• [アーティクル]

NAP 対応の環境におけるオペレーティング システムの展開の計画

 

適用対象: System Center 2012 Configuration Manager,System Center 2012 Configuration Manager SP1,System Center 2012 Configuration Manager SP2,System Center 2012 R2 Configuration Manager,System Center 2012 R2 Configuration Manager SP1

ネットワーク アクセス保護 (NAP) を使用している環境にオペレーティング システムおよび System Center 2012 Configuration Manager クライアントを展開するときは、追加の構成手順が必要になります。 ネットワーク アクセス保護向けにオペレーティング システムの展開を適切に構成できなかった場合は、新しく展開されるコンピューターによるネットワーク アクセスが制限され、修復できないことがあります。

Windows Vista および Windows Server 2008 を実行するクライアントは最初からネットワーク アクセス保護をサポートしていますが、Windows XP を実行するコンピューターは最初からネットワーク アクセス保護をサポートしているわけではないので、ネットワーク アクセス保護クライアントを追加でインストールする必要があります。 Windows XP を実行するネットワーク アクセス保護クライアントの詳細については、「Network Access Protection (ネットワーク アクセスの保護)」のWeb サイトを参照してください。

ネットワーク アクセス保護では、IPsec、802.1X、VPN、DHCP など多くの実施メカニズムをサポートします。 各実施メカニズムでは、それぞれのネットワーク アクセス保護実施クライアントを有効にし、Windows ネットワーク アクセス保護サービスを起動および自動起動するように構成する必要です。Configuration Manager のネットワーク アクセス保護とソフトウェアの更新プログラムを使用する前提条件の詳細については、「Configuration Manager でのソフトウェア更新の前提条件」を参照してください。

実施メカニズムと Windows ネットワーク アクセス保護サービスが有効であること、および NAP 対応の環境にオペレーティング システムを展開するときに Configuration Manager クライアントと正しく通信できることを確認するには、次のセクションの手順に従ってください。

参照コンピューターがネットワーク アクセス保護向けに構成される

次のシナリオは、すべてのオペレーティング システムの展開が NAP 対応の環境で同じ NAP 実施メカニズムを使用して行なわれる場合に適しています。

  1. オペレーティング システム、Service Pack、セキュリティの更新、アプリケーション、設定、ツール、およびデスクトップのカスタマイズを行い、参照コンピューターを構成します。

  2. オペレーティング システムが Windows XP の場合は、Windows XP のネットワーク アクセス保護クライアントをインストールします。

  3. 適切なネットワーク アクセス保護実施クライアントを有効にします。

  4. Windows ネットワーク アクセス保護サービスが自動的に起動するように構成して、サービスを起動します。

  5. キャプチャ メディアを使用して、オペレーティング システム イメージをキャプチャします。

  6. キャプチャしたイメージを参照するタスク シーケンスを作成します。

  7. タスク シーケンスを展開先コンピューターに展開します。

この構成では、新しく展開されるコンピューターでネットワーク アクセス保護実施クライアントおよび Windows ネットワーク アクセス保護サービスが自動的に起動します。これらはイメージの一部であるためです。 また、Configuration Manager クライアントを Windows ネットワーク アクセス保護サービスに確実に結合できるように、Configuration Manager クライアントのインストール時には既にこれらが実行中の状態になります。

参照コンピューターがネットワーク アクセス保護向けに構成されない

次のシナリオは、一部のコンピューターだけが NAP 対応の環境にインストールされる場合、またはネットワーク アクセス保護の構成を既存のキャプチャ済みイメージに追加する必要がある場合に適しています。

  1. オペレーティング システム、Service Pack、セキュリティの更新、アプリケーション、設定、ツール、およびデスクトップのカスタマイズを行い、参照コンピューターを構成します。

  2. キャプチャ メディアを使用して、オペレーティング システム イメージをキャプチャします。

  3. キャプチャしたイメージを参照する展開タスク シーケンスを作成します。

  4. オペレーティング システムが Windows XP の場合は、Windows XP のネットワーク アクセス保護クライアントをインストールするために、新しく展開されるオペレーティング システムで実行される、タスク シーケンス ステップを追加します。

  5. 適切なネットワーク アクセス保護実施クライアントを有効にするために、新しく展開されるオペレーティング システムで実行される、カスタム タスク シーケンス ステップを追加します。

    [!メモ]

    コマンド ライン ユーティリティ netsh nap client set enforcement <enforcement ID> enable を使用します。 詳細については、Windows ネットワーク アクセス保護のドキュメントを参照してください。 現行の構成で、実施クライアントがグループ ポリシーで構成されていることを確認します。

  6. Windows ネットワーク アクセス保護サービスが自動的に起動するように構成するため、新しく展開されるオペレーティング システムで実行されるタスク シーケンス ステップを追加し、サービスを開始します。

    [!メモ]

    現行の構成で、このサービスがグループ ポリシーで構成されていることを確認します。

  7. コンピューターを再起動するタスク シーケンス ステップを追加します。

    [!メモ]

    この再起動は、Configuration Manager クライアントの起動時に実施クライアントおよび Windows ネットワーク アクセス保護サービスが既に実行中であるようにするために必要です。これによって、Configuration Manager クライアントが Windows ネットワーク アクセス保護サービスと正しく結合できます。

  8. タスク シーケンスを展開先コンピューターに展開します。