direct accessったい 121222

DirectAccess って知っとぉ？ カソウプライベートネットワークっぽいことが

できるったい、これが。

アイティデザイン株式会社

知北直宏 Copyright 2012 ITdesign Corporation , All Rights Reserved

‘12/12/15 @ CLR/H

1

2

自己紹介

知北直宏（ちきたなおひろ）Twitter: @wanto1101 アイティデザイン株式会社 代表取締役社長 九州発ITPro系コミュニティ「Win.tech.q」代表 福岡でITProば、やりようとですたい。

Active Directory、Hyper-V、Exchange、System Center その他いろいろの提案・設計・構築・サポートまでなんでも。

大手、地場インテグレーターさんの後方支援など。 Microsoft MVP(Directory Services) MCT、MCSE、MCITPとかいろいろ。 「標準テキスト Windows Server 2008 R2 構築・運用・管理パー

フェクトガイド」という本ば書きました。 御礼・2012年10月に第8版発売、通算15000部発行

次へ

3

アジェンダ

DirectAccessってなんね？ DirectAccessの新機能 DirectAccessのセットアップ DirectAccessの利用 DirectAccessの管理 まとめ

次へ

4

おことわり

12/8（土）に日本マイクロソフト本社で開催された「 Windows Server 2012 Community Day 」の資料のダイジェスト版やけん。

Windows Server 2012 と Windows 8 を組み合わせたDirectAccess構成ば中心に話すけん。 （クライアントが Windows 7 のときは少し事情が異なるったい）

次へ

5

DirectAccessってなんね？

• インターネット接続を使って社内ネットワークに安全にアクセスする仕組みげな。 • IPv6とIPsecをベースとしたテクノロジーばい。 • DirectAccessによってネットワークを社外にまで「拡張」することができるったい。 • Windows Server 2008 R2 / Windows 7で実装されたと。 • 社内にいても、社外にいても、同様に社内リソースにアクセスして仕事ができるげな（涙）。

DirectAccess クライアント

DirectAccess サーバー

ドメイン コントローラー

各種 社内サーバー

IPv6 + IPsecテクノロジー

次へ

6

VPNとどげん違うとね？

DirectAccessはVPN（カソウプライベートネットワーク）と用途や目的は似とっちゃけど、次のような違いがあるったい • クライアントの設定が簡単。 （グループポリシーベースの設定）

• インターネットに接続するだけで、自動で社内ネットワークに接続。 （ログオンしていない状態でも接続できるったい、これが）

• なんらやかんやらいろんな方法で接続しようとするったい。 （PPTP/L2TPのような「出張先のホテルから繋がらなかった」ということがなくなるったい）

次へ

7

これまでのDirectAccessはどげんやったと？

Windows Server 2008 R2 から実装されたDirectAccessやけど、次のようにいろいろと敷居が高かったたい。。。 • 展開が難しかった。。。

（IPv6やPKIとか、いろいろと難しいテクノロジーを理解しないと展開困難）

• パブリックなIPv4アドレスが2つも必要だった。。。（Teredoのため）

• 社内のIPv4機器にアクセスするには追加のシステムが必要だった。。。 • 他にもいろいろな制約あり。。。

（配置に制約がある、RRASと共存できないなど、いろいろな仕様的な制約。。。）

次へ

8

DirectAccessの新機能ば教えちゃってん

Windows Server 2012 の DirectAccess にはたくさんの新機能が実装されたったい！ • 展開が容易になった！ （難しいことを理解しなくても展開可能！PKIは必須ではなくなった！）

• パブリックIPv4アドレスの要件が緩和！配置も柔軟に！！ • 社内のIPv4デバイスにアクセスできるようになった！ • 他にもいろいろな新機能あり！

次へ

9

ほかにどげな新機能があると？

負荷分散をサポート（NLBなど） 複数のドメインをサポート マルチサイトをサポート 強制トンネリングの自動サポート 外部管理をサポート（Manage-Out） NAP（IPsec強制）と統合 Server Coreのサポート Windows PowerShellのサポート などなど

次へ

10

展開が容易になったばい！

「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡単にDirectAccessの展開ができるようになったっちゃが。

DirectAccessサーバーの自己署名証明書が多用されるよ。 グループポリシーによって自動配布されるげな。

次へ

11

柔軟な配置が可能になったげな！

パブリックIPv4アドレスの要件が緩和されたばい。 （パブリックなIPv6なし、非・固定IPv4環境でも展開可能）

DirectAccessサーバーをさまざまな構成で配置できるようになったばい。 （NATデバイスの背後に配置する、NICを1枚のみで構成する、など3種類）

「作業の開始ウィザード」の中でどの構成かを指定するとげな。

次へ

12

DirectAccessサーバーの構成例1

2枚のNICを持つDirectAccessサーバーを「エッジ」に配置する構成です。 「作業の開始ウィザード」 では「エッジ」と呼びよったい。 Windows Server 2008 R2 ではこの構成しかできませんでした。

