ネットワークの新機能

  • [アーティクル]

Windows Server® 2008 R2 オペレーティング システムと Windows® 7 オペレーティング システムには、場所やネットワークの種類に関係なく、ユーザーが容易に接続して接続状態を維持できるようにする、ネットワークの拡張機能が含まれています。このような拡張機能により、IT プロフェッショナルは、信頼性と柔軟性の高いセキュリティ保護された方法でビジネスのニーズを満たすこともできます。

ここで紹介する新しいネットワーク機能は、以下のとおりです。

  • DirectAccess: ユーザーは、仮想プライベート ネットワーク (VPN) 接続を開始するという余分な手順を必要としないで、エンタープライズ ネットワークにアクセスできます。

  • VPN 再接続: インターネット接続が回復したら VPN 接続が自動的に再確立されます。ユーザーが資格情報を再入力したり、VPN 接続を再確立したりする必要はありません。

  • BranchCache™: 広域ネットワーク (WAN) 上のファイル サーバーや Web サーバーから取得した最新コンテンツを、ブランチ オフィスのローカル コンピューターにキャッシュできます。アプリケーションの応答時間が短縮し、WAN トラフィックが削減されます。

  • URL ベースのサービスの品質 (QoS): トラフィック発生元の URL に基づいて、トラフィックに優先順位レベルを割り当てることができます。

  • モバイル ブロードバンド デバイスのサポート: モバイル ブロードバンド ネットワークへのアクセスに使用するデバイス向けにドライバー ベースのモデルを提供します。

  • 複数のアクティブなファイアウォール プロファイル: アダプターの接続先のネットワークに基づいて、ネットワーク アダプターごとに最適なファイアウォール規則を設定できます。

これらの機能の対象ユーザー

次のグループに属するユーザーが、上記機能の対象となります。

  • IT マネージャー

  • システム アーキテクトとシステム管理者

  • ネットワーク アーキテクトとネットワーク管理者

  • セキュリティ アーキテクトとセキュリティ管理者

  • アプリケーション アーキテクトとアプリケーション管理者

  • Web アーキテクトと Web 管理者

DirectAccess の機能

Windows Server 2008 R2 で導入された DirectAccess 機能により、Windows 7 を実行しているドメイン メンバー コンピューターは、インターネットに接続するたびにエンタープライズ ネットワーク リソースに接続できます。ネットワーク リソースへの接続中、インターネットに接続しているユーザーは、実質的に、組織のローカル エリア ネットワーク (LAN) に直接接続しているのと同じ操作性が得られます。また、IT プロフェッショナルは、DirectAccess を使用してオフィス外のモバイル コンピューターを管理できます。ドメイン メンバー コンピューターがインターネットに接続するたびに、ユーザーがログオンする前に、DirectAccess によって双方向接続が確立されます。そのため、クライアント コンピューターは常に会社の最新ポリシーが適用された状態になり、ソフトウェアの更新プログラムを受け取ることができます。

DirectAccess のセキュリティ機能およびパフォーマンス機能には、認証、暗号化、アクセス制御などがあります。IT プロフェッショナルは、各ユーザーが接続できるネットワーク リソースを構成して、無制限のアクセス権を与えたり、特定のサーバーまたはネットワークにだけアクセスできるようにしたりすることができます。また、DirectAccess には、DirectAccess サーバーを経由してエンタープライズ ネットワークに向かうトラフィックのみを送信する機能も用意されています。他のインターネット トラフィックは、クライアント コンピューターが使用するインターネット ゲートウェイを経由してルーティングされます。これはオプション機能です。すべてのトラフィックをエンタープライズ ネットワーク経由で送信するように DirectAccess を構成できます。

特別な考慮事項

DirectAccess サーバーは、Windows Server 2008 R2 を実行していて、ドメインのメンバーであり、2 つの物理ネットワーク アダプターが取り付けられている必要があります。DirectAccess サーバーは DirectAccess 機能専用のサーバーにして、他の主要機能をホストしないようにします。DirectAccess クライアントは、Windows 7 を実行しているドメイン メンバーである必要があります。サーバー マネージャーの "機能の追加" ウィザードを使用して、DirectAccess の管理コンソールをインストールします。このコンソールを使用して、DirectAccess サーバーを構成し、構成後に DirectAccess の操作を監視することができます。

