ネットワーク ポリシー サーバー (NPS) は、NAP クライアント アクセス要求を評価するためにすべてのネットワーク アクセス保護 (NAP) 強制方法で使用される、中央サーバーです。ネットワーク正常性要件は、正常性に基づいて NAP クライアント コンピューターのアクセスを許可または制限するポリシーを使用して、NPS 上で定義されます。これらの NAP ポリシーをホストする NPS が動作しているサーバーは、NAP 正常性ポリシー サーバーと呼ばれます。展開方法に応じて、1 台以上の NAP 正常性ポリシー サーバーをネットワーク上に展開できます。RADIUS クライアント、接続要求ポリシー、ネットワーク ポリシー、正常性ポリシー、およびシステム正常性検証ツール (SHV) は、ネットワーク正常性要件を定義し強制するために NAP 正常性ポリシー サーバーによって使用されます。
正常性登録機関 (HRA) をインストールすると、NPS が同じコンピューターに自動的にインストールされます。複数の HRA を展開している場合に、NAP 正常性ポリシーを別のコンピューターに配置してポリシーの評価を一元化するには、NPS を実行しているローカル サーバーを RADIUS プロキシとして構成する必要があります。NPS を RADIUS プロキシとして使用する場合は、NPS を実行するローカル サーバーがネットワーク アクセス要求を評価のためにリモート RADIUS サーバー グループに転送するように、接続要求ポリシーを構成します。
NPS の詳細については、
この手順を実行するには、Domain Admins のメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。適切なアカウントおよびグループ メンバーシップの使用方法の詳細については、
NAP 正常性ポリシー サーバーの構成を確認する
NAP 正常性ポリシー サーバーとして NPS を実行するローカル サーバーの構成を確認するには、次の手順を使用します。ローカル HRA サーバーが RADIUS プロキシとして構成されている場合は、「NPS プロキシ構成を確認する」を参照してください。
RADIUS クライアント
リモート HRA サーバーを、NPS を実行するローカル サーバーに評価のために接続要求を転送する RADIUS プロキシとして構成した場合は、リモート HRA サーバーごとに対応する RADIUS クライアント エントリが NPS を実行するローカル サーバーに必要です。IPsec 強制を使用した NAP では、すべての HRA サーバーが NAP 正常性ポリシー サーバーとしても機能する場合は、RADIUS クライアントを必要としません。NPS が RADIUS プロキシとして構成されている HRA サーバーを使用している場合は、次の手順を実行して、NPS を実行するローカル サーバー上で RADIUS クライアントが正しく構成されており、リモート HRA サーバーによって受信されたクライアント接続要求を処理できるようになっていることを確認します。
RADIUS クライアントを確認するには |
[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「nps.msc」と入力して、Enter キーを押します。
NPS コンソール ツリーで、[RADIUS クライアントとサーバー] をダブルクリックし [RADIUS クライアント] をクリックします。
詳細ウィンドウで、NPS がインストールされ RADIUS プロキシとして構成されている HRA サーバーに対応する RADIUS クライアントのフレンドリ名をダブルクリックします。RADIUS クライアント エントリが存在しない場合は、次の手順を実行して新しい RADIUS クライアントを作成します。この手順は、リモート HRA サーバーが、接続要求を NPS を実行するローカル サーバーに転送するように構成されている場合にのみ適用されます。
-
[RADIUS クライアント] を右クリックし、[新規] をクリックします。
-
[フレンドリ名] に、RADIUS クライアントの名前 (たとえば「HRA-1」) を入力します。
-
[アドレス (IP または DNS)] に、リモート HRA サーバーの IP アドレスまたは DNS 名を入力し、[確認]、[解決] の順にクリックします。
-
表示された IP アドレスが、正しいリモート HRA サーバーに対応することを確認し、[OK] をクリックします。
-