DirectAccess サーバー

社内サーバー

NIC NIC

ここに パブリックIP を設定

次へ

13

DirectAccessサーバーの構成例2

2枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデバイス（エッジデバイス）の背後に配置する構成げな。

「作業の開始ウィザード」 では「エッジデバイスの背後（ネットワークアダプター2つ）」と呼ぶげな。

ここにパブリックIP を設定して、NATでDirectAccessサーバーを公開。

DirectAccess サーバー

社内サーバー

NIC NIC

次へ

14

DirectAccessサーバーの構成例3

1枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデバイス（エッジデバイス）の背後に配置する構成たい。

「作業の開始ウィザード」 では「エッジデバイスの背後（ネットワークアダプター1つ）」と呼ぶったい。

ここにパブリックIP を設定して、NATでDirectAccessサーバーを公開。

DirectAccess サーバー

社内サーバー

NIC

次へ

15

DirectAccessのシステム要件1

DirectAccessサーバーの要件 • Active Directory に参加していること。 • IPv6およびIPv6移行テクノロジーが有効であること。 • IPヘルパーサービスが起動していること。 • Windowsファイアウォールが動作していること。 • ネットワークが「ドメイン」プロファイルであること。 • Hyper-V仮想マシンでも大丈夫。 もちろん、 Windows Server 2012 であること！

次へ

16

DirectAccessのシステム要件2

Active Directoryに関する要件 • IPv6が有効な次のOSによるドメインコントローラーであること。

Windows Server 2012 Windows Server 2008 R2 Windows Server 2008

• ドメインの機能レベルとフォレストの機能レベルは問いません。

DNSサーバーに関する要件 • 次のOSによるDNSサーバーであること。

Windows Server 2012 Windows Server 2008 R2 Windows Server 2008

次へ

17

DirectAccessのシステム要件3

DirectAccessクライアントの要件 • Active Directoryに参加していること。 • 次のいずれかのOS、エディションであること。

Windows 8 Enterprise Windows 7 Enterprise/Ultimate Windows Server 2012 Windows Server 2008 R2

これら以外のOS、エディションからも接続する必要があれば、DirectAccessサーバーにRRASもセットアップして、VPNもアクセス可能にしたらよかっちゃない？。

Windows 7 などをサポートするには「作業の開始ウィザード」だけでは展開できけん注意して！！

次へ

18

DirectAccessの簡単セットアップ

システム要件を満たした環境ば用意してね。 パブリックIPアドレスば用意してね。 DirectAccessサーバーにDNS名でアクセスできる環境ば推奨するけん。

「DirectAccessおよびVPN（RAS）」の役割サービスを追加してん。 「リモートアクセス管理」コンソールを起動して、「作業の開始ウィザード」を実行してん。

必要に応じて追加設定を行って終わりげな。

次へ

DirectAccessのセットアップ

DEMO （紙芝居）

20

すでにActive Directoryドメインに参加しているサーバーに、DirectAccessサーバーをセットアップしとったい。

DirectAccessサーバーのNICは1枚のみげな。 インターネットからはファイアウォールのNATでアクセスできるようにしとおけん。 インターネット上のDNSサーバーに、DirectAccessサーバーのパブリック名（DNS名）を登

録済みやけん。

（デモ環境の詳細は次のスライドで）

DEMOの説明

次へ

インターネット

21

社内ネットワーク

InternetServer DNSサーバー Webサーバー

203.0.113.1/24

DC01 Windows Server 2012 ドメインコントローラー DNSサーバー DHCPサーバー 10.0.0.1/24, IPv6有効

NATルーター DHCPサーバー

Ext:203.0.113.200/24 Int:192.168.0.254/24

WIN8-01 Windows 8 Enterprise DHCPクライアント

DA01 Windows Server 2012 DirectAccessサーバー 10.0.0.2/24,IPv6有効

家庭内ネットワーク

ファイアウォール Ext:203.0.113.100/24

Int:10.0.0.254/24 DirectAccessサーバーを 「203.0.113.2」で公開 ドメイン名

Active Directory ： contoso.local 社外ドメイン ： contoso.com

デモを ご覧ください

次へ

22

DirectAccessサーバー

23

DirectAccessサーバー

24

DirectAccessサーバー

25

DirectAccessサーバー

26

DirectAccessサーバー

27

DirectAccessサーバー

28

DirectAccessサーバー

29

DirectAccessサーバー

30

DirectAccessサーバー

31

DirectAccessサーバー

32

DirectAccessサーバー

33

DirectAccessサーバー

34

DirectAccessサーバー

35

DirectAccessサーバー

36

DirectAccessサーバー

37

DirectAccessサーバー

38

DirectAccessサーバー

39

DirectAccessサーバー

40

DirectAccessサーバー

41

DirectAccessサーバー

42

DirectAccessサーバー

43

DirectAccessサーバー

44

DirectAccessサーバー

45

DirectAccessサーバー

46

DirectAccessサーバー

47

DirectAccessサーバー

48

DirectAccessサーバー

49

DNSサーバー

50

ドメインコントローラー

51

ドメインコントローラー

52

ドメインコントローラー

53

ドメインコントローラー

54

ドメインコントローラー

55

ドメインコントローラー

56

ドメインコントローラー

57

ドメインコントローラー

58

ドメインコントローラー

59

「作業の開始ウィザード」だけではできないこと

「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡単にDirectAccessの展開ができるようになったっちゃけど。。。

