マルチサイト展開では、複数のリモート アクセス サーバーを展開します。
適用対象: Windows Server 2012 R2,Windows Server 2012
Windows Server 2012 では、DirectAccess およびルーティングとリモート アクセス サービス (RRAS) VPN は単一のリモート アクセスの役割に統合されています。 リモート アクセスは、さまざまなエンタープライズ シナリオで展開できます。 この概要では、マルチサイトの構成でのリモート アクセス サーバーを展開するためのエンタープライズ シナリオの概要を提供します。
シナリオの説明
マルチサイト展開で 2 つ以上のリモート アクセス サーバーまたはサーバー クラスターが展開されているし、1 つの場所または地理的に分散した場所で、異なるエントリ ポイントとして構成されています。 1 つの場所で複数のエントリ ポイントを展開するには、サーバーの冗長性、または既存のネットワーク アーキテクチャとリモート アクセス サーバーの配置ができます。 地理的な場所での展開は、リモート クライアント コンピューターは、それらに最も近いエントリ ポイントを使用して内部ネットワーク リソースに接続できるように、リソースの効率的な使用をようにします。 マルチサイト展開内のトラフィックを分散し、外部のグローバル ロード バランサーに分散することができます。
マルチサイト展開には、実行しているクライアント コンピューターがサポートしているWindows 8またはWindows 7です。 実行しているクライアント コンピューターWindows 8、次のようなエントリ ポイントを自動的に識別する、または、ユーザーは、エントリ ポイントを手動で選択できます。 自動割り当てでは、次の優先順位が発生します。
ユーザーが手動で選択したエントリ ポイントを使用します。
展開されている場合、外部のグローバル ロード バランサーによって識別されたエントリ ポイントを使用します。
プローブの自動メカニズムを使用して、クライアント コンピューターで識別される、最も近いエントリ ポイントを使用します。
エントリ ポイントごとに、Windows 7 を実行しているクライアントのサポートが手動で有効にする必要があるし、これらのクライアントでのエントリ ポイントの選択はサポートされていません。
前提条件
このシナリオの展開を開始する前に、重要な要件の一覧を確認します。
- 詳細設定を使用して単一の DirectAccess サーバーを展開するマルチサイト展開する前に展開する必要があります。
- Windows 7 クライアントは常に、特定のサイトに接続します。 (Windows 8、windows 8.1 のクライアント) とは異なり、クライアントの場所に基づいて、最も近いサイトに接続することはできません。
- DirectAccess 管理コンソールまたは PowerShell コマンドレットの外でポリシーを変更することはできません。
公開キー基盤を展開する必要があります。
詳細については、次のトピックを参照してください。テスト ラボ ガイド ミニモジュール:Windows Server 2012 の基本的な PKI します。
- 企業ネットワークには、IPv6 を有効になっているをする必要があります。 ISATAP を使用している場合は、これを削除し、ネイティブ IPv6 を使用する必要があります。
このシナリオの内容
マルチサイト展開シナリオには、いくつかの手順が含まれています。
詳細設定を使用して単一の DirectAccess サーバーを展開する— 1 つのリモート アクセス サーバーの詳細設定では、マルチサイト展開をセットアップする前に展開する必要があります。
マルチサイト展開を計画します。、1 台のサーバーをマルチサイト展開に多数の追加の計画を作成するには手順はマルチサイトの前提条件のコンプライアンスを含むと Active Directory セキュリティ グループ、グループ ポリシー オブジェクト (Gpo)、DNS、およびクライアントの設定の計画は必要です。
**マルチサイト展開を構成します。**はさまざまな構成手順については、Active Directory インフラストラクチャ、マルチサイト展開へのエントリ ポイントとして複数のリモート アクセス サーバーの追加と、既存のリモート アクセス サーバーの構成の準備を含むこれで構成されます。
マルチサイト展開のトラブルシューティング-このトラブルシューティングのセクションでは、いくつかのマルチサイト展開でリモート アクセスを展開するときに発生する最も一般的なエラーについて説明します。
実際の適用例
マルチサイト展開には、次のものが用意されています。
パフォーマンスの向上、マルチサイト展開により、クライアント コンピューターが、最も近いと最も適切なエントリ ポイントを使用して接続するリモート アクセスを使用して、内部リソースにアクセスします。 クライアントが効率的には、内部リソースにアクセスし、クライアントのインターネット要求が DirectAccess 経由でルーティングの速度が向上します。 外部のグローバル ロード バランサーを使用して、エントリ ポイント間のトラフィックを分散できます。