[共有シークレット] と [共有シークレットの確認入力] に、リモート HRA サーバー上のリモート RADIUS サーバー グループ設定で構成されているシークレットを入力します。
-
リモート HRA サーバーのリモート RADIUS サーバー グループ構成設定で、メッセージ認証属性が有効になっている場合は、[Access-Request メッセージに Message-Authenticator 属性を必要とする] チェック ボックスをオンにします。リモート HRA サーバーでこのオプションが有効になっていない場合には、このチェック ボックスがオフになっていることを確認します。
-
[RADIUS クライアントが NAP に対応している] チェック ボックスをオンにし、[OK] をクリックします。
-
現在の手順を再開して、新しい RADIUS クライアントの構成を確認します。
-
[RADIUS クライアント] を右クリックし、[新規] をクリックします。
[プロパティ] ウィンドウで、[この RADIUS クライアントを有効にする] チェック ボックスがオンになっていることを確認します。
[RADIUS クライアントが NAP に対応している] チェック ボックスがオンになっていることを確認します。
リモート HRA サーバーが、アクセス要求にメッセージ認証属性が含まれることを必要とするように構成されている場合には、[Access-Request メッセージに Message-Authenticator 属性を必要とする] チェック ボックスがオンになっていることを確認します。そうでない場合は、このチェック ボックスがオフになっていることを確認します。
[ベンダー名] で、[RADIUS Standard] が選択されていることを確認します。
[アドレス (IP または DNS)] に表示されている DNS 名または IP アドレスが、正しいリモート HRA サーバーに対応していることを確認し、[確認] をクリックします。
[クライアントの確認] ダイアログ ボックスで [解決] をクリックします。
[IP アドレス] で、表示されている IP アドレスが、NPS を実行するローカル サーバーに要求を転送するように構成された HRA サーバーに対応していること、および NPS を実行するローカル サーバーがこの IP アドレスにネットワーク接続可能であることを確認します。
[OK] をクリックします。共有シークレットが一致していない疑いがある場合は、[共有シークレット] と [共有シークレットの確認入力] の各フィールドにシークレットを入力し、[OK] をクリックします。
NPS を実行するローカル サーバーに処理のために接続要求を転送するように構成されているネットワーク上の各 HRA サーバーに対して、この手順を繰り返します。
接続要求ポリシー
接続要求ポリシーは、ネットワーク アクセスの要求を検証し、この検証を実行する場所を管理する条件と設定です。NPS を実行するローカル サーバー上の接続要求ポリシーが、NSP IPsec 強制用に構成されていることを確認するには、次の手順を実行します。
接続要求ポリシーを確認するには |
NPS コンソール ツリーで、[ポリシー] をダブルクリックし、[接続要求ポリシー] をクリックします。
詳細ウィンドウで、IPsec で保護された NAP クライアントからの受信ネットワーク アクセス要求を認証するために使用する接続要求ポリシーをダブルクリックします。このポリシーが存在しない場合は、次の手順を実行して、接続要求ポリシーを作成します。
-
[接続要求ポリシー] を右クリックし、[新規] をクリックします。
-
[ポリシー名] に、接続要求ポリシーの名前 (たとえば「NAP IPsec with HRA」) を入力します。
-
[ネットワーク アクセス サーバーの種類] で、[正常性登録機関] を選択し、[次へ] をクリックします。
-
接続要求ポリシーでは、1 つ以上の条件を指定する必要があります。どの受信アクセス要求も拒否しない条件を追加するには、[条件の指定] ページで [追加] をクリックします。
-
[条件の選択] ウィンドウで、[日付と時刻の制限]、[追加] の順にクリックします。
-
[時間帯の制約] ウィンドウで、[許可] を選択します。すべての日と時間が許可されていることを確認し、[OK]、[次へ] の順にクリックします。
-
NPS を実行するローカル サーバーが NAP 正常性ポリシー サーバーの場合には、[このサーバーで要求を認証する] がオンになっていることを確認し、[次へ] を 3 回クリックして、[完了] をクリックします。NPS を実行するローカル サーバーが、評価のために要求を別のサーバーに転送する場合は、「NPS プロキシ構成を確認する」を参照してください。
