テスト ラボ ガイド: Forefront UAG 2010 SP1 DirectAccess 強制トンネリングのデモンストレーション

Microsoft Corporation発行: 2010 年 10 月

要約

DirectAccess は、Windows® 7 と Windows Server® 2008 R2 オペレーティング システムの新機能で、リモート ユーザーが、仮想プライベート ネットワーク (VPN) に接続することなく、セキュリティ保護された形でイントラネットの共有フォルダー、Web サイト、およびアプリケーションにアクセスできるようにします。Forefront UAG SP1 DirectAccess は、可用性やスケーラビリティを向上させ、展開や継続的な管理を容易にすることで、Windows DirectAccess の利点をインフラストラクチャ全体に拡張します。このホワイト ペーパーでは、DirectAccess の概要、および UAG SP1 DirectAccess のデモンストレーションのテスト ラボ ガイドを拡張し、UAG SP1 DirectAccess 強制トンネリングのデモを行うための詳細な手順を紹介します。

著作権情報

このドキュメントに記載された内容は情報提供のみを目的としており、明示または黙示に関わらず、これらの情報についてマイクロソフトはいかなる責任も負わないものとします。このドキュメントに記載されている情報 (URL 等のインターネット Web サイトに関する情報を含む) は、将来予告なしに変更することがあります。お客様がこのドキュメントを運用した結果の影響については、お客様が負うものとします。別途記載されていない場合、このソフトウェアおよび関連するドキュメントで使用している会社、組織、製品、ドメイン名、電子メール アドレス、ロゴ、人物、場所、出来事などの名称は架空のものです。実在する商品名、団体名、個人名などとは一切関係ありません。お客様ご自身の責任において、適用されるすべての著作権関連法規に従ったご使用を願います。このドキュメントのいかなる部分も、米国 Microsoft Corporation の書面による許諾を受けることなく、その目的を問わず、どのような形態であっても、複製または譲渡することは禁じられています。ここでいう形態とは、複写や記録など、電子的な、または物理的なすべての手段を含みます。ただしこれは、著作権法上のお客様の権利を制限するものではありません。

マイクロソフトは、このドキュメントに記載されている内容に関し、特許、特許申請、商標、著作権、またはその他の知的財産権を有する場合があります。別途マイクロソフトのライセンス契約上に明示の規定のない限り、このドキュメントはこれらの特許、商標、著作権、またはその他の知的財産権に関する権利をお客様に許諾するものではありません。

© 2010 Microsoft Corporation. All rights reserved.

作成者: Thomas W Shinder (tomsh@microsoft.com)

最終更新日: 2010 年 10 月 29 日

Microsoft、Windows、Active Directory、Internet Explorer、および Windows Server は、米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です。

