手順 1: 高度な DirectAccess インフラストラクチャを構成する

このトピックでは、IPv4 と IPv6 の混在環境で単一の DirectAccess サーバーを使用する、高度なリモート アクセスの展開に必要なインフラストラクチャを構成する方法について説明します。 展開の手順を開始する前に記載されている計画の手順が完了したことを確認 高度な DirectAccess 展開を計画します。

タスク 説明
1.1 サーバーのネットワーク設定を構成する DirectAccess サーバーでサーバーのネットワーク設定を構成します。
1.2 強制トンネリングを構成する 強制トンネリングを構成します。
1.3 企業ネットワークでルーティングを構成する 企業ネットワークでルーティングを構成します。
1.4 ファイアウォールを構成する 必要に応じて、追加のファイアウォールを構成します。
1.5 CA および証明書を構成する 必要に応じて、展開に必要な証明機関 (CA) とその他の証明書テンプレートを構成します。
1.6 DNS サーバーを構成する DirectAccess サーバーにドメイン ネーム システム (DNS) 設定を構成します。
1.7 Active Directory を構成する クライアント コンピューターと DirectAccess サーバーを Active Directory ドメインに追加します。
1.8 GPO を構成する 必要に応じて、GPO を展開用に構成します。
1.9 セキュリティ グループを構成する DirectAccess クライアント コンピューターを含むセキュリティ グループと、展開に必要なその他のセキュリティ グループを構成します。
1.10 ネットワーク ロケーション サーバーを構成する ネットワーク ロケーション サーバー Web サイト証明書を含めて、ネットワーク ロケーション サーバーを構成します。

注意

このトピックでは、説明した手順の一部を自動化するのに使用できる Windows PowerShell コマンドレットのサンプルを示します。 詳細については、「コマンドレットの使用」を参照してください。

1.1 サーバーのネットワーク設定を構成する

次のネットワーク インターフェイス設定は、IPv4 と IPv6 を使用する環境での単一サーバーの展開に必要です。 すべての IP アドレスは、Windows の [ネットワークと共有センター][アダプターの設定の変更] を使用して構成されます。

エッジ トポロジ

  • インターネットに接続された連続する 2 つの静的パブリック IPv4 または IPv6 アドレス

    注意

    2 つのパブリック アドレスが Teredo に必要です。 Teredo を使用していない場合は、単一の静的パブリック IPv4 アドレスを構成できます。

  • 単一の内部静的 IPv4 または IPv6 アドレス

NAT デバイスの内側 (2 つのネットワーク アダプター付き)

  • インターネットに接続された単一の静的 IPv4 または IPv6 アドレス

  • ネットワークに接続された単一の内部静的 IPv4 または IPv6 アドレス

NAT デバイスの内側 (1 つのネットワーク アダプター付き)

  • ネットワークに接続された単一の内部静的 IPv4 または IPv6 アドレス

注意

2 つ以上 (1 つはドメイン プロファイルに分類、もう 1 つはパブリックまたはプライベート プロファイルに分類) のネットワーク アダプター付きの DirectAccess サーバーが単一のネットワーク アダプター トポロジで構成される場合は、次のことをお勧めします。

  • 2 番目のネットワーク アダプターと追加のネットワーク アダプターがドメイン プロファイルに分類されていることを確認します。

  • 場合ドメイン プロファイルには、2 つ目のネットワーク アダプターを構成することはできません、DirectAccess IPsec ポリシー必要があります手動でのスコープはすべてのプロファイルに DirectAccess を構成した後は、次の Windows PowerShell コマンドを使用して。

    $gposession = Open-NetGPO "PolicyStore <Name of the server GPO>
Set-NetIPsecRule "DisplayName <Name of the IPsec policy> "GPOSession $gposession "Profile Any
Save-NetGPO "GPOSession $gposession

1.2 強制トンネリングを構成する

強制トンネリングは、リモート アクセスのセットアップ ウィザードを使用して構成できます。 リモート クライアントの構成ウィザードにチェック ボックスとして表示されます。 この設定は DirectAccess クライアントのみに影響します。 VPN を有効にしている場合、VPN クライアントは既定で強制トンネリングを使用します。 管理者は、VPN クライアントの設定をクライアント プロファイルから変更できます。

強制トンネリングのチェック ボックスを選択すると、次の操作が実行されます。

  • DirectAccess クライアントでの強制トンネリングの有効化

  • DirectAccess クライアントの名前解決ポリシー テーブル (NRPT) への Any エントリの追加。これは、すべての DNS トラフィックが内部ネットワーク DNS サーバーに送られることを意味します。

