手順 13 NAT デバイスの背後からの DirectAccess 接続をテストする

適用対象: Windows Server 2022、Windows Server 2019、Windows Server 2016

DirectAccess クライアントを NAT デバイスまたは Web プロキシ サーバーの背後からインターネットに接続すると、DirectAccess クライアントでは、リモート アクセス サーバーへの接続に Teredo または IP-HTTPS が使用されます。 NAT デバイスで、リモート アクセス サーバーのパブリック IP アドレスへの発信 UDP ポート 3544 を有効にしている場合、Teredo が使用されます。 Teredo を使用できない場合、DirectAccess クライアントは、発信 TCP ポート 443 の IP-HTTPS にフォールバックされます。その結果、従来の SSL ポートで、ファイアウォールまたは Web プロキシ サーバーを経由してアクセスできるようになります。 Web プロキシに認証が必要な場合、IP-HTTPS 接続は失敗します。 また、Web プロキシが発信 SSL 検査を実行している場合も IP-HTTPS 接続は失敗します。これは、HTTPS セッションがリモート アクセス サーバーではなく Web プロキシで中断されるためです。

両方のクライアント コンピューターで次の手順を実行します。

  1. Teredo 接続のテスト 1 つ目のテスト セットは、Teredo を使用するように DirectAccess クライアントを構成する場合に実行されます。 これは、NAT デバイスで UDP ポート 3544 への発信アクセスを許可する場合の自動設定です。 まず CLIENT1 でテストを実行し、その後、CLIENT2 でテストを実行します。

  2. IP-HTTPS 接続のテスト 2 つ目のテスト セットは、IP-HTTPS を使用するように DirectAccess クライアントを構成する場合に実行されます。 IP-HTTPS 接続を実行するために、クライアント コンピューターの Teredo を無効にします。 まず CLIENT1 でテストを実行し、その後、CLIENT2 でテストを実行します。

前提条件

EDGE1 と 2-EDGE1 がまだ実行されていない場合は開始し、インターネット サブネットに接続されていることを確認します。

これらのテストを実行する前に、インターネット スイッチから CLIENT1 および CLIENT2 の接続を外し、ホームネット スイッチに接続します。 現在のネットワークを定義するネットワークの種類を尋ねられたら、[ホーム ネットワーク] を選択します。

Teredo 接続のテスト

  1. CLIENT1 で、管理者特権で Windows PowerShell ウィンドウを開きます。

  2. Teredo アダプターを有効にし、「netsh interface teredo set state enterpriseclient」と入力して、Enter キーを押します。

  3. Windows PowerShell ウィンドウで、「ipconfig /all」と入力し、Enter キーを押します。

  4. ipconfig コマンドの出力を確認します。

    このコンピューターは、NAT デバイスの背後からインターネットに接続できるようになり、プライベート IPv4 アドレスが割り当てられます。 DirectAccess クライアントが NAT デバイスの背後にあり、プライベート IPv4 アドレスが割り当てられている場合、推奨される IPv6 移行テクノロジは Teredo です。 ipconfig コマンドの出力を確認すると、Tunnel adapter Teredo Tunneling Pseudo-Interface というセクション、次に Microsoft Teredo Tunneling Adapter という説明、および Teredo アドレスと一致する 2001:0 から始まる IP アドレスがあります。 Teredo トンネル アダプター用に登録されている既定のゲートウェイは、'::' と表示されます。

  5. Windows PowerShell ウィンドウで、「ipconfig /flushdns」と入力し、Enter キーを押します。

    その結果、クライアント コンピューターをインターネットに接続すると、まだクライアント DNS キャッシュに残っている名前解決エントリは消去されます。

  6. Windows PowerShell ウィンドウで、「ping app1」と入力し、Enter キーを押します。 APP1 の IPv6 アドレス 2001:db8:1::3 から返信があります。

  7. Windows PowerShell ウィンドウで、「ping app2」と入力し、Enter キーを押します。 EDGE1 から割り当てられた NAT64 アドレスから APP2 (この例では fdc9:9f4e:eb1b:7777::a00:4) に返信があります。 太字の値は、アドレスが生成される方法によって異なることに注意してください。