その他、記載されている会社名、製品名には、各社の商標のものもあります。

目次

はじめに1

このガイドについて2

テスト ラボ シナリオの概要3

構成コンポーネントの要件6

テスト ラボの構成手順6

手順 1: UAG SP1 DirectAccess のテスト ラボ ガイドを完了する8

手順 2: インターネット アクセスについて INET1 を構成する8

A.INET1 上に 2 番目のネットワーク アダプターを追加して構成する9

B.INET1 にルーティングとリモート アクセス サービスをインストールする9

C.NAT サーバーとして INET1 を構成する10

手順 3: TMG1 をインストールして構成する10

A.TMG1 にオペレーティング システムをインストールする11

B.TMG1 上で TCP/IP プロパティを構成する11

C.TMG1 の名前を変更し、TMG1 を CORP ドメインに参加させる12

D.Forefront Threat Management Gateway (TMG) 2010 Standard Edition をインストールする13

E.インターネット アクセスについて TMG ファイアウォールを構成する14

手順 4: UAG1 および DC1 上の既定のゲートウェイを構成する16

A.UAG1 上の既定のゲートウェイを構成する17

B.DC1 上の既定のゲートウェイを構成する17

手順 5: 強制トンネリングおよびインターネットへの Web プロキシ アクセスについて UAG1 を構成する18

手順 6: CLIENT1 を更新し、インターネットへのプロキシ アクセスをテストする19

A.CLIENT1 上のグループ ポリシーを更新する19

B.Homenet に接続されているときの CLIENT1 からのインターネット アクセスをテストする20

C.TMG1 ログ ファイルで CLIENT1 のインターネット活動を確認する21

手順 7: 強制トンネリングおよび NAT64/DNS64 インターネット アクセスについて UAG1 を構成する22

手順 8: CLIENT1 を更新し、インターネットへの NAT64/DNS64 アクセスをテストする23

D.CLIENT1 上のグループ ポリシーを更新する23

E.Homenet に接続されているときの CLIENT1 からのインターネット アクセスをテストする23

F.UAG TMG ログ ファイルで CLIENT1 のインターネット活動を確認する24

手順 9: 構成のスナップショットを作成する25

その他のリソース25

はじめに

Forefront Unified Access Gateway (UAG) 2010 SP1 DirectAccess によって、ユーザーはインターネットにアクセスできればいつでもイントラネットにシームレスに接続できるようになります。DirectAccess を有効にすると、ユーザーが VPN に接続しなくても、イントラネット リソース (電子メール サーバー、共有フォルダー、イントラネット Web サイトなど) に対する要求がセキュリティ保護された形でイントラネットに送信されます。DirectAccess は、オフィスの内外を問わず同様の接続性を実現することによって、モバイル ワーカーの生産性を高めます。Forefront UAG SP1 DirectAccess は、可用性やスケーラビリティを向上させ、展開や継続的な管理を容易にすることで、Windows DirectAccess の利点をインフラストラクチャ全体に拡張します。詳細については、『Overview of Forefront UAG DirectAccess』を参照してください。

UAG 2010 SP1 DirectAccess は、IT 管理者に次のようなさまざまな利点をもたらします。

· リモート ユーザーの管理性の向上。DirectAccess を使用しない場合、IT 管理者がモバイル コンピューターを管理できるのは、ユーザーが VPN に接続しているときか物理的にオフィスにいるときだけです。一方、DirectAccess を使用すると、ユーザーがログオンしていなくても、モバイル コンピューターがインターネットに接続されていればいつでも、IT 管理者は、グループ ポリシー設定を更新し、ソフトウェア更新プログラムを配布することで、モバイル コンピューターを管理できるようになります。この柔軟性によって、IT 管理者は、リモート コンピューターを日常的に管理し、セキュリティとシステムの正常性ポリシーを使用してモバイル ユーザーが常に最新の状態にあることを保証することが可能です。

· セキュリティで保護された柔軟なネットワーク インフラストラクチャ。DirectAccess は、IPv6 (Internet Protocol version 6) や IPsec (インターネット プロトコル セキュリティ) などのテクノロジを利用して、セキュリティで保護された柔軟なネットワーク インフラストラクチャを企業に提供します。次に、DirectAccess のセキュリティとパフォーマンスに関する機能の一覧を示します。

認証。DirectAccess では、コンピューターを認証することによって、ユーザーがログオンする前にコンピューターがイントラネットに接続できるようになります。また、ユーザーも認証できます。スマート カードを使用した 2 要素認証をサポートします。

暗号化。DirectAccess では、IPsec を使用してインターネット全体で通信の暗号化が行われます。

IPv4 専用イントラネット リソースへのアクセス。UAG SP1 DirectAccess は、IPv6/IPv4 プロトコル移行テクノロジである NAT64/DNS64 を使用して Windows DirectAccess の利点を拡張し、DirectAccess クライアントがイントラネット上の IPv4 専用リソースに接続できるようにします。

· 高可用性およびアレイ構成。UAG DirectAccess は、ネットワーク負荷分散とアレイ構成の統合サポートを追加することによって、Windows DirectAccess の利点を拡張します。これらは連携して機能し、可用性の高い DirectAccess 展開を可能にします。

