики защиты доступа к сети сразу после того, как политики были настроены или добавлены в Configuration Manager.
Решение
Необходимо дождаться загрузки клиентами их политики (которая включает политики защиты доступа к сети Configuration Manager) в соответствии с расписанием (по умолчанию каждые 60 минут).
Для ускорения процесса для выбранных клиентов запустите процедуру прямого получения политики с клиента, описанную в разделе Инициация получения политики для клиента Configuration Manager.
Для ускорения процесса для всех клиентов остановите и запустите службу SMS_SYSTEM_HEALTH_VALIDATOR на сервере политики сети. Это приведет к тому, что клиенты, посылающие уведомления о работоспособности на сервер политики сети, загрузят последние политики защиты доступа к сети и переоценят свое состояние. Однако, если политики на сервере политики сети настроены ограничивать доступ несоответствующих компьютеров, компьютеры будут иметь ограниченный доступ к сети во время выполнения этих действий.
Для текущего решения следует указывать короче интервал опроса на точке средства проверки работоспособности системы. Дополнительные сведения см. в разделе Настройка интервала запросов доменных служб Active Directory в средстве проверки работоспособности системы.
Также необходимо проверить значение задержки репликации Active Directory с сервера сайта, который записывает ссылку на состояние работоспособности Configuration Manager 2007 и реплицирует ее на сервер глобального каталога, который используется точкой средства проверки работоспособности системы.
Возникло состояние ошибки
По умолчанию средства проверки работоспособности системы Configuration Manager на сервере политики сети настроен отображать все ошибки в состояние несоответствия. После этого клиентам предоставляется доступ к сети в соответствии со статусом несоответствия. Однако, эти ошибки могут быть настроены как соответствующие, что может привести к тому, что клиенты, не имеющие необходимых обновлений программного обеспечения, получат полный доступ к сети, потому что обнаружена ошибка.
Решение
Изменить настройки средства проверки работоспособности системы Configuration Manager, установив условие ошибки из соответствующей в несоответствующее. Дополнительные сведения см. в разделе Настройка категорий сбоев для защиты доступа к сети в Configuration Manager.
Точка средства проверки
работоспособности системы не установлена или не функционирует
Точка средства проверки работоспособности системы Configuration Manager должна быть установлена, функционировать и ограничивать доступ несоответствующих клиентов.
Решение
Установите точку средства проверки работоспособности системы. Сведения об этой процедуре см. в разделе Установка точки средства проверки работоспособности системы.
Если точка средства проверки работоспособности системы установлена, но не функционирует, необходимо определить и исправить проблему при помощи следующих действий:
- Проверить сообщения об изменении состояния,
относящиеся к точке средства проверки работоспособности
системы.
- Проверить каждый компонент защиты доступа к
сети: Проверка
компонентов защиты доступа к сети
- Обратиться к файлам журнала защиты доступа к
сети для поиска ошибок: Файлы журналов для
защиты доступа к сети
Сервер политики сети не содержит
настроенных политик для Configuration Manager
Сервер политики сети должен иметь политики, которые содержат средства проверки работоспособности системы Configuration Manager. Дополнительные сведения см. в разделе О принудительной совместимости с защитой доступа к сети.
Решение
Создайте или измените политики на сервере политик сети. Дополнительные сведения см. в разделе Настройка сервера политики сети для Configuration Manager.
Сервер политики сети содержит
политики со снятым флажком "Разрешить автоисправление клиентских
компьютеров"
Configuration Manager всегда будет исправлять, если включена защита доступа к сети. Дополнительные сведения см. в разделе Определение своей стратегии политики для защиты доступа к сети.
Решение
Нет. Невозможно применить ограничения для клиентов с защитой доступа к сети в Configuration Manager 2007 без автоматического исправления.
Ошибка в настройках политик
Политики на сервере политики сети, позволяющие получать полный доступ к сети несоответствующим политике компьютерам на ограниченное время или не требующие обязательного наличия защиты доступа к сети или при установке неверного порядка политик, или при наличии каких-то других ошибок настройки, могут ошибочно разрешить получение полного доступа к сети.
Уровень доступа к сети соответствующих и несоответствующих компьютеров зависит от того, как настроены политики на сервере политики сети Windows. Дополнительные сведения см. в разделе Определение своей стратегии политики для защиты доступа к сети.
Решение
Если существует ошибка в настройках, такая что несоответствующие компьютеры не должны иметь полный доступ к сети, необходимо перенастроить политики. Дополнительные сведения см. в разделе Настройка сетевых политик для защиты доступа к сети в Configuration Manager.
Клиенты используют кэшированное
состояние работоспособности
Клиенты могут предоставлять кэшированное устаревшее состояние работоспособности. Дополнительные сведения об использовании состояния работоспособности с защитой доступа к сети см. в разделе О состоянии работоспособности в защите доступа к сети.
Для просмотра условий предоставления кэшированных данных о состоянии работоспособности см. раздел Условия оценки защиты доступа к сети для клиентов Configuration Manager.
Решение
Для изменения настроек таким образом, чтобы клиенты никогда не использовали кэшированных данных о состоянии работоспособности см. раздел Настройка параметров оценки защиты доступа к сети.
Для перенастройки периода действия кэшированных данных о состоянии работоспособности см. раздел Определение периода действия сведений о состоянии работоспособности.
Для прямого решения, которое не затронет работу других клиентов, можно перезагрузить клиентский компьютер.
Клиент назначен дочернему сайту, и
политика защиты доступа к сети еще не реплицирована на всю иерархию
сайтов
Политики доступа к сети Configuration Manager разработаны для репликации вниз по иерархии, что может приводить к задержкам между созданием или изменением политики и ее применению на клиенте на дочернем сайте.
Решение
Ждите завершения репликации сайта.