ネットワーク アクセス保護の正常性ステートメント (SoH) について
適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2
次の情報を使用して、Configuration Manager 2007 クライアントがネットワーク アクセス保護 (NAP) プロセスで正常性ステートメントを使用する方法と理由と、正常性ステートメントに含まれる情報を理解してください。
正常性ステートメントの内容
Configuration Manager 2007 では、Windows のネットワーク アクセス保護エージェントから要求されると、すべての NAP 対応クライアントによって正常性ステートメント (SoH) が作成されます。
この正常性ステートメントには、少なくとも次の情報が含まれています。
クライアントの対応ステータス
クライアントのサイト
クライアントが対応評価に使用する Configuration Manager NAP ポリシーを識別するためのタイム スタンプ参照
クライアントとの正常性ステートメントの送受信方法
Configuration Manager 2007 クライアントは、その正常性ステートメントを Configuration Manager システム正常性検証ツール ポイントに送信します。システム正常性検証ツール ポイントは正常性ステートメントを検証してから、クライアントの正常性状態を含む正常性ステートメント応答 (SoHR) を Microsoft Windows ネットワーク ポリシー サーバー (NPS) に送信します。
クライアントの正常性状態も、ネットワーク ポリシー サーバーからクライアントに正常性ステートメント応答 (SoHR) で返信されます。
正常性ステートメントに含まれる対応情報
クライアントの正常性状態は、対応 (通常クライアントはネットワークに制限なくアクセスできる)、または非対応 (クライアントを対応させるために修復を開始できる) の場合があります。
最初は、サイトがネットワーク アクセス保護に対して有効になっていない場合でも、すべての Configuration Manager NAP 対応クライアントは、対応を示すステータスを含む正常性ステートメントを作成します。サイトがネットワーク アクセス保護 (NAP) に対して有効になると、そのサイトに割り当てられたすべての NAP 対応クライアントは、そのサイトで作成されたか親サイトから継承された Configuration Manager NAP ポリシーに基づく評価を使用して対応を評価します。それ以降は、システム正常性検証ツール ポイントに送信されたクライアントの正常性ステートメントによって、クライアントが非対応の場合に強制的に修復を行うことができます。
キャッシュされた正常性ステートメント
クライアントが正常性ステートメントを作成するには時間と処理が必要になるので、効率を高めるために、クライアントの正常性ステートメントはクライアント コンピュータに自動的にキャッシュされます。ネットワーク アクセス保護クライアント エージェント オプションの[評価ごとに新規スキャンを強制実行する]が選択されていない場合、クライアントではキャッシュされた正常性ステートメントが使用されます。詳細については、「NAP 評価設定の構成方法」を参照してください。
システム正常性検証ツール ポイントは、キャッシュされた正常性ステートメントが構成された[有効期間]の範囲にあり、任意に設定した[次の日付以降の作成日に限定する (UTC)]と矛盾していない場合は、そのキャッシュされた正常性ステートメントをクライアントから受け入れます。詳細については、「正常性ステートメントの有効期間の指定方法」および「正常性ステートメントの[次の日付以降の作成日に限定する]オプションの指定方法」を参照してください。
正常性ステートメント メッセージに記録された評価エラー
クライアントがネットワーク アクセス保護に対して有効になると、クライアントによってシステム正常性検証ツール ポイントに送信される正常性ステートメントには、ダウンロードした Configuration Manager NAP ポリシーにクライアントが対応している場合は対応、対応していない場合は非対応を示す対応ステータスが含まれることがあります。ただし、クライアントが対応ステータスを正常に判断できない場合、クライアントの正常性ステートメントには結果のクライアント エラーのカテゴリとコードが含まれます。
システム正常性検証ツール ポイントは、クライアントの正常性ステートメントを受信すると、エラーが既知のエラー一覧のいずれかと一致するかどうかを確認します。既知のエラーの場合、システム正常性検証ツール ポイントは正常性ステートメントを既知のエラーとしてネットワーク ポリシー サーバーに送信します。エラーがシステム正常性検証ツール ポイントにとって未知の場合、システム正常性検証ツール ポイントは正常性ステートメントを "未知の応答状態" エラーとしてネットワーク ポリシー サーバーに送信します。
エラー カテゴリの詳細については「Configuration Manager ネットワーク アクセス保護のエラー カテゴリの構成」を参照してください。
システム正常性検証ツール ポイントでの正常性ステートメントの検証
システム正常性検証ツール ポイントでは、クライアントの正常性状態を含む正常性ステートメント応答をネットワーク ポリシー サーバーに送信する前に、一連の検証を実行して受信したクライアントの正常性ステートメントを確認します。
これは、たとえばクライアントからシステム正常性検証ツール ポイントには対応を示すステータスを含む正常性ステートメントが送信されても、システム正常性検証ツールからネットワーク ポリシー サーバーには、正常性状態が非対応として送信される可能性があるということを意味します。この状態が発生する一例として、クライアントはダウンロードした Configuration Manager NAP ポリシーに対応しているが、それより新しい Configuration Manager NAP ポリシーがサイトに対して構成されており、クライアントがまだそれをダウンロードしていない場合があります。この場合、クライアントの対応を示すステータスは古くなり、有効ではなくなります。
注意
さまざまなシナリオで、クライアントが対応を示すステータスを含む正常性ステートメントを送信し、一方、ネットワーク ポリシー サーバーには非対応を示すステータスを含む正常性ステートメントが送信される可能性があります。詳細については、「Configuration Manager のネットワーク アクセス保護に対する対応について」を参照してください。
システム正常性検証ツール ポイントがクライアントの正常性状態を正常に判断できない場合、発生したサーバー エラー カテゴリとコードを含む正常性ステートメントがネットワーク ポリシー サーバーに送信されます。
システム正常性検証ツール ポイントがクライアントの正常性ステートメントに対して実行する検証確認一覧と、その処理順序の詳細については、「システム正常性検証ツール ポイント :ネットワーク アクセス保護の検証プロセス」を参照してください。
修復の結果として再送される正常性ステートメント
クライアントは、非対応のために修復状態になると、直ちにクライアントの正常性ステートメントをもう 1 つ作成します。新しいステートメントには、対応に必要な Configuration Manager 修復サーバーの一覧 (クライアントの管理ポイント、配布ポイント、およびソフトウェアの更新ポイント) が含まれます。修復プロセスの詳細については、「ネットワーク アクセス保護の修復について」を参照してください。
クライアントは、正常に修復が完了すると、今度は対応を示すステータスを持つ正常性ステートメントをもう 1 つ作成します。システム正常性検証ツール ポイントは、クライアントの正常性状態が対応であることを検証して、ネットワーク ポリシー サーバーに渡します。このとき、クライアントに送信される正常性ステートメント応答には、対応クライアントに対して実行される操作が含まれます。通常、これは期間に制限のないネットワークへのフル アクセス権です。
参照:
タスク
NAP 評価設定の構成方法
ネットワーク アクセス保護の Configuration Manager NAP ポリシーの作成方法
ネットワーク アクセス保護クライアント エージェントを有効にする方法
正常性ステートメントの有効期間の指定方法
概念
Configuration Manager のネットワーク アクセス保護に対する対応について
Configuration Manager ネットワーク アクセス保護のエラー カテゴリの構成
ネットワーク アクセス保護を使用した対応の強制について
ネットワーク アクセス保護の NAP クライアント ステータスについて
ネットワーク アクセス保護の修復について
ネットワーク アクセス保護のシステム正常性検証ツール ポイントについて
その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.