-
[接続要求ポリシー] を右クリックし、[新規] をクリックします。
[概要] タブで、[ポリシーを有効にする] チェック ボックスがオンになっていることを確認します。
[概要] タブで、[ネットワーク アクセス サーバーの種類] が [正常性登録機関] または [Unspecified] になっていることを確認します。アクセス サーバーの種類を指定する方法の詳細については、このトピックで後述する「その他の考慮事項」を参照してください。
[条件] タブをクリックし、構成されているすべての条件が、準拠する NAP クライアントと準拠しない NAP クライアントの両方で一致していることを確認します。たとえば、[日付と時刻の制限]] では、指定した日と時刻にだけネットワーク アクセスを許可するように構成できます。
[設定] タブをクリックします。[必要な認証方法] で、[認証方法] をクリックし、[ネットワーク ポリシーの認証設定よりも優先する] チェック ボックスがオフになっていることを確認します。
[接続要求の転送] で、[認証] をクリックします。
NPS を実行するローカル サーバーを NAP 正常性ポリシー サーバーとして有効にするには、[このサーバーで要求を認証する] がオンになっていることを確認します。
[OK] をクリックしてプロパティ ウィンドウを閉じます。
ネットワーク ポリシー
ネットワーク ポリシーは、条件、設定、および制約を使用して、ネットワークに接続できる対象を決定します。NAP クライアントの正常性状態を評価するために、正常性要件に準拠しているコンピューターに適用されるネットワーク ポリシーが 1 つ以上あり、準拠していないコンピューターに適用されるネットワーク ポリシーが 1 つ以上あることが必要です。これらのポリシーが作成済みで、NSP IPsec 強制用に構成されていることを確認するには、次の手順を実行します。
ネットワーク ポリシーを確認するには |
NPS コンソール ツリーで、[ポリシー] をダブルクリックし、[ネットワーク ポリシー] をクリックします。
詳細ウィンドウで、準拠しているコンピューター用に 1 つ以上のポリシーがあり、準拠していないコンピューター用に 1 つのポリシーがあり、これらのポリシーの [状態] が [有効] になっていることを確認します。ポリシーを有効にするには、ポリシー名を右クリックし、[有効にする] をクリックします。これらのポリシーが存在しない場合は、次の手順を実行して、ネットワーク ポリシーを作成します。
-
[ネットワーク ポリシー] を右クリックし、[新規] をクリックします。
-
[ポリシー名] に、ネットワーク ポリシーの名前 (たとえば「NAP IPsec with HRA Compliant」や「NAP IPsec with HRA Noncompliant」) を入力します。
-
[ネットワーク アクセス サーバーの種類] で、[正常性登録機関] を選択し、[次へ] をクリックします。
-
[条件の指定] ページで、[追加] をクリックします。
-
[条件の選択] で、[正常性ポリシー]、[追加] の順にクリックします。
-
このネットワーク ポリシーが、準拠しているクライアント コンピューターに適用される場合は、[正常性ポリシー] で、準拠しているクライアントの正常性状態に一致するよう構成されている正常性ポリシーを選択し、[OK] をクリックします。
-
このネットワーク ポリシーが、準拠していないクライアント コンピューターに適用される場合は、[正常性ポリシー] で、準拠していないクライアントの正常性状態に一致するよう構成されている正常性ポリシーを選択し、[OK] をクリックします。
-
[次へ] をクリックし、[アクセスを許可する] を選択し、[次へ] をクリックします。
-
[認証方法の構成] ページで、[コンピューターの正常性チェックのみを実行する] チェック ボックスをオンにし、[次へ] を 2 回クリックします。
-
[設定の構成] ページで、[NAP 強制] をクリックします。
-
このポリシーの強制モードを選択します。詳細については、後の「NAP 強制モード」を参照してください。
-
準拠していないクライアントの自動修復を有効にするには、[クライアント コンピューターの自動修復を有効にする] チェック ボックスをオンにします。自動修復を有効にしない場合は、このチェック ボックスをオフにします。
-
[次へ]、[完了] の順にクリックします。
-
