作業の開始ウィザードを使用した単一の DirectAccess サーバーの展開
適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016
重要
Microsoft では、新しい展開に DirectAccess の代わりに Always On VPN を使用することを強くお勧めします。 詳しくは、Always on VPN に関する記事をご覧ください。
このトピックでは、単一の DirectAccess サーバーを使用し、短い簡単な手順で DirectAccess を展開できる、DirectAccess のシナリオについて説明します。
展開を開始する前に、サポートされない構成、既知の問題、前提条件の一覧を参照してください
以下のトピックを使用して、DirectAccess を展開する前に、前提条件とその他の情報を確認できます。
シナリオの説明
このシナリオでは、Windows Server コンピューターを既定の設定で DirectAccess サーバーとして構成します。 この構成では、ウィザードのいくつかの簡単なステップだけが必要であり、証明機関 (CA) や Active Directory セキュリティ グループなど、インフラストラクチャの設定を構成する必要はありません。
注意
設定をカスタマイズして高度な展開を構成する場合は、「 Deploy a Single DirectAccess Server with Advanced Settings」を参照してください。
このシナリオの内容
基本の DirectAccess サーバーを設定するには、いくつかの計画と展開の手順を実行します。
前提条件
このシナリオの展開を開始する前に、重要な要件の一覧を確認してください。
すべてのプロファイルで Windows ファイアウォールが有効になっている必要があります。
このシナリオは、クライアント コンピューターが Windows 10、Windows 8.1、または Windows 8 を搭載している場合にのみサポートされます。
企業ネットワーク内の ISATAP はサポートされていません。 ISATAP を使っている場合は、それを削除して、ネイティブ IPv6 を使う必要があります。
公開キー基盤は必要ありません。
2 要素認証を展開する場合はサポートされません。 認証にはドメインの資格情報が必要です。
現在のドメインのすべてのモバイル コンピューターに DirectAccess を自動的に展開します。
インターネットへのトラフィックは、DirectAccess トンネルを通過しません。 強制トンネルの構成はサポートされません。
DirectAccess サーバーは、ネットワーク ロケーション サーバーです。
ネットワーク アクセス保護 (NAP) はサポートされません。
DirectAccess 管理コンソールまたは Windows PowerShell コマンドレットを使わないポリシーの変更はサポートされません。
現在または今後マルチサイトを展開する場合は、最初に詳細設定を使用して単一の DirectAccess サーバーを展開します。
計画の手順
計画は 2 つのフェーズに分かれています。
DirectAccess インフラストラクチャの計画: このフェーズでは、DirectAccess の展開を始める前にネットワーク インフラストラクチャを設定するために必要な計画について説明します。 計画には、ネットワークとサーバーのトポロジと、DirectAccess ネットワーク ロケーション サーバーの設計が含まれます。
DirectAccess 展開の計画: このフェーズでは、DirectAccess 展開の準備に必要な計画手順について説明します。 これには、DirectAccess クライアント コンピューター、サーバーとクライアントの認証要件、VPN の設定、インフラストラクチャ サーバー、管理サーバーとアプリケーション サーバーの計画が含まれます。
計画の手順の詳細については、「高度な DirectAccess 展開を計画する」を参照してください。
デプロイメントの手順
展開は 3 つのフェーズに分かれています。
- DirectAccess インフラストラクチャの構成: このフェーズには、次のコンポーネントの構成が含まれます。
- ネットワークとルーティング
- ファイアウォールの設定 (必要な場合)
- 証明書
- DNS サーバー
- Active Directory と GPO の設定
- DirectAccess ネットワーク ロケーション サーバー
DirectAccess サーバー設定の構成: このフェーズでは、DirectAccess クライアント コンピューター、DirectAccess サーバー、インフラストラクチャ サーバー、管理サーバーとアプリケーション サーバーの構成を行います。
展開の確認。 このフェーズでは、展開が想定したとおりに機能することを確認します。
詳細な展開手順については、「 Install and Configure Basic DirectAccess」を参照してください。
実際の適用例
単一のリモート アクセス サーバーを展開すると、次のような利点があります。
簡単操作。 Windows 10、Windows 8.1、Windows 8、または Windows 7 が実行されているマネージド クライアント コンピューターを DirectAccess クライアントとして構成できます。 このようなクライアントは、インターネット上に存在しているときは常に、DirectAccess 経由で内部のネットワーク リソースにアクセスでき、VPN 接続にログインする必要はありません。 これらのオペレーティング システムを搭載していないクライアント コンピューターは、従来の VPN 接続を使って内部ネットワークに接続できます。
簡単な管理。: DirectAccess クライアント コンピューターがインターネット上に存在していて、企業の内部ネットワークに存在しない場合であっても、リモート アクセス管理者は、DirectAccess 経由でクライアント コンピューターをリモート管理できます。 企業の要件を満たしていないクライアント コンピューターを、管理サーバーで自動的に修復できます。 DirectAccess と VPN は両方とも同じコンソールで管理され、同じウィザードを使用します。 さらに、単一のリモート アクセス管理コンソールから 1 台以上のリモート アクセス サーバーを管理できます。
このシナリオに含まれている役割と機能
次の表に、このシナリオに必要な役割と機能を示します。
| 役割/機能 | このシナリオのサポート方法 |
|---|---|