簡単管理 — Multisite により、管理者は、Active Directory サイトの展開へのリモート アクセスの展開を配置するアーキテクチャを簡素化を提供します。 共有の設定は、エントリ ポイントのサーバーまたはクラスターの間で簡単に設定できます。 リモート アクセスの設定は、任意の展開、またはリモート サーバー管理ツール (RSAT) を使用してリモート サーバーから管理できます。 さらに、マルチサイト展開全体を単一のリモート アクセス管理コンソールから監視できます。
このシナリオに含まれている役割と機能
次の表には、役割と機能がこのシナリオで使用が一覧表示します。
役割/機能 |
このシナリオのサポート方法 |
|---|---|
リモート アクセスの役割 |
この役割をインストールまたはアンインストールするには、サーバー マネージャー コンソールを使用します。 この役割には、以前は Windows Server 2008 R2 の機能であった DirectAccess と、以前はネットワーク ポリシーとアクセス サービス (NPAS) サーバーの役割の役割サービスであったリモート アクセス サービス (RRAS) の両方が含まれています。 リモート アクセスの役割は、次の 2 つのコンポーネントで構成されています。
依存関係は次のとおりです。
|
リモート アクセス管理ツールの機能 |
この機能は、次のようにインストールされます。
リモート アクセス管理ツールの機能は、次の要素で構成されています。
次の要素と依存関係があります。
|
ハードウェア要件
このシナリオのハードウェア要件は次のとおりです。
マルチサイト展開に収集されるように、少なくとも 2 つのリモート アクセス コンピューターです。 これらのコンピュータのハードウェア要件については、「詳細設定を使用して単一の DirectAccess サーバーを展開するです。
実行しているコンピューターが少なくとも 1 つのシナリオをテストするためにWindows 8DirectAccess クライアントは必須として構成されているとします。 Windows 7 を実行しているクライアントのシナリオをテストするには、Windows 7 を実行している 1 つ以上のコンピューターが必要です。
エントリ ポイントのサーバー間でトラフィックの負荷をロードするには、サード パーティの外部のグローバル ロード バランサーが必要です。
ソフトウェア要件
このシナリオのソフトウェア要件は次のとおりです。
単一サーバーの展開のソフトウェア要件。 詳細については、「詳細設定を使用して単一の DirectAccess サーバーを展開する」を参照してください。
1 台のサーバーのソフトウェアの要件に加え、multisite-特定の要件の数があります。
IPsec の認証要件、IPsec を使用して DirectAccess を展開する必要があります、マルチサイト展開でコンピューターの証明書の認証。 Kerberos プロキシとして、リモート アクセス サーバーを使用する IPsec 認証を実行するオプションを指定することはできません。 IPsec の証明書を展開するには、内部 CA が必要です。
IP-HTTPS およびネットワーク ロケーション サーバーの要件: IP-HTTPS に必要な証明書と、ネットワーク ロケーション サーバーは、CA が発行する必要があります。 自動的に発行され、リモート アクセス サーバーによって自己署名入りの証明書を使用するオプションを指定することはできません。 証明書は、内部 CA によって発行されることもあれば、サード パーティの外部の CA によって発行されることができます。
Active Directory の要件、少なくとも 1 つの Active Directory サイトが必要です。 リモート アクセス サーバーは、サイトに配置する必要があります。 更新プログラムの時間が短く、お勧めの各サイトに書き込み可能なドメイン コント ローラーでは、必須ではありません。
セキュリティ グループの要件: 要件は、次のようにします。
1 つのセキュリティ グループはすべての必要なWindows 8のすべてのドメインからのクライアント コンピューター。 ドメインごとにこれらのクライアントの一意なセキュリティ グループを作成することをお勧めします。
Windows 7 コンピューターを含む一意のセキュリティ グループは、各エントリ ポイントを Windows 7 クライアントをサポートするために構成されている必要があります。 各ドメインの各エントリ ポイントの一意なセキュリティ グループが存在することをお勧めします。
コンピューターを DirectAccess クライアントを含む 1 つ以上のセキュリティ グループに含まれません必要があります。 クライアントが複数のグループに含まれている場合、どおりクライアント要求の名前解決が動作しません。
GPO の要件、Gpo は、リモート アクセスを構成する前に手動で作成またはリモート アクセスの展開中に自動的に作成できます。 要件は次のとおりです。
一意のクライアント GPO は、各ドメインに必要です。
サーバーの GPO は、エントリ ポイントが配置されているドメイン内の各のエントリ ポイントの必要があります。 このため、同じドメインには、複数のエントリ ポイントが存在する場合は、複数のサーバー ドメイン内の Gpo (エントリ ポイントごとに 1 つ) があります。
