手順 1 リモートアクセスインフラストラクチャを計画する

2023-03-09
適用対象: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

注

Windows Server 2016 では、DirectAccess およびルーティングとリモートアクセスサービス (RRAS) は単一のリモートアクセスの役割に統合されています。

このトピックでは、DirectAccess クライアントのリモート管理用に 1 つのリモートアクセスサーバーをセットアップするために使用できるインフラストラクチャを計画するための手順について説明します。次の表に手順を示しますが、これらの計画タスクを特定の順序で実行する必要はありません。

タスク	説明
ネットワークトポロジとサーバー設定を計画する	リモートアクセスサーバーを配置する場所 (ネットワークアドレス変換 (NAT) デバイスまたはファイアウォールの端または背後) を決定し、IP アドレス指定とルーティングを計画します。
ファイアウォールの要件を計画する	エッジファイアウォール経由のリモートアクセスの許可を計画します。
証明書の要件を計画する	クライアント認証にケルベロス認証プロトコルまたは証明書を使用するかどうかを決定し、Web サイト証明書を計画します。 IP-HTTPS は、IPv4 ネットワーク経由で IPv6 トラフィックをトンネリングするために DirectAccess クライアントによって使用される移行プロトコルです。証明機関 (CA) によって発行された証明書を使用するか、リモートアクセスサーバーによって自動的に発行された自己署名証明書を使用して、サーバーの IP-HTTPS を認証するかを決定します。
DNS の要件を計画する	リモートアクセスサーバーのドメインネームシステム (DNS) 設定、インフラストラクチャサーバー、ローカルでの名前解決オプション、クライアント接続を計画します。
ネットワークロケーションサーバーの構成を計画する	組織でのネットワークロケーションサーバー Web サイトの配置場所 (リモートアクセスサーバーまたは代替サーバー) を決定し、ネットワークロケーションサーバーをリモートアクセスサーバー上に配置する場合の証明書要件を計画します。ノート:ネットワークロケーションサーバーは、DirectAccess クライアントが内部ネットワーク上にあるかどうかを判断するために使用されます。
管理サーバーの構成を計画する	リモートクライアント管理時に使用する管理サーバー (更新サーバーなど) を計画します。ノート:管理者は、インターネットを使用して、企業ネットワークの外部にある DirectAccess クライアントコンピューターをリモートで管理できます。
Active Directory の要件を計画する	ドメインコントローラー、Active Directory 要件、クライアント認証、および複数ドメイン構造を計画します。
グループポリシーオブジェクトの作成を計画	組織で必要な GPO と、GPO を作成および編集する方法を決定します。

ネットワークのトポロジと設定を計画する

ネットワークを計画するときは、ネットワークアダプターのトポロジ、IP アドレスの設定、および ISATAP の要件を考慮する必要があります。

ネットワークアダプターと IP アドレス指定を計画する

使用するトランスポートアダプタートポロジを特定します。リモートアクセスは、次のトポロジのいずれかで設定できます。
- 2 つのネットワークアダプターがある場合、リモートアクセスサーバーはedgeにインストールされ、一方のネットワークアダプターはインターネットに接続され、もう一方のネットワークアダプターは内部ネットワークに接続されます。
- 2 つのネットワークアダプターがある場合、リモートアクセスサーバーは NAT デバイス、ファイアウォール、またはルーターの背後にインストールされ、一方のネットワークアダプターは境界ネットワークに接続され、もう一方のネットワークアダプターは内部ネットワークに接続されます。
- 1 つのネットワークアダプタを使用すると、リモートアクセスサーバーが NAT デバイスの背後にインストールされ、1 つのネットワークアダプタが内部ネットワークに接続されます。
IP アドレス指定要件を識別します。

DirectAccess は、IPv6 と IPsec を組み合わせて、DirectAccess クライアントコンピューターと企業内部ネットワークとの間にセキュリティで保護された接続を確立します。ただし、DirectAccess は、IPv6 インターネットへの接続または内部ネットワーク上でのネイティブ IPv6 サポートを必ずしも必要とはしません。代わりに、IPv6 移行テクノロジを自動的に構成および使用して、IPv4 インターネット (6to4、Teredo、または IP-HTTPS) および IPv4 のみのイントラネット (NAT64または ISATAP) を介して IPv6 トラフィックをトンネリングします。このような移行テクノロジの概要については、次のリソースを参照してください。
- IPv6 移行テクノロジ
- IP-HTTPS Tunneling Protocol Specification (IP-HTTPS トンネリングプロトコルの仕様)

次の表に従って、必要なアダプターとアドレス指定を構成します。 1 つのネットワークアダプターを使用する NAT デバイスの背後にある展開の場合は、内部ネットワークアダプター列のみを使用して IP アドレスを構成します。

