このトピックでは、DirectAccess の有効化ウィザードを使用して、基本的なリモート アクセスの展開に必要なクライアントおよびサーバー設定を構成する方法について説明します。
次の表に、このトピックを使用して実行できる手順の概要を示します。
| タスク | 説明 |
|---|---|
| DirectAccess クライアントを構成する | DirectAccess クライアントを含むセキュリティ グループでリモート アクセス サーバーを構成します。 |
| ネットワーク トポロジを構成する | リモート アクセス サーバー設定を構成します。 |
| DNS サフィックス検索一覧を構成する | 必要に応じて、サフィックス検索一覧を変更します。 |
| GPO 構成 | 必要に応じて、GPO を変更します。 |
DirectAccess の有効化ウィザードを起動するには
サーバー マネージャーで、[ツール] をクリックし、[リモート アクセス] をクリックします。[今後この画面を表示しない] を選択していない限り、DirectAccess の有効化ウィザードが自動的に開始されます。
ウィザードが自動的に起動しない場合は、[ルーティングとリモート アクセス] ツリーのサーバー ノードを右クリックし、[DirectAccess の有効化] をクリックします。
[次へ] をクリックします。
DirectAccess クライアントを構成する
DirectAccess を使用するようにプロビジョニングするクライアント コンピューターは、選択したセキュリティ グループに属している必要があります。 DirectAccess の構成後、セキュリティ グループのクライアント コンピューターが DirectAccess グループ ポリシーを受け取るようにプロビジョニングされます。
[グループの選択] ページで、[追加] をクリックします。
[グループの選択] ダイアログ ボックスで、DirectAccess クライアント コンピューターを含むセキュリティ グループを選択します。
[モバイル コンピューターに対してのみ DirectAccess を有効にする] チェック ボックスをオンにし、モバイル コンピューターのみが内部ネットワークにアクセスできるようにします。
[強制トンネリングを使用する] チェック ボックスをオンにし、すべてのクライアント トラフィックをリモート アクセス サーバー経由で (内部ネットワークおよびインターネットへ) ルーティングします。
[次へ] をクリックします。
ネットワーク トポロジを構成する
リモート アクセスを展開するには、正しいネットワーク アダプター、クライアント コンピューターが接続できるリモート アクセス サーバーのパブリック URL (対処する接続)、対処する接続にサブジェクトが一致する IP-HTTPS 証明書を使用して、リモート アクセス サーバーを構成する必要があります。
- [ネットワーク トポロジ] ページで、組織で使用する展開トポロジをクリックします。 [クライアントからリモート アクセス サーバーへの接続に使用するパブリック名または IPv4 アドレスを入力してください] に展開のパブリック名を入力し (この名前は IP-HTTPS 証明書のサブジェクト名に一致し、edge1.contoso.com などになります)、[次へ] をクリックします。
DNS サフィックス検索一覧を構成する
DNS クライアントでは、DNS ドメイン サフィックス検索一覧を構成して、DNS 検索機能を拡張したり、変更したりできます。 一覧にサフィックスを追加することによって、指定した複数の DNS ドメイン内で、短い修飾されていないコンピューター名を検索できます。 DNS クエリが失敗した場合、DNS クライアント サービスではこの一覧を使用して別の名前サフィックスを元の名前に付加し、これらの代替の FQDN で DNS サーバーに対して DNS クエリを繰り返すことができます。
[DNS クライアントのサフィックス検索一覧を使用して DirectAccess クライアントを構成する] を選択し、クライアント名の検索用の追加のサフィックスを指定します。
[新しいサフィックス] に新しいサフィックス名を入力して、[追加] をクリックします。 さらに、[使用するドメイン サフィックス] から検索順序を変更したり、サフィックスを削除したりすることができます。
[注] 不整合の名前空間のシナリオ (1 台または複数のドメイン コンピューターが、コンピューターが属している Active Directory ドメインに一致しない DNS サフィックスを持つ) では、検索一覧がすべての必要なサフィックスを含むようにカスタマイズされていることを確認する必要があります。 リモート アクセス ウィザードは既定で、Active Directory DNS 名をクライアントのプライマリ DNS サフィックスとして構成します。 管理者は、クライアントが名前の解決に使用する DNS サフィックスを追加していることを確認する必要があります。
コンピューターとサーバーでは、次の既定の DNS 検索動作が事前に定義されており、短い非修飾名を完全なものにして解決するときに使用されます。サフィックス検索一覧が空か、指定されていない場合は、コンピューターのプライマリ DNS サフィックスが短い非修飾名に付加され、DNS クエリを使用して結果の FQDN が解決されます。
このクエリが失敗した場合、コンピューターは、ネットワーク接続用に構成された接続固有の DNS サフィックスを追加することによって、代替 FQDN に対して追加のクエリを実行できます。接続固有のサフィックスが構成されていない場合や、このような結果として生じる接続固有の FQDN のクエリが失敗した場合、クライアントはプライマリ サフィックスの系統だった削減 (デボルブとも呼ばれます) に基づいて、クエリの再試行を開始できます。
たとえば、プライマリ サフィックスが "example.microsoft.com" の場合、デボルブ プロセスでは、"microsoft.com" ドメインと "com" ドメインの中で短い名前を検索することによって、そのクエリを再試行できます。
サフィックス検索一覧が空でなく、DNS サフィックスが 1 つ以上指定されている場合、短い DNS 名を修飾および解決する試みは、指定のサフィックス一覧によって可能になる FQDN のみの検索に制限されます。
一覧内の各サフィックスの追加と試行の結果として形成されるすべての FQDN のクエリが解決されない場合、クエリ プロセスは失敗し、"名前が見つかりません" という結果が生成されます。
警告
ドメイン サフィックス一覧を使用した場合、クライアントはクエリが応答されないか、解決されない場合に、さまざまな DNS ドメイン名に基づいて、追加の代替クエリを送信し続けます。 サフィックス一覧のエントリを使用して名前が解決されると、未使用の一覧のエントリは試されません。 このため、一覧は、最も多く使用されるドメイン サフィックスを先頭にして順序付けると最も効率的です。
ドメイン名サフィックス検索は、DNS 名エントリが完全に修飾されていない場合にのみ使われます。 DNS 名を完全修飾するには、名前の最後に末尾のピリオド (.) を入力します。
GPO 構成
リモート アクセスを構成した時に、グループ ポリシー オブジェクト (GPO) に DirectAccess 設定が収集されます。
[GPO 設定] では、DirectAccess サーバー GPO 名およびクライアント GPO 名が一覧表示されます。 さらに、GPO 選択設定を変更できます。
2 つの GPO に DirectAccess 設定が自動的に設定され、次のように配布されます。
DirectAccess クライアント GPO。 この GPO には、IPv6 移行テクノロジ設定、NRPT エントリ、セキュリティが強化された Windows ファイアウォール接続セキュリティの規則を含むクライアント設定が含まれます。 この GPO は、クライアント コンピューターに対して指定されたセキュリティ グループに適用されます。
DirectAccess サーバー GPO。 この GPO には、展開の中でリモート アクセス サーバーとして構成される任意のサーバーに適用される DirectAccess 構成設定が含まれます。 また、セキュリティが強化された Windows ファイアウォールの接続セキュリティの規則も含まれます。
まとめ
リモート アクセス構成が完了すると、[要約] が表示されます。 構成した設定を変更するか、[完了] をクリックして、構成を適用できます。