ネットワーク アクセス保護のシステム正常性検証ツール ポイントについて

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

Configuration Manager 2007 のシステム正常性検証ツール ポイントをネットワーク アクセス保護と併用する方法については、ここで説明する情報を参照してください。

システム正常性検証ツール ポイントと Configuration Manager クライアントおよび Windows NAP インフラストラクチャの相互動作

システム正常性検証ツール ポイントは Configuration Manager 2007 サイト システムの役割であり、ネットワーク ポリシー サーバー (NPS) の役割と共に Windows Server 2008 で動作します。

ネットワーク アクセス保護 (NAP) を Configuration Manager 2007 で使用している場合は、システム正常性検証ツール ポイントにより、NAP 対応 Configuration Manager クライアントからの正常性ステートメントを検証する必要があります。これによって、対応または非対応のクライアント正常性状態が作成されるか、正常性状態の判断を回避したエラー状態が生成されます。正常性ステートメントの詳細については、「ネットワーク アクセス保護の正常性ステートメント (SoH) について」を参照してください。

クライアント コンピュータの正常性状態またはエラー状態を含む正常性ステートメントはネットワーク ポリシー サーバーに渡されます。続けてネットワーク ポリシー サーバーは、接続要求およびネットワーク ポリシーの構成方法に基づいて、クライアントのネットワーク アクセスが完全であるか制限されているかを判断します。クライアントが非対応である場合、ネットワーク ポリシー サーバーは、制限されたネットワーク、または制限時間内の完全ネットワークにおける修復により、対応を強制することもできます。この処理の詳細については、「ネットワーク アクセス保護を使用した対応の強制について」を参照してください。

クライアントの正常性ステートメント メッセージの検証

システム正常性検証ツール ポイントは、一連の順次チェックを使用して正常性ステートメントを検証します。次のようなチェックがあります。

• 正常性ステートメントが作成された時刻の検証。

• 正常性状態の参照と照らし合わせた検証。

• 対応状態および障害。

システム正常性検証ツール ポイントは、クライアントの正常性ステートメントを検証するために、Configuration Manager 2007 サイト サーバーと直接やり取りしません。Configuration Manager NAP ポリシーを作成または変更するか、親サイトから継承すると、サイト サーバーは正常性状態の参照を Active Directory ドメイン サービスに書き込みます。システム正常性検証ツール ポイントは、ネットワーク アクセス保護で有効になっているすべての Configuration Manager プライマリ サイトの正常性状態の参照を定期的に取得します。

Active Directory ドメイン サービスを使用して正常性状態の参照を保存するので、Active Directory スキーマを Configuration Manager 2007 拡張機能で拡張する必要があります。正常性状態の参照は、Active Directory の System Management コンテナに発行されますが、そのためには、Configuration Manager 2007 がサイト情報を Active Directory ドメイン サービスに発行する必要があります。複数の Active Directory フォレストがあり、Configuration Manager サイト サーバーおよびシステム正常性検証ツール ポイントが同じフォレスト内にない場合は、どのフォレストおよびドメインに正常性状態の参照を保存するかを指定する必要があります。

Active Directory スキーマを Configuration Manager 2007 用に拡張し、Active Directory ドメイン サービスに発行するようにサイトを構成する方法については、次のトピックを参照してください。

• Configuration Manager に対して Active Directory スキーマを拡張する方法

• Active Directory ドメイン サービスに Configuration Manager サイト情報を発行する方法

正常性状態の参照を保存するフォレストおよびドメインの指定については、「ネットワーク アクセス保護の正常性状態の参照を発行するフォレストを決定する」を参照してください。

検証プロセス

このセクションでは、システム正常性検証ツール ポイントがクライアントの正常性ステートメントを処理するとき、NAP 対応クライアントが受ける順次チェックについて説明します。このプロセスは、次のフローチャートでも表現されています。