· IT の簡素化とコストの削減。既定では、DirectAccess はイントラネットをインターネット トラフィックから分離します。これにより、イントラネット宛てのトラフィックのみが DirectAccess サーバーを通して送信されるので、イントラネット上の不要なトラフィックが減少します。また必要に応じて、IT 部門は、DirectAccess サーバーを通してすべてのトラフィックが送信されるように DirectAccess クライアントを構成することもできます。これを、強制トンネリングと呼びます。

次の図は、インターネット上の DirectAccess クライアントを示しています。

このガイドについて

このホワイト ペーパーでは、サーバー コンピューター 6 台とクライアント コンピューター 2 台を使用して、UAG SP1 DirectAccess の構成とデモを行うための手順を紹介します。出発点として、このホワイト ペーパーでは、UAG SP1 DirectAccess のデモンストレーションのテスト ラボ ガイドに基づいたテスト ラボを使用します。結果として得られる DirectAccess テスト ラボでは、DirectAccess 強制トンネリングを有効にした場合のイントラネット、インターネット、およびホーム ネットワークをシミュレートして、さまざまなインターネット接続シナリオで DirectAccess 機能のデモを行います。

強制トンネリングは、イントラネットとインターネット双方のすべてのトラフィックが UAG DirectAccess サーバーを通るようにする場合に使用します。UAG DirectAccess の既定の設定は、分割トンネリングです。強制トンネリングが有効になっている場合は、すべてのトラフィックが DirectAccess トンネルを通過します。DirectAccess クライアントからインターネットに接続するには、クライアントを、Web プロキシ サーバーを使用するように構成するか、UAG DirectAccess サーバー上の NAT64/DNS64 サービスを使用してインターネットへの接続をルーティングするように (インターネットへの接続を UAG DirectAccess サーバーに "バウンスする" とも言います) 構成する必要があります。このガイドでは、強制トンネリングを有効化した DirectAccess クライアントに対して双方のインターネット アクセス方式の使用方法をデモするための詳細な手順について説明します。

重要:

ここでは、最小台数のコンピューターを使用してテスト ラボを構成する手順を紹介します。各コンピューターは、ネットワークで提供するサービスを分離し、必要な機能を明確に示すために使用します。この構成は、ベスト プラクティスに沿ったものではなく、運用ネットワークでの望ましい構成/推奨構成を反映したものでもありません。IP アドレスの割り当てやその他の構成パラメータなどを含め、本ガイドは分離されたテスト ラボ用ネットワークで動作させることのみを目的として記載しています。運用ネットワーク用の DirectAccess を Forefront UAG と組み合わせた構成の計画と展開の詳細については、『Forefront UAG DirectAccess planning guide』および『Forefront UAG DirectAccess deployment guide』を参照してください。

テスト ラボ シナリオの概要

このテスト ラボ シナリオでは、Forefront UAG DirectAccess の展開に次のコンポーネントを各 1 台使用します。

· Windows Server 2008 R2 Enterprise Edition を実行し、イントラネットのドメイン コントローラー、ドメイン ネーム システム (DNS) サーバー、動的ホスト構成プロトコル (DHCP) サーバー、およびエンタープライズ ルート証明機関 (CA) として構成されたコンピューター (DC1)

· Windows Server 2008 R2 Enterprise Edition を実行し、Forefront UAG SP1 DirectAccess サーバーとして構成されたイントラネット メンバー サーバー (UAG1)

· Windows Server 2008 R2 Enterprise Edition を実行し、汎用的なアプリケーション サーバーおよびネットワーク ロケーション サーバーとして構成されたイントラネット メンバー サーバー (APP1)

· Windows Server 2003 Enterprise Edition SP2 を実行し、IPv4 専用 Web サーバーおよびファイル サーバーとして構成されたイントラネット メンバー サーバー (APP3)。このサーバーは、NAT64/DNS64 の機能を明らかにするために使用します。

· Windows Server 2008 R2 Enterprise Edition を実行し、DirectAccess クライアントの Web プロキシ サーバーとして構成されたイントラネット メンバー サーバー (TMG1)。Threat Management Gateway 2010 が TMG1 上にインストールされ、Web プロキシ サービスを提供するようになります。