現在の手順を再開して、新しいネットワーク ポリシーの構成を検証します。
-
[ネットワーク ポリシー] を右クリックし、[新規] をクリックします。
詳細ウィンドウで、ポリシーの [処理順序] が使用環境に合わせて正しく構成されていることを確認します。限定的なポリシーを全般的なポリシーの前に処理します。ポリシーの順序を変更するには、ポリシー名を右クリックし、[上へ] または [下へ] をクリックします。
詳細ウィンドウで、準拠する NAP ポリシーと準拠しない NAP ポリシーの両方の [アクセスの種類] が [アクセスを許可する] に構成されていることを確認します。アクセス許可を構成するには、ポリシー名を右クリックし、[プロパティ]、[概要] タブの順にクリックし、[アクセスを許可する] をオンにします。
詳細ウィンドウで、IPsec で保護された NAP クライアントを処理するために使用されるポリシーの [ソース] が、[正常性登録機関] または [Unspecified] になっていることを確認します。アクセス サーバーの種類を指定する方法の詳細については、このトピックで後述する「その他の考慮事項」を参照してください。
詳細ウィンドウで、準拠しているクライアントに一致させるために使用されるネットワーク ポリシーの名前をダブルクリックし、[条件] タブをクリックします。
指定されている条件の 1 つ以上が [正常性ポリシー] になっており、[値] が、準拠しているクライアントの正常性状態に一致するよう構成済みの正常性ポリシーに対応していることを確認します。この条件が存在しない場合は、次の手順を実行します。
-
[追加]、[正常性ポリシー]、[追加] の順にクリックします。
-
[正常性ポリシー] で、準拠しているクライアントの正常性状態に対応するポリシーを選択し、[OK] をクリックします。正常性ポリシーがない場合は、正常性ポリシーを確認し、この手順を繰り返してください。
-
[追加]、[正常性ポリシー]、[追加] の順にクリックします。
[制約] タブをクリックし、[認証方法] をクリックします。
[コンピューターの正常性チェックのみを実行する] チェック ボックスがオンになっていることを確認します。
[設定] タブをクリックし、[NAP 強制] をクリックします。
この準拠ネットワーク ポリシーで [完全なネットワーク アクセスを許可する] がオンになっていることを確認し、[OK] をクリックします。これで準拠するネットワーク ポリシーの確認は完了です。
詳細ウィンドウで、準拠していないクライアントに一致させるために使用されるネットワーク ポリシーの名前をダブルクリックし、[条件] タブをクリックします。
指定されている条件の 1 つ以上が [正常性ポリシー] になっており、[値] が、準拠していないクライアントの正常性状態に一致するよう構成済みの正常性ポリシーに対応していることを確認します。この条件が存在しない場合は、次の手順を実行します。
-
[追加]、[正常性ポリシー]、[追加] の順にクリックします。
-
[正常性ポリシー] で、準拠していないクライアントの正常性状態に対応するポリシーを選択し、[OK] をクリックします。正常性ポリシーがない場合は、正常性ポリシーを確認し、この手順を繰り返してください。
-
[追加]、[正常性ポリシー]、[追加] の順にクリックします。
[制約] タブをクリックし、[認証方法] をクリックします。
[コンピューターの正常性チェックのみを実行する] チェック ボックスがオンになっていることを確認します。
[設定] タブをクリックし、[NAP 強制] をクリックします。
- NAP を完全強制モードで展開した場合は、この準拠しないネットワーク ポリシーで [制限付きアクセスを許可する] がオンになっていることを確認します。
- NAP を遅延強制モードで展開した場合は、この準拠しないネットワーク ポリシーで [時間を限定して完全なネットワーク アクセスを許可する] がオンになっていることを確認します。
- NAP を報告モードで展開した場合は、この準拠しないネットワーク ポリシーで [完全なネットワーク アクセスを許可する] がオンになっていることを確認します。
- 準拠していない NAP クライアントの自動修復を有効にする場合は、[クライアント コンピューターの自動修復を有効にする] チェック ボックスがオンになっていることを確認します。
- NAP を完全強制モードで展開した場合は、この準拠しないネットワーク ポリシーで [制限付きアクセスを許可する] がオンになっていることを確認します。
[OK] をクリックします。
