Direct accessったい 121222

DirectAccess って知っとぉ？カソウプライベートネットワークっぽいことが

できるったい、これが。

アイティデザイン株式会社

知北直宏 Copyright 2012 ITdesign Corporation , All Rights Reserved

‘12/12/15 @ CLR/H

1

2

自己紹介

知北直宏（ちきたなおひろ）Twitter: @wanto1101 アイティデザイン株式会社代表取締役社長九州発ITPro系コミュニティ「Win.tech.q」代表福岡でITProば、やりようとですたい。

Active Directory、Hyper-V、Exchange、System Center その他いろいろの提案・設計・構築・サポートまでなんでも。

大手、地場インテグレーターさんの後方支援など。 Microsoft MVP(Directory Services) MCT、MCSE、MCITPとかいろいろ。「標準テキスト Windows Server 2008 R2 構築・運用・管理パー

フェクトガイド」という本ば書きました。御礼・2012年10月に第8版発売、通算15000部発行

次へ

3

アジェンダ

DirectAccessってなんね？ DirectAccessの新機能 DirectAccessのセットアップ DirectAccessの利用 DirectAccessの管理まとめ

次へ

4

おことわり

12/8（土）に日本マイクロソフト本社で開催された「 Windows Server 2012 Community Day 」の資料のダイジェスト版やけん。

Windows Server 2012 と Windows 8 を組み合わせたDirectAccess構成ば中心に話すけん。（クライアントが Windows 7 のときは少し事情が異なるったい）

次へ

5

DirectAccessってなんね？

• インターネット接続を使って社内ネットワークに安全にアクセスする仕組みげな。 • IPv6とIPsecをベースとしたテクノロジーばい。 • DirectAccessによってネットワークを社外にまで「拡張」することができるったい。 • Windows Server 2008 R2 / Windows 7で実装されたと。 • 社内にいても、社外にいても、同様に社内リソースにアクセスして仕事ができるげな（涙）。

DirectAccess クライアント

DirectAccess サーバー

ドメインコントローラー

各種社内サーバー

IPv6 + IPsecテクノロジー

次へ

6

VPNとどげん違うとね？

DirectAccessはVPN（カソウプライベートネットワーク）と用途や目的は似とっちゃけど、次のような違いがあるったい • クライアントの設定が簡単。（グループポリシーベースの設定）

• インターネットに接続するだけで、自動で社内ネットワークに接続。（ログオンしていない状態でも接続できるったい、これが）

• なんらやかんやらいろんな方法で接続しようとするったい。（PPTP/L2TPのような「出張先のホテルから繋がらなかった」ということがなくなるったい）

次へ

7

これまでのDirectAccessはどげんやったと？

Windows Server 2008 R2 から実装されたDirectAccessやけど、次のようにいろいろと敷居が高かったたい。。。 • 展開が難しかった。。。

（IPv6やPKIとか、いろいろと難しいテクノロジーを理解しないと展開困難）

• パブリックなIPv4アドレスが2つも必要だった。。。（Teredoのため）

• 社内のIPv4機器にアクセスするには追加のシステムが必要だった。。。 • 他にもいろいろな制約あり。。。

（配置に制約がある、RRASと共存できないなど、いろいろな仕様的な制約。。。）

次へ

8

DirectAccessの新機能ば教えちゃってん

Windows Server 2012 の DirectAccess にはたくさんの新機能が実装されたったい！ • 展開が容易になった！（難しいことを理解しなくても展開可能！PKIは必須ではなくなった！）

• パブリックIPv4アドレスの要件が緩和！配置も柔軟に！！ • 社内のIPv4デバイスにアクセスできるようになった！ • 他にもいろいろな新機能あり！

次へ

9

ほかにどげな新機能があると？

負荷分散をサポート（NLBなど）複数のドメインをサポートマルチサイトをサポート強制トンネリングの自動サポート外部管理をサポート（Manage-Out） NAP（IPsec強制）と統合 Server Coreのサポート Windows PowerShellのサポートなどなど

次へ

10

展開が容易になったばい！

「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡単にDirectAccessの展開ができるようになったっちゃが。

DirectAccessサーバーの自己署名証明書が多用されるよ。グループポリシーによって自動配布されるげな。

次へ

11

柔軟な配置が可能になったげな！

パブリックIPv4アドレスの要件が緩和されたばい。（パブリックなIPv6なし、非・固定IPv4環境でも展開可能）

DirectAccessサーバーをさまざまな構成で配置できるようになったばい。（NATデバイスの背後に配置する、NICを1枚のみで構成する、など3種類）

「作業の開始ウィザード」の中でどの構成かを指定するとげな。

次へ

12

DirectAccessサーバーの構成例1

2枚のNICを持つDirectAccessサーバーを「エッジ」に配置する構成です。「作業の開始ウィザード」では「エッジ」と呼びよったい。 Windows Server 2008 R2 ではこの構成しかできませんでした。


