正常性登録機関 (HRA) は、ネットワーク アクセス保護 (NAP) プラットフォームに対して、X.509 公開キー基盤 (PKI) では一般に登録機関と呼ばれているサービスを提供します。HRA は、登録機関として、クライアントの証明書を検証し、クライアントに代わって証明書要求を証明機関 (CA) に転送する責任を持ちます。HRA はネットワーク ポリシー サーバー (NPS) を使用して確認することで証明書要求を検証し、NAP クライアントがネットワーク正常性要件に準拠しているかどうかを判断します。クライアントが準拠していることがわかると、HRA は正常性証明書と呼ばれる特別な種類の証明書を CA に要求します。正常性証明書は、NAP クライアント コンピューターによって、IPsec で保護されたネットワーク上で通信するために使用されます。この機能では、HRA は NAP インターネット プロトコル セキュリティ (IPsec) 強制方法の NAP 強制サーバーとして機能します。

重要な概念

NAP の展開における HRA の役割を理解するため、次の概念を再度確認してください。

  • 正常性証明書

    NAP クライアント コンピューターに対して発行された X.509 証明書であり、ネットワーク正常性要件への準拠の証明として使用されます。NAP クライアント コンピューターは、正常性ステートメント (SoH) と呼ばれる正常性状態の宣言を HRA に渡すことで、正常性証明書を取得します。NAP クライアントは継続的にその正常性状態を監視し、準拠しなくなると正常性証明書を削除します。正常性証明書は、イントラネット上の他の NAP クライアントと IPsec で保護された通信を開始する際に、NAP クライアントを認証するために使用できます。NAP IPsec 強制は、正常性証明書を持たないコンピューターから送信された着信の通信要求を拒否することで、IPsec ベースの NAP クライアントの通信を制限します。

  • NAP 証明機関

    Active Directory® 証明書サービス (AD CS) が動作するサーバーであり、X.509 証明書をホストし、NAP クライアントがネットワークの正常性要件に準拠していると判断した場合 NAP クライアントに証明書を発行します。NAP 正常性証明書を発行する 1 台以上の CA を指定する必要があります。詳細については、「NAP 証明機関を構成する」および「CA の構成を確認する」を参照してください。

  • HRA 要求ポリシー

    正常性証明書を要求する際の、クライアントと HRA との通信方法を決定する設定です。暗号化ポリシーとトランスポート ポリシーの設定をカスタマイズすることで、HRA 要求ポリシーをカスタマイズできます。HRA 要求ポリシー設定を変更する必要はありません。既定の設定が推奨されます。これらの設定を変更する場合は、HRA サーバー コンピューターと NAP クライアント コンピューターで同じ設定を構成することが大切です。詳細については、「HRA 要件ポリシーとは」、「HRA 暗号化ポリシーを構成する」、および「HRA トランスポート ポリシーを構成する」を参照してください。

  • インターネット インフォメーション サービス (IIS)

    HRA のインストール時に自動的にインストールされる、インターネットベースの一連のサービスです。IIS サービスは、NAP クライアントに対し、HRA サーバーと通信し正常性証明書を要求するための HTTP および HTTPS インターフェイスを提供します。これらの要求は Internet Server Application Programming Interface (ISAPI) 拡張を使用して処理され、サービスを匿名ユーザーに提供することも、ドメインに対して認証されたユーザーだけに限定することもできます。詳細については、「HRA 認証要件とは」および「IIS 構成を確認する」を参照してください。

  • ネットワーク ポリシー サーバー (NPS)

    リモート認証ダイヤルイン ユーザー サービス (RADIUS) サーバーとプロキシの Microsoft による実装です。サーバーで NPS が動作していない場合は、HRA のインストール時に自動的にインストールされます。HRA サーバー上の NPS は、NAP 正常性ポリシー サーバーまたは NPS プロキシのいずれかとして構成できます。NPS を NAP 正常性ポリシー サーバーとして構成する場合、以下の NAP ポリシーと設定も構成する必要があります。

    • 接続要求ポリシー : ネットワーク アクセスの要求を検証し、この検証を実行する場所を指定する条件と設定。

    • ネットワーク ポリシー : ネットワークに接続できる人を指定する条件、制約、および設定。

    • 正常性ポリシー : ネットワークへの接続を試みるコンピューターの構成を検証する際に用いる、SHV 要件を定義するシステム正常性要件。

    • システム正常性検証ツール (SHV) : NAP 正常性ポリシー サーバー ソフトウェアの、システム正常性エージェント (SHA) と対になる部分。SHV は、ネットワークへの接続を試みるコンピューターの構成要件を定義します。

NPS を RADIUS プロキシとして構成する場合は、リモート RADIUS サーバー グループへのネットワーク接続を確認し、NAP 正常性ポリシー サーバーとしての構成を検証する必要があります。詳細については、「NPS 構成を確認する」を参照してください。

その他の参照情報