皆様、こんにちは。
DHCP (Dynamic Host Configuration Protocol) サーバーと NAP (Network Access Protection) をご利用いただく際、NAP クライアントの検疫動作について制限となる動作をご報告致します。
DHCP サーバーにおいて、NAP 強制を構成する方法を下記サイトにて公開しております。
・チェックリスト : DHCP の NAP 強制を構成する
https://technet.microsoft.com/ja-jp/library/cc772356(v=ws.10).aspx
また、Windows Server 2008 R2 環境において冗長構成を実現する方法として、ブログ情報を下記サイトにて公開しております。
・NAP internal-4 ~ 予期しない検疫チェックの結果: DHCP サービスのタイムアウト編 ~
http://blogs.technet.com/b/jpntsblog/archive/2010/06/21/nap-internal-4-dhcp.aspx
・Tech Net Blog – "Windows Server 使い倒し塾" – NAP DHCP におけるサーバーの冗長化構成
http://blogs.technet.com/b/windowsserverjp/archive/2010/06/16/3338303.aspx
Windows Server 2012 以降、DHCP サーバーの冗長化を実現する方法として、DHCP フェールオーバーの機能が実装されました。
上記ブログの構成を、DHCP フェールオーバーで構成する場合、下記に示す挙動が確認できております。
当該挙動については現時点 (2016/3/4 時点) で NAP 強制利用時の機能制限となることが判明しておりますので、下記のような構成をご検討中の場合には予めご考慮下さいますようお願い申し上げます。
DHCP フェールオーバー状態: 正常
※ 上記状態においては、赤線に記載される NAP クライアントのユニキャストに対し、DHCP サーバー (アクティブ) が正常に応答を返します。
DHCP フェールオーバー状態: パートナー停止中
※ 上記状態において、NAP クライアントに IP アドレスがリースされますが、NAP 検疫動作によって送信される赤線部分のユニキャスト パケットは DHCP サーバー (スタンバイ) によって破棄されます。
この動作は、以下公開情報に記載されますように、DHCP フェールオーバー スタンバイ側の仕様動作となります。
・DHCP Failover Protocol
http://tools.ietf.org/html/draft-ietf-dhc-failover-12
※ 3.1.1. および 3.1.2. に該当致します。
これによって、NAP クライアント側のネットワーク アクセスが制限される場合がございます。
当該制限を回避しつつ、DHCP サーバーおよび NPS サーバーの冗長構成を実現したい場合、DHCP フェールオーバーを使用せず、それぞれ DHCP 兼 NPS サーバーを単体で複数台構成し、全クラアントの IP アドレスを予約レコードとして登録することで実現可能です。
ご検討いただけますと幸いです。