  • DirectAccess クライアントが常に IP-HTTPS 移行テクノロジを使用する構成

強制トンネリングを使用する DirectAccess クライアントでインターネット リソースを使用できるようにするには、インターネット リソース向けに IPv6 ベースの要求を受信して、その要求を IPv4 ベースのインターネット リソースに変換できるプロキシ サーバーを使用します。 インターネット リソースにプロキシ サーバーを構成するには、NRPT で既定のエントリを変更して、プロキシ サーバーに追加する必要があります。 これには、リモート アクセス PowerShell コマンドレット、または DNS PowerShell コマンドレットを使用できます。 たとえば、リモート アクセス PowerShell コマンドレットは次のように使用します。

Set-DAClientDNSConfiguration "DNSSuffix "." "ProxyServer <Name of the proxy server:port>

注意

DirectAccess と VPN が同じサーバーで有効にされていて、VPN が強制トンネル モードで、サーバーがエッジ トポロジ内、または NAT トポロジの内側に展開されている場合 (ネットワーク アダプターを 2 つ使用して、1 つはドメイン、もう 1 つはプライベート ネットワークに接続)、VPN インターネット トラフィックは、DirectAccess サーバーの外部インターフェイスで転送することはできません。 このシナリオを可能にするには、組織がリモート アクセスを単一のネットワーク アダプター トポロジで、ファイアウォールの内側のサーバーで展開する必要があります。 または、組織は内部ネットワークで別のプロキシ サーバーを使用して、VPN クライアントからインターネット トラフィックを転送できます。

注意

組織が DirectAccess クライアントに Web プロキシを使用してインターネット リソースにアクセスしていて、企業プロキシで内部ネットワーク リソースが処理できない場合、DirectAccess クライアントは、イントラネットの外側の内部リソースにアクセスできません。 このようなシナリオで、DirectAccess クライアントが内部リソースにアクセスするには、インフラストラクチャ ウィザードの DNS ページを使用して、内部ネットワーク サフィックスに手動で NRPT エントリを作成する必要があります。 これらの NRPT サフィックスにプロキシ設定を適用しないでください。 サフィックスには、既定の DNS サーバー エントリが設定される必要があります。

1.3 企業ネットワークでルーティングを構成する

次のように、企業ネットワークでルーティングを構成します。

  • ネイティブ IPv6 が組織に展開されている場合、内部ネットワークのルーターが IPv6 トラフィックを DirectAccess サーバーで返すルートを追加します。

  • 手動でルートを構成する、組織"s IPv4 と IPv6 の DirectAccess サーバーにします。 組織 (/48) の IPv6 プレフィックスが付いたすべてのトラフィックが内部ネットワークに転送されるように、公開されたルートを追加します。 IPv4 トラフィックの場合は、IPv4 トラフィックが内部ネットワークに転送されるように、明示的なルートを追加します。

1.4 ファイアウォールを構成する

展開で追加のファイアウォールを使用し、DirectAccess サーバーが IPv4 インターネット上にある場合は、次のインターネットに接続するファイアウォール例外をリモート アクセス トラフィックに適用します。

  • Teredo トラフィック"ユーザー データグラム プロトコル (UDP) 宛先ポート 3544 受信と、udp 発信元ポート 3544 の送信します。

  • 6to4 トラフィック"IP プロトコル 41 の受信および送信します。

  • IP-HTTPS"伝送制御プロトコル (TCP) 宛先ポート 443 と TCP 発信元ポート 443 が送信されます。 DirectAccess サーバーに単一のネットワーク アダプターがあり、ネットワーク ロケーション サーバーが DirectAccess サーバー上にある場合は、TCP ポート 62000 も必要です。

    注意

    他のすべての除外はエッジ ファイアウォールで構成する必要がありますが、この除外は DirectAccess サーバー上で構成する必要があります。

注意

Teredo トラフィックと 6to4 トラフィックの場合、これらの例外は、インターネットに接続された連続する DirectAccess サーバー上のパブリック IPv4 アドレス両方に適用する必要があります。 IP-HTTPS の場合、サーバーのパブリック名が解決されるアドレスのみに例外を適用する必要があります。

追加のファイアウォールを使用し、DirectAccess サーバーが IPv6 インターネット上にある場合は、次のインターネットに接続するファイアウォール例外をリモート アクセス トラフィックに適用します。