システム正常性検証ツール ポイント :ネットワーク アクセス保護の検証プロセス

1. 最初は、クライアントが展開されたばかりでマシン ポリシーがダウンロードされていないかどうかのチェックです。マシン ポリシーにより、ネットワーク アクセス保護クライアント エージェントが有効かどうか、およびどの Configuration Manager NAP ポリシーが定義されているかを判断できないかどうかが決定されます。このポリシーがないと、Configuration Manager は、クライアントがソフトウェア更新を要求しているかどうか、または正常性状態を確認すべきかどうかさえも判断できません。クライアントは対応とみなされるので、ネットワークにアクセスしてマシン ポリシーをダウンロードできます。クライアントは、サイト ポリシーを受信すると、完全に機能しているクライアントとして再評価されるように、新しい正常性ステートメントをすぐに送信します。

2. クライアントがマシン ポリシーを正常にダウンロードしたと判断した場合、システム正常性検証ツール ポイントが行う次のチェックは、クライアント ID を検証することです。これを行うために、Active Directory ドメイン サービスから定期的に取得する正常性状態の参照が使用されます。システム正常性検証ツール ポイントは、クライアントの Configuration Manager 2007 サイトの ID をチェックし、クライアントが階層の既知の Configuration Manager 2007 サイトからのものであることを検証できます。このチェックがエラーになると、システム正常性検証ツール ポイントは「不明」というステータスを Windows ネットワーク ポリシー サーバーに渡し、これがネットワーク ポリシー サーバーの Configuration Manager システム正常性検証ツール カテゴリ［SHA ベンダ固有のエラー コードを受信］にマッピングされます。既定では、カテゴリ［SHA ベンダ固有のエラー コードを受信］は非対応として構成されていますが、対応として構成できます。

3. クライアントのサイトが確認されたら、システム正常性検証ツール ポイントは、ネットワーク アクセス保護クライアント エージェントがクライアントで有効になっているか無効になっているかを確認します。ネットワーク アクセス保護クライアント エージェントが無効になっている NAP 対応クライアントは、Configuration Manager 2007 のネットワーク アクセス保護で正常性ステートメントを送信します。前のチェックが完了した後でネットワーク アクセス保護クライアント エージェントが無効になった NAP 対応クライアントは、システム正常性検証ツール ポイントによって対応とみなされ、正常性状態は対応に設定されます。

4. ネットワーク アクセス保護クライアント エージェントが有効である場合にシステム正常性検証ツール ポイントが行う次のチェックは、システム正常性検証ツール ポイントのプロパティで構成した設定を使用した時間の検証です。［次の日付以降の作成日に限定する］オプションを設定した場合、システム正常性検証ツール ポイントは、クライアントの正常性ステートメントがこの日付の前に作成されたか後に作成されたかをチェックします。構成した設定以前の日付で作成された場合、クライアントの正常性状態は非対応に設定されます。システム正常性検証ツール ポイントで構成した設定より後の日付で正常性ステートメントが作成された場合、システム正常性検証ツール ポイントは、システム正常性検証ツール ポイントで構成した［有効期間］よりクライアントの正常性ステートメントが古いかどうかをチェックします。構成した有効期間より正常性ステートメントが古い場合、クライアントの正常性状態は非対応に設定されます。

5. システム正常性検証ツールが、構成した有効期間より正常性ステートメントが古くないことを確認した場合、システム正常性検証ツール ポイントは正常性状態の参照を使用して、正常性ステートメントを評価したときに、クライアントが最新の Configuration Manager NAP ポリシーを使用したかどうかを判断します。これは、正常性状態の参照のタイム スタンプを正常性ステートメントの対応情報に組み込まれているタイム スタンプと比較して行われます。タイム スタンプは、Configuration Manager NAP ポリシーが最後に作成されたか変更された時刻を示します。正常性状態の参照のタイム スタンプが、正常性ステートメントのタイム スタンプより後である場合、クライアントの正常性状態は非対応に設定されます。