Windows 7 クライアントの一意の GPO は、各エントリ ポイントのドメインごとに、Windows 7 クライアントのサポートを有効になっている必要があります。
既知の問題
次は既知の問題、マルチサイトのシナリオを構成する場合。
同じ IPv4 サブネット内の複数のエントリ ポイント: 同じ IPv4 サブネットに複数のエントリ ポイントを追加すると、IP アドレスの競合メッセージ、およびエントリ ポイントの DNS64 アドレスは構成されません。 この問題は、企業ネットワーク上のサーバーの内部インターフェイスに IPv6 が展開されていないときに発生します。 防ぐためには、この問題は、現在および将来のすべてのリモート アクセス サーバーで、次の Windows PowerShell コマンドを実行します。
Set-NetIPInterface –InterfaceAlias <InternalInterfaceName> –AddressFamily IPv6 –DadTransmits 0DirectAccess クライアントのリモート アクセス サーバーへの接続に指定されているパブリック アドレスに、サフィックスを NRPT に含まれるがある場合は、DirectAccess はどおりに動作しない可能性があります。 NRPT にパブリック名の除外対象があることを確認します。 マルチサイト展開では、すべてのエントリ ポイントのパブリック名の除外を追加してください。 有効になっている場合の強制トンネリングに注意してこれらの例外が自動的に追加されます。 強制トンネリングは無効になっている場合は削除されます。
Windows PowerShell コマンドレットを使用する場合Disable-DAMultiSite、WhatIf と確認入力パラメーターが効果を持たず、Multisite が無効になり、Windows 7Gpo が削除される予定です。
ときにWindows 7に DCA をマルチサイト展開で使用してクライアントをアップグレードしたWindows 8、Network Connectivity Assistant は機能しません。 この問題は、変更することによって、クライアントのアップグレードを行う前に解決することができます、Windows 7Gpo の次の Windows PowerShell コマンドレットを使用します。
Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1 Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant"クライアントがアップグレードされていることをクライアント コンピューターを移動し、Windows 8セキュリティ グループです。
Windows PowerShell コマンドレットを使用してドメイン コント ローラーの設定を変更するときにSet-DAEntryPointDC、最後の 1 つ以外のエントリ ポイントでのリモート アクセス サーバーに追加マルチサイト展開では、指定されたサーバーは [次へ] のポリシーの更新まで更新されないことを示す警告が表示されます、ComputerName パラメーターが指定されています。 更新されませんでしたが、実際のサーバーを使用して表示することができます、構成の状態で、ダッシュ ボードのリモート アクセス管理コンソールです。 機能上の問題は起きません、ただし、実行することができますgpupdate /force、すぐに更新する構成の状態を取得するには更新されませんでしたが、サーバーにします。
ネットワークでは、IPv4 専用企業、内部を変更するマルチサイトを展開するときにも変更、DNS64 アドレス、IPv6 プレフィックスのネットワークが、DNS64 のサービスを DNS クエリを許可するファイアウォール規則のアドレスは更新されません。 この問題を解決するのには、内部ネットワークの IPv6 プレフィックスを変更した後、次の Windows PowerShell コマンドを実行します。
$dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers $serverGpoName = (Get-RemoteAccess).ServerGpoName $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} | Set-NetFirewallRule -LocalAddress $dns64Address Save-NetGPO -GPOSession $gpoSession既存の ISATAP インフラストラクチャが存在を ISATAP ホストでは、エントリ ポイントを削除する場合は、DirectAccess が展開された場合、DNS64 のサービスの IPv6 アドレスは、すべての DNS サフィックスを NRPT の DNS サーバーのアドレスから削除されます。
この問題を解決するのには、インフラストラクチャ サーバーのセットアップウィザードのDNS] ページで変更された DNS サフィックスを削除して再度を使用して追加正しい DNS サーバーのアドレスをクリックして検出上、DNS サーバーのアドレス] ダイアログ ボックス。