IPsec で保護された NAP クライアントからのアクセス要求を評価するために使用する各ネットワーク ポリシーの構成を確認するには、上記の手順を必要に応じて繰り返します。
NAP 強制モード
ネットワーク上で NAP を有効にする際、3 つの強制モードがあります。これらの強制モードを使用して NAP 展開を段階的に実行します。
-
報告モードを有効にするには、準拠している NAP クライアント コンピューターと準拠していない NAP クライアント コンピューターの両方に対して [完全なネットワーク アクセスを許可する] をオンにします。報告モードでは、クライアント コンピューターの正常性状態がログに記録されますが、ネットワーク アクセスは制限されません。準拠しているコンピューターと準拠していないコンピューターの両方が正常性証明書を受信します。
-
遅延強制モードを有効にするには、準拠するネットワーク ポリシーで [完全なネットワーク アクセスを許可する] をオンにし、準拠しないネットワーク ポリシーで [時間を限定して完全なネットワーク アクセスを許可する] をオンにします。また、準拠していないクライアントのアクセスを制限する日付と時刻を指定する必要があります。遅延強制モードでは、クライアント コンピューターがネットワーク正常性要件に準拠しなくなると、すぐに NAP 通知を受信しますが、指定された日付と時刻までアクセスは制限されません。
-
完全強制モードを有効にするには、準拠するネットワーク ポリシーで [完全なネットワーク アクセスを許可する] をオンにし、準拠しないネットワーク ポリシーで [制限付きアクセスを許可する] をオンにします。完全強制モードでは、クライアント コンピューターのネットワーク アクセスは、クライアント コンピューターがネットワーク正常性要件に準拠しなくなると、すぐに制限されます。
正常性ポリシー
正常性ポリシーは、評価対象の SHV と、ネットワークへの接続を試みるコンピューターの構成を検証する際にその SHV を使用する方法を定義します。SHV 検査の結果に基づき、正常性ポリシーによってクライアントの正常性状態が分類されます。準拠しているクライアントの正常性状態に対応する 1 つ以上の正常性ポリシーと、準拠していないクライアントの正常性状態に対応する 1 つ以上の正常性ポリシーが必要です。NAP 正常性ポリシー サーバー上で、準拠する正常性ポリシーと準拠しない正常性ポリシーが構成されていることを確認するには、次の手順を実行します。
正常性ポリシーを確認するには |
NPS コンソールで、[ポリシー] をダブルクリックし、[正常性ポリシー] をクリックします。
詳細ウィンドウの [ポリシー名] で、準拠する正常性ポリシーの名前をダブルクリックします。このポリシーが存在しない場合は、次の手順を実行して、準拠する正常性ポリシーを作成します。
-
[正常性ポリシー] を右クリックし、[新規] をクリックします。
-
[ポリシー名] に、準拠する正常性ポリシーの名前 (たとえば「NAP IPsec with HRA Compliant」) を入力します。
-
[クライアント SHV のチェック対象] で、[すべての SHV チェックにパスしたクライアント] をオンにして厳しい正常性ポリシーを作成するか、[1 つ以上の SHV チェックにパスしたクライアント] をオンにして比較的緩い正常性ポリシーを作成します。
-
[この正常性ポリシーで使用されている SHV] で、クライアントの正常性を評価するために使用する各 SHV の横のチェック ボックスをオンにします。Windows セキュリティ正常性検証ツールは、既定で使用できます。他の SHV がインストールされていればそれらも使用できます。
-
[OK] をクリックします。
-
[正常性ポリシー] を右クリックし、[新規] をクリックします。
[クライアント SHV のチェック対象] で、[すべての SHV チェックにパスしたクライアント] または [1 つ以上の SHV チェックにパスしたクライアント] のいずれかが選択されていることを確認します。これらの条件は、それぞれ、厳しい制限、または比較的緩い制限の準拠するポリシーを作成するために使用されます。
[この正常性ポリシーで使用されている SHV] で、IPsec で保護された NAP クライアント コンピューターの正常性を評価するために使用する、インストール済みの SHV の横のチェック ボックスがオンになっていることを確認し、[OK] をクリックします。
