Cable GuyDirectAccess とシン エッジ ネットワーク

Joseph Davies

この記事には、プレリリース コードに基づいている部分があります。ここに記載されているすべての情報は、変更される場合があります。

目次

インターネットを経由するトラフィックの保護
エンド ツー エンドのアドレス指定と接続
双方向接続とリモート クライアントの管理
ファイアウォールと Web プロキシ トラバーサル
イントラネット上かインターネット上かの判断
イントラネットのインターネット トラフィックからの分離
まとめ

リモート ユーザーがイントラネットのリソースを使用できるようにするために、現在、一般的な組織のネットワークでは、さまざまな種類のリモート アクセスを行うサーバーを配置した、なんらかのエッジ ネットワークを採用しています。このようなサーバーには、仮想プライベート ネットワーク (VPN) サーバーやコンセントレータ、ターミナル サーバー (TS) ゲートウェイ サーバー、または各種アプリケーション エッジ サーバー (マイクロソフトの Outlook Web Access (OWA) など) があります。

インターネットは非常に危険なネットワーク環境であるため、イントラネットをインターネットから分離するために、このようなエッジ ネットワークが存在します。この分離を行わず、しかも十分なセキュリティ システムがないままに、イントラネットをインターネットに直接接続すると、即座に新たな一連の仕事が発生してしまいます。しかし、このような分離によって、リモート ユーザーの操作が複雑になります。

リモート ユーザーがイントラネット リソースとインターネット リソースの両方にシームレスにアクセスできるようにする際に、イントラネットを直接インターネットに接続するという方法が実践的ではない場合、リモート ユーザーをイントラネットとインターネットの両方にシームレスに接続するというソリューションになります。

Windows Server 2008 のルーティングとリモート アクセスなど、現在のリモート アクセス VPN ソリューションは、ユーザーが開始したイントラネットへのレイヤー 2 接続により、このようなソリューションの実現を図っています。ただし、リモート アクセス VPN 接続は、接続と再接続にユーザーの操作を必要とするため、シームレスであるとは言えません。また、大半の VPN 展開では、VPN クライアント コンピュータがインターネットに接続されるか (VPN 接続がアクティブでない場合)、イントラネットに接続されるか (VPN 接続がアクティブな場合) のいずれかになり、両方の接続が同時に確立されることはありません。

VPN 接続でのインターネットとイントラネットへの同時アクセスの問題は、インターネット トラフィックをイントラネット経由で送信するか、分割トンネル ルーティングを構成してインターネットとイントラネット トラフィックを分離することで解決できます。ただし、インターネット トラフィックをイントラネット経由で送信すると、接続している VPN クライアントのインターネット アクセスが遅くなります。また、分割トンネル ルートの設定とメンテナンスは、管理上困難であることが考えられます。

現在の VPN ソリューションのまた別の問題は、リモート コンピュータからイントラネットには断続的にしか接続されないことです。ユーザーが接続を開始するモデルでは、IT 管理者が最新の更新プログラムやセキュリティ ポリシーを適用するという点で、リモート コンピュータの管理が困難になります。リモート コンピュータの管理は、VPN 接続が完了する前に、システム正常性の更新プログラムの有無を確認し、適用を義務付けることで容易にすることができます。しかし、このような要件を設定すると、VPN 接続処理にかなりの待ち時間が発生します。

Windows 7 および Windows Server 2008 R2 で新たに導入された DirectAccess によって、ソリューションに一歩近づくことができました。リモート クライアントは、運用時の管理オーバヘッドを追加することも、パフォーマンスやセキュリティを犠牲にすることもなく、イントラネット リソースとインターネット リソースの両方にシームレスに同時にアクセスできます。

