ネットワーク アクセス保護 (NAP) インフラストラクチャには、NAP クライアント コンピューター、NAP 強制ポイント、および NAP 正常性ポリシー サーバーが含まれています。オプションのコンポーネントには修復サーバーおよび正常性要件サーバーがあります。
NAP クライアント コンピューター
ネットワークにアクセスするため、NAP クライアントではまずシステム正常性エージェント (SHA) と呼ばれるローカルにインストールされているソフトウェアから正常性に関する情報を収集します。クライアント コンピューターにインストールされている各 SHA は、現在の設定または監視するように指定されている動作に関する情報を提供します。SHA からの情報は NAP エージェントによって収集されます。これは、ローカル コンピューターで実行されているサービスです。NAP エージェント サービスはコンピューターの正常性の状態を要約し、1 つ以上の NAP 強制クライアントにこの情報を渡します。強制クライアントは、ネットワーク上でアクセスまたは通信を行うために NAP 強制ポイントを操作するソフトウェアです。
NAP 強制ポイント
NAP 強制ポイントは、NAP クライアント コンピューターへのネットワーク アクセスのレベルを提供するサーバーまたはハードウェア デバイスです。各 NAP 強制テクノロジでは、さまざまな種類の NAP 強制ポイントを使用します。次の表を参照してください。
NAP 強制方法 | NAP 強制ポイント |
---|---|
インターネット プロトコル セキュリティ (IPsec) |
正常性登録機関 (HRA) およびネットワーク ポリシー サーバー (NPS) |
802.1X |
スイッチ (ワイヤード) またはワイヤレス アクセス ポイント (ワイヤレス) |
VPN |
RRAS |
DHCP |
DHCP および NPS |
リモート デスクトップ ゲートウェイ (RD ゲートウェイ) |
RD ゲートウェイおよび NPS |
NAP 強制ポイントが Windows Server 2008 または Windows Server 2008 R2 を実行している場合は、NAP 強制サーバーと呼ばれます。NAP 強制サーバーはすべて Windows Server 2008 または Windows Server 2008 R2 を実行している必要があります。802.1X 強制を使用する NAP では、NAP 強制ポイントは IEEE 802.1X に準拠したスイッチまたはワイヤレス アクセス ポイントです。また、IPsec、DHCP、および RD ゲートウェイ強制方法に対応する NAP 強制サーバーは、RADIUS プロキシまたは NAP 正常性ポリシー サーバーのいずれかとして構成されている NPS を実行している必要があります。VPN 強制を使用する NAP では、VPN サーバー上に NPS がインストールされている必要はありません。
NAP 正常性ポリシー サーバー
NAP 正常性ポリシー サーバーは、NAP クライアント コンピューターの正常性を評価するための NPS ロール サービスがインストールおよび構成されている Windows Server 2008 または Windows Server 2008 R2 を実行するコンピューターです。すべての NAP 強制テクノロジには、少なくとも 1 つの正常性ポリシー サーバーが必要です。NAP 正常性ポリシー サーバーでは、ポリシーと設定を使用して、NAP クライアント コンピューターによって発行されたネットワーク アクセス要求を評価します。
NAP 修復サーバー
NAP 修復サーバーでは、準拠していないクライアント コンピューターに更新プログラムおよびサービスを提供します。修復ネットワークの設計によっては、準拠しているコンピューターも修復サーバーにアクセスできる場合があります。次に、NAP 修復サーバーの例をいくつか示します。
-
ウイルス対策署名サーバー。正常性ポリシーによって、コンピューターに最新のウイルス対策署名が必要であるとされている場合、非準拠のコンピューターは、これらの更新プログラムを提供するサーバーにアクセスできる必要があります。
-
Windows Server Update Services。正常性ポリシーによって、コンピューターに最新のセキュリティ更新プログラムまたはその他のソフトウェアの更新プログラムが必要であるとされている場合、修復ネットワーク上に WSUS を配置することにより、これらのプログラムを提供することができます。
-
System Center コンポーネント サーバー。System Center 構成マネージャーの管理ポイント、ソフトウェア更新ポイント、および配布ポイントは、コンピューターを準拠させるために必要なソフトウェア更新プログラムをホストしています。構成マネージャーを使用して NAP を展開する場合、NAP 対応のコンピューターでは、クライアント ポリシーのダウンロード、ソフトウエア更新プログラムが準拠しているかどうかのスキャン、および必要なソフトウェア更新プログラムのダウンロードのために、これらのサイトのシステムの役割を実行するコンピューターへのアクセスが必要です。
-
ドメイン コントローラー。非準拠のコンピューターでは、認証、グループ ポリシーからのポリシーのダウンロード、またはドメイン プロファイル設定の維持のために準拠していないネットワーク上のドメイン サービスにアクセスできる必要がある場合があります。
-
DNS サーバー。非準拠のコンピューターはホスト名を解決するために DNS にアクセスできる必要があります。
-
DHCP サーバー。準拠していないネットワークでクライアントの IP プロファイルが変更された場合、または DHCP のリースの期限が切れた場合、非準拠のコンピューターは DHCP サーバーにアクセスできる必要があります。
-
トラブルシューティング サーバー。修復サーバー グループを構成する際に、コンピューターを正常性ポリシーに準拠させる方法の手順を示すトラブルプシューティング URL を提供するオプションがあります。各ネットワーク ポリシーに対して異なる URL を提供することができます。これらの URL に修復ネットワーク上でアクセスできる必要があります。
-
その他のサービス。非準拠のコンピューターが Windows Update およびその他のインターネット リソースなどの修復サービスにアクセスできるように、修復ネットワーク上でインターネットへのアクセスを提供できます。
NAP 正常性要件サーバー
正常性要件サーバーは、正常性ポリシー要件および正常性評価情報を 1 つ以上のシステム正常性検査ツール (SHV) に提供するコンピューターです。NAP クライアント コンピューターによってレポートされた正常性状態を別のデバイスを参照することなく NPS によって検証できる場合は、正常性要件サーバーは必要ありません。たとえば、Windows セキュリティ正常性検証ツール (WSHV) を併用する場合、WSUS は正常性要件サーバーとは見なされません。管理者が WSUS を使用してクライアント コンピューターが必要とする更新プログラムを指定できる場合でも、これらの更新プログラムがインストール済みであるかどうかを報告するのはそのクライアント コンピューターです。このシナリオでは、WSUS は修復サーバーですが、正常性要件サーバーではありません。
構成マネージャー SHV を備える NAP を展開する場合、正常性要件サーバーが使用されます。構成マネージャー SHV はグローバル カタログ サーバーと通信し、Active Directory ドメイン サービス (AD DS) に発行されている正常性状態の参照を確認することにより、クライアントの正常性状態を検証します。したがって、構成マネージャー SHV を展開した場合は、ドメイン コントローラーが正常性要件サーバーです。また、その他の SHV が正常性要件サーバーを使用する場合もあります。