  8. Windows PowerShell ウィンドウで、「ping 2-app1」と入力し、Enter キーを押します。 2-APP1 の IPv6 アドレス 2001:db8:2::3 から返信があります。

  9. Internet Explorer を開き、Internet Explorer のアドレス バーに「https://2-app1/」と入力し、Enter キーを押します。 2-APP1 の既定の IIS Web サイトが表示されます。

  10. Internet Explorer のアドレス バーに「https://app2/」と入力し、Enter キーを押します。 APP2 の既定の Web サイトが表示されます。

  11. スタート画面で、「\\App2\Files」と入力して Enter キーを押します。 [新しいテキスト ドキュメント] ファイルをダブルクリックします。 これは、SMB を使用して IPv4 のみのサーバーに接続し、IPv4 のみのホストのリソースを取得できたことを示します。

  12. この手順を CLIENT2 で繰り返します。

IP-HTTPS 接続のテスト

  1. CLIENT1 で、管理者特権で Windows PowerShell ウィンドウを開き、「netsh interface teredo set state disabled」と入力し、Enter キーを押します。 その結果、クライアント コンピューターで Teredo が無効になり、クライアント コンピューターが IP-HTTPS を使用するように構成できます。 コマンドの完了時に、OK 応答が表示されます。

  2. Windows PowerShell ウィンドウで、「ipconfig /all」と入力し、Enter キーを押します。

  3. ipconfig コマンドの出力を確認します。 このコンピューターは、NAT デバイスの背後からインターネットに接続できるようになり、プライベート IPv4 アドレスが割り当てられます。 Teredo は無効になり、DirectAccess クライアントは IP-HTTPS にフォールバックします。 ipconfig コマンドの出力を確認すると、Tunnel adapter iphttpsinterface というセクションと、DirectAccess の設定時に構成したプレフィックスに基づく IP-HTTPS アドレスと一致する 2001:db8:1:1000 または 2001:db8:2:2000 から始まる IP アドレスが表示されます。 IPHTTPSInterface トンネル アダプター用に登録されている既定のゲートウェイは表示されません。

  4. Windows PowerShell ウィンドウで、「ipconfig /flushdns」と入力し、Enter キーを押します。 その結果、クライアント コンピューターを社内ネットワークに接続すると、まだクライアント DNS キャッシュに残っている名前解決エントリは消去されます。

  5. Windows PowerShell ウィンドウで、「ping app1」と入力し、Enter キーを押します。 APP1 の IPv6 アドレス 2001:db8:1::3 から返信があります。

  6. Windows PowerShell ウィンドウで、「ping app2」と入力し、Enter キーを押します。 EDGE1 から割り当てられた NAT64 アドレスから APP2 (この例では fdc9:9f4e:eb1b:7777::a00:4) に返信があります。 太字の値は、アドレスが生成される方法によって異なることに注意してください。

  7. Windows PowerShell ウィンドウで、「ping 2-app1」と入力し、Enter キーを押します。 2-APP1 の IPv6 アドレス 2001:db8:2::3 から返信があります。

  8. Internet Explorer を開き、Internet Explorer のアドレス バーに「https://2-app1/」と入力し、Enter キーを押します。 2-APP1 の既定の IIS Web サイトが表示されます。

  9. Internet Explorer のアドレス バーに「https://app2/」と入力し、Enter キーを押します。 APP2 の既定の Web サイトが表示されます。

  10. スタート画面で、「\\App2\Files」と入力して Enter キーを押します。 [新しいテキスト ドキュメント] ファイルをダブルクリックします。 これは、SMB を使用して IPv4 のみのサーバーに接続し、IPv4 のみのホストのリソースを取得できたことを示します。

  11. この手順を CLIENT2 で繰り返します。