付与したはずのコンピュータに、ネットワーク アクセス保護を使用した完全なネットワーク アクセス権がない

適用対象: System Center Configuration Manager 2007, System Center Configuration Manager 2007 R2, System Center Configuration Manager 2007 R3, System Center Configuration Manager 2007 SP1, System Center Configuration Manager 2007 SP2

このセクションでは、Configuration Manager 2007 でネットワーク アクセス保護を使用する場合にコンピュータに制限なしのネットワーク アクセス権限がない原因を特定して解決するのに役立つトラブルシューティング情報を提供します。

Configuration Manager の正常性状態の参照で Active Directory レプリケーションが完了していない

ネットワーク アクセス保護は、正常性状態の参照を公開および取得するために Active Directory ドメイン サービスに依存します。

新しい Configuration Manager サイトをインストールするときは、Configuration Manager サイトのレプリケーションが完了するのを待ってから、Configuration Manager ネットワーク アクセス保護 (NAP) ポリシーを構成します。

解決方法

Active Directory レプリケーションが完了するまで待ちます。

システム正常性検証ツール ポイントが Configuration Manager の正常性状態の参照を取得できない

ネットワーク アクセス保護は、正常性状態の参照を公開および取得するために Active Directory ドメイン サービスを使用します。これが構成されておらず機能していない場合、対応クライアントによるネットワーク アクセスは制限されている可能性があります。

解決方法

まず、Active Directory スキーマが Configuration Manager 2007 スキーマ 拡張で拡張されていること、および Configuration Manager サイトが Active Directory に公開されていることを確認します。詳細については、以下を参照してください。

• Configuration Manager に対して Active Directory スキーマを拡張する方法

• Active Directory ドメイン サービスに Configuration Manager サイト情報を発行する方法

• Active Directory ドメイン サービスに発行されたサイト情報の検証方法

次に、Configuration Manager の正常性状態の参照設定が環境に対して適切に構成されていることを確認します。詳細については、以下を参照してください。

• ネットワーク アクセス保護と複数の Active Directory フォレストについて

• NAP 正常性状態の参照の場所の指定方法

• 正常性状態の参照の公開アカウントの指定方法

• 正常性状態の参照のクエリ アカウントの指定方法

エラー状態が発生する

既定では、ネットワーク アクセス保護プロセスの実行中にエラー状態を検出したクライアントは、対応していないと判断されます。ただし、エラー状態を再構成して、クライアントを対応ステータスにすることができます。これにより、制限なしのネットワーク アクセス権限が付与されることがあります。詳細については、「ネットワーク アクセス保護エラーのカテゴリとエラー コード」を参照してください。

解決方法

ネットワーク アクセス保護のログを参照してエラーを特定し、修正します。ログ ファイルの詳細については、「ネットワーク アクセス保護のログ ファイル」を参照してください。

または、ネットワーク ポリシー サーバーのエラー カテゴリを再構成して、対応ステータスにマップします。詳細については、「Configuration Manager ネットワーク アクセス保護のエラー カテゴリの構成」を参照してください。

Configuration Manager とは別のシステム正常性エージェントが原因で非対応ステータスになる

ネットワーク ポリシー サーバーが Configuration Manager だけではなく複数のシステム正常性エージェントの正常性状態もチェックする場合、構成されたソフトウェアの更新に対応している Configuration Manager クライアントは別のシステム正常性エージェントに対して非対応になる可能性があり、その結果、ネットワーク アクセスが制限されます。

解決方法

なし。ネットワーク ポリシー サーバーにログオンし、非対応正常性状態を返したシステム正常性エージェントを特定します。

ネットワーク ポリシー サーバーで Configuration Manager に対してネットワーク ポリシーが正しく構成されていない

Configuration Manager でのネットワーク アクセス保護は、ネットワーク ポリシー サーバーの正しいポリシー構成に依存します。

解決方法

ネットワーク ポリシー サーバーでポリシーが正しく構成されていることを確認します。詳細については、以下を参照してください。

• Configuration Manager ネットワーク アクセス保護のネットワーク ポリシーの構成

• Configuration Manager に対するネットワーク ポリシー サーバーの構成

コンピュータが正常性ステートメントを Configuration Manager 階層外のシステム正常性検証ツール ポイントに送信する

この場合、クライアントは不明の正常性状態になります。この状態は、既定でネットワーク ポリシー サーバーの Configuration Manager システム正常性検証ツールの［SHA ベンダ固有のエラー コードを受信］にマップされます。既定では、［SHA ベンダ固有のエラー コードを受信］オプションは［非対応］に構成されています。

解決方法

これが不要な動作である場合は、Configuration Manager システム正常性検証ツールの［SHA ベンダ固有のエラー コードを受信］を［非対応］から［対応］に再構成します。詳細については、「Configuration Manager ネットワーク アクセス保護のエラー カテゴリの構成」を参照してください。

ネットワーク アクセス保護エージェントが再び有効になる

ネットワーク アクセス保護を有効にした場合、Configuration Manager NAP ポリシーを作成した後、ネットワーク アクセス保護を無効にしても、Configuration Manager NAP ポリシーは自動的には削除されません。そのため、同じサイトでネットワーク アクセス保護を再び有効にすると、古い Configuration Manager NAP ポリシーも再び有効になります。

詳細については、「ネットワーク アクセス保護の有効化または無効化について」を参照してください。

解決方法

不要な古い Configuration Manager NAP ポリシーを削除します。詳細については、「Configuration Manager NAP ポリシーを削除して、ネットワーク アクセス保護で NAP 評価を停止する方法」を参照してください。

参照:

概念

ネットワーク アクセス保護のトラブルシューティング

その他のリソース

ネットワーク アクセス保護の概要

その他の情報については、「Configuration Manager 2007 Information and Support」 (Configuration Manager 2007 の情報とサポート) を参照してください。
ドキュメント チームに連絡するには、次のアドレスに電子メールを送信してください。 SMSdocs@microsoft.com.