クライアントがネットワーク アクセス保護を使用して正常に修復できない

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

このセクションでは、Configuration Manager 2007 のネットワーク アクセス保護 (NAP) を使用してクライアントが正常に修復できない理由を識別および解決するのに役立つトラブルシューティング情報を提供します。

Windows ネットワーク アクセス保護エージェント サービスが起動しない

Windows ネットワーク アクセス保護エージェント サービスは、Configuration Manager のクライアントがクライアント ポリシーを受信し、ネットワーク アクセス保護クライアント エージェントを有効にする前に起動する必要があります。これにより、Configuration Manager ネットワーク アクセス保護クライアント エージェントが Windows ネットワーク アクセス保護エージェントにバインドできます。

ネットワーク アクセス保護クライアント エージェントが Configuration Manager クライアントで有効にされた後に (または起動されないまま)、Windows ネットワーク アクセス保護エージェント サービスが起動されると、Configuration Manager システム正常性検証ツール ポイントでのクライアントの正常性ステートメントの検証が失敗します。このシナリオでは、システム正常性検証ツールのエラー カテゴリが非対応正常性状態にマップされると、クライアントは修復できないままネットワーク アクセスを制限されます。

このシナリオを判別するには、クライアントのログファイル SMSSHA.LOG で次のエントリを検索します。

警告 - "CORE:SHA Registered successfully with the NAP Agent, but could not successfully bind (コア : SHA は正常に NAP エージェントに登録されましたが、結合できませんでした)"

エラー - "CORE:NAP Agent Service might not be running (コア : NAP エージェント サービスが実行されていない可能性があります)"

解決方法

このシナリオの結果として、制限されたネットワーク上にコンピュータがある場合は、クライアントが、制限されたネットワークから制限のないネットワークに移動できるように、次の手順に従います。

1. Windows ネットワーク アクセス保護エージェント サービスが起動され、コンピュータで自動的に起動するように構成されていることを確認します。必要に応じて、サービスを手動で変更します。

2. コンピュータを再起動します。これにより、Configuration Manager クライアントはクライアント ポリシーをダウンロードし、ネットワーク アクセス保護クライアント エージェントは自動的に Windows ネットワーク アクセス保護エージェントにバインドします。

このシナリオの結果として、制限されたネットワーク上にコンピュータがはないが、Windows ネットワーク アクセス保護エージェント サービスが、Configuration Manager のネットワーク アクセス保護クライアント エージェントが有効にされた後に起動された場合は、次の手順に従います。

1. Windows ネットワーク アクセス保護エージェント サービスが起動しており、Configuration Manager クライアントを実行しているすべての NAP 対応コンピュータで自動的に起動するように構成されていることを確認します。必要に応じて、このサービスを開始するグループ ポリシーを構成し、コンピュータがこの設定を使用して構成されたことを確認します。

2. Configuration Manager クライアントのコンピュータを再起動するか、1 ポリシー サイクル (既定では 60 分ごと) の間、ネットワーク アクセス保護クライアント エージェントを無効にしてから、ネットワーク アクセス保護クライアント エージェントを再度有効にします。

Windows でネットワーク アクセス保護を構成する前に、オペレーティング システムの展開によって Configuration Manager クライアントがインストールされた

Configuration Manager のオペレーティング システムの展開機能を使用してネットワーク アクセス保護環境にオペレーティング システムを展開し、カスタム タスク シーケンス手順を使用して実施クライアントを有効にして Windows のネットワーク アクセス保護を起動すると、タスク シーケンスに再起動手順を追加できず、コンピュータが対応しなくなり、正常に修復できなくなる場合があります。

解決方法

手動でコンピュータを再起動します。

オペレーティング システムの展開の構成を修正するには、「NAP 対応の環境におけるオペレーティング システムの展開の計画」を参照してください。

ソフトウェアの更新がまだローカルの配布ポイントにレプリケートされていない

このシナリオでは、修復を受けているクライアントが、リモート配布ポイントからソフトウェアの更新の受信を試みているときにタイムアウトした可能性があります。

解決方法

レプリケーションが完了するまで待ちます。

この状況を回避するには、ソフトウェアの更新のパッケージがすべての配布ポイントにレプリケートされた後の有効日を構成します。既存の Configuration Manager NAP ポリシーの有効日を変更するには、「ネットワーク アクセス保護に対して NAP 評価を開始する有効日時の設定方法」を参照してください。

ソフトウェアの更新が保護された配布ポイント上にある

この構成では、保護された配布ポイント用に構成された境界内にクライアントのネットワークの場所があると認識されない場合、そのクライアントがソフトウェアの更新にアクセスできなくなる可能性があります。