  • IP プロトコル 50

  • UDP 宛先ポート 500 の受信と、UDP 発信元ポート 500 の送信。

  • IPv6 のインターネット制御メッセージ プロトコル (ICMPv6) トラフィックの受信と送信"の Teredo の実装のみです。

追加のファイアウォールを使用する場合は、次の内部ネットワーク ファイアウォール例外をリモート アクセス トラフィックに適用します。

  • ISATAP"プロトコル 41 の受信と送信

  • すべての IPv4/IPv6 トラフィックに対する TCP/UDP

  • すべての IPv4/IPv6 トラフィックに対する ICMP

1.5 CA および証明書を構成する

Windows Server 2012 でのリモート アクセスでは、コンピューターの認証に証明書を使用して、組み込みの Kerberos プロキシ ユーザー名とパスワードを使用して認証を使用するかを選択することができます。 DirectAccess サーバーで、IP-HTTPS 証明書も構成する必要があります。

詳細については、次を参照してください。 Active Directory Certificate Servicesします。

1.5.1 IPsec 認証を構成する

IPsec 認証を使用するには、DirectAccess サーバーとすべての DirectAccess クライアントにコンピューター証明書が必要です。 証明書は内部証明機関 (CA) で発行される必要があり、DirectAccess サーバーと DirectAccess クライアントは、ルート証明書と中間証明書を発行する CA チェーンを信頼する必要があります。

IPsec 認証を構成するには

  1. 内部 CA で決定を使用して、 コンピューター 証明書のテンプレート、またはとして新しい証明書テンプレートを作成する場合の記載 証明書テンプレートの作成します。

    注意

    新しいテンプレートを作成する場合は、クライアント認証向けに構成する必要があります。

  2. 必要に応じて、証明書テンプレートを展開します。 詳細については、次を参照してください。 証明書テンプレートを展開するです。

  3. 必要に応じて、証明書テンプレートを自動登録に構成します。 詳細については、次を参照してください。 Configure Certificate Autoenrollmentします。

1.5.2 証明書テンプレートを構成する

内部 CA を使用して証明書を発行する場合、IP-HTTPS 証明書およびネットワーク ロケーション サーバー Web サイト証明書の証明書テンプレートを構成する必要があります。

証明書テンプレートを構成するには

  1. 内部 CA で証明書テンプレートが作成に」の説明に従って 証明書テンプレートの作成します。

  2. 証明書テンプレートの展開に関するページの説明に従って証明書テンプレートを展開します。

1.5.3 IP-HTTPS 証明書を構成する

リモート アクセスには、DirectAccess サーバーへの IP-HTTPS 接続の認証に IP-HTTPS 証明書が必要です。 IP-HTTPS 認証には、次の 3 つの証明書オプションが使用できます。

公開証明書

パブリック証明書はサード パーティによって提供されます。 証明書のサブジェクト名にワイルドカードが含まれていない場合、DirectAccess サーバー IP-HTTPS 接続にのみ使用される、外部で解決可能な完全修飾ドメイン名 (FQDN) の URL である必要があります。

プライベート証明書

まだ存在しない場合、プライベート証明書を使用するには次のものが必要です。

  • IP-HTTPS 認証で使用される Web サイト証明書。 証明書のサブジェクトは、インターネットから到達できる、外部で解決可能な FQDN である必要があります。 証明書が 1.5.2 の手順に従って作成した証明書テンプレートに基づいて証明書テンプレートを構成します。

  • パブリックに解決可能な FQDN から到達可能な証明書失効リスト (CRL) 配布ポイント。

自己署名証明書

まだ存在しない場合、自己署名証明書を使用するには次のものが必要です。

  • IP-HTTPS 認証で使用される Web サイト証明書。 証明書のサブジェクトは、インターネットから到達できる、外部で解決可能な FQDN である必要があります。

  • パブリックに解決可能な FQDN から到達可能な CRL 配布ポイント。

注意

自己署名証明書はマルチサイト展開では使用できません。

IP-HTTPS 認証に使用する Web サイト証明書が次の要件を満たしていることを確認します。

  • 証明書の共通名は、IP-HTTPS サイトの名前と一致している必要があります。

  • サブジェクト フィールドで、IP-HTTPS URL の FQDN を指定します。

  • [拡張キー使用法] フィールドに、サーバー認証オブジェクト識別子 (OID) を使用します。

  • [CRL 配布ポイント] フィールドに、インターネットに接続している DirectAccess クライアントがアクセスできる CRL 配布ポイントを指定します。