DirectAccess を使用すると、リモート アクセス サーバーとアプリケーション エッジ サーバーへの依存度を軽減できます。これが、シン エッジ ネットワークという概念につながります。たとえば、DirectAccess クライアントは直接イントラネット上のリソース サーバーにアクセスできるようになるため、VPN インフラストラクチャを縮小できます。図 1 に示すように、DirectAccess によってエッジ ネットワークの形を変えることができます。ただし、このためには、いくつものエンジニアリング上の問題を解決する必要がありました。

fig01.gif

図 1 DirectAccess によるエッジ ネットワーク形式の変化

インターネットを経由するトラフィックの保護

DirectAccess は、トンネルおよびトランスポート モードでインターネット プロトコル セキュリティ (IPsec) を使用して、接続してくるコンピュータを認証し、インターネット経由で DirectAccess サーバーと交換されるトラフィックを保護します。既存の VPN ソリューションでは IPsec 暗号化も使用されます。Windows 7 を実行するコンピュータには、接続セキュリティの規則を使用して、IPsec 保護を指定できます。これは、セキュリティが強化された Windows ファイアウォールのグループ ポリシー設定を利用して、一元的に構成できます。

エンド ツー エンドのアドレス指定と接続

パブリック IPv4 アドレス空間は不足しており、ISP およびイントラネットではプライベート IPv4 アドレス空間が再利用されるため、IPv4 を使用する場合は、グローバルに一意なアドレスを使用したエンド ツー エンドの接続をリモート クライアントに提供することはできません。そこで、IPv6 がソリューションになります。IPv6 では、グローバルに一意なアドレスを指定することができ、インターネットとイントラネット トラフィックの分離が容易になります。IPv6 接続は、DirectAccess の要件の 1 つです。DirectAccess クライアントがアクセスできるリソースは、IPv6 を使用してアクセスできるリソースのみです。したがって、イントラネットは、ネイティブにIPv6 に対応しているか、Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) を展開することで、IPv6 に対応している必要があります。また、DirectAccess クライアントは、ネットワーク アドレス変換 - プロトコル変換 (NAT-PT) デバイスを利用して、イントラネット上の IPv4 にしか対応していないリソースにもアクセスできます。

トラフィックの転送

架空の企業 Contoso Corporation では、すべてのイントラネット リソース名に DNS 名前空間 corp.contoso.com が使用されており、イントラネット DNS サーバーとして FDA5:2C09:1F3C:E215::1 および FDA5:2C09:1F3C:E215::2 が展開されているとします。

この場合、Contoso の DirectAccess クライアントの NRPT には、次のようなエントリが含まれます。名前空間は .corp.contoso.com、DNS サーバーは FDA5:2C09:1F3C:E215::1、FDA5:2C09:1F3C:E215::2 です。

ユーザーが Microsoft Outlook を実行し、EXCHNG071 電子メール サーバーへの接続を試みる場合、TCP/IP スタックがコンピュータのドメイン サフィックス (corp.contoso.com.) を電子メール サーバー名の最後に追加して、exchng071.corp.contoso.com とします。この名前が NRPT の情報と比較されます。この名前は .corp.contoso.com のエントリに一致するため、DirectAccess クライアントが、DNS 名の照会要求をイントラネット DNS サーバー (FDA5:2C09:1F3C:E215::1 および FDA5:2C09:1F3C:E215::2) に送信します。Microsoft Outlook は DNS 名の照会応答によって返された IPv6 アドレスを使用して、直接イントラネット Exchange サーバーに接続します。

Contoso の IT 部門では、ユーザーを Windows 7 および DirectAccess に移行する間、OWA サーバーをエッジ ネットワーク内に保持することにしたとします。DirectAccess クライアントのユーザーが Internet Explorer を使用して、アドレスが https://exmail.contoso.com/exchange/ である OWA サーバーにアクセスした場合、TCP/IP スタックは DNS 名 exmail.contoso.com の解決を試みます。この名前が NRPT の情報と比較されます。この名前は NRPT のエントリと一致しないため、DNS 名の照会要求はインターネットの DNS サーバーに送られ、Internet Explorer は、エッジ ネットワーク内の OWA サーバーに直接接続します。

