詳細設定を使用して単一の DirectAccess サーバーを展開する
適用対象: Windows Server 2012 R2,Windows Server 2012
このトピックでは、単一の DirectAccess サーバーで詳細設定を使用して DirectAccess を展開できる DirectAccess シナリオを紹介します。
基本的な DirectAccess とエンタープライズ環境向けの DirectAccess も展開できます。 代わりのデプロイ パスについては、「Windows Server の DirectAccess 展開パス」を参照してください。
単純な設定のみを使用して基本的なデプロイを構成する場合は、「作業の開始ウィザードを使用した単一の DirectAccess サーバーの展開」を参照してください。 単純なシナリオでは、DirectAccess はウィザードで規定の設定を使用して構成され、証明機関 (CA) または Active Directory セキュリティ グループなどのインフラストラクチャ設定の構成は必要ありません。
負荷分散クラスター、マルチサイト デプロイ、2 要素クライアント認証などのエンタープライズ ネットワーク機能を使用して DirectAccess を構成する場合は、このトピックで説明しているシナリオを完了して、単一のサーバーを構成した後、「企業でのリモート アクセスの展開」で説明するように、エンタープライズ シナリオを実装します。
重要
このガイドを使用して DirectAccess をデプロイするには、Windows Server® 2012 R2 または Windows Server® 2012 を実行している DirectAccess サーバーを使用する必要があります。
このシナリオの内容
詳細設定を使用して単一の DirectAccess サーバーを設定するには、いくつかの計画と展開の手順を完了する必要があります。
前提条件
開始する前に、次の要件を確認してください。
すべてのプロファイルで Windows ファイアウォールが有効になっている必要があります。
DirectAccess サーバーは、ネットワーク ロケーション サーバーです。
DirectAccess サーバーをインストールするドメインでは、すべてのワイヤレス コンピューターを DirectAccess 対応にします。 DirectAccess を展開すると、現在のドメインのすべてのモバイル コンピューターで DirectAccess が自動的に有効になります。
重要
一部のテクノロジと構成は、DirectAccess を展開した時点ではサポートされていません。
-
企業ネットワークで ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) はサポートされていません。 ISATAP を使用している場合は、削除してネイティブ IPv6 を使用する必要があります。
計画の手順
計画は 2 つのフェーズに分かれています。
DirectAccess インフラストラクチャの計画: このフェーズでは、DirectAccess 展開を開始する前に設定する必要があるネットワーク インフラストラクチャの計画について説明します。 これには、ネットワークとサーバーのトポロジ、証明書の計画、DNS、Active Directory とグループ ポリシー オブジェクト (GPO) の構成、DirectAccess ネットワーク ロケーション サーバーの計画が含まれます。
DirectAccess 展開の計画: このフェーズでは、DirectAccess 展開の準備に必要な計画手順について説明します。 これには、DirectAccess クライアント コンピューター、サーバーとクライアントの認証要件、VPN の設定、インフラストラクチャ サーバー、管理サーバーとアプリケーション サーバーの計画が含まれます。
詳細な計画手順については、「高度な DirectAccess 展開を計画する」を参照してください。
展開の手順
展開は 3 つのフェーズに分かれています。
DirectAccess インフラストラクチャの構成: このフェーズでは、ネットワークとルーティングの構成、ファイアウォール設定の構成 (必要な場合)、証明書、DNS サーバー、Active Directory と GPO の設定、DirectAccess ネットワーク ロケーション サーバーの構成を行います。
DirectAccess サーバー設定の構成: このフェーズでは、DirectAccess クライアント コンピューター、DirectAccess サーバー、インフラストラクチャ サーバー、管理サーバーとアプリケーション サーバーの構成を行います。
展開の確認: このフェーズでは、DirectAccess 展開を確認します。
詳細なデプロイ手順については、「高度な DirectAccess のインストールと構成」を参照してください。
実際の適用例
単一の DirectAccess サーバーを展開すると、次のことが実現されます。
簡単操作:Windows® 8.1、Windows® 8、および Windows® 7 が搭載されている管理対象のクライアント コンピューターを、DirectAccess クライアント コンピューターとして構成できます。 そうしたクライアントは、インターネット上に存在しているときは、VPN 接続にログインしなくても、DirectAccess を経由して内部ネットワーク リソースにアクセスできます。 これらのオペレーティング システムが実行されていないクライアント コンピューターは、VPN 経由で内部ネットワークに接続できます。
簡単な管理: リモート アクセス管理者は、クライアント コンピューターが企業内部ネットワーク上に存在しない場合でも、インターネット上に存在する DirectAccess クライアント コンピューターを DirectAccess 経由でリモート管理できます。 企業の要件を満たしていないクライアント コンピューターを管理サーバーによって自動的に修正できます。 DirectAccess と VPN は両方とも同じコンソールで管理され、同じウィザードを使用します。 さらに、単一のリモート アクセス管理コンソールから 1 台以上の DirectAccess サーバーを管理できます。
このシナリオに必要な役割と機能
次の表に、このシナリオに必要な役割と機能を示します。
役割/機能 |
このシナリオのサポート方法 |
---|---|
リモート アクセスの役割 |
この役割をインストールまたはアンインストールするには、サーバー マネージャー コンソールまたは Windows PowerShell を使用します。 この役割には、DirectAccess サービス、ルーティングとリモート アクセス サービス (RRAS) が含まれます。 リモート アクセスの役割は、次の 2 つのコンポーネントで構成されています。
リモート アクセス サーバーの役割は、次のサーバーの役割や機能に依存しています。