次のような構成のときは追加設定（PKI環境構築など）が必要やけん。 Windows 7クライアントをサポートする 強制トンネリングを行う NAPと統合する 2要素認証を行う （スマートカードやOTP/ワンタイムパスワードの利用時）

その他

次へ

60

DirectAccessの使い方はどげんなっとおとね？

Active Directoryに参加しているクライアントPCは、 自動的にDirectAccessクライアントの設定がされるとですたい。

社外からインターネット接続すると、自動的にDirectAccessによって社内ネットワークに接続することができるけん。

次へ

61

DirectAccessを介したクライアントPCの管理

管理者は、ユーザーのクライアントPCが社内にあるか、DirectAccessによってインターネット経由で接続しているかを意識することなく、管理を行うことができるけん。 （ユーザーがPCにログオンしている必要もないけん。）

次へ

DirectAccessクライアントの 利用と管理

DEMO （紙芝居）

63

Active Directoryドメインに参加している Windows 8 Enterprise クライアントPCば、社外（家庭内ネットワーク）に持ち出してみるけん。

ユーザーは特別な操作をすることなく、社外からDirectAccessで社内ネットワークにアクセスできることを見ちゃってん。

管理者は、ユーザーが社外にいることを意識することなく、クライアントPCの管理操作ができることも見ちゃってん。

DEMOの説明

デモを ご覧ください

次へ

64

DirectAccessクライアント

社内ネットワーク接続時 インターネット経由で DirectAccessで接続！

⇒

65

DirectAccessクライアント

66

DirectAccessクライアント

67

DirectAccessクライアント・IPCONFIGによるインターフェイスの状態確認

社内ネットワーク接続時 DirectAccess接続時

⇒

Windows IP 構成 イーサネット アダプター イーサネット: 接続固有の DNS サフィックス . . . . .: contoso.local リンクローカル IPv6 アドレス. . . . .: fe80::b0dd:1605:3462:32d0%13 IPv4 アドレス . . . . . . . . . . . .: 10.0.0.154 サブネット マスク . . . . . . . . . .: 255.255.255.0 デフォルト ゲートウェイ . . . . . . .: 10.0.0.254 Tunnel adapter ローカル エリア接続* 11: メディアの状態. . . . . . . . . . . .: メディアは接続されていません 接続固有の DNS サフィックス . . . . .: Tunnel adapter isatap.contoso.local: メディアの状態. . . . . . . . . . . .: メディアは接続されていません 接続固有の DNS サフィックス . . . . .: contoso.local Tunnel adapter iphttpsinterface: メディアの状態. . . . . . . . . . . .: メディアは接続されていません 接続固有の DNS サフィックス . . . . .:

Windows IP 構成 イーサネット アダプター イーサネット: 接続固有の DNS サフィックス . . . . .: リンクローカル IPv6 アドレス. . . . .: fe80::b0dd:1605:3462:32d0%13 IPv4 アドレス . . . . . . . . . . . .: 192.168.0.19 サブネット マスク . . . . . . . . . .: 255.255.255.0 デフォルト ゲートウェイ . . . . . . .: 192.168.0.254 Tunnel adapter isatap.{BAB6C200-0A52-4AE4-BA87-C935653C81CF}: メディアの状態. . . . . . . . . . . .: メディアは接続されていません 接続固有の DNS サフィックス . . . . .: Tunnel adapter ローカル エリア接続* 11: メディアの状態. . . . . . . . . . . .: メディアは接続されていません 接続固有の DNS サフィックス . . . . .: Tunnel adapter iphttpsinterface: 接続固有の DNS サフィックス . . . . .: IPv6 アドレス . . . . . . . . . . . .: fd72:c435:5cf8:1000:b838:1cbb:629e:a7ae 一時 IPv6 アドレス. . . . . . . . . .: fd72:c435:5cf8:1000:9169:b910:894d:be29 リンクローカル IPv6 アドレス. . . . .: fe80::b838:1cbb:629e:a7ae%22 デフォルト ゲートウェイ . . . . . . .:

68

DNSサーバー

69

DirectAccessクライアントから社内のファイルサーバーへアクセス

70

DirectAccessクライアントから社内サーバーへリモートデスクトップアクセス

71

社内からDirectAccessクライアントへリモートデスクトップアクセス

72

まとめ

DirectAccessは敷居が一気に下がって、展開が本当に簡単になったのがわかったちゃない？いいやろ？

要件を満たす環境であれば、使わんと損やなか？ DirectAccessクライアントとなっているコンピューターの盗難、紛失対策として、ぜひBitLockerで暗号化するなどの対処をせんといかんよ！

次へ

おしまい

知北直宏 @wanto1101

Copyright 2012 ITdesign Corporation , All Rights Reserved

73