詳細ウィンドウの [ポリシー名] で、準拠しない正常性ポリシーの名前をダブルクリックします。このポリシーが存在しない場合は、次の手順を実行して、準拠しない正常性ポリシーを作成します。
-
[正常性ポリシー] を右クリックし、[新規] をクリックします。
-
[ポリシー名] に、準拠しない正常性ポリシーの名前 (たとえば「NAP IPsec with HRA Noncompliant」) を入力します。
-
[クライアント SHV のチェック対象] で、[1 つ以上の SHV チェックに失敗したクライアント] をオンにして厳しい正常性ポリシーを作成するか、[すべての SHV チェックに失敗したクライアント] をオンにして比較的緩い正常性ポリシーを作成します。
-
[この正常性ポリシーで使用されている SHV] で、クライアントの正常性を評価するために使用する各 SHV の横のチェック ボックスをオンにします。Windows セキュリティ正常性検証ツールは、既定で使用できます。他の SHV がインストールされていればそれらも使用できます。
-
[OK] をクリックします。
-
[正常性ポリシー] を右クリックし、[新規] をクリックします。
[クライアント SHV のチェック対象] で、[1 つ以上の SHV チェックに失敗したクライアント] または [すべての SHV チェックに失敗したクライアント] のいずれかが選択されていることを確認します。これらの条件は、それぞれ、厳しい制限、または比較的緩い制限の準拠しないポリシーを作成するために使用されます。
[この正常性ポリシーで使用されている SHV] で、IPsec で保護された NAP クライアント コンピューターの正常性を評価するために使用する、インストール済みの SHV の横のチェック ボックスがオンになっていることを確認し、[OK] をクリックします。
IPsec で保護された NAP クライアント コンピューターを評価するために使用するすべての正常性ポリシーに対して上記の手順を繰り返します。
SHV
SHV は、ネットワークへの接続を試みるコンピューターのソフトウェアと構成要件を定義します。SHV が環境に合わせて正しく構成されていることを確認するには、次の手順を実行します。
SHV を確認するには |
NPS コンソールで、[ネットワーク アクセス保護] をダブルクリックし、[システム正常性検証ツール] をクリックします。
詳細ウィンドウの [名前] で、インストールされている SHV の名前をダブルクリックします。
SHV の構成は、実装によって異なります。Windows セキュリティ正常性検証ツールを使用している場合は、[構成] をクリックします。
- Windows Vista が動作するコンピューターの正常性要件を構成するには、[Windows Vista] タブをクリックします。
- Windows XP Service Pack 3 が動作するコンピューターの正常性要件を構成するには、[Windows XP] タブをクリックします。
- Windows Vista が動作するコンピューターの正常性要件を構成するには、[Windows Vista] タブをクリックします。
正常性コンポーネントの横のチェック ボックスをオンにすることで、正常性要件を有効にします。要件を無効にするには、これらのチェック ボックスをオフにします。WSHV を使用する場合に利用可能な正常性要件には、[ファイアウォール]、[ウイルス対策]、[スパイウェア対策]、[自動更新]、および [セキュリティ更新プログラムによる保護] があります。
[OK] をクリックして、展開に応じたエラー コードの解決方法を構成します。エラー コードの解決方法により、表示されたエラー条件の下でクライアントが評価される方法が決まります。各条件で [準拠] と [非準拠] のどちらの状態を返すかを選択することができます。
[OK] をクリックし、NPS コンソールを閉じます。
NPS プロキシ構成を確認する
NPS を実行するローカル サーバーの RADIUS プロキシとしての構成を確認するには、次の手順を実行します。この手順は、NPS を実行するローカル サーバーが NAP 正常性ポリシー サーバーとして構成されている場合には適用されません。
NPS プロキシ構成を確認するには |
[スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「nps.msc」と入力して、Enter キーを押します。
コンソール ツリーで、[RADIUS クライアントとサーバー] をダブルクリックし [リモート RADIUS サーバー グループ] をクリックします。
