Планирование развертывания операционных систем в среде с защитой доступа к сети

 

Применимо к:System Center 2012 Configuration Manager, System Center 2012 Configuration Manager SP1, System Center 2012 Configuration Manager SP2, System Center 2012 R2 Configuration Manager, System Center 2012 R2 Configuration Manager SP1

В случае развертывания операционной системы и клиента System Center 2012 Configuration Manager в среде, использующей защиту доступа к сети (NAP), необходимо выполнить дополнительные действия по настройке. Неправильная настройка развертывания операционной системы с использованием защиты доступа к сети может привести к тому, что развернутые компьютеры будут иметь ограничение на доступ к сети с невозможностью исправления.

Клиенты, работающие под управлением Windows Vista и Windows Server 2008, имеют встроенную поддержку защиты доступа к сети, компьютеры же, работающие под управлением Windows XP, не имеют такой встроенной поддержки и требуют установки дополнительного клиента защиты доступа к сети. Дополнительные сведения о клиенте защиты доступа к сети для Windows XP см. на веб-сайте Network Access Protection (Защита доступа к сети).

Защита доступа к сети поддерживает ряд механизмов принудительного применения защиты, таких как IPsec, 802.1X, VPN и DHCP. Все механизмы принудительного применения защиты требуют, чтобы был включен соответствующий клиент защиты доступа к сети, а также была запущена служба защиты доступа к сети Windows и настроена на автоматический запуск. Дополнительные сведения о условиях, которые должны быть выполнены для использования защиты доступа к сети с обновлениями ПО Configuration Manager, см. в статье Необходимые условия для обновления программного обеспечения в Configuration Manager.

Выполните действия, описанные в следующих разделах, чтобы обеспечить включение механизма принудительного применения защиты, включение службы защиты доступа к сети Windows и их правильное взаимодействие с клиентом Configuration Manager во время развертывания операционной системы в среде, в которой присутствует защита доступа к сети.

Эталонный компьютер настроен для защиты доступа к сети

Следующий сценарий подходит в том случае, когда все развертывания операционной системы находятся в среде с защитой доступа к сети и используют одинаковый механизм принудительного применения защиты доступа к сети.

  1. Установите на эталонный компьютер операционную систему, пакеты обновления, обновления для системы безопасности и приложения, выполните настройку параметров, средств и рабочего стола.

  2. Если операционной системой является Windows XP, установите клиент защиты доступа к сети для Windows XP.

  3. Включите соответствующие клиенты принудительного применения защиты доступа к сети.

  4. Настройте службу защиты доступа к сети Windows, чтобы она запускалась автоматически, а затем запустите ее.

  5. Создайте образ операционной системы, используя носитель для снятия образа.

  6. Создайте последовательность задач, которая будет ссылаться на созданный образ.

  7. Разверните последовательность задач на конечные компьютеры.

В этой конфигурации клиент принудительного применения защиты доступа к сети и служба защиты доступа к сети Windows запускаются автоматически на развернутом компьютере, так как они входят в состав образа. И во время установки клиента Configuration Manager они уже будут запущены, что позволит клиенту Configuration Manager связаться со службой защиты доступа к сети Windows.

Эталонный компьютер не настроен для защиты доступа к сети

Следующий сценарий подходит в том случае, когда только некоторые компьютеры установлены в среде с защитой доступа к сети или когда необходимо добавить параметры защиты доступа к сети в существующий образ.

  1. Установите на эталонный компьютер операционную систему, пакеты обновления, обновления для системы безопасности и приложения, выполните настройку параметров, средств и рабочего стола.

  2. Создайте образ операционной системы, используя носитель для снятия образа.

  3. Создайте последовательность задач развертывания, которая будет ссылаться на созданный образ.

  4. Если операционной системой является Windows XP, добавьте в последовательность задач шаг, который будет запускаться в развернутой операционной системе и устанавливать клиент защиты доступа к сети для Windows XP.

  5. Добавьте в последовательность задач настраиваемый шаг, который будет запускаться в развернутой операционной системе, чтобы включить подходящие клиенты принудительного применения защиты доступа к сети.

    System_CAPS_noteПримечание

    Используйте служебную программу командной строки netsh nap client set enforcement

  6. Добавьте в последовательность задач шаг, который будет запускаться в развернутой операционной системе, настраивать автоматический запуск службы защиты доступа к сети Windows и запускать службу.

    System_CAPS_noteПримечание

    Убедитесь, что в соответствии с текущими параметрами групповая политика настраивает службу.

  7. Добавьте в последовательность задач шаг, который будет перезагружать компьютер.

    System_CAPS_noteПримечание

    Эта перезагрузка требуется для того, чтобы гарантировать работу клиентов принудительной защиты и службы защиты доступа к сети Windows во время запуска клиента Configuration Manager и обеспечить привязку клиента Configuration Manager к службе защиты доступа к сети Windows.

  8. Разверните последовательность задач на конечные компьютеры.

  • Last updated on