説明	外部ネットワークアダプター	内部ネットワークアダプター^1、上記	ルーティングの要件
IPv4 インターネットと IPv4 イントラネット	次を構成します。 -適切なサブネットマスクを持つ 2 つの静的な連続したパブリック IPv4 アドレス(Teredoにのみ必要)。 -インターネットファイアウォールまたはローカルインターネットサービスプロバイダー (ISP) ルーターのデフォルトゲートウェイ IPv4 アドレス。ノート：リモートアクセスサーバーは、Teredo サーバーとして機能し、Windows ベースの Teredo クライアントがリモートアクセスサーバーを使用して NAT デバイスの種類を検出できるよう、2 つの連続するパブリック IPv4 アドレスを必要とします。	次を構成します。 - 適切なサブネットマスクを持つ IPv4 イントラネットアドレス。 - イントラネット名前空間の接続固有の DNS サフィックス。 DNS サーバーも、内部インターフェイスで構成する必要があります。注意: イントラネットインターフェイスで、既定のゲートウェイを構成しません。	内部 IPv4 ネットワーク上のすべてのサブネットに到達するようにリモートアクセスサーバーを構成するには、次の手順を実行します。 - イントラネット上のすべての場所の IPv4 アドレス空間を一覧表示します。 - リモートアクセスサーバーの IPv 4 ルーティングテーブルに静的ルートとして IPv4 アドレス空間を追加するには、`route add -p`または`netsh interface ipv4 add route`コマンドを使用します。
IPv6 インターネットおよび IPv6 イントラネット	次を構成します。 - ISP が提供する自動構成されたアドレス構成を使用します。 - `route print` コマンドを使って、ISP ルーターを示す既定の IPv6 ルートが IPv6 ルーティングテーブルにあることを確認します。 -ISP とイントラネットルーターが、RFC 4191 に記載されている既定のルーター設定を使用しているかどうか、およびローカルイントラネットルーターよりも高い既定の設定を使用しているかどうかを確認します。どちらについても使用している場合は、既定のルートに他の構成は必要ありません。 ISP ルーターの高度な基本設定によって、リモートアクセスサーバーの既定の IPv6 アクティブルートが IPv6 インターネットを示すことが保証されます。リモートアクセスサーバーは IPv6 ルーターであるため、ネィティブ IPv6 インフラストラクチャがある場合は、インターネットインターフェイスからイントラネット上のドメインコントローラーに到達することもできます。この場合は、リモートアクセスサーバーのインターネットインターフェイスの IPv 6 アドレスへの接続を阻止するパケットフィルターを境界ネットワークのドメインコントローラーに追加します。	次を構成します。既定の基本設定レベルを使用していない場合は、`netsh interface ipv6 set InterfaceIndex ignoredefaultroutes=enabled`コマンドを使用して、イントラネットインターフェイスを構成します。このコマンドにより、イントラネットルーターをポイントする追加の既定のルートは IPv6 ルーティングテーブルに追加されなくなります。イントラネットインターフェイスの InterfaceIndex は、`netsh interface show interface`コマンドの表示から取得できます。	IPv6 イントラネットがある場合、IPv6 のすべての場所に到達できるようにリモートアクセスサーバーを構成するには、次のようにします。 - イントラネット上のすべての場所の IPv6 アドレス空間を一覧表示します。 - `netsh interface ipv6 add route`コマンドを使用して、IPv6 アドレススペースをリモートアクセスサーバーの IPv6 ルーティングテーブルに静的ルートとして追加します。
IPv4 インターネットおよび IPv6 イントラネット	リモートアクセスサーバーは、Microsoft 6 to 4 アダプターインターフェイスを使用して、IPv4 インターネット上の6 to 4リレーにデフォルトのIPv6 ルートトラフィックを転送します。ネイティブ IPv6 が企業ネットワークに展開されていない場合は、次のコマンドを使用して、IPv4 インターネット上の Microsoft 6to4 リレーの IPv4 アドレス用にリモートアクセスサーバーを構成できます`netsh interface ipv6 6to4 set relay name=<ipaddress> state=enabled`。

注

DirectAccess クライアントにパブリック IPv4 アドレスが割り当てられている場合、6 to 4 リレーテクノロジーを使用してイントラネットに接続します。クライアントにプライベート IPv4 アドレスが割り当てられると、Teredo が使用されます。 DirectAccess クライアントが 6to4 または Teredo を使用して DirectAccess サーバーに接続できない場合は、IP-HTTPS が使用されます。
Teredo を使用するには、外部ネットワークアダプターで連続する 2 つの IP アドレスを構成する必要があります。
リモートアクセスサーバーにネットワークアダプターが 1 つしかない場合、Teredo を使用することはできません。
ネイティブ IPv6 クライアントコンピューターは、ネイティブ IPv6 経由でリモートアクセスサーバーに接続できます。移行テクノロジを必要としません。

ISATAP 要件を計画する

DirectAccess 管理サーバーがインターネット上にある DirectAccess クライアントに接続できるように、DirectAccessclients のリモート管理には ISATAP が必要です。 ISATAP は、DirectAccess クライアントコンピューターによって開始される企業ネットワーク上の IPv4 リソースへの接続をサポートする必要はありません。この目的には、NAT64/DNS64 が使用されます。展開に ISATAP が必要な場合は、次の表を使用して要件を特定します。

