修復サーバー グループは、正常性要件に準拠するために正常性の状態を修復する目的で、準拠していないネットワーク アクセス保護 (NAP) クライアントで使用できるサーバーを指定するために使用されます。必要な修復サーバーの種類は、正常性要件およびネットワーク アクセス方法によって異なります。

修復サーバーは準拠していないコンピューターに更新プログラムを提供するだけではありません。準拠していないコンピューターが、正常性を更新するため、または、制限された状態にある場合に限定された一連のタスクを実行するために必要とするネットワーク サービスも提供できます。たとえば、修復サーバーは準拠していない VLAN に配置されたコンピューターに対して DHCP サービスを提供できます。また、修復サーバーはコンピューターを準拠させるために実行する手順を提供する Web サイトをホストする場合もあります。

修復サーバーは準拠しているコンピューターおよび準拠していないコンピューターの両方、または準拠していないコンピューターのみにアクセスすることができます。修復サーバーへのアクセスを提供する方法は、NAP 強制方法によって異なります。

IPsec 強制

インターネット プロトコル セキュリティ (IPsec) 強制設計では、修復サーバーは IPsec の論理境界ネットワーク内に配置されている必要があります。修復サーバーが準拠していないコンピューターと自由に通信できるように、修復サーバーに NAP 除外証明書を発行して、IPsec ポリシーを構成する必要があります。NAP と IPsec 強制を使用する場合は、NPS コンソールで修復サーバー グループ内に修復サーバーを配置しても、これらのサーバーへのアクセスには影響しません。

802.1X 強制

802.1X 強制設計では、修復サーバーの配置は、準拠していないクライアントのネットワーク アクセスを制限するために仮想 LAN (VLAN) またはアクセス制御リスト (ACL) を使用しているかどうかよって異なります。NAP 強制ポイントでは、これら両方または 1 つだけをサポートできます。

  • VLAN で使用する 802.1X 強制。修復サーバーは、準拠していない VLAN 上に配置する必要があります。また、アクセスは VLAN 間ルーティング メソッドを介して提供する必要があります。修復サーバーが準拠している NAP クライント コンピューターにもアクセスできる必要がある場合は、修復サーバーをトランク ポートまたはデュアルホーム上に配置して、複数の VLAN へのアクセスを提供する必要があります。

  • ACL で使用する 802.1X 強制。準拠していないコンピューターへのアクセスは、修復サーバーの IP アドレスおよびサービス ポート番号のみに制限されます。

NAP を 802.1X 強制と併用している場合は、NPS コンソール内の修復サーバー グループ内に修復サーバーを配置しても、これらのサーバーへのアクセスには影響しません。

VPN 強制

VPN 強制設計では、修復サーバーへのアクセスを提供する 2 つの方法として、修復サーバー グループと IP フィルターを使用することができます。これらの両方の方法を使用すると、修復サーバーへのアクセスを準拠していない NAP クライアントに提供することができます。修復サーバー グループを構成する場合は、準拠していない NAP クライアント コンピューターに一覧内の各サーバーの IP アドレスへのアクセスが自動的に付与されます。IP フィルターには、指定されたサービス ポート番号のみへのアクセスを付与することを指定できる機能が追加されています。

重要

修復サーバー グループまたは IP フィルターが VPN 強制の準拠していないネットワーク ポリシー内に構成されている場合は、準拠していない NAP クライアント コンピューターへの完全なネットワーク アクセスが付与されます。

DHCP 強制

DHCP 強制設計では、準拠していない NAP クライアント コンピューターには、NPS コンソールを使用して修復サーバー グループ内に構成されている各メンバー デバイスへのクラスレス静的ホスト ルートが提供されます。修復サーバーが NAP クライアントが表示されているサブネットとは異なるサブネットにある場合は、DHCP サーバーは既定の NAP クラスの 003 ルーター オプションを使用して、準拠していないコンピューターに修復サーバーへの静的ホスト ルートを提供します。このスコープ オプションで構成されているルーティング デバイスは準拠していない NAP クライアントから修復サーバーに要求を転送できる必要があります。また、既定の NAP クラスのスコープ オプション 121 を使用して修復サーバーへのクラスレス静的ホスト ルートを構成することができます。

RD ゲートウェイ強制

NAP とリモート デスクトップ ゲートウェイ (RD ゲートウェイ) 強制を併用する場合は、修復サーバー グループの使用はサポートされません。修復サーバーが必要な場合は、RD ゲートウェイ強制サーバーに接続する前にクライアント コンピューターで修復サーバーを使用できるようにする必要があります。

その他の参照情報


目次