既存のリモート アクセス (VPN) 展開に DirectAccess を追加する

適用対象: Windows Server 2012 R2,Windows Server 2012

注: Windows Server 2012 では、DirectAccess およびルーティングとリモート アクセス サービス (RRAS) は単一のリモート アクセスの役割に統合されています。 

このトピックでは、仮想プライベート ネットワーク (VPN) を既に設定した後に、推奨される設定で単一のリモート アクセス サーバーを設定する場合に使用するリモート アクセスの DirectAccess の有効化ウィザードの概要を説明します。

Windows Server 2012 リモート アクセス (DirectAccess) の展開ドキュメント セット

次に、リモート アクセスを 3 つの主なパスで展開するために使用できるトピックのリストを示します。

• 基本

• [詳細設定]

• Enterprise

このリリースで使用可能なリモート アクセスの管理と移行に関するトピックも一覧表示しています。

展開を開始する前に、サポートされない構成、既知の問題、前提条件の次のリストを参照してください。

• DirectAccess には、構成がサポートされていません

• DirectAccess の既知の問題

• DirectAccess の展開の前提条件

基本的なリモート アクセスの展開

• 作業の開始ウィザードを使用した単一の DirectAccess サーバーの展開

  • テスト ラボ ガイド:Windows Server 2012 の IPv4 専用テスト環境での DirectAccess の簡単なセットアップのデモンストレーション

高度なリモート アクセスの展開

• Deploy a Single DirectAccess Server with Advanced Settings 

  • テスト ラボ ガイド:Windows Server 2012 の IPv4 と IPv6 の混在環境での DirectAccess 単一サーバー セットアップのデモンストレーション

企業でのリモート アクセスの展開

• DirectAccess の容量計画

• クラスターでのリモート アクセスの展開 

  • テスト ラボ ガイド: Windows NLB を使用するクラスターでの DirectAccess のデモンストレーション

• マルチサイト展開内の複数のリモート アクセス サーバーを展開します。

  • DirectAccess マルチサイト展開のデモンストレーションに関するテスト ラボ ガイド

• OTP 認証を使用するリモート アクセスの展開

  • OTP 認証と RSA SecurID と DirectAccess のデモンストレーションのテスト ラボ ガイド。

• Deploy Remote Access in a Multi-Forest Environment

• DirectAccess オフライン ドメイン参加

リモート アクセスの管理

• リモート アクセスの監視とアカウンティングを使用する

• DirectAccess クライアントをリモートで管理する

リモート アクセスの移行

• Windows Server 2012 へのリモート アクセスの移行

• Forefront UAG SP1 の DirectAccess から Windows Server 2012 への移行

シナリオの説明

このシナリオでは、VPN を既にインストールし、構成した後に、推奨設定でリモート アクセス サーバーとして Windows Server 2012 を実行する単一のコンピューターを構成します。 負荷分散クラスター、マルチサイト展開、クライアントの 2 要素認証など、エンタープライズ機能を使用してリモート アクセスを構成する場合は、このトピックのシナリオで単一のサーバーを設定した後に、「企業でのリモート アクセスの展開」で説明するように、エンタープライズ シナリオを設定してください。

このシナリオの内容

単一のリモート アクセス サーバーを設定するには、いくつかの計画と展開の手順が必要です。

計画の手順

計画は 2 つのフェーズに分かれています。

1. リモート アクセス インフラストラクチャを計画する

   このフェーズでは、リモート アクセスの展開を開始する前に、ネットワーク インフラストラクチャを設定するために必要な計画を記述します。 これには、ネットワークおよびサーバー トポロジ、証明書、ドメイン ネーム システム (DNS)、Active Directory およびグループ ポリシー オブジェクト (GPO) 構成、および DirectAccess ネットワーク ロケーション サーバーの計画が含まれます。

2. リモート アクセスの展開を計画する

   このフェーズでは、リモート アクセスの展開を準備するために必要な計画手順を記述します。 これには、リモート アクセス クライアント コンピューター、サーバーおよびクライアント認証要件、およびインフラストラクチャ サーバーの計画が含まれます。

展開の手順

展開は 3 つのフェーズに分かれています。

1. リモート アクセス インフラストラクチャを構成する

   このフェーズでは、ネットワークとルーティング、ファイアウォール設定 (必要な場合)、証明書、DNS サーバー、Active Directory および GPO 設定、および DirectAccess ネットワーク ロケーション サーバーを構成します。

2. リモート アクセス サーバー設定を構成する

   このフェーズでは、リモート アクセス クライアント コンピューター、リモート アクセス サーバー、およびインフラストラクチャ サーバーを構成します。

3. 展開を確認する

   このフェーズでは、展開が想定どおりに機能していることを確認します。

実際の適用例

単一のリモート アクセス サーバーを展開すると、次のことが実現されます。

• 簡単なアクセス

  Windows 8 および Windows 7 を搭載する管理対象クライアント コンピューターを、DirectAccess クライアント コンピューターとして構成できます。 それらのクライアントは、インターネット上に存在しているときはいつでも、VPN 接続にサインインしなくても、DirectAccess を経由して内部ネットワーク リソースにアクセスできます。 これらのオペレーティング システムが実行されていないクライアント コンピューターは、VPN 経由で内部ネットワークに接続できます。 DirectAccess と VPN は、同じコンソールで、同じウィザード セットを使って管理されます。