詳細ウィンドウの [グループ名] で、リモート RADIUS サーバー グループの名前をダブルクリックします。リモート RADIUS サーバー グループのエントリが表示されない場合は、次の手順を実行して、リモート RADIUS サーバー グループを追加します。
-
コンソール ツリーで、[RADIUS クライアントとサーバー] の下の [リモート RADIUS サーバー グループ] を右クリックし、[新規] をクリックします。
-
[グループ名] に、リモート RADIUS サーバー グループの名前 (たとえば「NAP Health Policy Server1」) を入力します。
-
[追加] をクリックし、[サーバー] に、ローカル HRA サーバーから転送された NAP IPsec クライアント接続要求を評価するよう構成されている NPS を実行するサーバーの DNS 名または IP アドレスを入力します。
-
[確認]、[解決] の順にクリックします。表示された IP アドレスが正しいことを確認し、[OK] をクリックします。
-
[認証/アカウンティング] タブをクリックします。
-
[共有シークレット] と [共有シークレットの確認入力] に、NAP 正常性ポリシー サーバー上の NPS 設定で構成されているシークレットを入力します。
-
[OK] を 2 回クリックします。
-
コンソール ツリーで、[RADIUS クライアントとサーバー] の下の [リモート RADIUS サーバー グループ] を右クリックし、[新規] をクリックします。
サーバー グループ プロパティ ウィンドウの [RADIUS サーバー] で、リモート RADIUS サーバーの名前をクリックし、[編集] をクリックします。
[アドレス] タブで、[確認] をクリックします。
[クライアントの確認] ダイアログ ボックスで [解決] をクリックします。RADIUS クライアントの IP アドレスが、NPS を実行するローカル サーバーに対応する RADIUS プロキシが構成されている、ネットワーク上の NAP 正常性ポリシー サーバーに対応していることを確認します。
[OK] をクリックし、[認証/アカウンティング] タブをクリックします。
認証ポートとアカウンティング ポートが正しいことを確認します。既定の認証ポートは 1812 で、既定のアカウンティング ポートは 1813 です。
[要求はメッセージ認証属性を含んでいる必要がある] チェック ボックスが、対応するアクセス要求メッセージでメッセージ認証属性を必須とする設定が NAP 正常性ポリシー サーバー上で有効になっている場合にのみオンになっていることを確認します。NAP 正常性ポリシー サーバーでこの属性が必須になっていない場合には、このチェック ボックスをオフにします。
共有シークレットが一致していない疑いがある場合は、[共有シークレット] と [共有シークレットの確認入力] の各フィールドにシークレットを入力し、[OK] を 2 回クリックします。
NPS コンソールで、[ポリシー] をダブルクリックし、[接続要求ポリシー] をクリックします。
詳細ウィンドウで、IPsec で保護された NAP クライアントからの受信ネットワーク アクセス要求を認証するために使用する接続要求ポリシーをダブルクリックします。
[設定] タブをクリックし、[接続要求の転送] で [認証] をクリックします。
[次のリモート RADIUS サーバー グループに要求を転送して認証する] がオンになっていることを確認し、選択されているリモート RADIUS サーバー グループの名前が、ネットワーク上の正しい NAP 正常性ポリシー サーバーに対応していることを確認します。
NPS を実行するすべてのグループとリモート サーバーに対して上記の手順を繰り返します。
NPS コンソールを閉じます。
その他の考慮事項
接続要求ポリシーおよびネットワーク ポリシー内のネットワーク アクセス サーバーの種類が [Unspecified] に設定されていると、NPS はこのポリシーを使用してすべての種類のネットワーク アクセス サーバーから受信したすべての接続要求を評価します。ネットワーク アクセス サーバーの種類が [正常性登録機関] に設定されている場合は、HRA サーバーから転送された接続要求だけがこのポリシーで評価されます。有効な 1 つ以上のポリシーで送信元に [正常性登録機関] が指定されている場合は、IPsec で保護された NAP クライアント ネットワーク アクセス要求を処理する際に、ソースが [Unspecified] に設定されているすべてのポリシーが NPS によって無視されます。