Deploy a Single DirectAccess Server with Advanced Settings

[アーティクル]
03/09/2023

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

重要

Microsoft では、新しい展開に DirectAccess の代わりに Always On VPN を使用することを強くお勧めします。詳しくは、Always on VPN に関する記事をご覧ください。

このトピックでは、単一の DirectAccess サーバーで詳細設定を使用して DirectAccess を展開できる DirectAccess シナリオを紹介します。

展開を開始する前に、サポートされない構成、既知の問題、前提条件の一覧を参照してください

以下のトピックを使用して、DirectAccess を展開する前に、前提条件とその他の情報を確認できます。

シナリオの説明

このシナリオでは、Windows Server 2016、Windows Server 2012 R2、または Windows Server 2012 のいずれかが実行されている単一のコンピューターを、詳細設定を使用して DirectAccess サーバーとして構成します。

注意

単純な設定のみを使用して基本的なデプロイを構成する場合は、「 Deploy a Single DirectAccess Server Using the Getting Started Wizard」を参照してください。単純なシナリオでは、DirectAccess はウィザードで規定の設定を使用して構成され、証明機関 (CA) または Active Directory セキュリティグループなどのインフラストラクチャ設定の構成は必要ありません。

このシナリオの内容

詳細設定を使用して単一の DirectAccess サーバーを設定するには、いくつかの計画と展開の手順を完了する必要があります。

前提条件

開始する前に、次の要件を確認してください。

すべてのプロファイルで Windows ファイアウォールが有効になっている必要があります。
DirectAccess サーバーは、ネットワークロケーションサーバーです。
DirectAccess サーバーをインストールするドメインでは、すべてのワイヤレスコンピューターを DirectAccess 対応にします。 DirectAccess を展開すると、現在のドメインのすべてのモバイルコンピューターで DirectAccess が自動的に有効になります。

重要

一部のテクノロジと構成は、DirectAccess を展開した時点ではサポートされていません。

企業ネットワークで ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) はサポートされていません。 ISATAP を使用している場合は、削除してネイティブ IPv6 を使用する必要があります。

計画の手順

計画は 2 つのフェーズに分かれています。

DirectAccess インフラストラクチャの計画: このフェーズでは、DirectAccess 展開を開始する前に設定する必要があるネットワークインフラストラクチャの計画について説明します。これには、ネットワークとサーバーのトポロジ、証明書の計画、DNS、Active Directory とグループポリシーオブジェクト (GPO) の構成、DirectAccess ネットワークロケーションサーバーの計画が含まれます。
DirectAccess 展開の計画: このフェーズでは、DirectAccess 展開の準備に必要な計画手順について説明します。これには、DirectAccess クライアントコンピューター、サーバーとクライアントの認証要件、VPN の設定、インフラストラクチャサーバー、管理サーバーとアプリケーションサーバーの計画が含まれます。

デプロイメントの手順

展開は 3 つのフェーズに分かれています。

DirectAccess インフラストラクチャの構成: このフェーズでは、ネットワークとルーティングの構成、ファイアウォール設定の構成 (必要な場合)、証明書、DNS サーバー、Active Directory と GPO の設定、DirectAccess ネットワークロケーションサーバーの構成を行います。
DirectAccess サーバー設定の構成: このフェーズでは、DirectAccess クライアントコンピューター、DirectAccess サーバー、インフラストラクチャサーバー、管理サーバーとアプリケーションサーバーの構成を行います。
展開の確認: このフェーズでは、DirectAccess 展開を確認します。

展開の手順の詳細については、「高度な DirectAccess のインストールと構成」を参照してください。

実際の適用例

単一の DirectAccess サーバーを展開すると、次のことが実現されます。

簡単操作: Windows 10、Windows 8.1、Windows 8、Windows 7 が実行されているマネージドクライアントコンピューターは、DirectAccess クライアントコンピューターとして構成できます。そうしたクライアントは、インターネット上に存在しているときは、VPN 接続にログインしなくても、DirectAccess を経由して内部ネットワークリソースにアクセスできます。これらのオペレーティングシステムが実行されていないクライアントコンピューターは、VPN 経由で内部ネットワークに接続できます。
簡単な管理: リモートアクセス管理者は、クライアントコンピューターが企業内部ネットワーク上に存在しない場合でも、インターネット上に存在する DirectAccess クライアントコンピューターを DirectAccess 経由でリモート管理できます。企業の要件を満たしていないクライアントコンピューターを管理サーバーによって自動的に修正できます。 DirectAccess と VPN は両方とも同じコンソールで管理され、同じウィザードを使用します。さらに、単一のリモートアクセス管理コンソールから 1 台以上の DirectAccess サーバーを管理できます。