· Windows Server 2008 R2 Enterprise Edition を実行し、インターネット DNS および DHCP サーバーとして構成されたスタンドアロン サーバー (INET1)。INET1 は、実際の インターネットへのアクセスも提供するように構成されます。

· Windows 7 を実行し、インターネット接続の共有 (ICS) を使用して、ネットワーク アドレス変換 (NAT) デバイスとして構成されたスタンドアロン クライアント コンピューター (NAT1)

· Windows 7 Ultimate Edition を実行し、DirectAccess クライアントとして構成されたローミング メンバー クライアント コンピューター (CLIENT1)

テスト ラボは 4 つのサブネットで構成され、各サブネットでは次のネットワークをシミュレートします。

· NAT1 で Internet サブネットに接続している Homenet (192.168.137.0/24) という名前のホーム ネットワーク

· Internet サブネット (131.107.0.0/24)

· Forefront UAG DirectAccess サーバーによって Internet サブネットから分離されている Corpnet (10.0.0.0/24) という名前のイントラネット サブネット

· 実際のインターネットへのパスを提供する “ライブ” ネットワーク接続。INET1 は、Internet サブネットおよび “ライブ” ネットワーク接続に接続され、CLIENT1 が DirectAccess クライアントとして動作している場合の実際のインターネット アクセスをテストできます。

各サブネットのコンピューターは、次の図のように物理または仮想のハブやスイッチを使用して接続します。

このガイドでは、新しい UAG SP1 強制トンネリング構成機能をテストできるテスト ラボを構築する詳細な手順について説明します。強制トンネリングによって、DirectAccess クライアントは、イントラネット接続とインターネット接続などすべての種類の通信に、常に DirectAccess トンネルを使用するように強制されます。強制トンネリングを使用するように DirectAccess クライアントを構成し、下記の2 つのインターネット アクセス方式のうちの 1 つを有効にすることができます。

方式は、次のとおりです。

· Web プロキシ: インターネット上の強制トンネリング DirectAccess クライアントを、イントラネット上の Web プロキシを使用してインターネット アクセスするように構成できます。Web プロキシ オプションを使用すると、DirectAccess クライアントがインターネット リソースに接続する際、Web プロキシでサポートされているプロトコルのみが使用可能になります。通常は HTTP か HTTPS です。

· UAG NAT64/DNS64: 強制トンネリング DirectAccess クライアントからインターネットへのアクセスに、Web プロキシによってサポートされていないプロトコルを使用する必要がある場合は、UAG サーバーの NAT64/DNS64 サービスを使用して UAG サーバー経由のインターネットへの接続をルーティングするように DirectAccess クライアントを構成できます。サイト アクセスを制御し、マルウェア フィルタリングを実行する場合は、UAG DirectAccess サーバーの前に Web プロキシまたは他の Web コンテンツ フィルタリング デバイスを配置できます。

DirectAccess クライアントの既定の構成は、分割トンネリングであることに注意してください。分割トンネリングが有効になっている場合は、イントラネットへの接続は DirectAccess IPsec トンネルを通して転送され、インターネットへの接続はクライアントの既存のインターネット接続を通して行われます。強制トンネリングは、既定の構成とは異なります。

構成コンポーネントの要件

テスト ラボで Forefront UAG DirectAccess を構成するために必要なコンポーネントは次のとおりです。

· Windows Server 2008 R2 Enterprise Edition の製品ディスクまたはファイル(Forefront UAG をインストールするサーバーの OS は英語版が必要になります)

· Windows Server 2003 Enterprise SP2 の製品ディスクまたはファイル

· Windows 7 Ultimate の製品ディスクまたはファイル

· Windows Server 2008 R2 Enterprise の最小ハードウェア要件を満たしている 5 台のコンピューターまたは仮想マシン (このうちの 3 台には 2 枚のネットワーク アダプターが搭載されている必要があります (UAG1、TMG1、INET1)）。