  • IP-HTTPS 証明書には秘密キーが必要です。

  • IP-HTTPS 証明書は、個人用ストアに直接インポートする必要があります。

  • IP-HTTPS 証明書の名前にはワイルドカードを含めることができます。

内部 CA から IP-HTTPS 証明書をインストールするには

  1. DirectAccess サーバー上: で、 開始 画面で「mmc.exe, 、ENTER キーを押します。

  2. MMC コンソールの [ファイル] メニューで、 [スナップインの追加と削除] をクリックします。

  3. [スナップインの追加と削除] ダイアログ ボックスで、[証明書][追加][コンピューター アカウント][次へ][ローカル コンピューター][完了] の順にクリックし、[OK] をクリックします。

  4. 証明書スナップインのコンソール ツリーで、[証明書 (ローカル コンピューター)]、[個人用]、[証明書] の順に開きます。

  5. [証明書] を右クリックし、[すべてのタスク] をポイントして、[新しい証明書の要求] をクリックします。

  6. [次へ] を 2 回クリックします。

  7. 証明書の要求 ] ページで、(詳細については、「」を参照 1.5.2 証明書テンプレートの構成) 以前に作成した証明書テンプレートのチェック ボックス オンにします。 必要に応じて、[この証明書を登録するには情報が不足しています] をクリックします。

  8. [証明書のプロパティ] ダイアログ ボックスの [サブジェクト] タブで、[サブジェクト名] 領域の [種類] から [共通名] を選択します。

  9. [値] で、DirectAccess サーバーの外部アダプターの IPv4 アドレス、または IP-HTTPS URL の FQDN を指定して、[追加] をクリックします。

  10. [別名] 領域の [種類] で、[DNS] を選択します。

  11. [値] で、DirectAccess サーバーの外部アダプターの IPv4 アドレス、または IP-HTTPS URL の FQDN を指定して、[追加] をクリックします。

  12. [全般] タブの [フレンドリ名] に証明書の識別に役立つ名前を入力できます。

  13. [拡張機能] タブで、[拡張キー使用法] の横にある矢印をクリックし、[サーバー認証][選択されているオプション] の一覧に表示されていることを確認します。

  14. [OK] をクリックし、[登録] をクリックして、[完了] をクリックします。

  15. 証明書スナップインの詳細ウィンドウで、新しい証明書が [サーバー認証の目的] と共に登録されていることを確認します。

1.6 DNS サーバーを構成する

展開内の内部ネットワークのネットワーク ロケーション サーバー Web サイトの DNS エントリを手動で構成する必要があります。

ネットワーク ロケーション サーバーを作成するには

  1. 内部ネットワーク DNS サーバー上: で、 開始 画面で「dnsmgmt.msc, 、ENTER キーを押します。

  2. [DNS マネージャー] コンソールの左側のウィンドウで、ドメインの前方参照ゾーンを展開します。 ドメインを右クリックして、[新しいホスト (A または AAAA)] をクリックします。

  3. [新しいホスト] ダイアログ ボックスの [IP アドレス] ボックスで、次の操作を実行します。

    • [名前 (空欄の場合は親ドメインを使用)] ボックスに、ネットワーク ロケーション サーバー Web サイトの DNS 名を入力します (これは、DirectAccess クライアントがネットワーク ロケーション サーバーへの接続に使用する名前です)。

    • ネットワーク ロケーション サーバーの IPv4 または IPv6 アドレスを入力して、[ホストの追加][OK] の順にクリックします。

  4. [新しいホスト] ダイアログ ボックスで、次の操作を実行します。

    • [名前 (空欄の場合は親ドメインを使用)] ボックスに、Web プローブの DNS 名を入力します (既定の Web プローブの名前は、directaccess-webprobehost です)。

    • [IP アドレス] ボックスに、Web プローブの IPv4 または IPv6 アドレスを入力して、[ホストの追加] をクリックします。

    • directaccess-corpconnectivityhost と手動で作成した接続検証方法について、このプロセスを繰り返します。

  5. [DNS] ダイアログ ボックスで、[OK][完了] の順にクリックします。

Windows PowerShellWindows PowerShell の同等のコマンド

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

次の DNS エントリも構成する必要があります。

  • IP-HTTPS サーバー

    DirectAccess クライアントは、インターネットから DirectAccess サーバーの DNS 名を解決できる必要があります。

  • CRL 失効確認

    DirectAccess は、DirectAccess クライアントと DirectAccess サーバーの間の IP-HTTPS 接続、DirectAccess クライアントとネットワーク ロケーション サーバーの間の HTTPS ベースの接続に証明書の失効確認を使用します。 どちらの場合も、DirectAccess クライアントは、CRL 配布ポイントの場所の解決とアクセスができる必要があります。