社内サーバー

NIC NIC

ここにパブリックIP を設定

次へ

13


2枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデバイス（エッジデバイス）の背後に配置する構成げな。

「作業の開始ウィザード」では「エッジデバイスの背後（ネットワークアダプター2つ）」と呼ぶげな。

ここにパブリックIP を設定して、NATでDirectAccessサーバーを公開。


社内サーバー

NIC NIC

次へ

14


1枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデバイス（エッジデバイス）の背後に配置する構成たい。

「作業の開始ウィザード」では「エッジデバイスの背後（ネットワークアダプター1つ）」と呼ぶったい。

ここにパブリックIP を設定して、NATでDirectAccessサーバーを公開。


社内サーバー

NIC

次へ

15

DirectAccessのシステム要件1

DirectAccessサーバーの要件 • Active Directory に参加していること。 • IPv6およびIPv6移行テクノロジーが有効であること。 • IPヘルパーサービスが起動していること。 • Windowsファイアウォールが動作していること。 • ネットワークが「ドメイン」プロファイルであること。 • Hyper-V仮想マシンでも大丈夫。もちろん、 Windows Server 2012 であること！

次へ

16


Active Directoryに関する要件 • IPv6が有効な次のOSによるドメインコントローラーであること。

Windows Server 2012 Windows Server 2008 R2 Windows Server 2008

• ドメインの機能レベルとフォレストの機能レベルは問いません。

DNSサーバーに関する要件 • 次のOSによるDNSサーバーであること。

Windows Server 2012 Windows Server 2008 R2 Windows Server 2008

次へ

17


DirectAccessクライアントの要件 • Active Directoryに参加していること。 • 次のいずれかのOS、エディションであること。

Windows 8 Enterprise Windows 7 Enterprise/Ultimate Windows Server 2012 Windows Server 2008 R2

これら以外のOS、エディションからも接続する必要があれば、DirectAccessサーバーにRRASもセットアップして、VPNもアクセス可能にしたらよかっちゃない？。

Windows 7 などをサポートするには「作業の開始ウィザード」だけでは展開できけん注意して！！

次へ

18

DirectAccessの簡単セットアップ

システム要件を満たした環境ば用意してね。パブリックIPアドレスば用意してね。 DirectAccessサーバーにDNS名でアクセスできる環境ば推奨するけん。

「DirectAccessおよびVPN（RAS）」の役割サービスを追加してん。「リモートアクセス管理」コンソールを起動して、「作業の開始ウィザード」を実行してん。

必要に応じて追加設定を行って終わりげな。

次へ

DirectAccessのセットアップ

DEMO （紙芝居）

20

すでにActive Directoryドメインに参加しているサーバーに、DirectAccessサーバーをセットアップしとったい。

DirectAccessサーバーのNICは1枚のみげな。インターネットからはファイアウォールのNATでアクセスできるようにしとおけん。インターネット上のDNSサーバーに、DirectAccessサーバーのパブリック名（DNS名）を登

録済みやけん。

（デモ環境の詳細は次のスライドで）

DEMOの説明

次へ

インターネット

21

社内ネットワーク

InternetServer DNSサーバー Webサーバー

203.0.113.1/24

DC01 Windows Server 2012 ドメインコントローラー DNSサーバー DHCPサーバー 10.0.0.1/24, IPv6有効

NATルーター DHCPサーバー

Ext:203.0.113.200/24 Int:192.168.0.254/24

WIN8-01 Windows 8 Enterprise DHCPクライアント

DA01 Windows Server 2012 DirectAccessサーバー 10.0.0.2/24,IPv6有効

家庭内ネットワーク

ファイアウォール Ext:203.0.113.100/24

Int:10.0.0.254/24 DirectAccessサーバーを「203.0.113.2」で公開ドメイン名

Active Directory ： contoso.local 社外ドメイン： contoso.com

デモをご覧ください

次へ

22

DirectAccessサーバー

23


24


25


26


27


28


29


30


31


32


33


34


35


36


37


38


39


40


41


42


43


44


45


46


47


48


49

DNSサーバー

50


51


52


53


54


55


56


57


58


59

「作業の開始ウィザード」だけではできないこと

「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡単にDirectAccessの展開ができるようになったっちゃけど。。。

