ネットワーク アクセス保護の NAP 正常性状態参照について
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
ここで説明する内容を参照して、Configuration Manager のネットワーク アクセス保護 (NAP) の正常性状態の参照が Configuration Manager 2007 でどのように使用されるか、およびこれらの使用と Configuration Manager での設定が必要な理由について理解してください。
正常性状態の参照の作成、変更、取得方法
Configuration Manager 2007 での Configuration Manager (NAP) の正常性状態の参照は、Active Directory の System Management コンテナに格納され、クライアント ステートメントの正常性の検証時に、システム正常性検証ツール ポイントで使用されます。
正常性状態の参照は、階層の各サイト サーバーで発行され、Configuration Manager のネットワーク アクセス保護 (NAP) ポリシーが作成、変更されるか、または親サイトからの継承が行われる場合に更新されます。
正常性状態の参照は、システム正常性検証ツール ポイントによって定期的に取得、キャッシュされ、検証プロセス中に使用されます。
対応検証時の正常性状態の参照の使用方法
正常性状態の参照は、クライアントの Configuration Manager サイトの検証に使用され、Configuration Manager NAP ポリシーで指定されたソフトウェア更新への対応を評価する場合に、クライアントが最新の Configuration Manager NAP ポリシーを使用しているかどうかを検証します。
システム正常性検証ツール ポイントによって正常性ステートメントが検証されるときに、クライアントの正常性状態が、対応、非対応または失敗のいずれかとして Microsoft Windows ネットワーク ポリシー サーバー (NPS) に渡されます。
サイト サーバーはライトウェイト ディレクトリ アクセス プロトコル (LDAP) (ポート 389 または 636) を使用して正常性状態の参照をドメイン コントローラに発行します。 この参照は、グローバル カタログにレプリケートされ、システム正常性検証ツール ポイントは、グローバル カタログ クエリ (ポート 3268 または 3269) で正常性状態の参照を取得します。
既定では、Configuration Manager の正常性状態の参照は、サイト サーバーの Active Directory フォレストで発行され、システム正常性検証ツール ポイントの Active Directory フォレストから取得されます。 サイト サーバーとシステム正常性検証ツールが同じ Active Directory フォレストに存在しない場合、Configuration Manager 正常性状態の参照の場所を指定する必要があります。 詳細については、「ネットワーク アクセス保護と複数の Active Directory フォレストについて」および「NAP 正常性状態の参照の場所の指定方法」を参照してください。
注意
Configuration Manager ネットワーク アクセス保護を Active Directory サイト全体で実装する場合、Active Directory レプリケーションの待ち時間を考慮してください。 たとえば、Configuration Manager NAP ポリシーが変更されたときにサイト サーバーが Configuration Manager 正常性状態の参照をドメイン コントローラに発行したものの、Active Directory のレプリケーションが完了するまで、この新しいデータをシステム正常性検証ツール ポイントでただちに取得できない場合があります。
このため、ネットワーク アクセス保護クライアント エージェントをただちに新しい Configuration Manager サイトで有効にせずに、Configuration Manager のサイト情報が、システム正常性検証ツール ポイントが使用するグローバル カタログ サーバーにレプリケートされるまで待ってください。 Windows ネットワーク ポリシー サーバーにネットワーク アクセスに制限のある非対応のクライアントがある場合、このことは特に重要です。参照:
タスク
システム正常性検証ツールの Active Directory ドメイン サービスのクエリ間隔の構成方法
システム正常性検証ツール ポイントのインストール方法
正常性状態の参照の公開アカウントの指定方法
正常性状態の参照のクエリ アカウントの指定方法
NAP 正常性状態の参照の場所の指定方法
概念
Configuration Manager のネットワーク アクセス保護に対する対応について
ネットワーク アクセス保護と複数の Active Directory フォレストについて
Configuration Manager 階層内のネットワーク アクセス保護について
ネットワーク アクセス保護の Configuration Manager NAP ポリシーについて
ネットワーク アクセス保護の正常性ステートメント (SoH) について
システム正常性検証ツール ポイント :ネットワーク アクセス保護の検証プロセス
ネットワーク アクセス保護のシステム正常性検証ツール ポイントについて
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.