このシナリオに必要な役割と機能

次の表に、このシナリオに必要な役割と機能を示します。

役割/機能	このシナリオのサポート方法
リモートアクセスの役割	この役割をインストールまたはアンインストールするには、サーバーマネージャーコンソールまたは Windows PowerShell を使用します。この役割には、DirectAccess サービス、ルーティングとリモートアクセスサービス (RRAS) が含まれます。リモートアクセスの役割は、次の 2 つのコンポーネントで構成されています。 1. DirectAccess と RRAS VPN。 DirectAccess と VPN は、リモートアクセス管理コンソールで一緒に管理されます。 2. RRAS ルーティング。 RRAS ルーティング機能は、従来のルーティングとリモートアクセス管理コンソールで管理されます。リモートアクセスサーバーの役割は、次のサーバーの役割や機能に依存しています。 - インターネットインフォメーションサービス (IIS) Web サーバー - この機能は、DirectAccess サーバーのネットワークロケーションサーバーと既定の Web プローブを構成するために必要です。 - Windows Internal Database。 DirectAccess サーバーでのローカルアカウンティングに使用されます。
リモートアクセス管理ツールの機能	この機能は、次のようにインストールされます。 - リモートアクセスの役割をインストールするときに、DirectAccess サーバーに既定でインストールされます。リモート管理コンソールのユーザーインターフェイスと Windows PowerShell コマンドレットがサポートされます。 - 必要に応じて、DirectAccess サーバーの役割が実行されていないサーバーにインストールできます。この場合は、DirectAccess および VPN が実行されているリモートアクセスコンピューターのリモート管理に使用されます。リモートアクセス管理ツールの機能は、次の要素で構成されています。 - リモートアクセスグラフィカルユーザーインターフェイス (GUI) - Windows PowerShell 用のリモートアクセスモジュール次の要素と依存関係があります。 -グループポリシー管理コンソール - RAS 接続マネージャー管理キット (CMAK) - Windows PowerShell 3.0 - グラフィカル管理ツールとインフラストラクチャ

役割/機能

このシナリオのサポート方法

リモートアクセスの役割

この役割をインストールまたはアンインストールするには、サーバーマネージャーコンソールまたは Windows PowerShell を使用します。この役割には、DirectAccess サービス、ルーティングとリモートアクセスサービス (RRAS) が含まれます。リモートアクセスの役割は、次の 2 つのコンポーネントで構成されています。

1. DirectAccess と RRAS VPN。 DirectAccess と VPN は、リモートアクセス管理コンソールで一緒に管理されます。
2. RRAS ルーティング。 RRAS ルーティング機能は、従来のルーティングとリモートアクセス管理コンソールで管理されます。

リモートアクセスサーバーの役割は、次のサーバーの役割や機能に依存しています。

- インターネットインフォメーションサービス (IIS) Web サーバー - この機能は、DirectAccess サーバーのネットワークロケーションサーバーと既定の Web プローブを構成するために必要です。
- Windows Internal Database。 DirectAccess サーバーでのローカルアカウンティングに使用されます。

リモートアクセス管理ツールの機能

この機能は、次のようにインストールされます。

- リモートアクセスの役割をインストールするときに、DirectAccess サーバーに既定でインストールされます。リモート管理コンソールのユーザーインターフェイスと Windows PowerShell コマンドレットがサポートされます。
- 必要に応じて、DirectAccess サーバーの役割が実行されていないサーバーにインストールできます。この場合は、DirectAccess および VPN が実行されているリモートアクセスコンピューターのリモート管理に使用されます。

リモートアクセス管理ツールの機能は、次の要素で構成されています。

- リモートアクセスグラフィカルユーザーインターフェイス (GUI)
- Windows PowerShell 用のリモートアクセスモジュール

次の要素と依存関係があります。

-グループポリシー管理コンソール
- RAS 接続マネージャー管理キット (CMAK)
- Windows PowerShell 3.0
- グラフィカル管理ツールとインフラストラクチャ