|
リモート アクセス管理ツールの機能 |
この機能は、次のようにインストールされます。
リモート アクセス管理ツールの機能は、次の要素で構成されています。
次の要素と依存関係があります。
|
ハードウェア要件
このシナリオのハードウェア要件は次のとおりです。
サーバーの要件:
Windows Server 2012 のハードウェア要件を満たしているコンピューター。
サーバーには、少なくとも 1 つのネットワーク アダプターがあり、有効にされて内部ネットワークに接続されている必要があります。 アダプターを 2 つ使用する場合は、一方を企業内部ネットワークに接続し、もう一方を外部ネットワーク (インターネットまたはプライベート ネットワーク) に接続します。
IPv4 から IPv6 への移行プロトコルとして Teredo が必要な場合、サーバーの外部アダプターには連続する 2 つのパブリック IPv4 アドレスが必要です。 利用できる IP アドレスが 1 つの場合、移行プロトコルとして使用できるのは IP-HTTPS だけです。
少なくとも 1 つのドメイン コントローラー。 DirectAccess サーバーと DirectAccess クライアントはドメインのメンバーである必要があります。
IP-HTTPS またはネットワーク ロケーション サーバー用の自己署名証明書を使用しない場合、またはクライアントの IPsec 認証にクライアント証明書を使用する場合は、証明機関 (CA) が必要です。 あるいは、公的 CA に証明書を要求できます。
ネットワーク ロケーション サーバーが DirectAccess サーバーに配置されていない場合は、それを実行する別の Web サーバーが必要です。
クライアントの要件:
クライアント コンピューターでは、Windows 8 または Windows 7 が実行されている必要があります。
注意
DirectAccess クライアントとして使用できるオペレーティング システムは、Windows Server 2012、Windows Server 2008 R2、Windows 8 Enterprise、Windows 7 Enterprise、および Windows 7 Ultimate だけです。
インフラストラクチャと管理サーバーの要件:
DirectAccess クライアント コンピューターのリモート管理時に、クライアントは、Windows およびウイルス対策の更新、クライアントのネットワーク アクセス保護 (NAP) 準拠などのサービスのために管理サーバー (ドメイン コントローラー、System Center Configuration サーバー、正常性登録機関 (HRA) サーバーなど) と通信を開始します。 リモート アクセスの展開を開始する前に、必要なサーバーを展開する必要があります。
リモート アクセスでクライアントが NAP に準拠している必要がある場合は、リモート アクセスの展開を開始する前に、NPS および HRS サーバーを展開する必要があります。
VPN が有効になっており、静的アドレス プールを使用しない場合は、VPN クライアントに IP アドレスを自動的に割り当てるために DHCP サーバーが必要です。
ソフトウェア要件
このシナリオには、さまざまな要件があります。
サーバーの要件:
DirectAccess サーバーはドメイン メンバーである必要があります。 サーバーは、内部ネットワークのエッジに展開することも、エッジ ファイアウォールまたは他のデバイスの内側に配置することもできます。
DirectAccess サーバーがエッジ ファイアウォール内または NAT デバイスの内側に配置されている場合は、DirectAccess サーバーとの間で送受信されるトラフィックを許可するようにデバイスを構成する必要があります。
サーバーにリモート アクセスを展開する担当者には、サーバーに対するローカルの管理者のアクセス許可およびドメイン ユーザーのアクセス許可が必要です。 また、管理者には DirectAccess 展開で使用される GPO に対するアクセス許可も必要です。 DirectAccess 展開をモバイル コンピューターのみに制限する機能を利用するには、ドメイン コントローラーで WMI フィルターを作成するアクセス許可が必要です。
リモート アクセス クライアントの要件:
DirectAccess クライアントは、ドメイン メンバーである必要があります。 クライアントが含まれているドメインは、DirectAccess サーバーと同じフォレストに属することや、DirectAccess サーバーのフォレストまたはドメインと双方向の信頼を確立することができます。
DirectAccess クライアントとして構成するコンピューターが属する Active Directory セキュリティ グループが必要です。 DirectAccess クライアントの設定の構成時にセキュリティ グループを指定しなかった場合、既定では、Domain Computers セキュリティ グループのすべてのノート PC にクライアントの GPO が適用されます。 DirectAccess クライアントとして使用できるオペレーティング システムは、Windows Server 2012 R2、Windows 8.1 Enterprise、Windows Server 2012、Windows 8 Enterprise、Windows Server 2008 R2、Windows 7 Enterprise、Windows 7 Ultimate です。
注意
DirectAccess クライアント コンピューターを含むそれぞれのドメインにセキュリティ グループを作成することをお勧めします。
重要
DirectAccess のデプロイで Teredo を有効にしていて、Windows 7 クライアントへのアクセスを付与する場合は、クライアントが Windows 7 SP1 にアップグレードされていることを確認してください。Windows 7 RTM を使用しているクライアントは、Teredo で接続することができません。 ただし、これらのクライアントでも IP-HTTPS で企業ネットワークに接続することはできます。
関連項目
次の表に、関連リソースへのリンクを示します。
コンテンツの種類 |
参考資料 |
---|---|
TechNet 内のリモート アクセス |
|
製品評価 |
テスト ラボ ガイド: Windows NLB を使用するクラスターでの DirectAccess のデモンストレーション テスト ラボ ガイド:DirectAccess のマルチサイト展開をデモンストレーションします。 テスト ラボ ガイド:OTP 認証と RSA SecurID を使用した DirectAccess をデモンストレーションします。 |
展開 |
Windows Server の DirectAccess 展開パス |
ツールと設定 |
|
コミュニティ リソース |
|
関連テクノロジ |