Planera för distribution av operativsystem i en NAP-aktiverad miljö

 

Gäller för: System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

När du distribuerar ett operativsystem och System Center 2012 Configuration Manager-klienten till en miljö där Network Access Protection (NAP) används, måste ytterligare inställningar anges. Om operativsystemdistribution konfigureras felaktigt i en NAP-miljö kan det leda till att nätverksåtkomsten begränsas på de distribuerade datorerna och att en efterföljande reparation misslyckas.

Klienter där Windows Vista och Windows Server 2008 körs, har inbyggt stöd för Network Access Protection. Windows XP-datorer saknar stöd för Network Access Protection och en NAP-klient måste därför installeras. Mer information om Network Access Protection-klienten för Windows XP finns på webbplatsen om Network Access Protection.

Network Access Protection har stöd för ett antal tvångsmekanismer, exempelvis IPsec, 802.1X, VPN och DHCP. För varje tvångsmekanism krävs att en motsvarande tvingande Network Access Protection-klient är aktiverad samt att Network Access Protection startas och är konfigurerad för automatisk start. Mer information om kraven för att kunna använda Network Access Protection med programuppdateringar i Configuration Manager finns i Krav för programuppdateringar i Configuration Manager.

Utför nedanstående steg för att säkerställa att tvångsmekanismen och Network Access Protection är aktiverade och fungerar korrekt med Configuration Manager-klienten när du distribuerar ett operativsystem i en NAP-aktiverad miljö.

Referensdatorn är konfigurerad för Network Access Protection

Utgå från följande scenario om alla operativsystemdistributioner finns i en NAP-aktiverad miljö och samma NAP-tvångsmekanism används:

  1. Konfigurera referensdatorn med operativsystemet, service pack, säkerhetsuppdateringar, program, inställningar, verktyg och anpassningar.

  2. Installera Network Access Protection-klienten för Windows XP, om operativsystemet är Windows XP.

  3. Aktivera rätt tvingande NAP-klienter.

  4. Konfigurera Network Access Protection-tjänsten för automatisk start, och starta sedan tjänsten.

  5. Sammanställ en operativsystemavbildning genom att använda ett avbildningsmedium.

  6. Skapa en aktivitetssekvens som refererar till avbildningen.

  7. Distribuera aktivitetssekvensen till måldatorerna.

Med den här konfigurationen startar den tvingande NAP-klienten och NAP-tjänsten automatisk på den nyligen distribuerade datorn, eftersom de ingår i avbildningen. Dessutom är de redan igång när Configuration Manager-klienten installeras, vilket säkerställer att Configuration Manager-klienten kan bindas till NAP-tjänsten.

Referensdatorn är inte konfigurerad för Network Access Protection

Följande scenario är en lämplig utgångspunkt om endast några av datorerna är installerade i en NAP-aktiverad miljö eller om du måste lägga till Network Access Protection-konfigurationen i en befintlig avbildning:

  1. Konfigurera referensdatorn med operativsystemet, service pack, säkerhetsuppdateringar, program, inställningar, verktyg och anpassningar.

  2. Sammanställ en operativsystemavbildning genom att använda ett avbildningsmedium.

  3. Skapa en distributionsaktivitetssekvens som refererar till avbildningen.

  4. Om operativsystemet är Windows XP lägger du till ett aktivitetssekvenssteg som installerar NAP-klienten för Windows XP i det nyligen distribuerade operativsystemet.

  5. Lägg till ett anpassat sekvenssteg som körs i det distribuerade operativsystemet i syfte att aktivera tvingande NAP-klienter.

    System_CAPS_noteInformation

    Använd kommandoradsverktyget netsh nap client set enforcement

  6. Lägg till ett aktivitetssekvenssteg som körs i det distribuerade operativsystemet och konfigurerar NAP-tjänsten för automatisk start. Starta tjänsten.

    System_CAPS_noteInformation

    Säkerställ att grupprincipen konfigurerar tjänsten.

  7. Lägg till en aktivitetssekvens för omstart av datorn.

    System_CAPS_noteInformation

    Det krävs en omstarten för att säkerställa att de tvingande klienterna och NAP-tjänsten redan har startats när Configuration Manager-klienten startas, och för att garantera att Configuration Manager-klienten kan bindas till NAP-tjänsten.

  8. Distribuera aktivitetssekvensen till måldatorerna.