仮想プライベート ネットワーク (VPN) のネットワーク アクセス保護 (NAP) 強制は、VPN 強制サーバー コンポーネントと VPN 強制クライアント コンポーネントを使用して展開します。この強制方法を使用すると、VPN サーバーは、クライアント コンピューターが VPN 接続を使用してネットワークへの接続を試みたときに、正常性ポリシーを強制的に適用できます。VPN の強制によって、VPN 接続を使用してネットワークにアクセスするすべてのコンピューターに対して、強力なネットワーク アクセス制限を適用できます。

VPN の強制は、Windows Server® 2003 および Internet Security and Acceleration (ISA) Server 2004 の機能であるネットワーク アクセス検疫制御とは異なります。

要件

VPN の NAP を展開するには、次の構成を行う必要があります。

  • ルーティングとリモート アクセス サービスを VPN サーバーとしてインストールし、構成します。ネットワーク ポリシー サーバー (NPS) を実行しているサーバーをリモート認証ダイヤルイン ユーザー サービス (RADIUS) のプライマリ サーバーとして、ルーティングとリモート アクセスで構成します。

  • NPS で VPN サーバーを RADIUS クライアントとして構成します。接続要求ポリシー、ネットワーク ポリシー、および NAP 正常性ポリシーも構成します。これらのポリシーは、NPS コンソールを使用して個別に構成することも、新しいネットワーク アクセス保護ウィザードを使用して構成することもできます。

  • NAP 対応のクライアント コンピューターで、NAP リモート アクセスと EAP 強制クライアントを有効にします。

  • NAP 対応クライアント コンピューターで NAP サービスを有効にします。

  • NAP の展開に応じて、Windows セキュリティ正常性検証ツール (WSHV) を構成するか、他のシステム正常性エージェント (SHA) およびシステム正常性検証ツール (SHV) をインストールおよび構成します。

  • スマート カードや証明書と共に、Protected Extensible Authentication Protocol - トランスポート層セキュリティ (PEAP-TLS) や EAP-TLS を使用している場合は、Active Directory® 証明書サービス (AD CS) で公開キー基盤 (PKI) を展開します。

  • Protected Extensible Authentication Protocol - Microsoft チャレンジ ハンドシェイク認証プロトコル バージョン 2 (PEAP-MS-CHAP v2) を使用している場合は、AD CS を使用してサーバー証明書を発行するか、信頼されたルート証明書機関 (CA) からサーバー証明書を購入します。

その他の考慮事項

NAP VPN 強制方法を展開し、NAP 強制を [時間を限定して完全なネットワーク アクセスを許可する] オプションで構成した場合、期限に達したときにネットワークに接続される VPN クライアントは、正常性ポリシーに準拠しているかどうかにかかわらず、自動的に接続が切断されます。

期限の日時に達した後、ネットワークへの接続を試行する VPN クライアントは、正常性ポリシーに準拠していない場合は制限付きネットワークに配置されますが、正常性ポリシーに準拠している場合は完全なネットワーク アクセス許可を与えられます。

目次