• 簡単な管理

  リモート アクセス管理者は、クライアント コンピューターが企業内部ネットワーク上に存在しない場合でも、インターネットにアクセスできる DirectAccess クライアント コンピューターを DirectAccess を使用してリモート管理できます。 企業の要件を満たしていないクライアント コンピューターを管理サーバーによって自動的に修正できます。

このシナリオに必要な役割と機能

次の表に、このシナリオに必要な役割と機能を示します。

ハードウェア要件

このシナリオのハードウェア要件は次のとおりです。

サーバーの要件 

• Windows Server 2012 のハードウェア要件を満たしているコンピューター。

• サーバーには、少なくとも 1 つのネットワーク アダプターがインストールされ、有効にされて内部ネットワークに参加している必要があります。 アダプターを 2 つ使用する場合は、一方を企業内部ネットワークに接続し、もう一方を外部ネットワーク (インターネット) に接続します。

• IPv4 から IPv6 への移行プロトコルとして Teredo が必要な場合、サーバーの外部アダプターには連続する 2 つのパブリック IPv4 アドレスが必要です。 連続する 2 つの IP アドレスが存在する場合でも、DirectAccess の有効化ウィザードでは Teredo が有効になりません。 Teredo を有効にするには、「Deploy a Single DirectAccess Server with Advanced Settings」を参照してください。 利用できる IP アドレスが 1 つの場合、移行プロトコルとして使用できるのは IP-HTTPS だけです。

• 少なくとも 1 つのドメイン コントローラー。 リモート アクセス サーバーと DirectAccess クライアントはドメインのメンバーである必要があります。

• DirectAccess の有効化ウィザードでは、IP-HTTPS およびネットワーク ロケーション サーバー用の証明書が必要です。 SSTP VPN で既に証明書を使用している場合、それが IP-HTTPS に再利用されます。 SSTP VPN が構成されていない場合は、IP-HTTPS 用の証明書を構成するか、自動的に作成される自己署名証明書を使用できます。 ネットワーク ロケーション サーバー用には、証明書を構成するか、自動的に作成される自己署名証明書を使用できます。

クライアントの要件

• クライアント コンピューターでは、Windows 8 または Windows 7 が実行されている必要があります。

  注意

  DirectAccess クライアントとして使用できるオペレーティング システムは、Windows Server 2012、Windows Server 2008 R2、Windows 8 Enterprise、Windows 7 Enterprise、および Windows 7 Ultimate だけです。

インフラストラクチャと管理サーバーの要件

• DirectAccess クライアント コンピューターのリモート管理時に、クライアントは、Windows およびウイルス対策の更新、クライアントのネットワーク アクセス保護 (NAP) 準拠などのサービスのために管理サーバー (ドメイン コントローラー、System Center Configuration サーバー、正常性登録機関 (HRA) サーバーなど) と通信を開始します。 リモート アクセスの展開を開始する前に、必要なサーバーを展開する必要があります。

• リモート アクセスでクライアントが NAP に準拠している必要がある場合は、リモート アクセスの展開を開始する前に、ネットワーク ポリシー サーバー (NPS) および HRS を展開する必要があります。

• Windows Server 2012、Windows Server 2008 R2、Windows Server 2008 SP2 のいずれかを搭載している DNS サーバーが必要です。

ソフトウェア要件

このシナリオのソフトウェア要件は次のとおりです。

サーバーの要件

• リモート アクセス サーバーはドメイン メンバーである必要があります。 サーバーは、内部ネットワークのエッジに展開することも、エッジ ファイアウォールまたは他のデバイスの内側に配置することもできます。

• リモート アクセス サーバーがエッジ ファイアウォールまたはネットワーク アドレス変換 (NAT) デバイスの内側に配置されている場合は、リモート アクセス サーバーとの間で送受信されるトラフィックを許可するようにデバイスを構成する必要があります。

• サーバーにリモート アクセスを展開する担当者には、サーバーに対するローカル管理者のアクセス許可およびドメイン ユーザーのアクセス許可が必要です。 また、管理者には DirectAccess 展開で使用される GPO に対するアクセス許可も必要です。 DirectAccess 展開をモバイル コンピューターのみに制限する機能を利用するには、ドメイン コントローラーで WMI フィルターを作成するアクセス許可が必要です。

リモート アクセス クライアントの要件

• DirectAccess クライアントは、ドメイン メンバーである必要があります。 クライアントが含まれているドメインは、リモート アクセス サーバーと同じフォレストに属することや、リモート アクセス サーバーのフォレストまたはドメインと双方向の信頼を確立することができます。

• DirectAccess クライアントとして構成するコンピューターが属する Active Directory セキュリティ グループが必要です。 DirectAccess クライアントの設定の構成時にセキュリティ グループを指定しなかった場合、既定では、Domain Computers セキュリティ グループのすべてのノート PC (DirectAccess 対応) にクライアントの GPO が適用されます。 DirectAccess クライアントとして使用できるオペレーティング システムは、Windows Server 2012、Windows Server 2008 R2、Windows 8 Enterprise、Windows 7 Enterprise、および Windows 7 Ultimate だけです。

  注意

  DirectAccess クライアントとして構成されるコンピューターを含むドメインごとにセキュリティ グループを作成することをお勧めします。

関連項目

次の表に、関連リソースへのリンクを示します。