  • ISATAP

    ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) では、トンネリングを使用して、DirectAccess クライアントが IPv4 インターネットで DirectAccess サーバーに接続して、IPv4 ヘッダー内で IPv6 パケットをカプセル化できるようにします。 イントラネットで、ISATAP ホストへの IPv6 接続を提供するため、リモート アクセスによって使用されます。 ネイティブではない IPv6 ネットワーク環境で、DirectAccess サーバーは自身を自動的に ISATAP ルーターとして構成します。 ISATAP 名の解決のサポートが必要です。

1.7 Active Directory を構成する

DirectAccess サーバーとすべての DirectAccess クライアント コンピューターは、Active Directory ドメインに追加する必要があります。 DirectAccess クライアント コンピューターは、次のいずれかのドメインの種類のメンバーである必要があります。

  • DirectAccess サーバーと同じフォレストに属するドメイン

  • DirectAccess サーバー フォレストと双方向の信頼のあるフォレストに属するドメイン

  • DirectAccess サーバー ドメインと双方向のドメイン信頼のあるドメイン

DirectAccess サーバーをドメインに追加するには

  1. サーバー マネージャーで [ローカル サーバー] をクリックします。 詳細ウィンドウで、[コンピューター名] の横にあるリンクをクリックします。

  2. [システムのプロパティ] ダイアログ ボックスで [コンピューター名] タブをクリックし、[変更] をクリックします。

  3. サーバーをドメインに追加するときにコンピューター名も変更する場合は、[コンピューター名] にコンピューター名を入力します。 [次のメンバー][ドメイン] をクリックし、サーバーの追加先のドメイン名 (corp.contoso.com など) を入力し、[OK] をクリックします。

  4. ユーザー名とパスワードを求めるメッセージが表示されたら、ドメインにコンピューターを追加する権限を持つユーザーのユーザー名とパスワードを入力し、[OK] をクリックします。

  5. ドメインに追加されたことを知らせるダイアログ ボックスが表示されたら、[OK] をクリックします。

  6. コンピューターを再起動するよう求めるメッセージが表示されたら、[OK] をクリックします。

  7. [システムのプロパティ] ダイアログ ボックスで、[閉じる] をクリックします。

  8. コンピューターを再起動するよう求めるメッセージが表示されたら、[今すぐ再起動する] をクリックします。

クライアント コンピューターをドメインに参加させるには

  1. 開始 画面で「explorer.exe, 、ENTER キーを押します。

  2. [コンピューター] アイコンを右クリックし、[プロパティ] をクリックします。

  3. [システム] ページで、[システムの詳細設定] をクリックします。

  4. [システムのプロパティ] ダイアログ ボックスの [コンピューター名] タブで [変更] をクリックします。

  5. サーバーをドメインに追加するときにコンピューター名も変更する場合は、[コンピューター名] にコンピューター名を入力します。 [次のメンバー][ドメイン] をクリックし、サーバーの追加先のドメイン名 (corp.contoso.com など) を入力し、[OK] をクリックします。

  6. ユーザー名とパスワードを求めるメッセージが表示されたら、ドメインにコンピューターを追加する権限を持つユーザーのユーザー名とパスワードを入力し、[OK] をクリックします。

  7. ドメインに追加されたことを知らせるダイアログ ボックスが表示されたら、[OK] をクリックします。

  8. コンピューターを再起動するよう求めるメッセージが表示されたら、[OK] をクリックします。

  9. [システムのプロパティ] ダイアログ ボックスで、[閉じる] をクリックします。

  10. コンピューターを再起動するよう求めるメッセージが表示されたら、[今すぐ再起動する] をクリックします。

Windows PowerShellWindows PowerShell の同等のコマンド

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

注意

次の Add-Computer コマンドを入力するときは、ドメイン資格情報を指定する必要があります。

Add-Computer -DomainName <domain_name>
Restart-Computer

1.8 GPO を構成する

リモート アクセスの展開には、2 つのグループ ポリシー オブジェクトの最小値が必要です。

  • DirectAccess サーバーの設定が含まれるものが 1 つ

  • DirectAccess クライアント コンピューターの設定が含まれるものが 1 つ

リモート アクセスを構成するときに、ウィザードは自動的に必要なグループ ポリシー オブジェクトを作成します。 ただし、組織で命名規則を実施している場合は、リモート アクセス管理コンソールの GPO ダイアログ ボックスに名前を入力できます。 詳細については、2.7 を参照してください。 構成の概要と代替 Gpo です。 アクセス許可を作成すると、GPO が作成されます。 GPO の作成に必要なアクセス許可がない場合は、リモート アクセスの構成前に作成する必要があります。

