NAP クライアントの構成コンソールを使用すると、正常性登録機関 (HRA) サーバーと通信するときにクライアント コンピューターで使用するセキュリティ機構を指定できます。さらに、NAP クライアントの構成コンソールでは、クライアント コンピューターが通信できる HRA サーバーを指定することもできます。クライアント コンピューターは、正常性証明書を取得するために HRA サーバーと通信する必要があります。正常性証明書は、インターネット プロトコル セキュリティ (IPsec) ベースのセキュリティを強制する NAP で必要になります。
HRA サーバーと通信するときにクライアントが使用するセキュリティ機構を指定するには、要求ポリシーを構成する必要があります。要求ポリシーには、HRA サーバーとの通信を開始するときにクライアント コンピューターで使用する非対称キー アルゴリズム、ハッシュ アルゴリズム、および暗号化サービス プロバイダーを指定します。クライアント コンピューターごとに、非対称キー アルゴリズム、ハッシュ アルゴリズム、および暗号化サービス プロバイダーを 1 つずつ指定できます。
非対称キー アルゴリズム、ハッシュ アルゴリズム、または暗号化サービス プロバイダーをクライアントで構成するときは、HRA サーバーでもまったく同じ要求ポリシーを構成する必要があります。たとえば、最小キー長が 128 の RSA (Rivest-Shamir-Adelman) 非対称キー アルゴリズムのみを使用して通信を暗号化するようにクライアントを構成する場合は、まったく同一の非対称キー アルゴリズムおよび最小キー長を使用して暗号化された通信を受け付けるように HRA サーバーを構成する必要があります。HRA サーバーとクライアント コンピューターが同じ要求ポリシーを使用するように構成されていない場合、HRA サーバーはクライアント コンピューターと通信することができず、クライアント コンピューターは準拠していないと見なされてネットワーク接続が制限される可能性があります。要求ポリシーの設定をクライアント コンピューターで構成しない場合、クライアント コンピューターは通信の暗号化に既定のセキュリティ機構を使用して HRA サーバーとのネゴシエーション プロセスを開始します。
 | 重要 |
|
要求ポリシーの設定の変更は、安全なテスト環境で要求ポリシーの設定を十分にテストしてから行ってください。要求ポリシーの設定を変更すると、クライアント コンピューターでネットワーク接続が失われる場合があります。 |
クライアント コンピューターと通信させる HRA サーバーを指定するには、信頼されたサーバー グループを構成する必要があります。信頼されたサーバー グループは、1 つ以上の HRA サーバーで構成されます。信頼されたサーバー グループに複数の HRA サーバーがある場合は、クライアント コンピューターがサーバーへの接続を試みる順序を指定できます。この指定は、複数の HRA サーバーが異なるネットワーク セグメントまたはドメインにあり、クライアントが最初にアクセスを試みるサーバーに優先順位を付ける場合に便利です。少なくとも 1 つの信頼されたサーバー グループを構成する必要があります。構成されていないと、正常性証明書を取得するために HRA サーバーに接続する方法をクライアント コンピューターが判断できません。
信頼されたサーバー グループを NAP クライアントに構成する