SCCM 2007 NAP简介
2008-09-09 17:42
232 查看
本文转载自 : http://hi.baidu.com/laojiangjun/blog/item/a6b014303df9009ca8018e08.html
将在近期按照文档进行测试,到时候跟大家汇报战果.
前言
SCCM 2007 的Network Access Protection(NAP)是这代产品的新增功能。SCCM本身不提供网络保护的功能,而是结合Windows Server 2008中提供的NAP功能,对未达到软件更新标准的机器,限制其访问等。Windows Server 2008的NAP通过某种方式(如DHCP,IPSec,802.1x等),确保只有满足其条件的客户机不受限制的访问网络中的资源。在这篇文章中,我将 对SCCM 2007中的NAP与Windows Server 2008中的DHCP NAP Enforcement结合使用进行简单的介绍。
测试环境
[align=center][/align]
[align=center]图1 [/align]
Lab4 -DC的机器为mngsccm.org域的域控制器,Lab4-SCCM为SCCM 2007主站点服务器,Lab4-WSUS上安装了WSUS 3.0,并已经设置为Software Update Point。以上操作系统的版本均为Windows Server 2003 Service Pack 2 英文版。
Lab4-NPS为域内的一台成员服务器,操作系统版本为Windows Server 2008 β3,其做为DHCP Server以及Network Policy Server使用。
Lab4-Vista-01为mngsccm.org域内的一台客户机,其操作系统为Windows Vista RTM,已经安装SCCM 2007的客户端,并通过DHCP动态获取地址。
测试步骤
一、在DHCP Server的某个区域上启用NAP
1.在开始试验之前,我们已经在Lab4-NPS安装并配置了DHCP Server。
在DCHP服务器Lab4-NPS上,打开DHCP管理器,并对某个需要启用NAP的区域属性中进行配置
[align=center][/align]
[align=center]图2 [/align]
2.选择scope option,配置相关选项
[align=center][/align]
[align=center]图3 [/align]
3. 选择User class为Default Network Access Protection Class,输入“restricted mngsccm.org”为不符合NAP Policy的机器的DNS Domain Name
[align=center][/align]
[align=center]图4
[/align]
二、 安装 System Health Validator Point
1. Lab4-NPS上,将SCCM Site Server的帐号加入到本地管理员组中
[align=center][/align]
[align=center]图5 [/align]
2. 在SCCM Site Server的Site System上,新建一个 Server
[align=center][/align]
[align=center]图6 [/align]
3. 指定其为Lab4-NPS,默认选择使用Site Servr的计算机帐号进行站点系统的安装。
[align=center][/align]
[align=center]图7 [/align]
4. 选择安装System Health Validator Point
[align=center][/align]
[align=center]图8
[/align]
5.无需配置其他信息
[align=center][/align]
[align=center]图9 [/align]
6. 点击下一步进行安装,并确认安装完成。
图10
7.在Lab4-NPS上查看SMSSHVsetup.log,确认安装完成
[align=center][/align]
[align=center]图11 [/align]
8. 相关的配置修改可以在Component Configuration中进行
[align=center][/align]
[align=center]图12
[/align]
三、在 SCCM上新建的NAP Policy
1. 在SCCM控制台上启用NAP Client
[align=center][/align]
[align=center]图13 [/align]
2.新建NAP Policy
[align=center][/align]
[align=center]图14 [/align]
3.选择一个或多个Software Update,可供选择的Software Update 必须已经通过SCCM部署
[align=center][/align]
[align=center]图15 [/align]
4. 选择Policy开始生效的时间
[align=center][/align]
[align=center]图16 [/align]
5.选择下一步,查看Summary
[align=center][/align]
[align=center]图17 [/align]
6. 等待完成
[align=center]图18
[/align]
四 、 在NPS Server上 配置相关Network Policy
1. 打开nps.msc,我们可以看到System Health Validators中增加了一个Configuration Manager System Health Validators
[align=center]图19 [/align]
2. 双击打开查看相关信息
[align=center]图20 [/align]
3. 新建Health Policy,一条用于指定client passes all SHV checks
[align=center]图21 [/align]
4. 新建另一条,Health Policy,指定client fails one or more SHV checks
[align=center]图22
[/align]
5. 新建一条Network Policy
a. 输入Policy Name
[align=center]图23 [/align]
b. 在条件中选择Health Policies
[align=center]图24 [/align]
c.选择刚刚新建的Health Policy
[align=center]图25 [/align]
d.如果需要添加其他条件,还可以继续添加
[align=center]图26 [/align]
f.选择Access Granted
[align=center]图27 [/align]
