Сведения о том, как точка средства проверки работоспособности системы в Configuration Manager 2007 используется с защитой доступа к сети.

Взаимодействие точки средства проверки работоспособности системы с клиентами Configuration Manager и инфраструктурой защиты доступа к сети Windows

Точка средства проверки работоспособности системы — это роль системы сайта Configuration Manager 2007, выполняемая на компьютере под управлением Windows Server 2008, который играет роль сервера политики сети.

При использовании защиты доступа к сети в Configuration Manager 2007 точка средства проверки работоспособности системы используется для проверки состояния сообщения о работоспособности от клиентов Configuration Manager с поддержкой защиты доступа к сети (NAP). Сведения о работоспособности клиентов могут быть признаны соответствующими или несоответствующими, или отобразиться сообщение о ошибке, из-за которой не определилось состояние работоспособности. Дополнительные сведения о состоянии работоспособности см. в разделе О состоянии работоспособности в защите доступа к сети.

Состояние работоспособности с состоянием работоспособности клиентского компьютера или сообщением об ошибке передается серверу политики сети, который на основании настроек запроса на подключение и политик сети определяет, будет ли клиенту предоставлен полный или ограниченный доступ к сети. Если клиент является несоответствующим, сервер политики сети позволяет добиться соответствия путем внесения исправлений в сети с ограниченным доступом или в сети с полным доступом в течение ограниченного времени. Дополнительные сведения о данном процессе см. в разделе О принудительной совместимости с защитой доступа к сети.

Проверка сообщений о состоянии работоспособности клиента

Точка средства проверки работоспособности системы проверяет состояние работоспособности с помощью ряда последовательных проверок. В том числе:

  • Проверка времени, когда было создано состояние работоспособности.

  • Проверка соответствия ссылке на состояние работоспособности.

  • Состояние соответствия и сбои оценки соответствия.

Точка средства проверки работоспособности системы никогда не обменивается данными непосредственно с серверами сайта Configuration Manager 2007 для проверки сообщений клиентов о состоянии работоспособности. В случае создания или изменения политики NAP в Configuration Manager, а также наследования политики из родительского сайта, сервер сайта публикует ссылки на состояние работоспособности в доменных службах Active Directory. Точка средства проверки работоспособности системы периодически получает ссылки на состояние работоспособности для всех основных сайтов Configuration Manager, на которых включена защита доступа к сети.

Поскольку доменные службы Active Directory используются для хранения ссылок на состояние работоспособности, схема Active Directory должна быть дополнена расширениями Configuration Manager 2007. Ссылка на состояние работоспособности публикуется в контейнере System Management в Active Directory, для которого требуется, чтобы Configuration Manager 2007 публиковал сведения о сайте в доменных службах Active Directory. Если имеется более одного леса Active Directory, и серверы сайта Configuration Manager и точки средства проверки работоспособности системы располагаются в разных лесах, необходимо назначить лес и домен для хранения ссылок на данные о состоянии работоспособности системы.

Дополнительные сведения о расширении схемы Active Directory для Configuration Manager 2007 и настройке сайта для публикации в доменных службах Active Directory см. в следующих разделах:

Дополнительные сведения о назначении леса и домена для хранения ссылок на состояние работоспособности см. в разделе Определение леса публикации ссылок на состояние работоспособности для защиты доступа к сети.

Процесс проверки

В данном разделе описаны последовательные проверки, которые проходит клиент с поддержкой защиты доступа к сети (NAP), когда точка средства проверки работоспособности системы обрабатывает состояние работоспособности клиента. Данный процесс также показан на следующей блок-схеме.

Точка средства проверки работоспособности системы: Процесс проверки для защиты доступа к сети

  1. Первая проверка: клиент только что развернут и не загрузил еще политику компьютера, которая определяет, включен ли агент клиента защиты доступа к сети, и какие политики NAP заданы в Configuration Manager. Без этой политики Configuration Manager не может определить, требуются ли клиенту обновления программного обеспечения, или даже было ли проверено состояние его работоспособности. Клиент считается соответствующим, чтобы он могу получить доступ к сети для загрузки политики компьютера. После получения клиентом политики сайта он немедленно отправляет новое состояние работоспособности, чтобы получить повторную оценку в качестве полнофункционального клиента.

  2. Следующей проверкой, проводимой точкой средства проверки работоспособности системы после подтверждения успешной загрузки политики компьютера, является проверка удостоверения клиента. Для этого используется ссылка на состояние работоспособности, которая периодически извлекается из доменных служб Active Directory. Точка средства проверки работоспособности системы проверяет удостоверение сайта клиента Configuration Manager 2007, чтобы убедиться в том, что клиент принадлежит известному сайту Configuration Manager 2007 в иерархии. Если данная проверка не пройдена, точка средства проверки работоспособности системы отправляет состояние "неизвестный" на сервер политики сети Windows, соответствующее категории средства проверки работоспособности системы Configuration Manager Получен код ошибки поставщика агента SHA на сервере политики сети. По умолчанию категория Получен код ошибки поставщика агента SHA настроена как "несоответствие", но ее можно настроить как "соответствие".

