ネットワーク アクセス保護 (NAP) は、ポリシーの強制コンポーネントを提供するプラットフォームです。このコンポーネントは、ネットワークに接続するコンピューターおよびネットワーク上で通信するコンピューターが、管理者によって定義されたシステムの正常性に関する要件を満たしていることを確認するのに役立ちます。DHCP NAP を使用すると、要件を満たしていないコンピューターのアクセスを、制限付きネットワークのみに限定することができます。制限付きネットワークには、コンピューターの更新に必要なリソースがあります。このリソースを使用して正常性の要件を満たしたコンピューターは、無制限のネットワーク アクセスと通常の通信が許可されます。

DHCP 強制により、コンピューターが DHCP サーバーから無制限アクセスの IP アドレス構成を取得するには、ポリシーに準拠することが求められます。準拠していないコンピューターには、制限付きネットワークへのアクセスのみが許される IP アドレス構成が割り当てられ、ネットワーク アクセスの制限が課されます。DHCP 強制は、DHCP クライアントが IP アドレス構成のリースまたは更新を要求するたびに、正常性ポリシーの要件への準拠を強制します。さらに、NAP クライアントの正常性の状態はアクティブに監視されるため、要件を満たさなくなったクライアントの IPv4 アドレス構成は更新され、アクセスが制限付きネットワークのみに限定されるようになります。

DHCP 強制のしくみ

ここでは、初期 DHCP 構成を取得しようとしている NAP クライアントに対して、どのように DHCP 強制が動作するかを説明します。

  1. NAP クライアントは、正常性の状態に関する情報が含まれた DHCP 要求メッセージを DHCP サーバーに送信します。

  2. DHCP サーバーは、NAP クライアントの正常性の状態に関する情報を NAP 正常性ポリシー サーバーに送信します。

  3. NAP 正常性ポリシー サーバーは、NAP クライアントの正常性の状態に関する情報を評価して、NAP クライアントがポリシーに準拠しているかどうかを判断し、その結果を NAP クライアントと DHCP サーバーに送信します。NAP クライアントがポリシーに準拠していない場合、DHCP サーバーには制限付きのアクセス構成を割り当てるようにという指示が送信され、NAP クライアントには正常性の修復を行うための指示が送信されます。

  4. 正常性の状態がポリシーに準拠している場合、DHCP サーバーは無制限アクセスの IP アドレス構成を NAP クライアントに割り当て、DHCP メッセージの交信を終了します。

  5. 正常性の状態がポリシーに準拠していない場合、DHCP サーバーは制限付きネットワークへのアクセスのみが許可される IPv4 アドレス構成を NAP クライアントに割り当て、DHCP メッセージの交信を終了します。NAP クライアントは、制限付きネットワーク上の修復サーバーのみにトラフィックを送信することができます。

  6. NAP クライアントは、修復サーバーに更新要求を送信します。

  7. 修復サーバーは、正常性ポリシーに準拠するために必要な更新を NAP クライアントに提供します。NAP クライアントは、正常性の状態に関する情報を更新します。

  8. NAP クライアントは、正常性の状態に関する更新情報を含む新しい DHCP 要求メッセージを DHCP サーバーに送信します。

  9. DHCP サーバーは、NAP クライアントの正常性の状態に関する更新情報を NAP 正常性ポリシー サーバーに送信します。

  10. NAP 正常性ポリシー サーバーは、必要な更新がすべて行われたと仮定して、NAP クライアントがポリシーに準拠していると判断し、イントラネットに対する無制限アクセスが許可される IPv4 アドレス構成を割り当てるよう DHCP サーバーに指示します。

  11. DHCP サーバーは無制限アクセスの IP アドレス構成を NAP クライアントに割り当て、DHCP メッセージの交信を終了します。

その他の資料

関連情報を提供しているヘルプ トピックの一覧については、「DHCP サーバーの役割で推奨されるタスク」を参照してください。

DHCP に関する IT 専門家向けの最新の詳細情報については、Microsoft TechNet Web サイトにある Windows Server® 2008 のドキュメント (英語の可能性あり) を参照してください。


目次