ISATAP 展開シナリオ	要件
既存のネイティブ IPv 6 イントラネット (ISATAP は不要)	既存のネイティブ IPv6 インフラストラクチャでは、リモートアクセスの展開中に組織のプレフィックスを指定し、リモートアクセスサーバーはそれ自体を ISATAP ルーターとして構成しません。次の操作を行います。 1. DirectAccess クライアントがイントラネットからアクセスできるようにするには、既定のルートトラフィックがリモートアクセスサーバーに転送されるように IPv6 ルーティングを変更する必要があります。イントラネットの IPv6 アドレス空間が、1 つの 48 ビット IPv6 アドレスプレフィックス以外のアドレスを使用している場合は、展開時に関連する組織の IPv6 プレフィックスを指定する必要があります。 2. 現在 IPv 6 インターネットに接続している場合は、既定のルートトラフィックがリモートアクセスサーバーに転送されるように構成し、既定のルートトラフィックが IPv 6 インターネットに接続されているデバイスに転送されるように、リモートアクセスサーバーで適切な接続とルートを構成する必要があります。
既存の ISATAP 展開	既存の ISATAP インフラストラクチャがある場合、展開中に組織の 48 ビットプレフィックスの入力を求められ、リモートアクセスサーバーはそれ自体を ISATAP ルーターとして構成しません。 DirectAccess クライアントがイントラネットからアクセスできるようにするには、既定のルートトラフィックがリモートアクセスサーバーに転送されるように IPv6 ルーティングインフラストラクチャを変更する必要があります。この変更は、イントラネットクライアントがすでにデフォルトのトラフィックを転送している必要がある既存の ISATAP ルーターで行う必要があります。
既存の IPv6 接続がありません	リモートアクセスセットアップウィザードは、サーバーにネイティブまたは ISATAP ベースの IPv6 接続がないことを検出すると、イントラネット用の6 to 4ベースの 48 ビットプレフィックスを自動的に取得し、リモートアクセスサーバーを ISATAP ルーターとして構成して、イントラネット上の ISATAP ホストに IPv6 接続を提供します。 (6to4 ベースのプレフィックスは、サーバーにパブリックアドレスがある場合にのみ使用されます。それ以外の場合は、規則的なローカルアドレス範囲からプレフィックスが自動的に生成されます。) ISATAP を使用するには、次の手順を実行します。 1. ISATAP ベースの接続を有効にする各ドメインの ISATAP 名を DNS サーバーに登録します。これにより、ISATAP 名が内部 DNS サーバーによってリモートアクセスサーバーの内部 IPv4 アドレスに解決できるようになります。 2. 既定では、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、またはWindows Server 2003 を実行している DNS サーバーは、グローバルクエリブロックリストを使用して ISATAP 名の解決をブロックします。 ISATAP を有効にするには、ブロックリストから ISATAP 名を削除する必要があります。詳細については、「DNS グローバルクエリブロックリストからの ISATAP の削除」を参照してください。 ISATAP 名を解決できる Windows ベースの ISATAP ホストは、リモートアクセスサーバーで次のようにアドレスを自動的に構成します。 1. ISATAP トンネリングインターフェイスの ISATAP ベースの IPv6 アドレス 2. イントラネット上の他の ISATAP ホストへの接続を提供する 64 ビットルート 3. リモートアクセスサーバーを指す既定の IPv6 ルート。既定ルートにより、イントラネット ISATAP ホストが DirectAccess クライアントに到達できるようになります Windows ベースの ISATAP ホストが ISATAP ベースの IPv6 アドレスを取得すると、送信先が ISATAP ホストでもある場合、ISATAP でカプセル化されたトラフィックを使用して通信が開始します。 ISATAP ではイントラネット全体に 1 つの 64 ビットのサブネットが使用されるため、通信はセグメント化された IPv4 モデルの通信から、IPv6 を使用した 1 つのサブネット通信モデル移行します。これは、Active Directory Domain Services (AD DS) の一部や、Active Directory Domain Servicesの構成に依存するアプリケーションの動作に影響を与える可能性があります。たとえば、Active Directory サイトとサービススナップインを使用して、サイト、IPv4 ベースのサブネット、サイト内のサーバーに要求を転送するサイト間トランスポートを構成した場合、この構成は ISATAP ホストでは使用されません。 ISATAP ホストのサイト内で転送するように Active Directory サイトとサービスを構成するには、各 IPv4 サブネットオブジェクトに対して、同等の IPv6 サブネットオブジェクトを構成する必要があります。このサブネットの IPv6 アドレスプレフィックスは、IPv4 サブネットと同じ範囲の ISATAP ホストアドレスを表します。たとえば、IPv4 サブネット 192.168.99.0/24 と 64 ビット ISATAP アドレスプレフィックス 2002: 836b:1:8000::/64 の場合、IPv6 サブネットオブジェクトの同等の IPv6 アドレスプレフィックスは、2002: 836b:1:8000:0:5efe:192.168.99.0/120 になります。任意の IPv4 プレフィックス長 (例では 24 に設定) の場合、式 96 + IPv4PrefixLength から対応する IPv6 プレフィックス長を決定できます。 DirectAccess クライアントの IPv6 アドレスには、次のものを追加します。 Teredo ベースの DirectAccess クライアントの場合 2001:0:WWXX:YYZZ::/64 の範囲の IPv6 サブネット。WWXX:YYZZ は、リモートアクセスサーバーの最初のインターネットに接続された IPv4 アドレスのコロン 16 進数バージョンです。 = IP-HTTPS ベースの DirectAccess クライアントの場合 2002:WWXX:YYZZ:8100::/56 の範囲の IPv6 サブネット。WWXX:YYZZ は、リモートアクセスサーバーの最初のインターネット向け IPv4 アドレス (w.x.y.z) のコロン区切りの 16 進数バージョンです。 = 6to4 ベースの DirectAccess クライアントの場合 2002 で始まる一連の 6to4 ベースの IPv6 プレフィックス。インターネット割り当て番号機関 (IANA) と地域レジストリによって管理される地域のパブリック IPv4 アドレスプレフィックスを表します。パブリック IPv4 アドレスプレフィックス w.x.y.z/n の 6to4 ベースのプレフィックスは、2002:WWXX:/[16 + n] です。この場合、WWXX:YYZZ は w.x.y.z のコロン 16 進数バージョンです。たとえば、7.0.0.0/8という範囲は、北米向けの米国インターネット番号登録 (ARIN) によって管理されています。このパブリック IPv6 アドレス範囲に対応する 6to4 ベースのプレフィックスは 2002:700::/24 です。 IPv4 パブリックアドレススペースについては、IANA IPv4 アドレススペースレジストリを参照してください。 =

重要

DirectAccess サーバーの内部インターフェイスにパブリック IP アドレスがないことを確認してください。内部インターフェイスにパブリック IP アドレスがある場合、ISATAP 経由の接続に失敗する可能性があります。

ファイアウォールの要件を計画する

エッジファイアウォールの背後に設置されたリモートアクセスサーバーが IPv4 インターネット上にあるときは、リモートアクセストラフィックについて次の例外が必要になります。

IP-HTTPS の場合は、伝送制御プロトコル (TCP) 宛先ポート 443、およびTCP送信元ポート443が発信です。
Teredo トラフィックの場合は、ユーザーデータグラムプロトコル (UDP) 宛先ポート 3544 受信と、UDP 発信元ポート 3544 送信。
6to4 トラフィックの場合は、IP プロトコル 41 の受信と送信。

注

Teredo トラフィックと 6to4 トラフィックの場合、これらの例外は、リモートアクセスサーバー上のインターネットに接続された両方の連続するパブリック IPv4 アドレスに適用する必要があります。

IP-HTTPS では、パブリック DNS サーバーに登録されているアドレスに例外を適用する必要があります。
1 つのネットワークアダプターでリモートアクセスを展開し、Remote Access サーバーにネットワークロケーションサーバーをインストールする場合は、TCP ポート 62000 です。

注

この除外項目はリモートアクセスサーバーにあり、これまでの除外項目はedgeファイアウォールにあります。

リモートアクセスサーバーが IPv6 インターネット上にある場合は、リモートアクセスのトラフィックには以下のような例外が必要です。

IP プロトコル 50
UDP 宛先ポート 500 の受信と、UDP 発信元ポート 500 の送信。
ICMPv6 トラフィックの受信と発信 (Teredo使用時のみ)。

追加のファイアウォールを使用する場合は、リモートアクセストラフィックに次の内部ネットワークファイアウォール例外を適用します。

ISATAP の場合は、プロトコル 41 の受信と送信
すべての IPv 4/IPv 6 トラフィック、TCP/UD の場合
Teredo の場合は、すべての IPv4/IPv6 トラフィックに対して ICMP

証明書の要件を計画する

1 台のリモートアクセスサーバーを導入する際に、証明書が必要となるシナリオは 3 つあります。

IPsec 認証IPsecの証明書の要件には、DirectAccessクライアントコンピューターがリモートアクセスサーバーとのIPsec接続を確立するときに使用するコンピューター証明書と、リモートアクセスサーバーがDirectAccessクライアントとのIPsec接続を確立するために使用するコンピューター証明書が含まれます。