6. 正常性ステートメントのタイム スタンプが正常性状態の参照のタイム スタンプ以後である場合は、正常性ステートメントのクライアント対応ステータスがチェックされます。正常性ステートメントに対応ステータスが含まれる場合、システム正常性検証ツール ポイントは、クライアントの正常性状態を対応に設定します。正常性ステートメントに対応ステータスが含まれない場合、システム正常性検証ツール ポイントは、障害がクライアントで発生して対応ステータスを生成できなかったかどうかをチェックします。この条件により、2 つの障害カテゴリのいずれか、およびエラー コードが設定されます。障害がない場合、システム正常性検証ツール ポイントは、クライアントの正常性状態を非対応に設定します。

7. 障害カテゴリとコードが設定されている場合、システム正常性検証ツール ポイントは、コードが既知のコードのいずれかと一致するかどうかをチェックします。一致する場合は、障害カテゴリがネットワーク ポリシー サーバーに渡され、Configuration Manager システム正常性検証ツールで構成されている、2 つのクライアント障害カテゴリのいずれかにマッピングされます。既定では、両方の障害カテゴリが Configuration Manager システム正常性検証ツールで構成されて、クライアントが非対応の正常性状態になりますが、対応に構成することもできます。エラー コードが一致しない場合、システム正常性検証ツール ポイントは、障害カテゴリ［SHA ベンダ固有のエラー コードを受信］でネットワーク ポリシー サーバーに障害を渡します。これは Configuration Manager システム正常性検証ツールでも構成でき、既定ではクライアントを非対応の正常性状態にするように構成されています。

ネットワーク ポリシー サーバーでの NAP 強制および修復用に非対応クライアントが構成されている場合、システム正常性検証ツール ポイントは、どのチェックがエラーになったかに応じてクライアントに命令を送信します。正常性ステートメントの時刻検証がエラーになった場合、システム正常性検証ツール ポイントは、正常性ステートメントを再評価してから新しい正常性ステートメントを提示するようにクライアントに指示を与えます。正常性状態の参照でタイム スタンプ チェックがエラーになった場合、システム正常性検証ツール ポイントは、管理ポイントからマシン ポリシーをダウンロードし、最新の Configuration Manager NAP ポリシーで対応ステータスを再評価してから、新しい正常性ステートメントを提示するようにクライアントに指示を与えます。

対応チェックがエラーになった場合、システム正常性検証ツール ポイントは、このエラーをログするようにクライアントに指示を与えます。システム正常性検証ツール ポイントは、クライアントが対応していないソフトウェア更新をホストする配布ポイントへの固定ルートをクライアントに提供します。クライアントは必要な各ソフトウェア更新をインストールします。正常にインストールされると、クライアントは新しい正常性ステートメントを提示します。

新しい正常性ステートメントが作成されたら、システム正常性検証ツール ポイントは、この検証チェックを完了します。各検証基準がチェックをパスしたら、システム正常性検証ツール ポイントは正常性状態を対応に設定し、ネットワーク ポリシー サーバーに渡します。

参照:

タスク

ネットワーク アクセス保護の Configuration Manager NAP ポリシーの作成方法

概念

Configuration Manager のネットワーク アクセス保護に対する対応について
ネットワーク アクセス保護と複数の Active Directory フォレストについて
ネットワーク アクセス保護の NAP 正常性状態参照について
Configuration Manager 階層内のネットワーク アクセス保護について
ネットワーク アクセス保護エラーのカテゴリとエラー コード
ネットワーク アクセス保護の修復について
ネットワーク アクセス保護の Configuration Manager NAP ポリシーについて
ネットワーク アクセス保護の正常性ステートメント (SoH) について
システム正常性検証ツール ポイント :ネットワーク アクセス保護の検証プロセス

その他のリソース

ネットワーク アクセス保護に対してシステム正常性検証ツール ポイントを構成する方法

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.