次の方法で共有

リモート アクセスの管理

DirectAccess リモート クライアント管理の展開シナリオでは、DirectAccess を使用して、インターネット経由でクライアントを管理します。 このセクションでは、このシナリオのフェーズ、役割、機能、他のリソースへのリンクなどについて説明します。

Windows Server 2016 および Windows Server 2012 では、DirectAccess およびルーティングとリモート アクセス サービス (RRAS) VPN が 1 つのリモート アクセス役割に統合されています。

注意

このトピックに加えて、リモート アクセス管理についての次のトピックも参照してください。

シナリオの説明

DirectAccess クライアント コンピューターは、ユーザーがコンピューターにサインインしているかどうかに関係なく、インターネットに接続されるときは常に、イントラネットに接続されます。 このコンピューターはイントラネット リソースとして管理でき、グループ ポリシーの変更、オペレーティング システムの更新、マルウェア対策の更新、その他の組織の変更について最新の状態に保持できます。

場合によっては、イントラネット サーバーまたはコンピューターは DirectAccess クライアントへの接続を開始する必要があります。 たとえば、ヘルプ デスク技術者は、リモート デスクトップ接続を使用することで、リモート DirectAccess クライアントに接続してトラブルシューティングを行うことができます。 このシナリオでは、ユーザー接続のために既存のリモート アクセス ソリューションを維持したまま、リモート管理に DirectAccess を使用することができます。

DirectAccess は、DirectAccess クライアントのリモート管理をサポートする構成を提供します。 クライアント コンピューターのリモート管理に必要なポリシーしか作成されないように制限する展開ウィザード オプションを使用できます。

注意

この展開では、強制トンネリング、ネットワーク アクセス保護 (NAP) の統合、2 要素認証など、ユーザー レベルの構成オプションを使用できません。

このシナリオの内容

DirectAccess リモート クライアント管理の展開シナリオには、計画と構成に関する次の手順が含まれます。

展開を計画する

このシナリオの計画に関するコンピューターとネットワークの要件はごくわずかです。 これには次のようなものがあります。

  • ネットワークとサーバーのトポロジ:DirectAccess では、リモート アクセス サーバーをイントラネットのエッジか、ネットワーク アドレス変換 (NAT) デバイスまたはファイアウォールの内側に配置できます。

  • DirectAccess ネットワーク ロケーション サーバー:ネットワーク ロケーション サーバーは、内部ネットワークに配置されているかどうかを判断するために DirectAccess クライアントによって使用されます。 ネットワーク ロケーション サーバーは、DirectAccess サーバーまたは別のサーバーにインストールできます。

  • DirectAccess クライアント:DirectAccess クライアントとして構成するマネージド コンピューターを決定します。

展開を構成する

展開の構成は、複数の手順で構成されます。 これには以下が含まれます。

  1. インフラストラクチャを構成する:DNS 設定を構成し、必要に応じてサーバーおよびクライアント コンピューターをドメインに参加させ、Active Directory セキュリティ グループを構成します。

    この展開シナリオでは、グループ ポリシー オブジェクト (GPO) はリモート アクセスによって自動的に作成されます。 証明書 GPO の高度なオプションについては、「高度な リモート アクセスの展開」を参照してください

  2. リモート アクセス サーバーとネットワークの設定を構成する:ネットワーク アダプター、IP アドレス、およびルーティングを構成します。

  3. この展開シナリオでは:作業の開始ウィザードを使用して、自己署名証明書を作成します。そのため、「はじめに」で説明されている、より高度な証明書インフラストラクチャを構成する必要はありません。

  4. ネットワーク ロケーション サーバーを構成する:このシナリオでは、ネットワーク ロケーション サーバーをリモート アクセス サーバーにインストールします。

  5. DirectAccess 管理サーバーを計画する:管理者は、企業ネットワークの外部にある DirectAccess クライアント コンピューターを、インターネットを使用してリモート管理できます。 管理サーバーには、リモート クライアント管理の間に使用されるコンピューターが含まれます (更新サーバーなど)。

  6. リモート アクセス サーバーを構成する:リモート アクセスの役割をインストールし、DirectAccess の作業の開始ウィザードを実行して、DirectAccess を構成します。

  7. 展開を確認する:クライアントをテストし、DirectAccess を使用して内部ネットワークおよびインターネットに接続できることを確認します。

実際の適用例

DirectAccess クライアントを管理するために単一のリモート アクセス サーバーを展開すると、次のことが実現されます。

  • 簡単なアクセス Windows 8 、または Windows 7 を実行する:管理されたクライアント コンピューターを DirectAccess クライアント コンピューターとして構成できます。 このようなクライアントは、インターネットに接続しているときはいつでも、VPN 接続にサインインしなくても、DirectAccess を経由して内部ネットワーク リソースにアクセスできます。 これらのオペレーティング システムが実行されていないクライアント コンピューターは、VPN 経由で内部ネットワークに接続できます。 DirectAccess と VPN は、同じコンソールで、同じウィザード セットを使って管理されます。

  • 簡単な管理:リモート アクセス管理者は、DirectAccess クライアント コンピューターが企業内部ネットワーク上に存在しない場合でも、インターネットに接続しているクライアント コンピューターであれば DirectAccess を使用してリモート管理できます。 企業の要件を満たしていないクライアント コンピューターを管理サーバーによって自動的に修正できます。 単一のリモート アクセス管理コンソールから 1 台以上のリモート アクセス サーバーを管理できます。