双方向接続とリモート クライアントの管理

DirectAccess クライアントは、コンピュータの起動時に DirectAccess サーバーへの接続を試みます。イントラネット リソースの接続には、ユーザーのログオン時に別の資格情報のセットが使用されます。DirectAccess が一般的な VPN 接続と異なる重要な点は、DirectAccess クライアント コンピュータは常にイントラネット ドメインに接続、登録、およびログオンすることです。これで、IT 部門はリモート コンピュータをイントラネット接続コンピュータと同様に管理できるようになります。更新プログラムのインストール、グループ ポリシー設定の反映、その他の変更などを継続的に実行でき、リモート コンピュータのシステム構成と正常性を維持できます。

ファイアウォールと Web プロキシ トラバーサル

IPv6 は、まだ初期のレイヤー 3 トランスポートであり、ほとんどのリモート コンピュータは IPv4 インターネット経由で通信しているため、DirectAccess クライアント コンピュータは、DirectAccess サーバーとの通信に 6to4 IPv6 移行テクノロジおよび Teredo IPv6 移行テクノロジを使用します。ただし、Web プロキシ サーバーと一部のファイアウォールは、6to4 および Teredo によってカプセル化されたトラフィックを転送しません。この場合、DirectAccess クライアントは IP-HTTPS を使用します。これは、Windows 7 と Windows Server 2008 R2 で導入される新しいプロトコルで、IPv4 ベースの HTTPS セッション内で IPv6 パケットをトンネリングします。

イントラネット上かインターネット上かの判断

DirectAccess クライアントは、イントラネットへの直接接続によってのみアクセスできるネットワーク ロケーション サーバーを使用して、イントラネットに接続しているかどうかを判断します。DirectAccess クライアントは起動時に、ネットワーク ロケーション サーバーに指定されている URL への接続を試みます。この URL の Web ページを取得できた場合、DirectAccess クライアントはイントラネットに接続されているため、DirectAccess は使用されません。

イントラネットのインターネット トラフィックからの分離

前述のとおり、一部の VPN ソリューションではネットワーク レイヤー ルーティング テーブルのエントリを使用して、イントラネットとインターネット トラフィックを分離します。DirectAccess では、アプリケーション レイヤーにおいてより高度な名前解決を使用し、ネットワーク レイヤーにおいて全組織の IPv6 アドレス空間を単一の IPv6 アドレス プレフィックスにまとめることで、この問題を解決しています。DirectAccess クライアントでは、宛先アドレスのみを基にトラフィックを転送するのではなく、アプリケーションが必要とする名前も基にしてトラフィックを転送します。DirectAccess クライアントは、DNS 名前空間エントリを保持する名前解決ポリシー テーブル (NRPT) と、名前を DNS 名前空間に解決するイントラネット DNS サーバーの対応するセットを使用します。

DirectAccess クライアントのアプリケーションが名前を解決する場合、まず名前と NRPT のエントリを比較します。一致するエントリがあれば、指定されたイントラネット DNS サーバーを使用して名前を解決します。一致するエントリがなければ、クライアント自体のインターネット接続に構成されている DNS サーバーを使用します。これは、通常インターネット上の DNS サーバーです。これがどのように機能するかの例については、補足記事の「トラフィックの転送」を参照してください。

まとめ

DirectAccess は、さまざまなテクノロジとコンポーネントを組み合わせることで、リモート ユーザーが意識することなくイントラネットおよびインターネットへの同時リモート アクセスを実現し、リモート コンピュータの管理を容易にします。DirectAccess では、エンド ツー エンドの接続 (IPv6)、セキュリティ (IPsec)、Web プロキシおよびファイアウォール トラバーサル (IP-HTTPS)、場所判定 (ネットワーク ロケーション サーバー)、トラフィックの分離 (NRPT) といったテクノロジとコンポーネントを使用します。DirectAccess を使用すると、リモート アクセス サーバーとアプリケーション エッジ サーバーの一部を DirectAccess サーバーに置き換えることができ、リモート アクセス接続専用のエッジ ネットワークのサーバー数を削減できます。

Joseph Davies は、マイクロソフトの Windows ネットワーク ライティング チームのプリンシパル テクニカル ライターです。『Windows Server 2008 Networking and Network Access Protection (NAP)』、『Understanding IPv6, Second Edition』、『Windows Server 2008 TCP/IP Protocols and Services』など、Microsoft Press 発行の多数の書籍の著者または共著者です。