Forefront UAG SP1 の DirectAccess から Windows Server 2012 への移行

適用対象: Windows Server 2012 R2,Windows Server 2012

このドキュメントでは、既存の Forefront UAG SP1 DirectAccess 展開から Windows Server® 2012 の DirectAccess への移行について説明します。 単一の Forefront UAG サーバーか、または ISATAP ルーターとして構成されていない、NAT64 を使用する単一のドメインとサイトで構成された Forefront UAG サーバーのアレイを含む単純な移行シナリオを示します。 このアップグレードは、Forefront UAG SP1 を実行しているコンピューターでのみサポートされます。

Windows Server 2012 リモート アクセス (DirectAccess) の展開ドキュメント セット

次に示すのは、3 つの主なリモート アクセス展開パス (基本的、高度、エンタープライズ) に関するドキュメントの一覧です。 また、このリリースで利用できる、管理と移行に関するドキュメントの一覧も示しています。

基本的なリモート アクセスの展開

• 作業の開始ウィザードを使用した単一の DirectAccess サーバーの展開

  • テスト ラボ ガイド:Windows Server 2012 の IPv4 専用テスト環境での DirectAccess の簡単なセットアップのデモンストレーション

高度なリモート アクセスの展開

• Deploy a Single DirectAccess Server with Advanced Settings 

  • テスト ラボ ガイド:Windows Server 2012 の IPv4 と IPv6 の混在環境での DirectAccess 単一サーバー セットアップのデモンストレーション

企業でのリモート アクセスの展開

• DirectAccess の容量計画

• クラスターでのリモート アクセスの展開 

  • テスト ラボ ガイド: Windows NLB を使用するクラスターでの DirectAccess のデモンストレーション

• マルチサイト展開内の複数のリモート アクセス サーバーを展開します。

  • DirectAccess マルチサイト展開のデモンストレーションに関するテスト ラボ ガイド

• OTP 認証を使用するリモート アクセスの展開

  • OTP 認証と RSA SecurID と DirectAccess のデモンストレーションのテスト ラボ ガイド。

• Deploy Remote Access in a Multi-Forest Environment

• DirectAccess オフライン ドメイン参加

リモート アクセスの管理

• リモート アクセスの監視とアカウンティングを使用する

• DirectAccess クライアントをリモートで管理する

リモート アクセスの移行

• Windows Server 2012 へのリモート アクセスの移行

• Migrate from Forefront UAG SP1 DirectAccess to Windows Server 2012

展開を開始する前に、サポートされない構成、既知の問題、前提条件のリストを参照してください

• DirectAccess には、構成がサポートされていません

• DirectAccess の既知の問題

• DirectAccess の展開の前提条件

シナリオの説明

サポートされる Forefront UAG SP1 の移行シナリオは次のとおりです。

このシナリオの内容

2 つの移行シナリオについて説明します。

• サイド バイ サイド移行: この種類の移行では、Forefront UAG DirectAccess サーバーを実行したままで、Windows Server 2012 に DirectAccess を展開します。 展開が完了すると、DirectAccess クライアントは Windows Server 2012 コンピューターで構成された DirectAccess を使用し、Forefront UAG サーバーはサービスから削除されます。 この種類の移行では、FQDN、IP アドレス、および証明書の設定が各サーバーで一意である必要があるため、一部の設定を繰り返し行う必要があります。

• オフライン移行: この種類の移行では、Forefront UAG DirectAccess サーバーの DirectAccess 構成を同じ設定のまま、リモート アクセス サーバーとして実行する Windows Server 2012 コンピューターにコピーします。 その後、Forefront UAG サーバーをシャットダウンします。Windows Server 2012 リモート アクセス サーバーが起動して稼働するまで、DirectAccess クライアントに対するサービスを利用できなくなります。

前提条件

このシナリオの展開を開始する前に、重要な要件の一覧を確認してください。

• 企業ネットワーク内での ISATAP はサポートしていません。 ISATAP を使用している場合は、これを削除し、ネイティブ IPv6 を使用する必要があります。

• NAP が UAG 内で使用されている場合は、NAP に個別の NPS サーバーが必要です。

  NAP は Windows Server 2012 R2 で非推奨になりました。 つまり、Windows の今後のバージョンでは NAP がサポートされない可能性があります。 新規の展開で NAP を使用することは推奨されません。