インフラストラクチャに関する考慮事項は、以下のとおりです。

  • Active Directory ドメイン サービス (AD DS): 少なくとも 1 つの Active Directory®ドメインを展開する必要があります。ワークグループはサポートされません。

  • グループ ポリシー: クライアント設定の展開には、グループ ポリシーの使用をお勧めします。

  • ドメイン コントローラー: ユーザー アカウントが格納された、ドメイン内の少なくとも 1 台のドメイン コントローラーで、Windows Server 2008 以降のオペレーティング システムが実行されている必要があります。

  • 公開キー基盤 (PKI): 証明書を発行するには PKI が必要です。外部証明書は必要ありません。すべての SSL 証明書用に、ローカルでもリモートでも、公開されている解決可能な完全修飾ドメイン名 (FQDN) を使用してアクセスできる証明書失効リスト (CRL) 配布ポイントを用意する必要があります。

  • IPsec ポリシー: DirectAccess では、IPsec を使用して、インターネットを経由する通信を認証および暗号化します。管理者は IPsec について十分理解することをお勧めします。

  • IPv6: IPv6 によって、クライアントがエンタープライズ ネットワークへの安定した接続を維持するために必要なエンド ツー エンドのアドレス指定が提供されます。IPv6 を完全に展開する準備がまだ整っていない組織は、ISATAP (Intra-Site Automatic Tunnel Addressing Protocol)、Teredo、6to4 などの IPv6 移行テクノロジを使用して、IPv4 インターネット経由で接続したり、エンタープライズ ネットワーク上の IPv4 リソースにアクセスしたりできます。IPv6 または移行テクノロジは、DirectAccess サーバーで利用でき、境界ネットワークのファイアウォールを通過できる必要があります。

VPN 再接続の機能

VPN 再接続は、ルーティングとリモート アクセス サービス (RRAS) の新機能です。シームレスで一貫性のある VPN 接続をユーザーに提供し、ユーザーが一時的にインターネットに接続できなくなっても自動的に VPN 接続が再確立されます。ワイヤレス モバイル ブロードバンドを使用して接続するユーザーは、この機能から多くのメリットを得られます。Windows 7 では、VPN 再接続により、インターネット接続が再確立されるときに、アクティブな VPN 接続が自動的に再確立されます。再接続には数秒かかる場合がありますが、ユーザーは再接続を意識する必要がありません。

VPN 再接続では、IPsec トンネル モードと、RFC 4306 に記述されているインターネット キー交換バージョン 2 (IKEv2) が併用されます。具体的には、RFC 4555 に記述されている IKEv2の移動性およびマルチホーミング拡張機能 (MOBIKE) を利用します。

特別な考慮事項

VPN 再接続は、Windows Server 2008 R2 を実行しているコンピューターのネットワーク ポリシーとアクセス サービス (NPAS) の役割の RRAS 役割サービスで実装されています。インフラストラクチャに関する考慮事項には、NPAS および RRAS についての考慮事項が含まれます。VPN 再接続を利用するには、クライアント コンピューターで Windows 7 が実行されている必要があります。

BranchCache の機能

BranchCache では、応答時間を短縮し、WAN トラフィックを削減するために、エンタープライズ WAN 上の Web サーバーやファイル サーバーから取得したコンテンツが、ブランチ オフィスのローカル ネットワークに格納されます。同じブランチ オフィスの別のクライアントが同じコンテンツを要求すると、そのクライアントは WAN 経由でファイル全体を取得するのではなく、ローカル ネットワークから直接コンテンツにアクセスできます。BranchCache は、"分散キャッシュ" モードまたは "保存されたキャッシュ" モードのいずれかで動作するように構成できます。分散キャッシュ モードでは、ピア ツー ピアのアーキテクチャが使用されます。コンテンツは、そのコンテンツを最初に要求するブランチ オフィスのクライアント コンピューターにキャッシュされます。次に、そのクライアント コンピューターが、他のローカル クライアントでもキャッシュされたコンテンツを利用できるようにします。保存されたキャッシュ モードでは、クライアントとサーバーのアーキテクチャが使用されます。ブランチ オフィスのクライアントから要求されたコンテンツが、ローカル サーバー ("保存されたキャッシュ サーバー" と呼びます) にキャッシュされます。保存されたキャッシュ サーバーは、他のローカル クライアントでもキャッシュされたコンテンツを利用できるようにします。どちらのモードでも、クライアントがコンテンツを取得する前に、コンテンツの取得元のサーバーによってそのコンテンツへのアクセスが認証され、ハッシュ メカニズムを使用してコンテンツが最新かつ正確なものであることが確認されます。