  3. В случае подтверждения сайта клиента точка средства проверки работоспособности системы проверяет, включен ли агент клиента защиты доступа к сети на клиенте. Клиент с поддержкой защиты доступа к сети (NAP) с отключенным агентом клиента защиты доступа к сети тем не менее будет отправлять состояние о работоспособности с защитой доступа к сети в Configuration Manager 2007. Клиент с поддержкой защиты доступа к сети (NAP), в котором после предыдущей проверки отключен агент клиента защиты доступа к сети, будет считаться соответствующим точкой средства проверки работоспособности системы, и его состояние работоспособности будет установлено как "соответствующее".

  4. Следующей проверкой, проводимой точкой средства проверки работоспособности системы после включения агента клиента защиты доступа к сети, является проверка времени с использованием параметров, заданных в свойствах точки средства проверки работоспособности системы. Если установлен параметр Дата создания должна быть позже, точка средства проверки работоспособности системы проверяет, было ли состояние о работоспособности клиента создано до или после этой даты. Если состояние работоспособности было создано не позже установленной даты, то состояние устанавливается как "соответствующее". Если состояние работоспособности было создано позднее даты, установленной в точке средства проверки работоспособности системы, точка средства проверки работоспособности системы проверяет, являются ли сведения о работоспособности клиента старше, чем Период действия, настроенный в точке средства проверки работоспособности системы. Если состояние работоспособности клиента старше, чем настроенный период действия, то состояние работоспособности клиента устанавливается как "несоответствующее".

  5. Если точка средства проверки работоспособности системы подтверждает, что состояние работоспособности не старше, чем настроенный период действия, точка средства проверки работоспособности системы использует ссылку на состояние работоспособности, чтобы проверить, использовал ли клиент актуальные политики защиты доступа к сети Configuration Manager при оценке состояния работоспособности. Для этого отметка времени в ссылке на состояние работоспособности сравнивается с отметкой времени в сведениях о соответствии состояния работоспособности. Отметка о времени указывает, когда были в последний раз были созданы или изменены политики защиты доступа к сети Configuration Manager. Если отметка времени в ссылке на состояние работоспособности позже, чем отметка времени в состоянии работоспособности, то состояние работоспособности клиента устанавливается как "несоответствующее".

  6. Если отметка времени в состоянии работоспособности более поздняя или такая же, как отметка времени в ссылке на состояние работоспособности, выполняется проверка состояния соответствия клиента в состоянии работоспособности. Если в состоянии работоспособности содержится состояние соответствия, точка средства проверки работоспособности системы устанавливает состояние работоспособности клиента как "соответствующее". Если в состоянии работоспособности не содержится состояние соответствия, точка средства проверки работоспособности системы проверяет, произошел ли сбой на клиенте, чтобы предотвратить предоставление ему состояния "соответствующий". Данное условие приводит к установке одной или двух категорий сбоя и одного кода ошибки. В случае отсутствия сбоев точка средства проверки работоспособности системы устанавливает состояние работоспособности клиента как "несоответствующее".

  7. Если заданы категории сбоя и код ошибки, точка средства проверки работоспособности системы проверяет, совпадает ли код с одним из известных кодов. В случае совпадения кода, категория сбоя передается на сервер политики сети, который сопоставляет категорию сбоя с одной или двумя категориями сбоя клиента, настроенными в средстве проверки работоспособности системы в Configuration Manager. По умолчанию обе категории сбоев настроены в средстве проверки работоспособности системы Configuration Manager таким образом, чтобы предоставлять клиенту несоответствующее состояние работоспособности, но их можно также настроить на соответствующее состояние. Тем не менее, если совпадение для кода ошибки не найдено, точка средства проверки работоспособности системы передает сбой на сервер политики сети в категорию Получен код ошибки поставщика агента SHA. Этот параметр можно также настроить в средстве проверки работоспособности системы Configuration Manager. По умолчанию клиенту предоставляется несоответствующее состояние работоспособности.

Когда несоответствующие клиенты настраиваются для принудительной защиты доступа к сети и исправлений NAP, точка средства проверки работоспособности системы отправляет инструкции клиенту, в зависимости от того, какая проверка не пройдена. Если проверка времени для состояния работоспособности закончилась неудачно, точка средства проверки работоспособности системы предписывает клиенту повторно оценить состояние работоспособности и представить новое состояние работоспособности. Если проверка отметки времени закончилась неудачно с ссылкой на состояние работоспособности, точка средства проверки работоспособности системы предписывает клиенту загрузить политику компьютера с точки управления, повторно оценить состояние соответствия с последними политиками защиты доступа к сети Configuration Manager, а затем представляет новое состояние работоспособности.

Если проверка соответствия закончилась неудачно, точка средства проверки работоспособности системы предписывает клиенту записать данный сбой в журнал. Точка средства проверки работоспособности системы предоставляет клиенту статические маршруты к точкам распространения, где размещаются обновления программного обеспечения, которые необходимы для обеспечения соответствия клиента. Клиент устанавливает все необходимые обновления программного обеспечения. После завершения установки обновлений клиент представляет новое состояние работоспособности.

После создания нового состояния работоспособности точка средства проверки работоспособности системы выполняет аналогичные проверки. Если проверка успешно завершится по каждому из критериев, точка средства проверки работоспособности системы устанавливает состояние "соответствующее" для работоспособности и передает его на сервер политики сети.

См. также