Windows Server 2012 の DirectAccess では IPsec 証明書の使用は必須ではありません。また、リモートアクセスサーバーは、証明書を必要としない Kerberos 認証のプロキシとして機能することもできます。 Kerberos 認証を使用する場合は、SSL で動作し、Kerberos プロトコルは IP-HTTPS 用に設定された証明書を使用します。一部の企業のシナリオ (マルチサイトの展開やワンタイムパスワードによるクライアント認証など) では、Kerberos 認証ではなく、証明書認証の使用が必要となります。
IP-HTTPS サーバーリモートアクセスを設定すると、リモートアクセスサーバーは IP-HTTPS Web リスナーとして動作するように自動的に設定されます。 IP-HTTPS サイトは Web サイト証明書を要求します。また、クライアントコンピューターは、その証明書の証明書失効リスト (CRL) サイトに接続できる必要があります。
ネットワークロケーションサーバーは、クライアントコンピューターが企業ネットワーク内にあるかどうかを検出するために使用される Web サイトです。ネットワークロケーションサーバーには、web サイトの証明書が必要です。 DirectAccess クライアントは、その証明書の CRL サイトに接続できる必要があります。

これらの各シナリオにおける認証局(CA)の要件を以下の表にまとめました。

IPsec 認証	IP-HTTPS サーバー	ネットワークロケーションサーバー
認証に Kerberos プロトコルを使用しない場合、IPsec 認証用のコンピュータ証明書をリモートアクセスサーバーとクライアントに発行するために、内部 CA が必要になります。	内部認証局 (CA) の場合は、内部 CA を使用して IP-HTTPS 証明書を発行できます。ただし、CRL 配布ポイントが外部で使用可能であることを確認する必要があります。	内部 CA は、ネットワークロケーションサーバの Web サイト証明書の発行に使用できます。 CRL 配布ポイントが内部ネットワークからいつでも利用できることを確認してください。
	自己署名証明書の場合は、IP-HTTPS サーバに自己署名証明書を使用できます。自己署名証明書はマルチサイト展開で使用できません。	自己署名証明書、ネットワークロケーションサーバ Web サイトに自己署名証明書を使用できます。ただし、マルチサイト展開では自己署名証明書を使用できません。
	パブリック CA、CRL 配布ポイントを外部から使用できるようにするため、パブリック CA を使用して IP-HTTPS 証明書を発行することをお勧めします。

IPsec 認証にコンピューター証明書を計画する

証明書に基づく IPsec 認証を使用している場合、リモートアクセスサーバーとクライアントは、コンピューター証明書を入手する必要があります。証明書をインストールする最も簡単な方法は、グループポリシーを使用して、コンピューター証明書の自動登録を構成することです。こうすることによって、すべてのドメインメンバーがエンタープライズ CA から証明書を入手します。エンタープライズ CA を組織内の設定があるない場合は、次を参照してください。Active Directory Certificate Servicesです。

この証明書には、次の要件があります。

証明書には、クライアント認証用の拡張キー使用法 EKU (Extended Key Usage) が含まれている必要があります。
クライアント証明書とサーバー証明書は、同じルート証明書に関連付けられている必要があります。このルート証明書は、DirectAccess 構成設定で選択されている必要があります。

IP-HTTPS の証明書を計画する

リモートアクセスサーバーは IP-HTTPS リスナーとして動作します。HTTPS Web サイト証明書をサーバーに手動でインストールする必要があります。計画するときは、次の点を考慮してください。

CRL がすぐに使用できるように、パブリック CA を使用することをお勧めします。
サブジェクトフィールドには、リモートアクセスサーバーのインターネットアダプターの IPv4 アドレスまたは IP-HTTPS URL の FQDN (ConnectTo アドレス) を指定します。リモートアクセスサーバーが NAT デバイスの内側に存在する場合は、NAT デバイスのパブリック名またはアドレスを指定する必要があります。
証明書の共通名は、IP-HTTPS サイトの名前と一致している必要があります。
拡張キー使用法 フィールドに、サーバー認証オブジェクト識別子 (OID) を使用します。
[CRL 配布ポイント] フィールドに、インターネットに接続している DirectAccess クライアントがアクセスできる CRL 配布ポイントを指定します。

注

これは Windows 7を使用しているクライアントの場合のみ必要です。
IP-HTTPS 証明書には秘密キーが必要です。
IP-HTTPS 証明書は、個人用ストアに直接インポートする必要があります。
IP-HTTPS 証明書の名前にはワイルドカードを含めることができます。

ネットワークロケーションサーバーの Web サイト証明書を計画する

ネットワークロケーションサーバーのウェブサイトを企画する際には、以下の点を考慮してください。

[サブジェクト] フィールドで、ネットワークロケーションサーバーのイントラネットインターフェイスの IP アドレス、またはネットワークロケーション URL の FQDN をを指定します。
拡張キー使用法フィールドには、サーバー認証 OID を使用します。
CRL 配布ポイントフィールドには、イントラネットに接続されている DirectAccess クライアントからアクセスできる CRL 配布ポイントを使用します。この CRL 配布ポイントは、内部ネットワークの外側からアクセスできないようにしてください。

注

IP-HTTPS とネットワークロケーションサーバーの証明書にサブジェクト名があることを確認してください。証明書に別の名前が使われていると、リモートアクセスウィザードでは受け付けられません。

DNS の要件を計画する

このセクションでは、リモートアクセス展開する際のクライアントとサーバーの DNS 要件について説明します。

DirectAccess クライアント要求

内部ネットワークに配置されていない DirectAccess クライアントコンピューターからの要求を解決するためには、DNS が使用されます。 DirectAccess クライアントは、DirectAccess ネットワークロケーションサーバーへの接続を試み、インターネット上にあるのか、企業ネットワーク上にあるのかを判断します。

接続に成功した場合、クライアントはイントラネット上にあると判断され、DirectAccess は使用されず、クライアントのリクエストは、クライアントコンピュータのネットワークアダプターに設定された DNS サーバーを使用して解決されます。
接続に失敗した場合、クライアントはインターネット上にあると見なされます。 DirectAccess クライアントは名前解決ポリシーテーブル (NRPT) を使って、名前の要求を解決するときに使用する DNS サーバーを判断します。クライアントが名前解決に DirectAccess DNS64 または代替の内部 DNS サーバーを使用するように指定することができます。

名前解決の実行時、NRPT が DirectAccess クライアントによって使用されて、要求の処理方法が特定されます。クライアントは、FQDN または<https://internal>などの 1 つのラベル名を要求します。シングルラベル名が要求されると、DNS サフィックスが追加されて FQDN になります。 DNS クエリが NRPT のエントリーにマッチし、そのエントリーに DNS4 またはイントラネットの DNS サーバーが指定されている場合、クエリは指定されたサーバーを使用して名前解決のために送信されます。一致が存在するが、DNS サーバーが指定されていない場合、これは除外規則が適用され、通常の名前解決が行われます。

リモートアクセス管理コンソールで新しいサフィックスを NRPT に追加した場合、[検出] ボタンをクリックすると、サフィックスの既定の DNS サーバーを自動的に検出できます。自動検出は以下のように行われます。