グループ ポリシー オブジェクトを作成するを参照してください。 を作成し、グループ ポリシー オブジェクトを編集します。

重要

管理者は DirectAccess グループ ポリシー オブジェクトを次の手順に従って、組織単位 (OU) にリンク手動でできます。

  1. DirectAccess を構成する前に、作成した GPO をそれぞれの OU とリンクします。
  2. DirectAccess を構成する場合は、クライアント コンピューターにセキュリティ グループを指定します。
  3. リモート アクセス管理者はグループ ポリシー オブジェクトをドメインにリンクするアクセス許可がないかまいません。 どちらの場合も、グループ ポリシー オブジェクトは自動的に構成されます。 GPO が既に OU にリンクされている場合、リンクが削除されず、GPO はドメインにリンクされません。 サーバー GPO の場合、OU にサーバー コンピューター オブジェクトが含まれているか、GPO がドメインのルートにリンクされている必要があります。
  4. リンクしていなかった OU に、構成が完了したら、DirectAccess ウィザードを実行する前に、ドメイン管理者は、必要な Ou に DirectAccess グループ ポリシー オブジェクトをリンクできます。 ドメインへのリンクは削除できます。 詳細については、次を参照してください。 グループ ポリシー オブジェクト リンクします。

注意

グループ ポリシー オブジェクトは、手動で作成されている場合は、グループ ポリシー オブジェクトが使用できないこと、DirectAccess 構成中に考えられるです。 グループ ポリシー オブジェクトは、管理コンピューターに最も近いドメイン コント ローラーにレプリケートするされていない可能性があります。 この場合、管理者はレプリケーションが完了するまで待つか、レプリケーションを強制的に実行できます。

1.8.1 アクセス許可が制限されたリモート アクセス GPO を構成する

ステージングと運用 GPO を使用する展開では、ドメイン管理者が次の操作を実行する必要があります。

  1. リモート アクセス管理者から、リモート アクセス展開に必要な GPO の一覧を取得します。 詳細については、1.8 グループ ポリシー オブジェクトの計画を参照してください。

  2. リモート アクセス管理者から要求される各 GPO について、異なる名前で GPO のペアを作成します。 1 番目はステージング GPO として使用され、2 番目は運用 GPO として使用されます。

    グループ ポリシー オブジェクトを作成するを参照してください。 を作成し、グループ ポリシー オブジェクトを編集します。

  3. 運用 Gpo をリンクするには、次を参照してください。 グループ ポリシー オブジェクト リンクします。

  4. リモート アクセス管理者に、すべてのステージング GPO に対する設定の編集、セキュリティの削除および変更アクセス許可を付与します。 詳細については、「グループ ポリシー オブジェクトに対するアクセス許可をグループまたはユーザーに委任する」を参照してください。

  5. すべてのドメインで GPO をリンクするリモート アクセス管理者のアクセス権を拒否します (または、リモート アクセス管理者がこのようなアクセス権を持っていないことを確認します)。 詳細については、次を参照してください。 リンクのグループ ポリシー オブジェクトへのアクセス許可の委任します。

リモート アクセス管理者がリモート アクセスを構成する場合、常にステージング GPO のみ (運用 GPO ではなく) を指定してください。 これは、リモート アクセスの最初の構成で、たとえば、マルチサイト展開でエントリ ポイントを追加したり、追加のドメインでクライアント コンピューターを有効にするなど、追加の GPO が必要で追加の構成操作を実行している場合に当てはまります。

リモート アクセス管理者が、リモート アクセス構成への変更を完了した後、ドメイン管理者はステージング GPO の設定を確認し、次の手順に従って、運用 GPO に設定をコピーする必要があります。

ヒント

リモート アクセス構成のそれぞれの変更後、次の手順を実行します。

設定を運用 GPO にコピーするには

  1. リモート アクセス展開のすべてのステージング GPO がドメインのすべてのドメイン コントローラーにレプリケートされていることを確認します。 これは、最新の構成が運用 GPO にインポートされていることを確認するために必要です。 詳細については、グループ ポリシー インフラストラクチャの状態の確認を参照してください。

  2. リモート アクセス展開ですべてのステージング GPO をバックアップして設定をエクスポートします。 詳細については、バックアップをグループ ポリシー オブジェクトを参照してください。

  3. 各運用 GPO について、対応するステージング GPO のセキュリティ フィルターに合わせて、セキュリティ フィルターを変更します。 詳細については、フィルターを使用してセキュリティ グループを参照してください。

