付与していないコンピュータに、ネットワーク アクセス保護を使用した完全なネットワーク アクセス権がある
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
このセクションでは、付与していないコンピュータに、Configuration Manager 2007 のネットワーク アクセス保護を使用した完全なネットワーク アクセス権が付与されている原因を特定し、解決できるようにするトラブルシューティング情報を提供します。
クライアントがネットワーク アクセス保護 (NAP) をサポートしていない
Configuration Manager クライアントは、ネットワーク アクセス保護 (NAP) をサポートできる必要があります。詳細については、「ネットワーク アクセス保護の NAP クライアント ステータスについて」を参照してください。
解決方法
可能な場合は、ネットワーク アクセス保護をサポートするようにクライアントをアップグレードしてください。詳細については、「ネットワーク アクセス保護クライアント用にサイトを準備する方法」を参照してください。
ネットワーク アクセス保護をサポートできないクライアントがサイトに含まれる場合は、NAP 非対応のクライアントが NAP をサポートするように修復することはできないため、このクライアントに制限付きのネットワーク アクセス権限を付与するようにネットワーク ポリシー サーバーのネットワーク ポリシーを再構成します。詳細については、「ネットワーク アクセス保護のポリシー戦略を決定する」を参照してください。
Microsoft Windows の NAP サービスが起動しないか、ネットワーク アクセス保護クライアント エージェントを有効にするサイト設定がローカルの Configuration Manager ポリシーで無効になる
これらのいずれの状況も、非対応のコンピュータが制限なしのネットワーク アクセス権限を持っている理由を説明できます。
解決方法
既定では、Windows NAP サービスは開始されません。これを開始し、自動的に開始されるように構成してください。
ローカル ポリシーによってネットワーク アクセス保護クライアント エージェントがクライアントで有効にされない場合は、ローカルの Configuration Manager ポリシーを削除するか再構成します。
非対応のコンピュータに一定時間、制限なしのネットワーク アクセス権限が付与されるようにネットワーク ポリシー サーバーが構成されている
これはポリシーの正当な構成で、このポリシーにより非対応のコンピュータは一定期間、制限なしのネットワーク アクセス権限が付与されます。この時間に、コンピュータは自動修復を試み、成功した場合は対応ステータスに移行し、制限なしのネットワーク アクセス権限が付与されます。
解決方法
非対応のコンピュータに制限なしのネットワーク アクセス権限が付与されないようにする場合は、[制限した時間に完全なネットワーク アクセスを許可する]の選択を解除するようネットワーク ポリシーを再構成してください。詳細については、「Configuration Manager ネットワーク アクセス保護のネットワーク ポリシーの構成」を参照してください。
ネットワーク アクセス保護クライアント エージェントを有効にするためのコンピュータ ポリシーをクライアントがダウンロードしない
ネットワーク アクセス保護クライアント エージェントを最近有効にした場合、スケジュールに従って (既定では 60 分ごとに) クライアントがコンピュータ ポリシーをダウンロードするまで、クライアントは制限なしのネットワーク アクセス権限を持っています。「コンピュータ クライアント エージェントのプロパティ :[全般] タブ」の[ポリシーのポーリング間隔]オプションで、ポーリング間隔を確認するか変更します。
解決方法
クライアントがスケジュールに従ってクライアント ポリシーをダウンロードするのを待つか、手動またはスクリプトを使用して、クライアントからのポリシーの取得を開始してください。
クライアント ポリシーの取得を開始するには、「Configuration Manager クライアントのポリシーの取得を開始する方法」を参照してください。
Configuration Manager NAP ポリシーの有効日にまだならない
Configuration Manager NAP ポリシーで構成した日付よりも前に選択したソフトウェアの更新を持っていない場合、Configuration Manager クライアントは制限されません。詳細については、「ネットワーク アクセス保護の NAP 有効日について」を参照してください。
解決方法
非対応コンピュータが有効日よりも前に制限なしのネットワーク アクセス権限を持つ必要がない場合は、有効日を再構成してください。詳細については、「ネットワーク アクセス保護に対して NAP 評価を開始する有効日時の設定方法」を参照してください。
クライアントで最新の Configuration Manager NAP ポリシーがダウンロードされない
Configuration Manager NAP ポリシーを最近構成または追加した場合、クライアントはすぐにそれを評価しません。
解決方法
クライアントがスケジュール (既定では 60 分間隔) に従ってConfiguration Manager NAP ポリシーを含むコンピュータ ポリシーがダウンロードされるまで待ちます。
選択したクライアントの処理時間を短縮するには、「Configuration Manager クライアントのポリシーの取得を開始する方法」を参照し、クライアントからのポリシーの取得を適時に起動します。
すべてのクライアントの処理時間を短縮するには、ネットワーク ポリシー サーバー コンピュータの SMS_SYSTEM_HEALTH_VALIDATOR サービスを停止し、再起動します。これにより、正常性ステートメントをネットワーク ポリシー サーバーに送信するクライアントは強制的に最新の Configuration Manager NAP ポリシーをダウンロードし、対応を再評価します。ただし、ネットワーク ポリシー サーバーのポリシーが非対応コンピュータを制限するよう構成されている場合、この操作の実行中に、コンピュータには制限付きのネットワーク アクセス権限が付与されます。