g. 去除其他验证方法,只选择Perform Machine Health check only
[align=center]图28 [/align]
h.点击下一步
[align=center] [/align]
[align=center]图29 [/align]
i.在Configure Settings中,选择NAP Enforcement,选择“Allow full network access”
[align=center]图30 [/align]
j.点击下一步,直至完成
[align=center]图31
[/align]
[align=center]6. 另外新建一条Network Policy用于指定non compliant client的只能访问受限制的网络,由于内容类似,我们可以通过复制的方式进行 [/align]
a.复制Policy
[align=center]图32 [/align]
b. 更改condition的Health Policy为Non-Compliant
[align=center]图33 [/align]
c.更改Settings中,设置为allow Limited access
[align=center]图34 [/align]
d.更改Policy name,并启用此Policy
[align=center]图35 [/align]
7. 确认Policy建立成功
[align=center]图36
[/align]
五 、 在Vista Client上查看效果
此Vista客户端没有安装MS07-045,故不满足SCCM NAP compliant的条件。在下面的测试中,我们将看到相关的结果
1. 登录Vista客户端,打开services.msc,将Network Access Policy Agent Service的启动状态改为Automatic,并启动。
[align=center]图37 [/align]
2. 配置NAP Client
a. 在Vista客户机上,运行napclcfg.msc
[align=center]图38 [/align]
b.启用DHCP Quarantine Enforcement Client
[align=center]图39 [/align]
3. 加速SCCM 客户端策略读取,等待一段时间,我们可以看到
a.任务栏中有相关Network Access Protection的提示
[align=center]图40 [/align]
b.运行netsh nap client show state命令行,我们可以看到如下的信息
[align=center][/align]
[align=center]图41 [/align]
c.运行ipconfig,我们可以看到Connection-specific DNS suffix已经变成了restricted.mngsccm.org
[align=center] [/align]
将在近期按照文档进行测试,到时候跟大家汇报战果.
前言
SCCM 2007 的Network Access Protection(NAP)是这代产品的新增功能。SCCM本身不提供网络保护的功能,而是结合Windows Server 2008中提供的NAP功能,对未达到软件更新标准的机器,限制其访问等。Windows Server 2008的NAP通过某种方式(如DHCP,IPSec,802.1x等),确保只有满足其条件的客户机不受限制的访问网络中的资源。在这篇文章中,我将 对SCCM 2007中的NAP与Windows Server 2008中的DHCP NAP Enforcement结合使用进行简单的介绍。
测试环境
[align=center][/align]
[align=center]图1 [/align]
Lab4 -DC的机器为mngsccm.org域的域控制器,Lab4-SCCM为SCCM 2007主站点服务器,Lab4-WSUS上安装了WSUS 3.0,并已经设置为Software Update Point。以上操作系统的版本均为Windows Server 2003 Service Pack 2 英文版。
Lab4-NPS为域内的一台成员服务器,操作系统版本为Windows Server 2008 β3,其做为DHCP Server以及Network Policy Server使用。
Lab4-Vista-01为mngsccm.org域内的一台客户机,其操作系统为Windows Vista RTM,已经安装SCCM 2007的客户端,并通过DHCP动态获取地址。
测试步骤
一、在DHCP Server的某个区域上启用NAP
1.在开始试验之前,我们已经在Lab4-NPS安装并配置了DHCP Server。
在DCHP服务器Lab4-NPS上,打开DHCP管理器,并对某个需要启用NAP的区域属性中进行配置
[align=center][/align]
[align=center]图2 [/align]
2.选择scope option,配置相关选项
[align=center][/align]
[align=center]图3 [/align]
3. 选择User class为Default Network Access Protection Class,输入“restricted mngsccm.org”为不符合NAP Policy的机器的DNS Domain Name
[align=center][/align]
[align=center]图4
[/align]
二、 安装 System Health Validator Point
1. Lab4-NPS上,将SCCM Site Server的帐号加入到本地管理员组中
[align=center][/align]
[align=center]图5 [/align]
2. 在SCCM Site Server的Site System上,新建一个 Server
[align=center][/align]
[align=center]图6 [/align]
3. 指定其为Lab4-NPS,默认选择使用Site Servr的计算机帐号进行站点系统的安装。
[align=center][/align]
[align=center]图7 [/align]
4. 选择安装System Health Validator Point
[align=center][/align]
[align=center]图8
[/align]
5.无需配置其他信息
[align=center][/align]
[align=center]图9 [/align]
6. 点击下一步进行安装,并确认安装完成。
图10
7.在Lab4-NPS上查看SMSSHVsetup.log,确认安装完成
[align=center][/align]
[align=center]图11 [/align]
8. 相关的配置修改可以在Component Configuration中进行