ハードウェア要件

このシナリオのハードウェア要件は次のとおりです。

サーバーの要件:
- Windows Server 2016、Windows Server 2012 R2 または Windows Server 2012 のハードウェア要件を満たすコンピューター。
- サーバーには、少なくとも 1 つのネットワークアダプターがあり、有効にされて内部ネットワークに接続されている必要があります。アダプターを 2 つ使用する場合は、一方を企業内部ネットワークに接続し、もう一方を外部ネットワーク (インターネットまたはプライベートネットワーク) に接続します。
- IPv4 から IPv6 への移行プロトコルとして Teredo が必要な場合、サーバーの外部アダプターには連続する 2 つのパブリック IPv4 アドレスが必要です。利用できる IP アドレスが 1 つの場合、移行プロトコルとして使用できるのは IP-HTTPS だけです。
- 少なくとも 1 つのドメインコントローラー。 DirectAccess サーバーと DirectAccess クライアントはドメインのメンバーである必要があります。
- IP-HTTPS またはネットワークロケーションサーバー用の自己署名証明書を使用しない場合、またはクライアントの IPsec 認証にクライアント証明書を使用する場合は、証明機関 (CA) が必要です。あるいは、公的 CA に証明書を要求できます。
- ネットワークロケーションサーバーが DirectAccess サーバーに配置されていない場合は、それを実行する別の Web サーバーが必要です。
クライアントの要件:
- クライアントコンピューターでは、Windows 10、Windows 8、または Windows 7 が実行されている必要があります。
  
  注意
  
  DirectAccess クライアントとして使用できるオペレーティングシステムは、Windows 10、Windows Server 2012 R2、Windows Server 2012、Windows 8 Enterprise、Windows 7 Enterprise、または Windows 7 Ultimate です。
インフラストラクチャと管理サーバーの要件:
- DirectAccess クライアントコンピューターのリモート管理時に、クライアントは、Windows およびウイルス対策の更新、クライアントのネットワークアクセス保護 (NAP) 準拠などのサービスのために管理サーバー (ドメインコントローラー、System Center Configuration サーバー、正常性登録機関 (HRA) サーバーなど) と通信を開始します。リモートアクセスの展開を開始する前に、必要なサーバーを展開する必要があります。
- リモートアクセスでクライアントが NAP に準拠している必要がある場合は、リモートアクセスの展開を開始する前に、NPS および HRS サーバーを展開する必要があります。
- VPN が有効になっており、静的アドレスプールを使用しない場合は、VPN クライアントに IP アドレスを自動的に割り当てるために DHCP サーバーが必要です。

ソフトウェア要件

このシナリオには、さまざまな要件があります。

サーバーの要件:
- DirectAccess サーバーはドメインメンバーである必要があります。サーバーは、内部ネットワークのエッジに展開することも、エッジファイアウォールまたは他のデバイスの内側に配置することもできます。
- DirectAccess サーバーがエッジファイアウォール内または NAT デバイスの内側に配置されている場合は、DirectAccess サーバーとの間で送受信されるトラフィックを許可するようにデバイスを構成する必要があります。
- サーバーにリモートアクセスを展開する担当者には、サーバーに対するローカルの管理者のアクセス許可およびドメインユーザーのアクセス許可が必要です。また、管理者には DirectAccess 展開で使用される GPO に対するアクセス許可も必要です。 DirectAccess 展開をモバイルコンピューターのみに制限する機能を利用するには、ドメインコントローラーで WMI フィルターを作成するアクセス許可が必要です。
リモートアクセスクライアントの要件:
- DirectAccess クライアントは、ドメインメンバーである必要があります。クライアントが含まれているドメインは、DirectAccess サーバーと同じフォレストに属することや、DirectAccess サーバーのフォレストまたはドメインと双方向の信頼を確立することができます。
- DirectAccess クライアントとして構成するコンピューターが属する Active Directory セキュリティグループが必要です。 DirectAccess クライアントの設定の構成時にセキュリティグループを指定しなかった場合、既定では、Domain Computers セキュリティグループのすべてのノート PC にクライアントの GPO が適用されます。
  
  注意
  
  DirectAccess クライアントコンピューターを含むそれぞれのドメインにセキュリティグループを作成することをお勧めします。
  
  重要
  
  DirectAccess の展開で Teredo を有効にしていて、Windows 7 クライアントへのアクセスを付与する場合は、クライアントが Windows 7 SP1 にアップグレードされていることを確認してください。 Windows 7 RTM を使用しているクライアントは、Teredo で接続できません。ただし、これらのクライアントでも IP-HTTPS で企業ネットワークに接続することはできます。

コンテンツタイプ	参考資料
デプロイ	Windows Server の DirectAccess 展開パス作業の開始ウィザードを使用した単一の DirectAccess サーバーの展開
ツールと設定	Remote Access PowerShell コマンドレット
コミュニティリソース	DirectAccess Survival Guide (DirectAccess サバイバルガイド) Wiki の DirectAccess 項目
関連テクノロジ	How IPv6 works (IPv6 の動作のしくみ)