解決方法を継続させるには、システム正常性検証ツール ポイントのクエリ間隔を短くすることを検討してください。詳細については、「システム正常性検証ツールの Active Directory ドメイン サービスのクエリ間隔の構成方法」を参照してください。
サイト サーバーが Configuration Manager 2007 の正常性状態の参照を書き込んでから、システム正常性検証ツール ポイントで使用されるグローバル カタログ サーバーにレプリケートするまでの、Active Directory レプリケーションの待ち時間を確認します。
エラー状態が発生する
既定では、ネットワーク ポリシー サーバー上の Configuration Manager システム正常性検証ツールは、すべてのエラーを非対応状態にマップするように構成されています。クライアントは、非対応状態に応じてネットワーク アクセス権限が付与されます。ただし、これらのエラーは対応に構成される場合もあるため、エラーが発生したために必要なソフトウェアの更新を持っていないクライアントに制限なしのネットワーク アクセス権限が付与されない場合があります。
解決方法
Configuration Manager システム正常性検証ツールのエラー状態を対応から非対応に再構成してください。詳細については、「Configuration Manager ネットワーク アクセス保護のエラー カテゴリの構成」を参照してください。
システム正常性検証ツール ポイントがインストールされていないか動作しない
非対応クライアントを制限するには、Configuration Manager システム正常性検証ツール ポイントがインストールされ、動作している必要があります。
解決方法
システム正常性検証ツール ポイントをインストールしてください。手順については、「システム正常性検証ツール ポイントのインストール方法」を参照してください。
システム正常性検証ツール ポイントがインストールされていても動作していない場合は、次の手順を使用して動作の問題を識別し、修正します。
システム正常性検証ツール ポイントに関連するステータス メッセージを確認します。
ネットワーク アクセス保護コンポーネントを確認します。詳細については、次のリンクを参照してください。ネットワーク アクセス保護コンポーネントの検証方法
ネットワーク アクセス保護のログ ファイルでエラーを参照します。詳細については、次のリンクを参照してください。ネットワーク アクセス保護のログ ファイル
Configuration Manager に対して構成されるポリシーがネットワーク ポリシー サーバーに存在しない
ネットワーク ポリシー サーバーには Configuration Manager システム正常性検証ツールを含むポリシーが必要です。詳細については、「ネットワーク アクセス保護を使用した対応の強制について」を参照してください。
解決方法
ネットワーク ポリシー サーバーのポリシーを作成するか変更してください。詳細については、「Configuration Manager に対するネットワーク ポリシー サーバーの構成」を参照してください。
ネットワーク ポリシー サーバーに[クライアント コンピュータの自動修復を有効にする]チェック ボックスをオンにしていないポリシーがある
ネットワーク アクセス保護を強制的に実施する場合には、Configuration Manager は必ず修復を実行します。詳細については、「ネットワーク アクセス保護のポリシー戦略を決定する」を参照してください。
解決方法
なし。自動修復を使用せずに Configuration Manager 2007 でネットワーク アクセス保護クライアントを制限することはできません。
ポリシーの構成が誤っている
ネットワーク ポリシー サーバー上のポリシーで非対応のコンピュータに一定時間、制限なしのネットワーク アクセス権限が付与されるように構成されている、NAP を強制的に実施するように構成されていない、ネットワーク ポリシーの順序に誤りがある、または構成にその他の誤りがあるなど、これらのすべての場合において、制限なしのネットワーク アクセス権限が付与されるべきではないコンピュータに制限なしのネットワーク アクセス権限が付与される場合があります。
対応または非対応のコンピュータがネットワーク アクセスを許可されるかどうかは、ネットワーク ポリシー サーバーでポリシーがどのように構成されているかに依存します。詳細については、「ネットワーク アクセス保護のポリシー戦略を決定する」を参照してください。
解決方法
非対応コンピュータに制限なしのネットワーク アクセス権限を付与すべきではないなど、ポリシーの構成が誤っている場合は、そのポリシーを再構成してください。詳細については、「Configuration Manager ネットワーク アクセス保護のネットワーク ポリシーの構成」を参照してください。
クライアントがキャッシュされた正常性ステートメントを使用している
クライアントがキャッシュされた古い正常性ステートメントを表示している可能性があります。ネットワーク アクセス保護での正常性ステートメントの使用方法の詳細については、「ネットワーク アクセス保護の正常性ステートメント (SoH) について」を参照してください。
クライアントがキャッシュされた正常性ステートメントを使用する条件を確認するには、「Configuration Manager クライアントの NAP 評価の条件」を参照してください。
解決方法
クライアントがキャッシュされた正常性ステートメントを使用しないように設定を変更するには、「NAP 評価設定の構成方法」を参照してください。
キャッシュされた正常性ステートメントの有効期間を再構成するには、「正常性ステートメントの有効期間の指定方法」を参照してください。
他のクライアントに影響しない一時的な解決方法として、クライアント コンピュータを再起動します。
クライアントが子サイトに割り当てられているが、NAP ポリシーがまだ下の階層にレプリケートされていない
Configuration Manager NAP ポリシーは下の階層にレプリケートするよう設計されており、これによって Configuration Manager NAP ポリシーの作成または変更が発生してから子サイトのクライアントで有効になるまでに遅延が発生します。
解決方法
サイト レプリケーションが完了するまで待ちます。
参照:
概念
その他のリソース
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.