DirectAccess クライアントをリモートで管理する
適用対象: Windows Server 2012 R2,Windows Server 2012
注: Windows Server 2012 では、DirectAccess およびルーティングとリモート アクセス サービス (RRAS) は単一のリモート アクセスの役割に統合されています。
このトピックでは、DirectAccess クライアントをリモート管理する目的で 1 台のリモート アクセス サーバーをセットアップする際に利用できる高度なシナリオの概要を示します。
シナリオの説明
ここで紹介するシナリオでは、Windows Server 2012 を搭載した 1 台のコンピューターを、DirectAccess クライアントのリモート管理を唯一の目的とするリモート アクセス サーバーとして構成します。 このシナリオに従うとクライアントのリモート管理は可能になりますが、DirectAccess の完全展開を選んだ場合に使用できる他のコンポーネントは無効になります。たとえば、内部ネットワークへのクライアント アクセス、強制トンネリング、強力な認証、NAP 準拠などは使用できなくなります。
注意
単純な設定のみを使用して基本的な展開を構成する場合は、「作業の開始ウィザードを使用した単一の DirectAccess サーバーの展開」を参照してください。 このシンプルなシナリオでは、ウィザードを使って、既定の設定でリモート アクセスをセットアップできます。 証明機関 (CA) や Active Directory セキュリティ グループなどのインフラストラクチャ設定は構成しません。
このシナリオの内容
クライアントを管理するために 1 台のリモート アクセス サーバーをセットアップするには、いくつかの計画と展開の手順が必要です。
計画の手順
このシナリオの計画は 2 つのフェーズに分かれています。
リモート アクセス インフラストラクチャを計画する: このフェーズでは、リモート アクセス展開を開始する前に、ネットワーク インフラストラクチャを計画します。 ネットワークとサーバーのトポロジ、証明書、ドメイン ネーム システム (DNS)、Active Directory、グループ ポリシー オブジェクト (GPO)、および DirectAccess ネットワーク ロケーション サーバーの計画が含まれます。
リモート アクセスの展開を計画する: このフェーズでは、リモート アクセスの展開を準備します。 リモート アクセス クライアント コンピューター、サーバーとクライアントの認証要件、VPN の設定、インフラストラクチャ サーバー、および管理サーバーの計画が含まれます。
詳細な計画手順については、「DirectAccess クライアントのリモート管理の展開を計画します。」を参照してください。
前提条件
このシナリオを開始する前に、重要な要件の一覧を確認してください。
- すべてのプロファイルで Windows ファイアウォールが有効になっている必要があります。
- DirectAccess は、Windows 8.1、Windows 8、および Windows 7 を実行するクライアントだけをサポートしています。
- DirectAccess 管理コンソール外部でのポリシーの変更または Windows PowerShell コマンドレットによるポリシーの変更はサポートしていません。
展開の手順
このシナリオの展開は 3 つのフェーズに分かれています。
リモート アクセス インフラストラクチャを構成する: このフェーズでは、ネットワークとルーティング、ファイアウォール設定 (必要な場合)、証明書、DNS サーバー、Active Directory および GPO 設定、および DirectAccess ネットワーク ロケーション サーバーを構成します。
リモート アクセス サーバー設定を構成する: このフェーズでは、リモート アクセス クライアント コンピューター、リモート アクセス サーバー、インフラストラクチャ サーバー、および管理サーバーとアプリケーション サーバーの構成を行います。
展開を確認する: このフェーズでは、展開が想定どおりに機能していることを確認します。
詳細な展開手順については、「インストールして、DirectAccess クライアントのリモート管理の展開を構成します。」を参照してください。
実際の適用例
DirectAccess クライアントを管理するために 1 台のリモート アクセス サーバーを展開すると、次のような利点があります。
簡単なアクセス: Windows 8.1、Windows 8、または Windows 7 を実行する管理されたクライアント コンピューターを DirectAccess クライアント コンピューターとして構成できます。 このようなクライアントは、インターネットに接続しているときはいつでも、VPN 接続にサインインしなくても、DirectAccess を経由して内部ネットワーク リソースにアクセスできます。 これらのオペレーティング システムが実行されていないクライアント コンピューターは、VPN 経由で内部ネットワークに接続できます。 DirectAccess と VPN は、同じコンソールで、同じウィザード セットを使って管理されます。
簡単な管理: リモート アクセス管理者は、DirectAccess クライアント コンピューターが企業内部ネットワーク上に存在しない場合でも、インターネットに接続しているクライアント コンピューターであれば DirectAccess 経由でリモート管理できます。 企業の要件を満たしていないクライアント コンピューターは、管理サーバーを使って自動的に修正できます。
このシナリオに含まれている役割と機能
次の表に、このシナリオの計画と展開に必要な役割と機能の一覧を示します。
役割/機能 |
このシナリオのサポート方法 |
|---|---|
リモート アクセスの役割 |
この役割をインストールまたはアンインストールするには、サーバー マネージャー コンソールまたは Windows PowerShell を使用します。 この役割には、以前は Windows Server 2008 R2 の機能であった DirectAccess と、以前はネットワーク ポリシーとアクセス サービス (NPAS) サーバーの役割の役割サービスであったリモート アクセス サービスの両方が含まれています。 リモート アクセスの役割は、次の 2 つのコンポーネントで構成されています。
