Configuration Manager 階層内のネットワーク アクセス保護について
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
次の情報は、Configuration Manager 2007 マルチサイト階層にネットワーク アクセス保護 (NAP) を実装した場合の影響と、Configuration Manager NAP ポリシーやローミング クライアントの動作に対する影響を理解するのに役立ちます。
子サイトの前にネットワーク アクセス 保護の親サイトを有効にする
Configuration Manager マルチサイト階層にネットワーク アクセス保護 (NAP) を実装する場合は、トップダウン手法で有効にしていきます。Configuration Manager ソフトウェアの更新を Microsoft と同期するセントラル サイトまたはプライマリ サイトで、Configuration Manager NAP ポリシーを作成します。Configuration Manager NAP ポリシーは自動的に階層下位に伝達されます。
重要
親サイトからソフトウェアの更新を継承するサイトで NAP ポリシーを作成することはできません。ソフトウェアの更新の Microsoft との同期を構成するときは、この同期を Configuration Manager NAP ポリシーを作成する元のサイトで構成してください。
Configuration Manager NAP ポリシーは、そのサイトが Microsoft とソフトウェアの更新を同期する場合には、子サイトで作成できます。ただしその後に、親サイトが Microsoft と同期するように同期の構成を変更した場合、次の状況が発生します。
同じ Configuration Manager NAP ポリシーが、有効日の異なる同じソフトウェアの更新を持つ親サイトで作成されると、子サイトの (およびその子サイトによって継承された) Configuration Manager NAP ポリシーは親サイトで作成された新しい Configuration Manager NAP ポリシーで上書きされ、子サイトはそれを変更または削除できません。
子サイトで作成された Configuration Manager NAP ポリシーと同じものを親サイトが作成しない場合、元の Configuration Manager NAP ポリシーが子サイトに残されます (そしてその子サイトによって継承されます)。これらの Configuration Manager NAP ポリシーはそのまま子サイトで変更および削除できますが、新しい Configuration Manager NAP ポリシーを子サイトで作成できません。
子サイトでネットワーク アクセス保護が有効になっていない場合、[ポリシー] ノードを使用して NAP ポリシーを表示することはできませんが、[ネットワーク アクセス保護ポリシーの一覧] レポートを実行すると表示されます。
ネットワーク アクセス保護と関連する子サイトの動作
Configuration Manager 階層がプライマリ サイトの 3 層以上から構成されている場合、子プライマリ サイトでネットワーク アクセス保護を無効にしても、親サイトから孫サイトへの Configuration Manager NAP ポリシーの継承をブロックすることはできません。
親サイトから継承された NAP ポリシーを変更または削除することはできません。また、サイトが親サイトからポリシーを継承している場合、そのサイトで NAP ポリシーを作成することはできません。ただし、NAP ポリシーを継承している子サイトでネットワーク アクセス保護を無効にすることは可能です。
ネットワーク アクセス保護とローミング
ネットワーク アクセス保護クライアント エージェントを有効にした Configuration Manager NAP 対応クライアントが他の Configuration Manager サイトにローミングする場合、このクライアントは自サイトの Configuration Manager NAP ポリシーに基づいて対応ステータスを評価します。
クライアントが正常性ステートメントをどのシステム正常性検証ツール ポイントに渡すかは、Configuration Manager サイトではなく、ネットワーク アクセス保護実施メカニズムに依存しています。つまり、クライアントが他のサイトにローミングしているときに、ネットワークの場所が変化すると (ネットワーク アクセス保護の実施手段として DHCP を使用している場合など)、クライアントは別のシステム正常性検証ツール ポイントを使用することになります。
Configuration Manager サイトからローミングしている NAP 対応クライアントがネットワーク アクセス保護を有効にしておらず、サイトのシステム正常性検証ツール ポイントを使用するよう指示されている場合、そのクライアントはシステム正常性検証ツール ポイントによって対応していると判断されます。この場合、システム正常性検証ツール ポイントは、システム正常性検証ツールのパフォーマンス カウンタ、"Configuration Manager NAP クライアント エージェントが無効" をインクリメントします。
Configuration Manager サイト内のシステム正常性検証ツール ポイントは、クライアントの正常性状態を判断するのに使用される同一の構成オプションを共有します。これらの構成オプションは次のとおりです。
正常性状態の参照が取得される頻度。
指定した日時以降にクライアントの正常性ステートメントの作成が必要かどうか。
正常性ステートメントの有効期間。
同一の Configuration Manager 階層内でこれらの構成がサイトごとに異なると、Configuration Manager NAP ポリシーに対応したクライアントに対して、異なる正常性状態が生成されます。
重要
ネットワーク アクセス保護クライアント エージェントが有効の Configuration Manager クライアントが別の Configuration Manager 階層にローミングした場合、Configuration Manager 階層外部のシステム正常性検証ツール ポイントによって検証されたクライアント正常性ステートメントを持つことになります。この場合、両階層の NAP 正常性状態の参照が同じ場所に発行されていない限り、検証ポリシーはサイト チェックに失敗します。
システム正常性検証ツール ポイントがクライアントのサイトを検証できない場合、クライアント正常性状態は不明になります。この状態は、既定ではネットワーク ポリシー サーバーで非対応と見なされます。ネットワーク ポリシー サーバーがネットワーク アクセス保護に対して制限アクセスを構成している場合、これらのクライアントは修復できないため、完全なネットワークにアクセスできなくなる可能性があります。この状況を解決するには、ネットワーク ポリシー サーバーで除外ポリシーを構成して、Configuration Manager 階層外部にローミングする Configuration Manager クライアントに完全なネットワーク アクセスを許可します。参照:
タスク
システム正常性検証ツールの Active Directory ドメイン サービスのクエリ間隔の構成方法
正常性ステートメントの[次の日付以降の作成日に限定する]オプションの指定方法
正常性ステートメントの有効期間の指定方法
ネットワーク アクセス保護の Configuration Manager NAP ポリシーの作成方法
ネットワーク アクセス保護クライアント エージェントを無効にする方法
ネットワーク アクセス保護クライアント エージェントを有効にする方法
ネットワーク アクセス保護レポートの実行方法
ネットワーク アクセス保護の Configuration Manager NAP ポリシーの表示方法
概念
Configuration Manager のネットワーク アクセス保護に対する対応について
ネットワーク アクセス保護の NAP 正常性状態参照について
ネットワーク アクセス保護のパフォーマンス カウンタを使用してシステム正常性検証ツール ポイントを監視する方法
システム正常性検証ツール ポイント :ネットワーク アクセス保護の検証プロセス
ネットワーク アクセス保護のシステム正常性検証ツール ポイントについて
Configuration Manager ネットワーク アクセス保護に対する除外ポリシーの構成
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.