企業ネットワークが IPv4 ベースの場合、または IPv4 と IPv6 を使用している場合は、既定のアドレスは、リモートアクセスサーバーの内部アダプターの DNS64 アドレスです。
企業ネットワークが IPv6 ベースである場合、既定のアドレスは、企業ネットワーク内の DNS サーバーの IPv6 アドレスです。

インフラストラクチャサーバー

ネットワークロケーションサーバー

DirectAccess クライアントは、内部ネットワークに配置されているかを判断するために、ネットワークロケーションサーバーに接続しようとします。内部ネットワーク上のクライアントは、ネットワークロケーションサーバーの名前解決をしなければなりません。また、それらがインターネット上にある場合は、名前解決できないようにする必要があります。これが確実に行われるように、既定で、ネットワークロケーションサーバーの FQDN が NRPT に対する除外規則として追加されます。また、リモートアクセスを構成する場合、次の規則が自動的に作成されます。
- リモートアクセスサーバーのルートドメインまたはドメイン名の DNS サフィックスルール、およびリモートアクセスサーバーに構成されているイントラネット DNS サーバーに対応する IPv6 アドレス。たとえば、リモートアクセスサーバーが corp.contoso.com ドメインのメンバーである場合、corp.contoso.com DNS サフィックスについて規則が作成されます。
- ネットワークロケーションサーバーの FQDN の除外規則。たとえば、ネットワークロケーションサーバーの URL がの場合https://nls.corp.contoso.com、FQDN nls.corp.contoso.com に対して除外規則が作成される。
IP-HTTPS サーバー

リモートアクセスサーバーは IP-HTTPS リスナーとして機能し、そのサーバー証明書を使用して IP-HTTPS クライアントを認証します。 IP-HTTPS 名は、パブリック DNS サーバーを使用する DirectAccess クライアントが解決できるものでなければなりません。

接続検証方法

リモートアクセスでは、DirectAccess クライアントコンピューターが内部ネットワークへの接続の検証に使用する既定の Web プローブが作成されます。プローブを意図したとおりに機能させるには、DNS で次の名前を手動で登録する必要があります。

directaccess-webprobehostは、リモートアクセスサーバーの内部 IPv4 アドレス、またはIPv6のみの環境ではIPv6アドレスに解決する必要があります。
directaccess-corpconnectivityhostは、ローカルホスト (ループバック) アドレスに解決する必要があります。 A レコードと AAAA レコードを作成する必要があります。 A レコードの値は 127.0.0.1 で、AAAA レコードの値は、最後の 32 ビットが 127.0.0.1 の NAT64 プレフィックスから構築されます。 NAT 64 プレフィックスは、Get-netnatTransitionConfiguration Windows PowerShell コマンドレットを実行することで取得できます。

注

これは IPv4 専用環境でのみ有効です。 IPv4+IPv6または IPv6 のみの環境では、ループバック IP アドレス ::1 を持つ AAAA レコードだけを作成します。

HTTP または PING で他の Web アドレスを使用して、追加の接続検証を作成できます。接続検証方法ごとに、DNS エントリが存在している必要があります。

DNS サーバーの要件

DirectAccess クライアントの場合は、Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003、または IPv 6 に対応した DNS サーバーを使用する必要があります。
動的更新をサポートする DNS サーバーを使用します。動的更新をサポートしていない DNS サーバーを使用することもできますが、その場合は手動でエントリーを更新する必要があります。
CRL 配布ポイントの FQDN は、インターネット DNS サーバーを使用して解決する必要があります。たとえば、URL https://crl.contoso.com/crld/corp-DC1-CA.crl が、リモートアクセスサーバーの IP-HTTPS 証明書の CRL 配布ポイント フィールドにある場合は、FQDN crld.contoso.com がインターネット DNS サーバーを使用して解決可能であることを確認する必要があります。

ローカルでの名前解決を計画

ローカルの名前解決を計画する場合は、次の点を考慮してください。

NRPTの

次の状況では、名前解決ポリシーテーブル (NRPT) 規則を追加で作成する必要があります。

イントラネットの名前空間のために、さらに DNS サフィックスを追加する必要があります。
CRL 配布ポイントの FQDN がイントラネット名前空間に基づいている場合、CRL 配布ポイントの FQDN に対する除外規則を追加する必要があります。
スプリットブレイン DNS 環境の場合、インターネット上にある DirectAccess クライアントがイントラネット版ではなくインターネット版にアクセスするようなリソース名には、除外規則を追加する必要があります。
イントラネット Web プロキシサーバーを介して外部 Web サイトにトラフィックをリダイレクトする場合、外部 Web サイトはイントラネッからしか利用できません。 Web プロキシサーバーのアドレスを使用して、受信要求を許可します。このような場合、外部 Web サイトの FQDN に対する除外規則を追加し、その規則がイントラネットの DNS サーバーの IPv6 アドレスではなく、イントラネットの Web プロキシサーバーを使用するように指定します。

たとえば、test.contoso.com という名前の外部 Web サイトをテストするとします。この名前はインターネット DNS サーバーでは解決できませんが、Contoso Web プロキシサーバーは名前の解決方法と、Web サイトへの要求を外部 Web サーバーに送信する方法を認識しています。 Contoso イントラネット上にいないユーザーがサイトにアクセスするのを防ぐため、外部 Web サイトは Contoso Web プロキシの IPv4 インターネットアドレスからの要求のみを許可します。このように、イントラネットユーザーは Contoso Web プロキシを使用しているため、Web サイトにアクセスできますが、DirectAccess ユーザーは Contoso Web プロキシを使用していないため、Web サイトにアクセスできません。 Contoso Web プロキシを使用している test.contoso.com に NRPT 除外規則を構成することで、test.contoso.com に対する Web ページ要求は IPv4 インターネットでイントラネット Web プロキシサーバーにルーティングされます。

単一ラベル名

イントラネットのサーバーには、<https://paycheck>のような単一ラベル名が使われることがあります。単一ラベル名が要求され、DNS サフィックス検索一覧が構成されている場合、その一覧の DNS サフィックスが単一ラベル名に追加されます。たとえば、corp.contoso.com ドメインのメンバーであるコンピューター上のユーザーが Web ブラウザーで<https://paycheck>を入力した場合、名前として構築される FQDN は paycheck.corp.contoso.com です。既定で、追加されたサフィックスは、クライアントコンピューターのプライマリ DNS サフィックスに基づいています。