解決方法

保護された配布ポイントを再構成するか、ソフトウェアの更新のパッケージを保護されていない配布ポイントに追加します。

ソフトウェアの更新がブランチ配布ポイント上にある

クライアントが必要なソフトウェアの更新をブランチ配布ポイントからダウンロードしようとしていて、そのソフトウェアの更新パッケージが［保護された境界内にあるクライアントから要求されたときに保護された配布ポイント上でこのパッケージを使用可能にする］オプションで構成されている場合は、そのソフトウェアの更新を取得しようとしている間にクライアントがタイムアウトする可能性があります。

解決方法

待っていれば、最終的にコンテンツがダウンロードされ、修復も自動的に再試行されます。

この状況を回避するには、ネットワーク アクセス保護用に選択されたソフトウェアの更新を参照するソフトウェアの更新パッケージを構成して、［保護された境界内にあるクライアントから要求されたときに保護された配布ポイント上でこのパッケージを使用可能にする］オプションでは構成されないようにします。

クライアントが修復サーバーに接続できない

Configuration Manager でネットワーク アクセス保護を使用しているクライアントは、修復サーバーと通信できるかどうかによって異なります。詳細については、「ネットワーク アクセス保護の修復について」を参照してください。

解決方法

クライアントが必要なサーバーと通信できることを確認するには、次の内容を確認します。

• クライアントの既定の管理ポイントが動作可能であることを確認します。

• DHCP または VPN NAP 強制を使用している場合は、DNS サーバーやドメイン コントローラなどのインフラストラクチャ サーバーが、［修復サーバー グループ］で指定され、ネットワーク ポリシー サーバーのネットワーク ポリシーに含まれていることを確認します。

  • Configuration Manager ネットワーク アクセス保護の修復サーバー グループの構成

  • Configuration Manager ネットワーク アクセス保護のネットワーク ポリシーの構成

• IPSec ネットワーク アクセス保護強制を使用している場合は、すべての修復サーバー (Configuration Manager の管理ポイント、ソフトウェアの更新ポイント、および配布ポイントを含む) が境界サーバーとして構成されていることを確認します。

クライアントが修復状態に移行した後にネットワーク アクセス保護クライアント エージェントが無効になった

この場合、クライアントは非対応正常性状態を示している可能性があり、修復できなくなっています。

解決方法

コンピュータを再起動して、コンピュータ ポリシーのダウンロードを初期化します。これにより、ネットワーク アクセス保護クライアント エージェントと対応ステータスが無効になります。

ネットワーク アクセス保護クライアント エージェントが再度有効になる

ネットワーク アクセス保護エージェントを再度有効にすると、以前に構成された Configuration Manager NAP ポリシーが再度有効になります。これらのポリシーに配布ポイントでホストされなくなったソフトウェアの更新が含まれる場合、そのコンテンツが利用できないことから修復できません。

解決方法

この状況を解決するには、次のいずれかの手順に従います。

• 古い Configuration Manager NAP ポリシーを削除し、コンピュータを再起動します。この手順については、「Configuration Manager NAP ポリシーを削除して、ネットワーク アクセス保護で NAP 評価を停止する方法」を参照してください。

• 必要なソフトウェアの更新を収録した新しいソフトウェアの更新パッケージを Configuration Manager NAP ポリシーに作成します。コンテンツが使用可能な場合は、ローカル管理者であるユーザーが［再試行］をクリックします。ユーザーの権限が低い場合でも、コンピュータを再起動できます。ソフトウェアの更新パッケージの作成に関する詳細については、「展開パッケージの作成方法」を参照してください。

コンピュータに Configuration Manager クライアントがインストールされていない

この場合は、Configuration Manager システム正常性検証ツールがクライアントの正常性状態をチェックしていない可能性があります。既定では、これはエラー状態にマップされ、非対応と判断されます。Configuration Manager の修復には Configuration Manager クライアントの自動インストールが含まれていないため、クライアントは自動的に修復されません。

解決方法

コンピュータに Configuration Manager クライアントをインストールする必要がある場合は、ネットワーク アクセスが制限されているユーザーに Configuration Manager クライアントを手動でインストールできる手段を提供します。詳細については、「Configuration Manager ネットワーク アクセス保護の修復ユーザー エクスペリエンスの構成」を参照してください。

コンピュータに Configuration Manager クライアントをインストールする必要がない場合は、そのコンピュータがシステム正常性検証ツールの検証対象にならないようにネットワーク ポリシー サーバーのネットワーク ポリシーを構成します。詳細については、「ネットワーク アクセス保護のポリシー戦略を決定する」および「Configuration Manager ネットワーク アクセス保護に対する除外ポリシーの構成」を参照してください。

原因不明

上記のいずれの修復エラーにも当てはまらない場合は、Configuration Manager ネットワーク アクセス保護レポート「指定した期間内に発生した修復エラーの一覧」を表示するとエラーの識別に役立ちます。詳細については、「ネットワーク アクセス保護レポートの実行方法」を参照してください。

参照:

概念

ネットワーク アクセス保護のトラブルシューティング

その他のリソース

ネットワーク アクセス保護の概要

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.