[align=center][/align]
[align=center]图12
[/align]
三、在 SCCM上新建的NAP Policy
1. 在SCCM控制台上启用NAP Client
[align=center][/align]
[align=center]图13 [/align]
2.新建NAP Policy
[align=center][/align]
[align=center]图14 [/align]
3.选择一个或多个Software Update,可供选择的Software Update 必须已经通过SCCM部署
[align=center][/align]
[align=center]图15 [/align]
4. 选择Policy开始生效的时间
[align=center][/align]
[align=center]图16 [/align]
5.选择下一步,查看Summary
[align=center][/align]
[align=center]图17 [/align]
6. 等待完成
[align=center]图18
[/align]
四 、 在NPS Server上 配置相关Network Policy
1. 打开nps.msc,我们可以看到System Health Validators中增加了一个Configuration Manager System Health Validators
[align=center]图19 [/align]
2. 双击打开查看相关信息
[align=center]图20 [/align]
3. 新建Health Policy,一条用于指定client passes all SHV checks
[align=center]图21 [/align]
4. 新建另一条,Health Policy,指定client fails one or more SHV checks
[align=center]图22
[/align]
5. 新建一条Network Policy
a. 输入Policy Name
[align=center]图23 [/align]
b. 在条件中选择Health Policies
[align=center]图24 [/align]
c.选择刚刚新建的Health Policy
[align=center]图25 [/align]
d.如果需要添加其他条件,还可以继续添加
[align=center]图26 [/align]
f.选择Access Granted
[align=center]图27 [/align]
g. 去除其他验证方法,只选择Perform Machine Health check only
[align=center]图28 [/align]
h.点击下一步
[align=center] [/align]
[align=center]图29 [/align]
i.在Configure Settings中,选择NAP Enforcement,选择“Allow full network access”
[align=center]图30 [/align]
j.点击下一步,直至完成
[align=center]图31
[/align]
[align=center]6. 另外新建一条Network Policy用于指定non compliant client的只能访问受限制的网络,由于内容类似,我们可以通过复制的方式进行 [/align]
a.复制Policy
[align=center]图32 [/align]
b. 更改condition的Health Policy为Non-Compliant
[align=center]图33 [/align]
c.更改Settings中,设置为allow Limited access
[align=center]图34 [/align]
d.更改Policy name,并启用此Policy
[align=center]图35 [/align]
7. 确认Policy建立成功
[align=center]图36
[/align]
五 、 在Vista Client上查看效果
此Vista客户端没有安装MS07-045,故不满足SCCM NAP compliant的条件。在下面的测试中,我们将看到相关的结果
1. 登录Vista客户端,打开services.msc,将Network Access Policy Agent Service的启动状态改为Automatic,并启动。
[align=center]图37 [/align]
2. 配置NAP Client
a. 在Vista客户机上,运行napclcfg.msc
[align=center]图38 [/align]
b.启用DHCP Quarantine Enforcement Client
[align=center]图39 [/align]
3. 加速SCCM 客户端策略读取,等待一段时间,我们可以看到
a.任务栏中有相关Network Access Protection的提示
[align=center]图40 [/align]
b.运行netsh nap client show state命令行,我们可以看到如下的信息
[align=center][/align]
[align=center]图41 [/align]
c.运行ipconfig,我们可以看到Connection-specific DNS suffix已经变成了restricted.mngsccm.org
[align=center] [/align]
相关文章推荐
- SCCM 2007的规划部署手册
- #01# SCCM架构简介
- SCCM 2007系列教程之五管理微软更新
- SCCM 2007系列教程之六使用组策略实现SCCM客户端
- SCCM 2007 R3安装部署及配置——SCCM 系列之二
- sccm 2007 r2 step by step 之十五 补丁管理
- SCCM 2007系列1 安装前的准备 推荐
- SCCM 2007系列5 播发操作系统下
- SCCM 2007 排错
- 对开发人员的 Windows SharePoint Services V3 和 SharePoint Server 2007 工作流简介
- SCCM 2007 R2 setp by setp(六)-活动目录配置
- SCCM 2007 sp2 eva安装之二:域扩展、WSUS及IIS相关配置
- SCCM 2007打了SP2补丁后客户端PXE启动失败
- SCCM 2007 部署软件更新
- sccm 2007 r2 step by step 之十三 操作系统分发part2
- sccm 2007 r2 step by step 之十四 操作系统分发part3
- 部署SCCM 2007
- 2007最值得考虑的20位VC(附简介)
- SCCM 2007系列教程之三日志文件
- 2007中华小姐环球大赛冠军曾光简介以及相片