次のような構成のときは追加設定（PKI環境構築など）が必要やけん。 Windows 7クライアントをサポートする強制トンネリングを行う NAPと統合する 2要素認証を行う（スマートカードやOTP/ワンタイムパスワードの利用時）

その他

次へ

60

DirectAccessの使い方はどげんなっとおとね？

Active Directoryに参加しているクライアントPCは、自動的にDirectAccessクライアントの設定がされるとですたい。

社外からインターネット接続すると、自動的にDirectAccessによって社内ネットワークに接続することができるけん。

次へ

61

DirectAccessを介したクライアントPCの管理

管理者は、ユーザーのクライアントPCが社内にあるか、DirectAccessによってインターネット経由で接続しているかを意識することなく、管理を行うことができるけん。（ユーザーがPCにログオンしている必要もないけん。）

次へ

DirectAccessクライアントの利用と管理

DEMO （紙芝居）

63

Active Directoryドメインに参加している Windows 8 Enterprise クライアントPCば、社外（家庭内ネットワーク）に持ち出してみるけん。

ユーザーは特別な操作をすることなく、社外からDirectAccessで社内ネットワークにアクセスできることを見ちゃってん。

管理者は、ユーザーが社外にいることを意識することなく、クライアントPCの管理操作ができることも見ちゃってん。

DEMOの説明

デモをご覧ください

次へ

64

DirectAccessクライアント

社内ネットワーク接続時インターネット経由で DirectAccessで接続！

⇒

65


66


67

DirectAccessクライアント・IPCONFIGによるインターフェイスの状態確認

社内ネットワーク接続時 DirectAccess接続時

⇒

Windows IP 構成イーサネットアダプターイーサネット: 接続固有の DNS サフィックス . . . . .: contoso.local リンクローカル IPv6 アドレス. . . . .: fe80::b0dd:1605:3462:32d0%13 IPv4 アドレス . . . . . . . . . . . .: 10.0.0.154 サブネットマスク . . . . . . . . . .: 255.255.255.0 デフォルトゲートウェイ . . . . . . .: 10.0.0.254 Tunnel adapter ローカルエリア接続* 11: メディアの状態. . . . . . . . . . . .: メディアは接続されていません接続固有の DNS サフィックス . . . . .: Tunnel adapter isatap.contoso.local: メディアの状態. . . . . . . . . . . .: メディアは接続されていません接続固有の DNS サフィックス . . . . .: contoso.local Tunnel adapter iphttpsinterface: メディアの状態. . . . . . . . . . . .: メディアは接続されていません接続固有の DNS サフィックス . . . . .:

Windows IP 構成イーサネットアダプターイーサネット: 接続固有の DNS サフィックス . . . . .: リンクローカル IPv6 アドレス. . . . .: fe80::b0dd:1605:3462:32d0%13 IPv4 アドレス . . . . . . . . . . . .: 192.168.0.19 サブネットマスク . . . . . . . . . .: 255.255.255.0 デフォルトゲートウェイ . . . . . . .: 192.168.0.254 Tunnel adapter isatap.{BAB6C200-0A52-4AE4-BA87-C935653C81CF}: メディアの状態. . . . . . . . . . . .: メディアは接続されていません接続固有の DNS サフィックス . . . . .: Tunnel adapter ローカルエリア接続* 11: メディアの状態. . . . . . . . . . . .: メディアは接続されていません接続固有の DNS サフィックス . . . . .: Tunnel adapter iphttpsinterface: 接続固有の DNS サフィックス . . . . .: IPv6 アドレス . . . . . . . . . . . .: fd72:c435:5cf8:1000:b838:1cbb:629e:a7ae 一時 IPv6 アドレス. . . . . . . . . .: fd72:c435:5cf8:1000:9169:b910:894d:be29 リンクローカル IPv6 アドレス. . . . .: fe80::b838:1cbb:629e:a7ae%22 デフォルトゲートウェイ . . . . . . .:

68

DNSサーバー

69

DirectAccessクライアントから社内のファイルサーバーへアクセス

70

DirectAccessクライアントから社内サーバーへリモートデスクトップアクセス

71

社内からDirectAccessクライアントへリモートデスクトップアクセス

72

まとめ

DirectAccessは敷居が一気に下がって、展開が本当に簡単になったのがわかったちゃない？いいやろ？

要件を満たす環境であれば、使わんと損やなか？ DirectAccessクライアントとなっているコンピューターの盗難、紛失対策として、ぜひBitLockerで暗号化するなどの対処をせんといかんよ！

次へ

Direct accessったい 121222

Technology

Transcript of Direct accessったい 121222