注

分離した名前空間のシナリオ (1 台以上のドメインコンピューターに、そのコンピューターがメンバーとなっている Active Directory ドメインと一致しない DNS サフィックスがある場合) では、必要なサフィックスがすべて含まれるように検索一覧をカスタマイズする必要があります。既定で、リモートアクセスウィザードはクライアントのプライマリ DNS サフィックスとして、Active Directory DNS 名を構成します。クライアントによって名前解決に使用される DNS サフィックスを追加していることを確認します。

組織内に複数のドメインと Windows インターネットネームサービス (WINS) が導入されていて、リモートで接続している場合、単一名は以下のように解決できます。

DNS に WINS 前方参照ゾーンを展開する。 computername.dns.zone 1.corp.contoso.com を解決しようとすると、そのコンピュータ名だけを使用するWINSサーバーに要求が送信されます。クライアントは、通常の DNS A レコード要求を発行していると考えますが、実際には NetBIOS の要求です。

詳細については、「前方参照ゾーンの管理」を参照してください。
既定のドメイン GPO に DNS サフィックス (たとえば、dns.zone1.corp.contoso.com) を追加します。

スプリットブレイン DNS

スプリットブレイン DNS とは、インターネットとイントラネットの名前解決に同じ DNS ドメインを使用することです。

スプリットブレイン DNS 展開では、Fqdn はインターネットとイントラネット上で重複され、対象のリソースを決定を一覧表示する必要があります、DirectAccess クライアントでは、リーチ、イントラネットまたはインターネットバージョンする必要があります。 DirectAccess クライアントがインターネット版に到達するためには、各リソースの NRPT に対応する FQDN を除外規則として追加する必要があります。

スプリットブレイン DNS 環境で、両方のバージョンのリソースを利用したい場合は、イントラネットのリソースを、インターネットで使用されている名前と重複しない名前で構築してください。そして、ユーザーがイントラネット上のリソースにアクセスする際には、代替名を使用するように指示します。例えば、www.internal.contoso.com には www.contoso.com という内部名称を設定します。

スプリットブレインではない DNS 環境で、インターネット名前空間はイントラネット名前空間と異なります。たとえば、Contoso Corporation はインターネットで contoso.com を使用していますが、イントラネットでは corp.contoso.com を使用しています。すべてのイントラネットリソースは、corp.contoso.com DNS サフィックスを使用しているため、corp.contoso.com の NRPT 規則は、イントラネットリソースに対するすべての DNS 名クエリをイントラネット DNS サーバーにルーティングします。サフィックスが contoso.com の名前に対する DNS クエリは、NRPT の corp.contoso.com イントラネット名前空間のルールと一致せず、インターネット DNS サーバーに送信されます。スプリットブレインではない DNS 展開では、イントラネットリソースとインターネットリソースに対する FQDN の複製がないため、NRPT に対して追加の構成は必要ありません。 DirectAccess クライアントは、組織のインターネットとイントラネットの両方のリソースにアクセスできます。

DirectAccess クライアントのローカル名前解決動作を計画

DNS で名前解決できない場合、Windows Server 2012、Windows 8、Windows Server 2008 R2、Windows 7 の DNS クライアントサービスは、Link-Local Multicast Name Resolution(LLMNR) と NetBIOS over TCP/IP プロトコルを使用して、ローカルサブネット上で名前解決できます。ローカルの名前解決は、通常、コンピューターが単一サブネットのホームネットワークなどのプライベートネットワークに配置されている場合、ピアツーピア接続に必要です。

DNS クライアントサービスがイントラネットサーバー名のローカル名前解決を実行し、コンピューターがインターネット上の共有サブネットに接続されている場合、悪意のあるユーザーがLLMNRおよびNetBIOS over TCP/IPメッセージを取得して、イントラネットサーバー名を特定する可能性があります。インフラストラクチャサーバーセットアップウィザードの DNS ページでは、イントラネット DNS サーバーから受信した応答の種類に基づいて、ローカルの名前解決の動作を構成できます。次のオプションを使用できます。

名前が DNS に存在しない場合、ローカル名前解決を使用する。このオプションは、イントラネットの DNS サーバーで解決できないサーバー名に対してのみ DirectAccess クライアントがローカルの名前解決を行うため、最も安全です。イントラネット DNS サーバーに到達できれば、イントラネットサーバーの名前が解決されます。イントラネット DNS サーバーに到達できない場合や、他の種類の DNS エラーがある場合に、イントラネットサーバー名がローカルの名前解決でサブネットに漏洩することはありません。
クライアントコンピューターがプライベートネットワーク上にあるときに、DNS に名前が存在しない場合や DNS サーバーにアクセスできない場合は、ローカル名前解決を使用します (推奨) このオプションは、イントラネット DNS サーバーにアクセスできない場合にのみプライベートネットワーク上でローカル名前解決を使用できるので推奨されています。
あらゆる種類の DNS 解決エラーにローカルの名前解決を使用する (セキュリティレベルが最も低い) これは、イントラネットネットワークサーバーの名前がローカルの名前解決を介してローカルサブネットに漏れる可能性があるため、セキュリティレベルが最も低いオプションです。

ネットワークロケーションサーバーの構成を計画

ネットワークロケーションサーバーとは、DirectAccess クライアントが企業ネットワークに置かれているかどうかを検出するために使用する Web サイトです。企業ネットワーク内のクライアントは、DirectAccess を使って内部リソースにアクセスするのではなく、直接接続します。

ネットワークロケーションサーバーの web サイトは、リモートアクセスサーバーまたは組織内の別のサーバーでホストできます。ネットワークロケーションサーバーをリモートアクセスサーバーでホストする場合は、リモートアクセスの展開時に Web サイトが自動的に作成されます。 Windows オペレーティングシステムを実行している別のサーバーでネットワークロケーションサーバーをホストする場合は、そのサーバーにインターネットインフォメーションサービス (IIS) がインストールされ、Web サイトが作成されていることを確認する必要があります。リモートアクセスでは、ネットワークロケーションサーバーの設定が行われません。

ネットワークロケーションサーバー Web サイトが次の要件を満たしていることを確認してください。

HTTPS サーバー証明書があります。
内部ネットワーク上のコンピューターに高い可用性を提供します。
インターネット上の DirectAccess クライアントコンピューターにはアクセスできません。

また、ネットワークロケーションサーバーの Web サイトを設定するときは、クライアントに関する次の要件を考慮してください。

DirectAccess クライアントコンピューターがネットワークロケーションサーバー Web サイトへのサーバー証明書を発行した CA を信頼している。
内部ネットワーク上の DirectAccess クライアントコンピューターは、ネットワークロケーションサーバーサイトの名前を解決できる。