    注意

    これは、[設定をインポートする] ではソース GPO のセキュリティ フィルターがコピーされないためです。

  4. 各運用 GPO について、対応するステージング GPO のバックアップから、次のように設定をインポートします。

    1. グループ ポリシー管理コンソール (GPMC) では、フォレストと設定のインポートを運用環境のグループ ポリシー オブジェクトが含まれるドメインでグループ ポリシー オブジェクト] ノードを展開します。

    2. GPO を右クリックして、[設定をインポートする] をクリックします。

    3. 設定のインポート ウィザード[ようこそ] ページで、[次へ] をクリックします。

    4. [GPO のバックアップ] ページで、[バックアップ] をクリックします。

    5. [グループ ポリシー オブジェクトのバックアップ] ダイアログ ボックスの [場所] ボックスに、GPO バックアップを保存する場所のパスを入力し、[参照] をクリックしてフォルダーを検索します。

    6. [説明] ボックスに運用 GPO の説明を入力して、[バックアップ] をクリックします。

    7. バックアップが完了したら、[OK] をクリックし、[GPO のバックアップ] ページで、[次へ] をクリックします。

    8. [バックアップの場所] ページの [バックアップ フォルダー] ボックスに、手順 2 で対応するステージング GPO のバックアップを保存した場所へのパスを入力するか、[参照] をクリックして、フォルダーを検索し、[次へ] をクリックします。

    9. [ソース GPO] ページで、[各 GPO の最新バージョンのみ表示する] チェック ボックスをオンにして、古いバックアップを非表示にし、対応するステージング GPO を選択します。 [表示の設定] をクリックして、運用 GPO に適用する前にリモート アクセス設定を確認して、[次へ] をクリックします。

    10. [バックアップをスキャン中] ページで [次へ] をクリックし、[完了] をクリックします。

Windows PowerShellWindows PowerShell の同等のコマンド

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

  • ドメイン "corp.contoso.com" のステージング クライアント GPO "DirectAccess Client Settings - Staging" をバックアップ フォルダー "C:\Backups\" にバックアップするには:

    $backup = Backup-GPO "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "Path 'C:\Backups\'

  • ステージング クライアント GPO"DirectAccess Client Settings-Staging"ドメイン"corp.contoso.com"内のセキュリティ フィルター処理を表示します。

    Get-GPPermission "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "All | ?{ $_.Permission "eq 'GpoApply'}

  • セキュリティ グループの「corp.contoso.com\DirectAccess クライアント」運用クライアント GPO のセキュリティ フィルターを追加する"ドメイン"corp.contoso.com"内には、"Production"の DirectAccess クライアント設定。

    Set-GPPermission "Name 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com' "PermissionLevel GpoApply "TargetName 'corp.contoso.com\DirectAccess clients' "TargetType Group

  • インポートする設定、バックアップから運用クライアント GPO"DirectAccess クライアントの設定"Production"ドメイン"corp.contoso.com"内。

    Import-GPO "BackupId $backup.Id "Path $backup.BackupDirectory "TargetName 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com'

1.9 セキュリティ グループを構成する

クライアント コンピューターのグループ ポリシー オブジェクトに含まれる DirectAccess 設定は、リモート アクセスを構成するときに指定したセキュリティ グループのメンバーであるコンピューターにのみ適用されます。 さらに、アプリケーション サーバーを管理するためにセキュリティ グループを使用する場合、これらのサーバーのセキュリティ グループを作成します。

DirectAccess クライアントのセキュリティ グループを作成するには

  1. 開始 画面で「dsa.msc, 、ENTER キーを押します。 [Active Directory ユーザーとコンピュータ] コンソールの左側のウィンドウで、セキュリティ グループを含むドメインを展開し、[Users] を右クリックし、[新規作成] をクリックして、[グループ] をクリックします。

  2. [新しいオブジェクト - グループ] ダイアログ ボックスの [グループ名] の下に、セキュリティ グループの名前を入力します。

  3. [グループのスコープ] の下で [グローバル] をクリックし、[グループの種類] の下で [セキュリティ] をクリックし、[OK] をクリックします。

  4. DirectAccess クライアント コンピューター セキュリティ グループをダブルクリックし、プロパティのダイアログ ボックスで[メンバー] タブをクリックします。

  5. [メンバー] タブで [追加] をクリックします。

  6. [ユーザー、連絡先、コンピューター、サービス アカウントまたはグループの選択] ダイアログ ボックスで、DirectAccess 用に有効にするクライアント コンピューターを選択し、[OK] をクリックします。

Windows PowerShellWindows PowerShell の同等のコマンド

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>

1.10 ネットワーク ロケーション サーバーを構成する

ネットワーク ロケーション サーバーには高可用性サーバーが必要であり、DirectAccess クライアントによって信頼された有効な SSL 証明書が必要です。 ネットワーク ロケーション サーバー証明書には、次の 2 つの証明書オプションがあります。