· Windows Server 2003 SP2 の最小ハードウェア要件を満たしている 1 台のコンピューターまたは仮想マシン

· Windows 7 Ultimate の最小ハードウェア要件を満たしている 2 台のコンピューターまたは仮想マシン (このうちの 1 台には 2 枚のネットワーク アダプターが搭載されている必要があります) (NAT1)

· Microsoft Forefront Unified Access Gateway (UAG) SP1 の製品ディスクまたはダウンロード (.iso) バージョン

· Microsoft Forefront Threat Management Gateway 2010 Standard Edition の製品ディスクまたはダウンロード (.iso) バージョン

テスト ラボの構成手順

次の手順では、テスト ラボでサーバーやクライアント コンピューターを構成する方法と、Forefront UAG DirectAccess サーバーを構成する方法について説明します。それらの構成が完了したら、Internet サブネットおよび Homenet サブネットからの DirectAccess の接続を検証し、強制トンネリング DirectAccess クライアントからインターネットへの、双方のインターネット アクセス モデル (Web プロキシと NAT64/DNS64) を使用した接続方法を確認することができます。

注意:

このガイドに記載されている作業を完了するには、Domain Admins グループのメンバーまたは各コンピューターの Administrators グループのメンバーとしてログオンする必要があります。Administrators グループのメンバー アカウントを使用してログオンしても作業を完了できない場合は、Domain Admins グループのメンバー アカウントを使用してログオンして作業を行ってください。

· 手順 1: UAG SP1 DirectAccess のテスト ラボ ガイドを完了する。「UAG SP1 テスト ラボ ガイド」では、DirectAccess ソリューションの確認環境を作成する詳細な手順を説明しています。本ガイドの手順は、UAG SP1 テスト ラボ ガイドによる基本構成が完了している事を前提に作成されています。

· 手順 2: インターネット アクセスについて INET1 を構成する。INET1 は手順1が完了した段階では、Internet サブネットに接続されている 1 つのネットワーク アダプターで構成されています。この手順では、2 番目のネットワーク アダプターを追加し、そのアダプターを実際のインターネットへのパスを提供する "ライブ" ネットワークに接続します。その後、INET1 に RRAS をインストールして構成し、UAG1 と TMG1 からのライブ インターネット接続用の NAT ルーターとして動作するようにします。

· 手順 3: TMG1 をインストールして構成する。DirectAccess クライアントに対して強制トンネリングが有効になっている場合、DirectAccess クライアントに Web プロキシ サーバー経由でのインターネット アクセスを提供できます。この手順では、TMG1 にオペレーティング システムをインストールし、TMG1 が Web プロキシ サービスを CLIENT1 に提供できるように TMG1 に Forefront Threat Management Gateway 2010 をインストールします。

· 手順 4: UAG1 および DC1 上の既定のゲートウェイを構成する。UAG1 では、インターネットへのパスが必要です。この手順では、そのパスを提供する既定のゲートウェイとして INET1 を使用するように UAG1 を構成します。DC1 では、インターネット名前解決を提供するインターネットへのパスが必要です。この手順では、そのパスを提供する既定のゲートウェイとして TMG1 を使用するように DC1 を構成します。

· 手順 5: 強制トンネリングおよびインターネットへの Web プロキシ アクセスについて UAG1 を構成する。この手順では、DirectAccess クライアント強制トンネリングを必要とするように UAG1 を構成し、DirectAccess クライアントが TMG1 上の TMG Web プロキシを経由してインターネット アクセスできるようにします。

· 手順 6: CLIENT1 を更新し、インターネットへのプロキシ アクセスをテストする。この手順では、CLIENT1 上のグループ ポリシー構成を更新し、TMG1 上の Web プロキシを経由してインターネットに接続できることをテストします。

· 手順 7: 強制トンネリングおよび NAT64/DNS64 インターネット アクセスについて UAG1 を構成する。この手順では、DirectAccess クライアント強制トンネリングを必要とするように UAG1 を構成し、DirectAccess クライアントが UAG NAT64/DNS64 機能を利用して UAG1 経由でインターネットにアクセスできるようにします。