ネットワークロケーションサーバーの証明書を計画する

ネットワークロケーションサーバーに使用する Web サイト証明書を取得している場合は、次の点を考慮してください。

[サブジェクト] フィールドで、ネットワークロケーションサーバーのイントラネットインターフェイスの IP アドレス、またはネットワークロケーション URL の FQDN を指定します。
拡張キー使用法フィールドには、サーバー認証 OID を使用します。
ネットワークロケーションサーバ証明書は、証明書失効リスト (CRL) と照合する必要があります。 CRL 配布ポイントフィールドには、イントラネットに接続されている DirectAccess クライアントからアクセスできる CRL 配布ポイントを使用します。この CRL 配布ポイントは、内部ネットワークの外側からアクセスできないようにしてください。

ネットワークロケーションサーバーの DNS を計画する

DirectAccess クライアントは、内部ネットワークに配置されているかを判断するために、ネットワークロケーションサーバーに接続しようとします。内部ネットワーク上のクライアントは、ネットワークロケーションサーバーの名前を解決できる必要がありますが、インターネットに配置されているときは名前を解決できないようにする必要があります。このような処理が行われるように、既定では、ネットワークロケーションサーバーの FQDN が除外規則として NRPT に追加されます。

管理サーバーの構成を計画

DirectAccess クライアントは、Windows Updateやウイルス対策更新などのサービスを提供する管理サーバーとの通信を開始します。また、DirectAccess クライアントは、内部ネットワークにアクセスする前に、Kerberos プロトコルを使用してドメインコントローラを認証します。 DirectAccess クライアントのリモート管理中、管理サーバーはクライアントコンピューターと通信して、ソフトウェアやハードウェアのインベントリ評価などの管理機能を実行します。リモートアクセスでは、次のような一部の管理サーバーが自動的に検出されます。

ドメインコントローラーの自動検出は、クライアントコンピューターを含むドメインおよびリモートアクセスサーバーと同じフォレスト内のすべてのドメインに対して実行されます。
Microsoft Endpoint Configuration Manager サーバー

ドメインコントローラーとConfiguration Manager サーバーは、DirectAccess を初めて構成する際に自動的に検出されます。検出されたドメインコントローラーは、コンソールには表示されませんが、Windows PowerShellコマンドレットを使って設定を取得することができます。 Domain Controller または　Configuration Manager サーバーが変更された場合、コンソールで [Update Management Servers ]をクリックすると、管理サーバーの一覧が更新されます。

管理サーバーの要件

管理サーバーは、インフラストラクチャーのトンネル経由でアクセスできる必要があります。リモートアクセスを構成するときに、管理サーバーの一覧にサーバーを追加すると自動的にこのトンネルでアクセスできるようになります。
DirectAccess クライアントへの接続を開始する管理サーバーは、ネイティブ IPv6 アドレスまたは ISATAP で割り当てられたアドレスを使用して、IPv6 を完全にサポートする必要があります。

Active Directory の要件を計画する

リモートアクセスでは、次のように Active Directory を使用します。

認証、インフラストラクチャトンネルは、リモートアクセスサーバーに接続しているコンピューターアカウントの NTLMv2 認証を使用します。アカウントは Active Directory ドメインにある必要があります。イントラネットトンネルでは、ユーザーに Kerberos 認証を使用して、イントラネット・トンネルを作成します。
グループポリシーオブジェクト、リモートアクセスは構成設定をグループポリシーオブジェクト (GPO) に収集し、リモートアクセスサーバー、クライアント、および内部アプリケーションサーバーに適用します。
セキュリティグループ、リモートアクセスはセキュリティグループを使用して、DirectAccess クライアントコンピューターを収集および識別します。 GPO は、必要なセキュリティグループに適用されます。

リモートアクセスの展開のための Active Directory 環境を計画する場合は、次の要件を考慮する必要があります。

Windows Server 2012、Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 のいずれかの OS に、少なくとも 1 つのドメインコントローラーがインストールされていること。

ドメインコントローラーが境界ネットワーク上にあり、そのためにリモートアクセスサーバーのインターネット側のネットワークアダプターから到達できる場合は、リモートアクセスサーバーが境界ネットワークに到達できないようにします。ドメインコントローラーにパケットフィルターを追加して、インターネットアダプターの IP アドレスに接続できないようにする必要があります。
リモートアクセスサーバーはドメインメンバーである必要があります。
DirectAccess クライアントは、ドメインメンバーである必要があります。クライアントは次に所属することができます。
- リモートアクセスサーバーと同じフォレスト内の任意のドメイン。
- リモートアクセスサーバードメインと双方向の信頼関係がある任意のドメイン。
- リモートアクセスサーバーのドメインのあるフォレストと双方向の信頼関係を持つフォレスト内の任意のドメイン。

注

リモートアクセスサーバーはドメインコントローラーにできません。
リモートアクセスに使用する Active Directory ドメインコントローラーが、リモートアクセスサーバーの外部インターネットアダプターから到達可能でないこと（アダプターがWindows ファイアウォールのドメインプロファイルに含まれていないこと）。

クライアント認証を計画する

Windows Server 2012 のリモートアクセスでは、ユーザー名とパスワードを使用する組み込みの Kerberos 認証を使用するか、IPsec コンピューター認証の証明書を使用するかを選択できます。

Kerberos 認証:認証には Active Directory資格情報を使用することを選択した場合、DirectAccess は最初にコンピューターの Kerberos 認証を使用し、次にユーザーも Kerberos 認証を使用します。この認証モードを使用する場合、DirectAcces sは 1 つのセキュリティトンネルを使用して、DNS サーバー、ドメインコントローラー、および内部ネットワーク上のその他のサーバーへのアクセスを提供

IPsec 認証: 2 要素認証またはネットワークアクセス保護を使用する場合、DirectAccess では 2 つのセキュリティトンネルが使用されます。リモートアクセスセットアップウィザードでは、セキュリティが強化された Windows ファイアウォールの接続セキュリティ規則を構成します。これらの規則は、リモートアクセスサーバーに IPsec セキュリティをネゴシエートする際に、以下の資格情報を指定します。

インフラストラクチャートンネルでは、1 回目の認証にコンピュータ証明書の資格情報を使用し、2 回目の認証にユーザー (NTLMv2) の資格情報を使用します。ユーザー資格情報は、強制的に認証インターネットプロトコル (AuthIP) を使用し、DirectAccess クライアントがイントラネットトンネルに Kerberos 資格情報を使用できるようにする前に、DNS サーバーとドメインコントローラーへのアクセスを提供します。
イントラネットトンネルでは、最初の認証にコンピューター証明書の資格情報を使用し、2番目の認証にユーザー (Kerberos V5) の資格情報を使用します。