リモート アクセス サーバーの役割は、次のサーバーの役割や機能に依存しています。
|
リモート アクセス管理ツールの機能 |
この機能は、次のようにインストールされます。
リモート アクセス管理ツールの機能は、次の要素で構成されています。
次の要素と依存関係があります。
|
ハードウェア要件
このシナリオのハードウェア要件は次のとおりです。
サーバーの要件:
Windows Server 2012 のハードウェア要件を満たしているコンピューター。
サーバーには、少なくとも 1 つのネットワーク アダプターがあり、有効にされている必要があります。 アダプターを 2 つ使用する場合は、一方を企業内部ネットワークに接続し、もう一方を外部ネットワーク (インターネット) に接続します。
IPv4 から IPv6 への移行プロトコルとして Teredo が必要な場合、サーバーの外部アダプターには連続する 2 つのパブリック IPv4 アドレスが必要です。 利用できる IP アドレスが 1 つの場合、移行プロトコルとして使用できるのは IP-HTTPS だけです。
少なくとも 1 つのドメイン コントローラー。 リモート アクセス サーバーと DirectAccess クライアントはドメインのメンバーである必要があります。
IP-HTTPS またはネットワーク ロケーション サーバー用の自己署名証明書を使用しない場合、またはクライアントの IPsec 認証にクライアント証明書を使用する場合は、CA サーバーが必要です。 あるいは、公的 CA に証明書を要求できます。
ネットワーク ロケーション サーバーがリモート アクセス サーバーに配置されていない場合は、それを実行する別の Web サーバーが必要です。
クライアントの要件:
クライアント コンピューターでは、Windows 8 または Windows 7 が実行されている必要があります。
注意
DirectAccess クライアントとして使用できるオペレーティング システムは、Windows Server 2012、Windows Server 2008 R2、Windows 8 Enterprise、Windows 7 Enterprise、および Windows 7 Ultimate だけです。
インフラストラクチャと管理サーバーの要件:
DirectAccess クライアント コンピューターのリモート管理時に、クライアントは、Windows およびウイルス対策の更新、クライアントのネットワーク アクセス保護 (NAP) 準拠などのサービスのために、管理サーバー (ドメイン コントローラー、System Center Configuration サーバーなど) との通信を開始します。 リモート アクセスの展開を開始する前に、必要なサーバーを展開する必要があります。
リモート アクセスでクライアントが NAP に準拠している必要がある場合は、リモート アクセスの展開を開始する前に、NPS および HRS サーバーを展開する必要があります。
VPN が有効になっており、静的アドレス プールを使用しない場合は、VPN クライアントに IP アドレスを自動的に割り当てるために DHCP サーバーが必要です。
Windows Server 2008 SP2、Windows Server 2008 R2、または Windows Server 2012 が実行されている DNS サーバーが必要です。
ソフトウェア要件
このシナリオには、さまざまな要件があります。
サーバーの要件:
リモート アクセス サーバーはドメイン メンバーである必要があります。 サーバーは、内部ネットワークのエッジに展開することも、エッジ ファイアウォールまたは他のデバイスの内側に配置することもできます。
リモート アクセス サーバーがエッジ ファイアウォール内または NAT デバイスの内側に配置されている場合は、リモート アクセス サーバーとの間で送受信されるトラフィックを許可するようにデバイスを構成する必要があります。
サーバーにリモート アクセスを展開する担当者には、サーバーに対するローカルの管理者のアクセス許可およびドメイン ユーザーのアクセス許可が必要です。 また、管理者には DirectAccess 展開で使用される GPO に対するアクセス許可も必要です。 DirectAccess 展開をモバイル コンピューターのみに制限する機能を利用するには、ドメイン コントローラーで WMI フィルターを作成するアクセス許可が必要です。
リモート アクセス クライアントの要件:
DirectAccess クライアントは、ドメイン メンバーである必要があります。 クライアントが含まれているドメインは、リモート アクセス サーバーと同じフォレストに属することや、リモート アクセス サーバーのフォレストまたはドメインと双方向の信頼を確立することができます。
DirectAccess クライアントとして構成するコンピューターが属する Active Directory セキュリティ グループが必要です。 DirectAccess クライアントの設定の構成時にセキュリティ グループを指定しなかった場合、既定では、Domain Computers セキュリティ グループのすべてのノート PC にクライアントの GPO が適用されます。 次の点に注意してください。
DirectAccess クライアントとして構成されるコンピューターを含むドメインごとにセキュリティ グループを作成することをお勧めします。
関連項目
次の表に、関連リソースへのリンクを示します。
コンテンツの種類 |
参考資料 |
|---|---|
TechNet 内のリモート アクセス |
|
製品評価 |
テスト ラボ ガイド: Windows NLB を使用するクラスターでの DirectAccess のデモンストレーション テスト ラボ ガイド:DirectAccess のマルチサイト展開をデモンストレーションします。 テスト ラボ ガイド:OTP 認証と RSA SecurID を使用した DirectAccess をデモンストレーションします。 |
トラブルシューティング |
リモート アクセスのトラブルシューティングの説明書 (使用可能な場合) |
ツールと設定 |
|
コミュニティ リソース |
|
関連テクノロジ |