実際の適用例

このシナリオでは、Forefront UAG の代わりに Windows Server 2012 を使用して、既存の DirectAccess 展開を引き続き実行する方法について説明します。

ハードウェア要件

ハードウェアの要件を次に示します。

• DirectAccess 展開が正常に実行されている 1 台以上の Forefront UAG サーバー。

• Windows Server 2012 リモート アクセス サーバーの要件:

  • Windows Server 2012 のハードウェア要件を満たしているコンピューター。

• Windows Server 2012 での DirectAccess クライアントの要件:

  • クライアント コンピューターでは、Windows® 8 または Windows 7 が実行されている必要があります。

• インフラストラクチャと管理サーバーの要件:

  • DirectAccess クライアント コンピューターのリモート管理時に、クライアントは、Windows およびウイルス対策の更新、クライアントのネットワーク アクセス保護 (NAP) 準拠などのサービスのために管理サーバー (ドメイン コントローラー、System Center Configuration サーバー、正常性登録機関 (HRA) サーバーなど) と通信を開始します。 リモート アクセスの展開を開始する前に、必要なサーバーを展開する必要があります。

  • リモート アクセスでクライアントが NAP に準拠している必要がある場合は、リモート アクセスの展開を開始する前に、NPS および HRS サーバーを展開する必要があります。

  • IP-HTTPS およびネットワーク ロケーション サーバーの認証用に証明書を発行する場合は、証明機関 (CA) サーバーが必要です。Windows Server 2012 の DirectAccess では、DirectAccess の展開中に自動的に作成された自己署名証明書を使用できます。

  • Windows Server 2003、Windows Server 2008 SP2、Windows Server 2008 R2、または Windows Server 2012 が実行されている DNS サーバーが必要です。

ソフトウェア要件

このシナリオには、さまざまな要件があります。

• Windows Server 2012 での DirectAccess サーバーの要件:

  • リモート アクセス サーバーはドメイン メンバーである必要があります。 サーバーは、内部ネットワークのエッジに展開することも、エッジ ファイアウォールまたは他のデバイスの内側に配置することもできます。

  • サーバーにリモート アクセスを展開する担当者には、サーバーに対するローカルの管理者のアクセス許可およびドメイン ユーザー アカウントが必要です。 GPO を準備するには、ドメイン管理者のアクセス許可が必要です。

• リモート アクセス クライアントの要件:

  • DirectAccess クライアントは、ドメイン メンバーである必要があります。 クライアントが含まれているドメインは、リモート アクセス サーバーと同じフォレストに属することや、リモート アクセス サーバーのフォレストまたはドメインと双方向の信頼を確立することができます。

  • DirectAccess クライアントとして構成するコンピューターが属する Active Directory セキュリティ グループが必要です。

ISATAP の使用

Windows Server 2012 の DirectAccess では、IPv6 から IPv4 への移行テクノロジとして ISATAP を使用しないことをお勧めします。 ISATAP を使用するように Forefront UAG が構成されている場合は、ISATAP を無効にし、代わりに NAT64 を使用することをお勧めします。

ISATAP を無効にすると、DirectAccess クライアントが内部ネットワーク上のコンピューターへの接続を開始し、内部ネットワーク上のコンピューターが応答できるようになります。 ただし、内部ネットワーク上のコンピューターが DirectAccess への接続を開始して、リモート クライアントを管理することはできなくなります。 リモート クライアントを管理できる必要がある場合は、DirectAccess クライアント コンピューターに接続する管理サーバーのためにネイティブ IPv6 を展開することを検討してください。

NAP の使用

Forefront UAG にはネットワーク アクセス保護 (NAP) の複雑な構成設定が用意されており、ネットワーク ポリシー サーバー (NPS) および正常性登録機関 (HRA) の役割を Forefront UAG サーバーにインストールできます。Windows Server 2012 の DirectAccess では、これらの設定はサポートされません。Windows Server 2012 では、IPsec 認証時に NAP を使用してクライアントの準拠を強制するかどうかのみ指定できます。 NPS および HRA の役割は、内部ネットワーク内のリモート サーバーにインストールします。 HRA サーバーには、最初の DirectAccess トンネル (つまり、インターネット) を介してアクセスできる必要があります。