複数ドメインを計画する

管理サーバーの一覧には、DirectAccess クライアントコンピューターが含まれるセキュリティグループを含むすべてのドメインのドメインコントローラーが含まれます。 DirectAccess クライアントとして構成されたコンピューターを使用する可能性のあるユーザーアカウントを含むすべてのドメインを含む必要があります。これにより、使用しているクライアントコンピューターと同じドメインに置かれていないユーザーは、ユーザードメインのドメインコントローラーで認証されます。

この認証は、ドメインが同じフォレスト内にある場合、自動的に行われます。異なるフォレストに存在するクライアントコンピューターやアプリケーションサーバーを持つセキュリティグループがある場合、それらのフォレストのドメインコントローラーは自動的には検出されません。フォレストも自動的には検出されません。これらのドメインコントローラーを検出するには、リモートアクセス管理のタスクUpdate Management サーバーを実行します。

リモートアクセス展開中に、可能な場合は共通のドメイン名サフィックスを NRPT に追加することをお勧めします。たとえば、domain1.corp.contoso.com と domain2.corp.contoso.com という 2 つのドメインがある場合、2 つのエントリを NRPT に追加する代わりに、corp.contoso.com というドメイン名サフィックスに共通の DNS サフィックスエントリを追加できます。これは、同じルートのドメインに対して自動的に行われます。同じルートにないドメインは、手動で追加する必要があります。

グループポリシーオブジェクトの作成を計画

リモートアクセスを構成では、DirectAccess の設定をグループポリシーオブジェクト (GPO) にまとめます。 2 つの GPO に DirectAccess 設定が設定され、次のように配布されます。

DirectAccess クライアント GPO、この GPO には、セキュリティが強化された Windows ファイアウォールの IPv6 移行テクノロジ設定、NRPT エントリ、接続セキュリティ規則などのクライアント設定が含まれています。 GPO は、クライアントコンピューターに指定されたセキュリティグループに適用されます。
DirectAccess サーバー GPO: この GPO には、展開でリモートアクセスサーバーとして構成したすべてのサーバーに適用される DirectAccess 構成設定が含まれています。また、セキュリティが強化された Windows ファイアウォールの接続セキュリティの規則も含まれます。

注

クライアントは、アプリケーションサーバーが存在する DirectAccess サーバーの内部ネットワークにアクセスできないため、DirectAccess クライアントのリモート管理ではアプリケーションサーバーの構成はサポートされません。このタイプの設定では、[Remote Access Setup] 設定画面の手順 4 は使用できません。

GPO の構成は、自動または手動で行うことができます。

自動: GPO が自動的に作成されるように指定すると、各 GPO に既定の名前が指定されます。

手動: Active Directory 管理者によって事前定義された GPO を使用できます。

GPO を構成するときは、次の警告について検討してください。

特定の GPO を使用するように DirectAccess が構成された後で、別の GPO を使用するように構成することはできません。
次の手順で、DirectAccess コマンドレットを実行する前に、すべてのリモートアクセスグループポリシーオブジェクトをバックアップします。

Back up and Restore Remote Access Configuration (リモートアクセスの構成のバックアップと復元)
GPO を自動で構成しているか、手動で構成しているかにかかわらず、クライアントで 3G ネットワークを使用する場合は、低速リンクの検出のためのポリシーを追加する必要があります。 ポリシー、グループポリシーの構成低速リンク検出のパスは次のとおりです。

コンピューターの構成/ポリシー/管理用テンプレート/システム/グループポリシー
GPO をリンクするための正しいアクセス許可がない場合は、警告が発行されます。リモートアクセスの操作は継続されますが、リンクは行われません。この警告が表示された場合は、後でアクセス許可を追加しても、リンクは自動的には作成されません。代わりに、管理者がリンクを手動で作成する必要があります。

自動的に作成された GPO

自動作成された GPO を使用する際には、次の点に注意してください。

自動的に作成された GPOS は、ロケーションとリンク先に応じて、以下のように適用されます。

DirectAccess サーバーの GPO では、場所とリンク先は、リモートアクセスサーバーを含むドメインを指します。
クライアントとアプリケーションサーバー GPO が作成されると、その場所が 1 つのドメインに設定されます。 GPO 名は各ドメインで検索され、ドメインが存在する場合はそのドメインに DirectAccess の設定が使用されます。
リンク先は GPO が作成されたドメインのルートに設定されます。 GPO はクライアントコンピューターまたはアプリケーションサーバーを含むドメインごとに作成され、その個々のドメインのルートにリンクされます。

自動作成された GPO を使って DirectAccess の設定を適用する場合、リモートアクセスサーバーの管理者には次のアクセス権限が必要です。

各ドメインの GPO を作成するためのアクセス許可。
選択したすべてのクライアントドメインルートにリンクするためのアクセス許可。
サーバー GPO ドメインルートのリンクへのアクセス許可。
GPO の作成、編集、削除、および修正を行うためのセキュリティアクセス許可。
必要な各ドメインの GPO 読み取りアクセス許可。このアクセス許可は必須ではありませんが、GPO の作成時に名前が重複する GPO が存在しないことをリモートアクセスで検証できるようにするため、このアクセス許可を使用することをお勧めします。

手動で作成された GPO

手動で作成した GPO を使用する場合、次の点を考慮してください。

GPO はリモートアクセスセットアップウィザードを実行する前に存在している必要があります。
DirectAccess 設定を適用する場合、リモートアクセスサーバー管理者は、手動で作成した GPO を作成、編集、削除、修正を行うための完全なセキュリティのアクセス許可が必要です。
ドメイン全体で GPO へのリンクが検索されます。 GPO がドメインでリンクされていないと、リンクはドメインのルートで自動的に作成されます。リンクの作成に必要なアクセス許可が使用できない場合、警告が発行されます。

削除された GPO からの回復

リモートアクセスサーバー、クライアント、アプリケーションサーバー上の GPO を誤って削除してしまった場合、次のようなエラーメッセージが表示されます。GPO（GPO名）が見つかりません」と表示されます。

バックアップを使用できる場合は、バックアップから GPO を復元できます。利用可能なバックアップがない場合は、構成設定を削除して再度構成する必要があります。

構成設定を削除するには

Windows PowerShell コマンドレット RemoteAccess のアンインストールを実行します。
リモートアクセス管理を開きます。
GPO が見つからないというエラーメッセージが表示されます。 [構成設定の削除] をクリックします。完了すると、サーバーは未設定の状態に戻りますので、再度設定を行ってください。