このシナリオに含まれている役割と機能

次の表に、このシナリオに必要な役割と機能を示します。

役割または機能 このシナリオのサポート方法
リモート アクセスの役割 この役割をインストールまたはアンインストールするには、サーバー マネージャー コンソールまたは Windows PowerShell を使用します。 この役割には、以前は Windows Server 2008 R2 の機能であった DirectAccess と、以前はネットワーク ポリシーとアクセス サービス (NPAS) サーバーの役割の役割サービスであったリモート アクセス サービスが含まれています。 リモート アクセスの役割は、次の 2 つのコンポーネントで構成されています。

1.DirectAccess およびルーティングとリモート アクセス サービス (RRAS) VPN: DirectAccess と VPN はリモート アクセス管理コンソールで一緒に管理されます。
2.RRAS:機能は、ルーティングとリモート アクセス管理コンソールで管理されます。

リモート アクセス サーバーの役割は、次の機能に依存しています。

-Web Server (IIS):ネットワーク ロケーション サーバーおよび既定の Web プローブの構成に必要です。
-Windows Internal Database: リモート アクセス サーバーでのローカル アカウンティングに使用されます。
リモート アクセス管理ツールの機能 この機能は、次のようにインストールされます。

-リモート アクセスの役割をインストールするときに、リモート アクセス サーバーに既定でインストールされます。リモート管理コンソールのユーザー インターフェイスがサポートされます。
-オプションで、リモート アクセス サーバーの役割を実行していないサーバーにインストールされます。 この場合、リモート アクセス サーバーのリモート管理に使用されます。

この機能は、

-リモート アクセス GUI およびコマンド ライン ツール
-Windows PowerShell 用のリモート アクセス モジュール

次の要素と依存関係があります。

-グループ ポリシー管理コンソール
- RAS 接続マネージャー管理キット (CMAK)
- Windows PowerShell 3.0 (英語)
- グラフィカル管理ツールとインフラストラクチャ

ハードウェア要件

このシナリオのハードウェア要件は次のとおりです。

サーバーの要件

  • Windows Server 2016のハードウェア要件を満たすコンピューター。 詳細については、Windows Server 2016 のシステム要件 に関するページを参照してください。

  • サーバーには、少なくとも 1 つのネットワーク アダプターがあり、有効にされている必要があります。 企業内部ネットワークに接続されているアダプターと外部ネットワーク (インターネット) に接続されているアダプターがそれぞれ 1 つだけ必要です。

  • IPv6 から IPv4 への移行プロトコルとして Teredo が必要な場合、サーバーの外部アダプターには連続する 2 つのパブリック IPv4 アドレスが必要です。 利用できるネットワーク アダプターが 1 つの場合、移行プロトコルとして使用できるのは IP-HTTPS だけです。

  • 少なくとも 1 つのドメイン コントローラー。 リモート アクセス サーバーと DirectAccess クライアントは、ドメインのメンバーである必要があります。

  • IP-HTTPS またはネットワーク ロケーション サーバー用の自己署名証明書を使用しない場合、またはクライアントの IPsec 認証にクライアント証明書を使用する場合は、証明機関がサーバーに必要です。

クライアントの要件

  • クライアント コンピューターでは、Windows 10 またはWindows 8 または Windows 7 が実行されている必要があります。

インフラストラクチャと管理サーバーの要件

  • DirectAccess クライアント コンピューターのリモート管理時に、クライアントは、管理サーバー (ドメイン コントローラー、System Center Configuration サーバー、正常性登録機関 (HRA) サーバーなど) と通信を開始します。 これらのサーバーは、Windows およびウイルス対策の更新、クライアントのネットワーク アクセス保護 (NAP) 準拠などのサービスを提供します。 リモート アクセスの展開を開始する前に、必要なサーバーを展開する必要があります。

  • Windows Server 2016、Windows Server 2012 R 2、またはWindows Server 2012 R2、Windows Server 2012、 Windows Server 2008 R2、またはWindows Server 2008 SP2 を搭載したDNSサーバーが必要です。

ソフトウェア要件

このシナリオのソフトウェア要件は次のとおりです。

サーバーの要件

  • リモート アクセス サーバーはドメイン メンバーである必要があります。 サーバーは、内部ネットワークのエッジに展開することも、エッジ ファイアウォールまたは他のデバイスの内側に配置することもできます。

  • リモート アクセス サーバーがエッジ ファイアウォール内または NAT デバイスの内側に配置されている場合は、リモート アクセス サーバーとの間で送受信されるトラフィックを許可するようにデバイスを構成する必要があります。

  • リモート アクセス サーバーを展開する管理者には、サーバーに対するローカル管理者のアクセス許可およびドメイン ユーザーのアクセス許可が必要です。 また、管理者には DirectAccess 展開で使用される GPO に対するアクセス許可も必要です。 DirectAccess の展開をモバイル コンピューターのみに制限する機能を利用するには、WMI フィルターを作成するためにドメイン コントローラーでの Domain Admins アクセス許可が必要です。

  • ネットワーク ロケーション サーバーがリモート アクセス サーバーに配置されていない場合は、それを実行する別のサーバーが必要です。

リモート アクセス クライアントの要件

  • DirectAccess クライアントは、ドメイン メンバーである必要があります。 クライアントが含まれているドメインは、リモート アクセス サーバーと同じフォレストに属することや、リモート アクセス サーバーのフォレストまたはドメインと双方向の信頼を確立することができます。

  • DirectAccess クライアントとして構成するコンピューターが属する Active Directory セキュリティ グループが必要です。 DirectAccess クライアントが含まれている複数のセキュリティ グループに、コンピューターを含めないようにする必要があります。 クライアントを複数のグループに含めると、クライアント要求の名前解決が期待どおりに動作しなくなります。