この手順は、NAP 対応のクライアント コンピューターで、ネットワーク アクセス保護 (NAP) のインターネット プロトコル セキュリティ (IPSec) 強制方法が構成されていることを確認するために使用します。NAP 対応のコンピューターとは、NAP コンポーネントがインストールされ、評価のために正常性ステートメント (SoH) をネットワーク ポリシー サーバー (NPS) に送信して正常性状態を検証できるコンピューターのことです。NAP の詳細については、
この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。適切なアカウントおよびグループ メンバーシップの使用方法の詳細については、
NAP クライアント コンポーネントを確認する
NAP コンポーネントには、NAP エージェント サービス、1 つ以上の NAP 強制クライアント、1 つ以上のシステム正常性エージェント (SHA) が含まれます。他のサービスが、インストールされている SHA をサポートしている場合は、それらのサービスも必要になることがあります。これらすべてのコンポーネントが連携して、NAP クライアントの正常性状態を継続的に監視し、この状態を評価のために NAP サーバーに渡します。
NAP エージェント
NAP エージェント サービスは、クライアント コンピューター上の正常性情報を収集して管理します。また、NAP エージェントは、インストールされているすべての SHA からの SoH を処理し、クライアントの正常性を強制クライアントに報告します。クライアント コンピューターが正常性証明書を要求または取得するためには、NAP エージェントが動作している必要があります。
NAP エージェント サービスが開始していることを確認するには |
[スタート] ボタン、[コントロール パネル]、[システムとメンテナンス]、[管理ツール] の順にクリックして、[サービス] をダブルクリックします。
サービスの一覧の [名前] の下で [Network Access Protection Agent] をダブルクリックします。
[サービスの状態] が [開始] になっており、[スタートアップの種類] が [自動] に設定されていることを確認します。
サービスが開始されていない場合は、[スタートアップの種類] の [自動] を選択し、[開始] をクリックします。
[OK] をクリックして、[Network Access Protection のプロパティ] ダイアログ ボックスを閉じます。
サービス コンソールを閉じます。
注 | |
NAP エージェント サービスを再開すると、自動的に SHA が再初期化され、コンピューターは新しい正常性証明書の取得を試みます。これは、NAP をトラブルシューティングする場合に便利です。 |
NAP IPsec 強制クライアント
クライアント コンピューターでは、NAP IPsec 強制クライアントがインストールされ有効になっている必要があります。NAP 強制クライアントはネットワークへのアクセスを要求し、クライアント コンピューターの正常性状態を NAP クライアント アーキテクチャの他のコンポーネントに通知します。NAP IPsec 強制クライアントは、クライアント コンピューター上の証明書ストアとやり取りすることで、IPsec で保護されたネットワークへのアクセスを制限します。
NAP IPSec 強制クライアントが初期化されていることを確認するには |
[スタート] ボタンをクリックし、[すべてのプログラム]、[アクセサリ] の順にポイントし、[コマンド プロンプト] をクリックします。
コマンド プロンプトで「netsh nap client show state」と入力し、Enter キーを押します。このコマンドは、クライアント コンピューターの NAP の状態を表示します。
コマンド出力で、[実施クライアントの状態] の [IPsec 証明書利用者] の状態が [初期化済み = はい] になっていることを確認します。
IPsec クライアントの構成を確認する
NAP クライアントは、NAP サーバー コンポーネントと通信できるように構成されている必要があります。これらの設定は、グループ ポリシー、NAP クライアントの構成コンソール、コマンド ラインのいずれかを使用して構成することができます。IPsec 強制方法では、NAP クライアント設定に要求ポリシーと信頼されたサーバー グループが含まれます。
要求ポリシー
NAP クライアント コンピューターで既定の要求ポリシー設定を変更する必要はありません。これらの設定を変更する場合は、同様の設定が NAP サーバーで有効になっていることを確認することが重要です。既定では、NAP 対応のクライアント コンピューターは、通信の暗号化に双方で使用可能な既定のセキュリティ機構を使用して NAP サーバーとのネゴシエーション プロセスを開始します。既定の要求ポリシーの設定を使用することをお勧めします。
要求ポリシーの設定を表示するには |
[スタート] ボタンをクリックし、[すべてのプログラム]、[アクセサリ] の順にポイントし、[コマンド プロンプト] をクリックします。
グループ ポリシーを使用して NAP クライアント設定を展開する場合は、コマンド プロンプトで「netsh nap client show group」と入力し、Enter キーを押します。ローカル ポリシーを使用して NAP クライアント設定を展開する場合は、コマンド プロンプトで「netsh nap client show config」と入力し、Enter キーを押します。これらのコマンドによって、クライアント コンピューターにグループ ポリシーおよびローカル ポリシー NAP 構成設定が表示されます。
コマンド出力で、[暗号化サービス プロバイダ (CSP)] および [ハッシュ アルゴリズム] の設定が HRA で構成されている設定に対応することを確認します。既定の暗号化サービス プロバイダーは Microsoft RSA SChannel Cryptographic Provider, keylength = 2048 です。既定のハッシュ アルゴリズムは sha1RSA (1.3.14.3.2.29) です。
信頼されたサーバー グループ
NAP クライアント コンピューターが、正常性証明書要求を処理するために HRA によって使用される Web サイトにアクセスできるように、クライアント正常性登録設定の中で信頼されたサーバー グループを構成します。信頼されたサーバー グループが構成されていないか、構成内容が正しくない場合は、NAP クライアント コンピューターは正常性証明書の取得に失敗します。
信頼されたサーバー グループの構成を確認するには |
[スタート] ボタンをクリックし、[すべてのプログラム]、[アクセサリ] の順にポイントし、[コマンド プロンプト] をクリックします。
グループ ポリシーを使用して NAP クライアント設定を展開する場合は、コマンド プロンプトで「netsh nap client show group」と入力し、Enter キーを押します。ローカル ポリシーを使用して NAP クライアント設定を展開する場合は、コマンド プロンプトで「netsh nap client show config」と入力し、Enter キーを押します。これらのコマンドによって、クライアント コンピューターにグループ ポリシーおよびローカル ポリシー NAP 構成設定が表示されます。
コマンド出力の [信頼されたサーバー グループの構成] で、[処理順序]、[グループ]、[必要な Https]、および [URL] のエントリの構成が正しいことを確認します。
注 | |
NAP クライアント コンピューターは、使用不能とマークされていない限り、構成されているすべての信頼されたサーバー グループ内の最初の URL から正常性証明書を取得しようとします。詳細については、「IIS 構成を確認する」および「HRA 認証要件とは」を参照してください。 |
NAP クライアント イベントを確認する
NAP クライアント イベントに含まれている情報を確認すると、トラブルシューティングに役立ちます。また、NAP クライアントの機能を理解するのにも役立ちます。
イベント ビューアーで NAP クライアント イベントを確認するには |
[スタート] ボタン、[すべてのプログラム]、[アクセサリ]、[ファイル名を指定して実行] の順にクリックします。
「eventvwr.msc」と入力し、Enter キーを押します。
左側のツリーで、[イベント ビューアー (ローカル)\アプリケーションとサービス ログ\Microsoft\Windows\ネットワーク アクセス保護\稼働中] を参照します。
中央のウィンドウでイベントをクリックします。
既定では、[全般] タブが表示されます。追加情報を表示するには、[詳細] タブをクリックします。
イベントを右クリックし、[イベントのプロパティ] をクリックして新しいウィンドウを開き、イベントを確認することもできます。