  • プライベート証明書

    この証明書が次の手順に従って作成した証明書テンプレートに基づく 1.5.2 証明書テンプレートを構成するです。

  • 自己署名証明書

    注意

    自己署名証明書はマルチサイト展開では使用できません。

まだ存在しない場合、どちらの種類の証明書にも、次のものが必要です。

  • ネットワーク ロケーション サーバーに使用する Web サイト証明書。 証明書のサブジェクトは、ネットワーク ロケーション サーバーの URL である必要があります。

  • 内部ネットワークからの高可用性 CRL 配布ポイント

注意

ネットワーク ロケーション サーバー Web サイトが DirectAccess サーバー上にある場合は、リモート アクセスを構成するときに、Web サイトが自動的に作成されます。 このサイトは、指定するサーバー証明書にバインドされます。

内部 CA からネットワーク ロケーション サーバー証明書をインストールするには

  1. ネットワーク ロケーション サーバー web サイトをホストするサーバー上: で、 開始 画面で「mmc.exe, 、ENTER キーを押します。

  2. MMC コンソールの [ファイル] メニューで、 [スナップインの追加と削除] をクリックします。

  3. [スナップインの追加と削除] ダイアログ ボックスで、[証明書][追加][コンピューター アカウント][次へ][ローカル コンピューター][完了] の順にクリックし、[OK] をクリックします。

  4. 証明書スナップインのコンソール ツリーで、[証明書 (ローカル コンピューター)]、[個人用]、[証明書] の順に開きます。

  5. [証明書] を右クリックし、[すべてのタスク] をポイントして、[新しい証明書の要求] をクリックします。

  6. [次へ] を 2 回クリックします。

  7. 証明書の要求 ] ページで、[1.5.2 の手順に従って作成した証明書テンプレートのチェック ボックスは、証明書テンプレートを構成します。 必要に応じて、[この証明書を登録するには情報が不足しています] をクリックします。

  8. [証明書のプロパティ] ダイアログ ボックスの [サブジェクト] タブで、[サブジェクト名] 領域の [種類] から [共通名] を選択します。

  9. [値] にネットワーク ロケーション サーバー Web サイトの FQDN を入力して、[追加] をクリックします。

  10. [別名] 領域の [種類] で、[DNS] を選択します。

  11. [値] にネットワーク ロケーション サーバー Web サイトの FQDN を入力して、[追加] をクリックします。

  12. [全般] タブの [フレンドリ名] に証明書の識別に役立つ名前を入力できます。

  13. [OK] をクリックし、[登録] をクリックして、[完了] をクリックします。

  14. 証明書スナップインの詳細ウィンドウで、新しい証明書が [サーバー認証の目的] とともに登録されていることを確認します。

ネットワーク ロケーション サーバーを構成するには

  1. 高可用性サーバーに Web サイトを設定します。 Web サイトにコンテンツは必要ありませんが、テストする際は、クライアントが接続したときにメッセージを表示する既定のページを定義できます。

    注意

    ネットワーク ロケーション サーバー Web サイトが DirectAccess サーバーでホストされている場合、この手順は必要ありません。

  2. HTTPS サーバー証明書を Web サイトにバインドします。 証明書の共通名は、ネットワーク ロケーション サーバー サイトの名前と一致している必要があります。 DirectAccess クライアントが発行元 CA を信頼していることを確認します。

    注意

    ネットワーク ロケーション サーバー Web サイトが DirectAccess サーバーでホストされている場合、この手順は必要ありません。

  3. 内部ネットワークから高可用性 CRL サイトを設定します。

    CRL 配布ポイントは、次の方法でアクセスできます。

    • 次のような HTTP ベースの URL を使用する Web サーバー: https://crl.corp.contoso.com/crld/corp-APP1-CA.crl

    • \\crl.corp.contoso.com\crld\corp-APP1-CA.crl などの汎用名前付け規則 (UNC) のパスでアクセスするファイル サーバー

    内部 CRL 配布ポイントが IPv6 によってのみ到達可能な場合、セキュリティが強化された Windows ファイアウォールの接続セキュリティ規則を構成して、イントラネットの IPv6 アドレスから CRL 配布ポイントの IPv6 アドレスまでの IPsec 保護を除外する必要があります。

  4. 内部ネットワーク上の DirectAccess クライアントが、ネットワーク ロケーション サーバーの名前を解決できることを確認します。 名前がインターネット上の DirectAccess クライアントによって解決されないことを確認します。