Configuration Manager のネットワーク アクセス保護に対する対応について
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
ここでは、Configuration Manager 2007 がネットワーク アクセス保護 (NAP) のソフトウェアの更新への対応をどのように確認するかについて説明します。この情報は、ネットワーク アクセス保護の実装を準備する場合や、予想外の対応結果をトラブルシューティングする場合に役立ちます。
複数のプロセス段階による対応確認
Configuration Manager ネットワーク アクセス保護 (NAP) に対する対応の確認プロセスには、次のように複数の段階があります。
NAP 対応 Configuration Manager クライアントは、必要なソフトウェアの更新がすべて有効日までにクライアントにインストールされているかどうかを評価します。クライアントは、この対応または非対応情報を正常性ステートメントに含めてシステム正常性検証ツール ポイントに渡します。評価に失敗した場合は、クライアントは失敗情報を正常性ステートメントに含めて送信します。
次に、システム正常性検証ツール ポイントは、一連の対応条件を使用して、クライアントの正常性ステートメントを検証します。検証プロセスには、Active Directory ドメイン サービスに発行された Configuration Manager の正常性状態の参照と、システム正常性検証ツール ポイントの構成設定が使用されます。
場合によっては、システム正常性検証ツール ポイントがクライアント コンピュータの対応/非対応を確認するための検証条件が不十分なことがあります。これは、クライアントが不明な場合やエラーが発生した場合に起こる可能性があります。この場合は、ネットワーク ポリシー サーバー上のシステム正常性検証ツールの構成によって、クライアントの対応/非対応が確認されます。既定の構成は非対応です。
必要なソフトウェアの更新がインストールされているクライアントが非対応と見なされる理由
3 段階までの対応確認により、Configuration Manager では、クライアントがソフトウェアの更新に対応しているかどうかを高度かつ効率的な方法で検出できます。ただし、クライアントが非対応と報告される理由を管理者が理解するのに多少複雑な場合があります。たとえば、ソフトウェアの更新が必要なクライアントはシステム正常性検証ツール ポイントによって必ず正常性状態が非対応と報告されますが、必要なソフトウェアの更新がすべてインストールされているクライアントでもシステム正常性検証ツールによって非対応と報告される場合があります。
クライアントに必要なソフトウェアの更新がすべてインストールされていても非対応と見なされる場合は、次の状況が考えられます。
クライアント サイトがシステム正常性検証ツール ポイントから認識されない場合は、クライアントのステータスは対応/非対応ではなく不明になります。このエラー状況は、システム正常性検証ツール ポイントが、クライアントの正常性ステートメントに含まれるサイト名とサイト コードの正常性状態の参照を見つけられないと発生します。これは、新しい Configuration Manager サイトがインストールされ、Active Directory レプリケーションが完了していない場合に起こります。また、クライアントが Configuration Manager 階層に含まれていない場合もこの状況になります。"不明" のエラー状況は、Windows ネットワーク ポリシー サーバー上のシステム正常性検証ツールの[SHA ベンダ固有のエラー コードを受信]エラー カテゴリにマップされます。このエラー カテゴリは、既定では非対応として構成されています。ただし、このエラー カテゴリーは対応または非対応のどちらにも構成できます。
検証中にエラーが発生した場合は、クライアントからの対応ステータスは 2 つのサーバー エラー カテゴリのいずれかに変更されます。既定では、サーバー エラー カテゴリは両方とも Windows ネットワーク ポリシー サーバー上のシステム正常性検証ツールで非対応として構成されていますが、どちらも対応または非対応のいずれかに構成できます。
検証チェックで次のいずれかのエラーが発生すると、Configuration Manager NAP ポリシーに対応しているクライアントが、非対応と見なされます。
クライアントからの正常性ステートメントが、システム正常性検証ツール ポイントの[次の日付以降の作成日に限定する]オプションの設定より古い。この場合は、重要な新しい Configuration Manager NAP ポリシーが構成されている可能性あり、直ちに最新の Configuration Manager NAP ポリシーへのクライアントの対応を評価する必要があります。
クライアントからの正常性ステートメントが、システム正常性検証ツール ポイントの[有効期間]オプションの設定の範囲内に入っていない。この場合は、クライアントはキャッシュされた正常性ステートメントを使用しています。クライアントの対応を再評価すると、対応ではなくなる場合があります (たとえば、ソフトウェアの更新がアンインストールされた場合)。
クライアントの対応の評価に最新の Configuration Manager NAP ポリシーが使用されていない。この場合は、クライアントの正常性ステートメントに含まれるポリシーのタイム スタンプが、正常性状態の参照のタイム スタンプより古くなっています。これは、クライアントが前回 Configuration Manager NAP ポリシーをダウンロードした後に、Configuration Manager NAP ポリシーが変更されたことを示しています。
必要なソフトウェアの更新がインストールされているクライアントの修復手順
クライアントが Configuration Manager NAP ポリシーに対応しているにもかかわらず、システム正常性検証ツール条件に対応していない場合は、次の手順で正常に修復できます。
クライアントが最新の Configuration Manager NAP ポリシーに対して評価されていない場合は、クライアントにそのコンピュータ ポリシーをダウンロードする必要があります。このポリシーには、Configuration Manager NAP ポリシーが含まれます。
クライアントの対応が再評価され、新しい正常性ステートメントがシステム正常性検証ツール ポイントに送信されます。
ここでステータスが対応になっており、すべての検証チェックが成功すると、クライアントの正常性状態は対応になります。
参照:
タスク
正常性ステートメントの[次の日付以降の作成日に限定する]オプションの指定方法
正常性ステートメントの有効期間の指定方法
概念
Configuration Manager ネットワーク アクセス保護のエラー カテゴリの構成
ネットワーク アクセス保護の NAP 有効日について
ネットワーク アクセス保護の NAP 正常性状態参照について
ネットワーク アクセス保護の Configuration Manager NAP ポリシーについて
ネットワーク アクセス保護の正常性ステートメント (SoH) について
システム正常性検証ツール ポイント :ネットワーク アクセス保護の検証プロセス
ネットワーク アクセス保護のシステム正常性検証ツール ポイントについて
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.