本文转载自 : [url]http://hi.baidu.com/laojiangjun/blog/item/a6b014303df9009ca8018e08.html[/url]
将在近期按照文档进行测试,到时候跟大家汇报战果.
 
前言
SCCM 2007 的Network Access Protection(NAP)是这代产品的新增功能。SCCM本身不提供网络保护的功能,而是结合Windows Server 2008中提供的NAP功能,对未达到软件更新标准的机器,限制其访问等。Windows Server 2008的NAP通过某种方式(如DHCP,IPSec,802.1x等),确保只有满足其条件的客户机不受限制的访问网络中的资源。在这篇文章中,我将 对SCCM 2007中的NAP与Windows Server 2008中的DHCP NAP Enforcement结合使用进行简单的介绍。
测试环境
SCCM 2007 NAP简介_休闲
图1
Lab4 -DC的机器为mngsccm.org域的域控制器,Lab4-SCCM为SCCM 2007主站点服务器,Lab4-WSUS上安装了WSUS 3.0,并已经设置为Software Update Point。以上操作系统的版本均为Windows Server 2003 Service Pack 2 英文版。
Lab4-NPS为域内的一台成员服务器,操作系统版本为Windows Server 2008 β3,其做为DHCP Server以及Network Policy Server使用。
Lab4-Vista-01为mngsccm.org域内的一台客户机,其操作系统为Windows Vista RTM,已经安装SCCM 2007的客户端,并通过DHCP动态获取地址。
测试步骤
一、在DHCP Server的某个区域上启用NAP
1.在开始试验之前,我们已经在Lab4-NPS安装并配置了DHCP Server。
在DCHP服务器Lab4-NPS上,打开DHCP管理器,并对某个需要启用NAP的区域属性中进行配置
SCCM 2007 NAP简介_SCCM_02
图2
2.选择scope option,配置相关选项
SCCM 2007 NAP简介_SCCM_03
图3
3. 选择User class为Default Network Access Protection Class,输入“restricted mngsccm.org”为不符合NAP Policy的机器的DNS Domain Name
SCCM 2007 NAP简介_2007_04
图4
二、 安装 System Health Validator Point
1. Lab4-NPS上,将SCCM Site Server的帐号加入到本地管理员组中
SCCM 2007 NAP简介_职场_05
图5
2. 在SCCM Site Server的Site System上,新建一个 Server
SCCM 2007 NAP简介_2007_06
图6
3. 指定其为Lab4-NPS,默认选择使用Site Servr的计算机帐号进行站点系统的安装。
SCCM 2007 NAP简介_SCCM_07
图7
4. 选择安装System Health Validator Point
SCCM 2007 NAP简介_职场_08
图8
5.无需配置其他信息
SCCM 2007 NAP简介_SCCM_09
图9
6. 点击下一步进行安装,并确认安装完成。
SCCM 2007 NAP简介_休闲_10
图10
7.在Lab4-NPS上查看SMSSHVsetup.log,确认安装完成
SCCM 2007 NAP简介_NAP_11
图11
8. 相关的配置修改可以在Component Configuration中进行
SCCM 2007 NAP简介_2007_12
图12
三、在 SCCM上新建的NAP Policy
1. 在SCCM控制台上启用NAP Client
SCCM 2007 NAP简介_NAP_13
图13
2.新建NAP Policy
SCCM 2007 NAP简介_NAP_14
图14
3.选择一个或多个Software Update,可供选择的Software Update 必须已经通过SCCM部署
SCCM 2007 NAP简介_SCCM_15
图15
4. 选择Policy开始生效的时间
SCCM 2007 NAP简介_休闲_16
图16
5.选择下一步,查看Summary
SCCM 2007 NAP简介_2007_17
图17
6. 等待完成
SCCM 2007 NAP简介_NAP_18
图18
在NPS Server上 配置相关Network Policy
1. 打开nps.msc,我们可以看到System Health Validators中增加了一个Configuration Manager System Health Validators
SCCM 2007 NAP简介_职场_19
图19
2. 双击打开查看相关信息
SCCM 2007 NAP简介_职场_20
图20
3. 新建Health Policy,一条用于指定client passes all SHV checks
SCCM 2007 NAP简介_2007_21
图21
4. 新建另一条,Health Policy,指定client fails one or more SHV checks
SCCM 2007 NAP简介_2007_22
图22
5. 新建一条Network Policy
a. 输入Policy Name
SCCM 2007 NAP简介_职场_23
图23
b. 在条件中选择Health Policies
SCCM 2007 NAP简介_SCCM_24
图24
c.选择刚刚新建的Health Policy
SCCM 2007 NAP简介_SCCM_25
图25
d.如果需要添加其他条件,还可以继续添加
SCCM 2007 NAP简介_休闲_26
图26
f.选择Access Granted
SCCM 2007 NAP简介_职场_27
图27
g. 去除其他验证方法,只选择Perform Machine Health check only
SCCM 2007 NAP简介_2007_28
图28
h.点击下一步 SCCM 2007 NAP简介_职场_29
 
图29
i.在Configure Settings中,选择NAP Enforcement,选择“Allow full network access”
SCCM 2007 NAP简介_SCCM_30
图30
j.点击下一步,直至完成
SCCM 2007 NAP简介_休闲_31
图31
6. 另外新建一条Network Policy用于指定non compliant client的只能访问受限制的网络,由于内容类似,我们可以通过复制的方式进行
a.复制Policy
SCCM 2007 NAP简介_2007_32
图32
b. 更改condition的Health Policy为Non-Compliant
SCCM 2007 NAP简介_NAP_33
图33
c.更改Settings中,设置为allow Limited access
SCCM 2007 NAP简介_职场_34
图34
d.更改Policy name,并启用此Policy
SCCM 2007 NAP简介_NAP_35
图35
7. 确认Policy建立成功
SCCM 2007 NAP简介_NAP_36
图36
在Vista Client上查看效果
此Vista客户端没有安装MS07-045,故不满足SCCM NAP compliant的条件。在下面的测试中,我们将看到相关的结果
1. 登录Vista客户端,打开services.msc,将Network Access Policy Agent Service的启动状态改为Automatic,并启动。
SCCM 2007 NAP简介_休闲_37
图37
2. 配置NAP Client
a. 在Vista客户机上,运行napclcfg.msc
SCCM 2007 NAP简介_休闲_38
图38
b.启用DHCP Quarantine Enforcement Client
SCCM 2007 NAP简介_SCCM_39
图39
3. 加速SCCM 客户端策略读取,等待一段时间,我们可以看到
a.任务栏中有相关Network Access Protection的提示
SCCM 2007 NAP简介_NAP_40
图40
b.运行netsh nap client show state命令行,我们可以看到如下的信息
SCCM 2007 NAP简介_职场_41
SCCM 2007 NAP简介_SCCM_42
图41
c.运行ipconfig,我们可以看到Connection-specific DNS suffix已经变成了restricted.mngsccm.org
SCCM 2007 NAP简介_NAP_43