| リモート アクセスの役割 | この役割をインストールまたはアンインストールするには、サーバー マネージャー コンソールまたは Windows PowerShell を使用します。 この役割には、DirectAccess、ルーティング、リモート アクセス サービスが含まれます。 リモート アクセスの役割は、次の 2 つのコンポーネントで構成されています。 1. DirectAccess およびルーティングとリモート アクセス サービス (RRAS) VPN。 DirectAccess と VPN は、リモート アクセス管理コンソールで一緒に管理されます。 リモート アクセス サーバーの役割は、次のサーバーの役割や機能に依存しています。 - インターネット インフォメーション サービス (IIS) Web サーバー - この機能は、リモート アクセス サーバーのネットワーク ロケーション サーバー、および既定の Web プローブを構成するために必要です。 |
| リモート アクセス管理ツールの機能 | この機能は、次のようにインストールされます。 - リモート アクセスの役割をインストールすると、リモート アクセス サーバーに既定でインストールされ、リモート管理コンソールのユーザー インターフェイスと Windows PowerShell コマンドレットをサポートします。 リモート アクセス管理ツールの機能は、次のコンポーネントで構成されています。 - リモート アクセス GUI 次の要素と依存関係があります。 -グループ ポリシー管理コンソール |
ハードウェア要件
このシナリオのハードウェア要件は次のとおりです。
サーバーの要件:
Windows Server 2016、Windows Server 2012 R2、または Windows Server 2012 のハードウェア要件を満たすコンピューター。
サーバーには、少なくとも 1 つのネットワーク アダプターがあり、有効にされて内部ネットワークに接続されている必要があります。 アダプターを 2 つ使用する場合は、一方を企業内部ネットワークに接続し、もう一方を外部ネットワーク (インターネットまたはプライベート ネットワーク) に接続します。
少なくとも 1 つのドメイン コントローラー。 リモート アクセス サーバーと DirectAccess クライアントはドメインのメンバーである必要があります。
クライアントの要件:
クライアント コンピューターでは、Windows 10、Windows 8.1、または Windows 8 が実行されている必要があります。
重要
一部または全部のクライアント コンピューターが Windows 7 を搭載している場合は、詳細構成ウィザードを使う必要があります。 このドキュメントで説明している作業の開始ウィザードは、Windows 7 を搭載しているクライアント コンピューターをサポートしていません。 DirectAccess で Windows 7 クライアントを使用する方法については、「詳細設定を使用して単一の DirectAccess サーバーを展開する」を参照してください。
注意
DirectAccess クライアントとして使用できるオペレーティング システムは、Windows 10 Enterprise、Windows 8.1 Enterprise、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows 8 Enterprise、Windows Server 2008 R2、Windows 7 Enterprise、Windows 7 Ultimate のみです。
インフラストラクチャと管理サーバーの要件:
- VPN が有効になっていて、静的 IP アドレス プールが構成されていない場合は、DHCP サーバーを展開し、VPN クライアントに IP アドレスを自動的に割り当てる必要があります。
Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 SP2、または Windows Server 2008 R2 を搭載した DNS サーバーが必要です。
ソフトウェア要件
このシナリオの要件を次に示します。
サーバーの要件:
リモート アクセス サーバーはドメイン メンバーである必要があります。 サーバーは、内部ネットワークのエッジに展開することも、エッジ ファイアウォールまたは他のデバイスの内側に配置することもできます。
リモート アクセス サーバーがエッジ ファイアウォール内または NAT デバイスの内側に配置されている場合は、リモート アクセス サーバーとの間で送受信されるトラフィックを許可するようにデバイスを構成する必要があります。
サーバーにリモート アクセスを展開する担当者には、サーバーに対するローカルの管理者のアクセス許可およびドメイン ユーザーのアクセス許可が必要です。 また、管理者には DirectAccess 展開で使用される GPO に対するアクセス許可も必要です。 DirectAccess 展開をモバイル コンピューターのみに制限する機能を利用するには、ドメイン コントローラーで WMI フィルターを作成するアクセス許可が必要です。
リモート アクセス クライアントの要件:
DirectAccess クライアントは、ドメイン メンバーである必要があります。 クライアントが含まれているドメインは、リモート アクセス サーバーと同じフォレストに属することや、リモート アクセス サーバーのフォレストと双方向の信頼を確立することができます。
DirectAccess クライアントとして構成するコンピューターが属する Active Directory セキュリティ グループが必要です。 DirectAccess クライアントの設定を構成するときにセキュリティ グループを指定しないと、Domain Computers セキュリティ グループのすべてのノート PC にクライアントの GPO が既定で適用されます。 DirectAccess クライアントとして使用できるオペレーティング システムは、Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、Windows 8 Enterprise、Windows 7 Enterprise、Windows 7 Ultimate のみです。
関連項目
次の表に、関連リソースへのリンクを示します。
| コンテンツ タイプ | 参考資料 |
|---|---|
| TechNet 内のリモート アクセス | リモート アクセス TechCenter |
| ツールと設定 | Remote Access PowerShell コマンドレット |
| コミュニティ リソース | Wiki の DirectAccess 項目 |
| 関連テクノロジ | How IPv6 works (IPv6 の動作のしくみ) |