DirectAccess から Always On VPN への移行の概要
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 10
» 次: DirectAccess から Always On VPN への以降を計画する
以前のバージョンの Windows VPN アーキテクチャでは、プラットフォームの制限により、DirectAccess を置き換えるために必要な重要な機能 (ユーザーのサインイン前に開始される自動接続など) を用意することが困難でした。 ただし、Always On VPN ではこれらのほとんどの制限を軽減し、DirectAccess の機能を越えて VPN 機能を拡張しました。 Always On VPN により、Windows VPN と DirectAccess の間の以前のギャップが解決されます。
DirectAccess から Always On VPN への移行プロセスは、4 つの主要なコンポーネントと高レベルのプロセスで構成されます。
Always On VPN への移行を計画します。 計画によって、ユーザー フェーズの分離の対象クライアント、およびインフラストラクチャと機能を識別できます。
移行リングを作成します。 他のほとんどのシステム移行と同様に、組織全体に影響を与えないうちに問題を特定できるように、段階的なクライアント移行を目標にします。 Always On VPN 移行の最初の部分は変わりはありません。
Always On VPN と DirectAccess の機能の比較を確認します。 DirectAccess と同様に、Always On VPN には、セキュリティ、接続性、認証などの多くのオプションがあります。
Always On VPN の機能強化を確認します。 構成を改善するために Always On VPN によって提供される新機能または強化された機能を見つけます。
Always On VPN のテクノロジを確認します。 このデプロイでは、Windows Server 2016 を実行する新しいリモート アクセス サーバーをインストールするとともに、デプロイのために既存のインフラストラクチャの一部を変更する必要があります。
横並びになるように VPN インフラストラクチャをデプロイします。 移行フェーズとデプロイに含める機能を決定した後、既存の DirectAccess インフラストラクチャと横並びになるように Always On VPN インフラストラクチャをデプロイします。
証明書と構成をクライアントにデプロイします。 VPN インフラストラクチャの準備ができたら、必要な証明書を作成し、クライアントに発行します。 クライアントが証明書を受け取ったら、VPN_Profile.ps1 構成スクリプトをデプロイします。 また、Intune を使って VPN クライアントを設定することもできます。 Microsoft Endpoint Configuration Manager または Microsoft Intune を使用して、VPN 構成のデプロイが正常に行われているかどうかを監視します。
削除を行い、使用停止にします。 DirectAccess からすべてのユーザーを移行した後、環境を適切に使用停止にします。
クライアントから DirectAccess の構成を削除します。 Microsoft Endpoint Configuration Manager または Microsoft Intune で、VPN 構成のデプロイが正常に行われているかどうかを監視します。 次に、レポートを使用してデバイス割り当て情報を調べて、各ユーザーにどのデバイスが属しているかを確認します。 ユーザーが正常に移行された後、DirectAccess セキュリティ グループからそれらのユーザーのデバイスを削除して、環境から DirectAccess を削除できるようにします。
DirectAccess サーバーを使用停止にします。 構成設定と DNS レコードの削除が完了したら、DirectAccess サーバーを解体する準備が整います。 これを行うには、サーバー マネージャーでロールを削除するか、サーバーを使用停止にして AD DS から削除します。
DirectAccess のデプロイ シナリオ
このデプロイ シナリオでは、このガイドで紹介する移行の出発点として、簡単な DirectAccess デプロイ シナリオを使用します。 Always On VPN に移行する前に、このデプロイ シナリオを照合する必要はありませんが、多くの組織にとって、この簡単なセットアップが、現在の DirectAccess デプロイを正確に表しているはずです。 次の表に、このセットアップの基本的な機能を示します。
DirectAccess のデプロイ シナリオとオプションは数多く存在するため、ご使用の実装が、ここで説明するものとは異なる可能性があります。 その場合、DirectAccess と Always On VPN の間の機能マッピングに関するページを参照して、現在の追加内容に対応する Always On VPN 機能セットを特定し、それらの機能を構成に追加します。 また、「Always On VPN の機能強化」を参照して、Always On VPN デプロイにオプションを追加できます。
注意
ドメインに参加していないデバイスについては、証明書の登録など、追加の考慮事項があります。 詳しくは、「Windows Server および Windows 10 のための Always On VPN 展開」を参照してください。
デプロイ シナリオの機能の一覧
| DirectAccess 機能 | 一般的なシナリオ |
|---|---|
| デプロイ シナリオ | クライアント アクセスとリモート管理のために完全な DirectAccess をデプロイする |
| ネットワーク アダプター | 2 |
| ユーザー認証 | Active Directory の資格情報 |
| コンピューター証明書を使用する | はい |
| セキュリティ グループ | はい |
| 単一の DirectAccess サーバー | はい |
| ネットワーク トポロジ | 2 つのネットワーク アダプターを持つエッジ ファイアウォールの内側でのネットワーク アドレス変換 (NAT) |
| アクセス モード | エンドからエッジ |
| トンネリング | 分割トンネリング |
| 認証 | コンピューター証明書と Kerberos (KerbProxy でなはい) を使用した標準の公開キー基盤 (PKI) の認証 |
| プロトコル | IP over HTTPS (IP-HTTPS) |
| ネットワーク ロケーション サーバー (NLS) オフボックス | はい |
Always On VPN のデプロイ シナリオ
このデプロイ シナリオでは、単純な DirectAccess 環境から、単純な Always On VPN 環境 (DirectAccess の代替ソリューション) への移行について主に説明します。 次の表に、この単純なソリューションで使用される機能を示します。 Always On VPN クライアントへの追加の機能強化について詳しくは、「Always On VPN の機能強化」を参照してください。
単純な環境で使用される Always On VPN 機能
| VPN 機能 | 展開シナリオの構成 |
|---|---|
| 接続の種類 | ネイティブのインターネット キー交換バージョン 2 (IKEv2) |
| ネットワーク アダプター | 2 |
| ユーザー認証 | Active Directory の資格情報 |
| コンピューター証明書を使用する | はい |
| ルーティング | 分割トンネリング |
| 名前解決 | ドメイン名情報の一覧とドメイン ネーム システム (DNS) サフィックス |
| トリガー | 常時オンの信頼できるネットワーク検出 |
| 認証 | Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) とトラステッド プラットフォーム モジュールによる保護されたユーザー認証 |
次のステップ
DirectAccess から Always On VPN への移行を計画します。 移行の主な目的は、ユーザーがプロセス全体を通じてオフィスへのリモート接続を維持できるようにすることです。
フィードバック
以下は間もなく提供いたします。2024 年を通じて、コンテンツのフィードバック メカニズムとして GitHub の issue を段階的に廃止し、新しいフィードバック システムに置き換えます。 詳細については、「https://aka.ms/ContentUserFeedback」を参照してください。
フィードバックの送信と表示