特別な考慮事項

BranchCache では、HTTP (HTTPS など)、およびサーバー メッセージ ブロック (SMB) (署名済み SMBなど) をサポートします。コンテンツ サーバーおよび保存されたキャッシュ サーバーでは Windows Server 2008 R2 が実行され、クライアント コンピューターでは Windows 7 が実行されている必要があります。

URL ベースの QoS の機能

QoS により、IP パケットに DSCP (Differentiated Services Code Point) 値が設定されます。その後、この値は、パケットの優先順位を判断するためにルーターによって確認されます。パケットがルーターのキューに格納されると、優先順位の高いパケットが送信されてから優先順位の低いパケットが送信されます。URL ベースの QoS により、IT プロフェッショナルは、IP アドレスとポートに基づいて優先順位を付けるだけでなく、ソース URL に基づいてネットワーク トラフィックに優先順位を付けることができます。そのため、IT プロフェッショナルがネットワーク トラフィックを細かく制御できるようになり、重要な Web トラフィックと重要度の低いトラフィックが同じサーバーから送信された場合でも、重要度の高いトラフィックから順に処理できるようになります。その結果、トラフィック量の多いネットワークのパフォーマンスを向上できます。たとえば、重要な社内 Web サイトの Web トラフィックに、社外 Web サイトよりも高い優先順位を割り当てることができます。同様に、仕事に無関係の Web サイトへのトラフィックがネットワーク帯域幅を消費する場合はこのトラフィックに低い優先順位を割り当て、他のトラフィックに影響を与えないようにすることができます。

モバイル ブロードバンド デバイスのサポートの機能

Windows 7 オペレーティング システムにより、モバイル ブロードバンド デバイス向けにドライバー ベースのモデルが提供されます。以前のバージョンの Windows では、モバイル ブロードバンド デバイスのユーザーは、サード パーティのソフトウェアをインストールする必要がありました。モバイル ブロードバンド デバイスのソフトウェアやモバイル ブロードバンド プロバイダーのソフトウェアはそれぞれ異なるため、IT プロフェッショナルにとっては管理が容易ではありませんでした。また、ユーザーはソフトウェアを使用するためにトレーニングを受ける必要があり、ソフトウェアのインストールに管理者用のアクセス権が必要でした。そのため、標準ユーザーはモバイル ブロードバンド デバイスを容易に追加できません。現在、ユーザーはモバイル ブロードバンド デバイスに簡単に接続して、すぐに使用できるようになりました。Windows 7 のインターフェイスは、モバイル ブロードバンド プロバイダーに関係なく同じなので、トレーニングや管理の必要性が軽減されます。

複数のファイアウォール プロファイルをアクティブにする機能

Windows ファイアウォールの設定は、使用しているプロファイルによって決まります。以前のバージョンの Windows では、一度に 1 つのファイアウォール プロファイルしかアクティブにできません。したがって、異なる種類のネットワークに複数のネットワーク アダプターを接続する場合でも、アクティブなプロファイルは 1 つしかありません。それは、規則の制限が最も厳しいプロファイルになります。Windows Server 2008 R2 および Windows 7 では、各ネットワーク アダプターによって、接続先のネットワークの種類に最適なファイアウォール プロファイル (プライベート、パブリック、またはドメイン) が適用されます。つまり、ワイヤレス ホットスポットを設置しているコーヒー ショップで、VPN 接続を使用して会社のドメイン ネットワークに接続する場合、パブリック プロファイルによって、トンネルを通過しないネットワーク トラフィックが引き続き保護され、ドメイン プロファイルによってトンネルを通過するネットワーク トラフィックが保護されます。これは、ネットワークに接続されていないネットワーク アダプターの問題にも対処します。Windows 7 および Windows Server 2008 R2 では、この未確認のネットワークにパブリック プロファイルが割り当てられ、コンピューターに取り付けられている他のネットワーク アダプターでは、接続先のネットワークに適したプロファイルが引き続き使用されます。