· 手順 8: CLIENT1 を更新し、インターネットへの NAT64/DNS64 アクセスをテストする。この手順では、CLIENT1 上のグループ ポリシー構成を更新し、UAG1 上の NAT64/DNS64 サービスを経由してインターネットに接続できることをテストします。

· 手順 9: 構成のスナップショットを作成する。ラボが完了したら、構成のスナップショットを作成します。これにより、後で UAG DirectAccess の作業用テスト ラボに戻ることができます。

注意

以下の手順には、先頭にアスタリスク (*) が付いているものがあります。* が付いている手順では、直前の手順の実行に使用していたコンピューターまたは仮想マシンとは異なるコンピューターまたは仮想マシンに移動する必要があります。

手順 1: UAG SP1 DirectAccess のテスト ラボ ガイドを完了する

このテスト ラボ ガイドでは、出発点として UAG SP1 DirectAccess のテスト ラボ ガイドを使用します。このガイドの残りの手順に進む前に UAG SP1 DirectAccess のデモンストレーションのテスト ラボ ガイドの手順を完了してください。UAG SP1 DirectAccess のテスト ラボ ガイドの手順を既に完了し、作業用 DirectAccess 構成のディスク イメージまたは仮想マシン スナップショットの保存が済んでいる場合は、その構成を復元して、次の手順に進むことができます。

手順 2: インターネット アクセスについて INET1 を構成する

強制トンネリング DirectAccess クライアントのインターネットへのアクセス機能をデモするには、実際の インターネットへのゲートウェイが必要です。基本構成を完了した時点では、 Corpnet サブネット、Internet サブネット、および Homenet サブネットのみで、”ライブ” ネットワークへの接続はありません。DirectAccess クライアントとして動作する CLIENT1 に実際のインターネット アクセスを提供するには、UAG1 および TMG1 がインターネット接続に使用できるインターネット ゲートウェイを提供する必要があります。INET1 がこのインターネット ゲートウェイになります。

INET1 を構成するには、次の操作を実行します。

A. INET1 上に 2 番目のネットワーク アダプターを追加して構成する。INET1 は現在 Internet サブネットのみに接続されています。最初に、2 番目のネットワーク アダプターを INET1 に追加し、そのアダプターをインターネットへのアクセスを提供する "ライブ" ネットワークに接続します。

B. ルーティングとリモート アクセス サービスをインストールする。この手順では、INET1 にルーティングとリモート アクセス サービスをインストールし、UAG1 および TMG1 に対して NAT ベースのインターネット アクセスを提供できるようにします。

C. NAT サーバーとして INET1 を構成する。この手順では、ルーティングとリモート アクセス サービスを構成し、INET1 が NAT サーバーとして動作できるようにします。

A. INET1 上に 2 番目のネットワーク アダプターを追加して構成する

最初に、INET1 上に 2 番目のネットワーク アダプターをインストールします。このアダプターは、ライブ ネットワークに接続され、既存インターネット ゲートウェイを経由してインターネットに接続できるように IP アドレス指定情報が割り当てられている必要があります。ライブ ネットワークが DHCP によりIPアドレス指定情報を提供するよう構成されている場合は、DHCP を使用するようこの 2 番目のネットワーク アダプターを構成できます。DHCPによるり自動的な IP アドレス指定情報が提供されていない場合は、2 番目のアダプター上で手動で IP アドレス指定情報を構成し、INET1 にインターネット アクセスを提供する必要があります。どちらの場合も、INET1 からのインターネット接続をテストできるように、 IP アドレス指定情報に、インターネット ホスト名を解決できる DNS サーバーが含まれていることを確認してください。

2 番目のアダプターをインストールして構成した後、INET1 上でインターネット接続をテストします。インターネット接続をテストするには、INET1 上でコマンド プロンプトを開き、「ping www.arin.net」と入力して Enter キーを押します。ping 要求に対して 4 つの応答を受信したことを確認します。その後、コマンド プロンプト ウィンドウを閉じることができます。

B. INET1 にルーティングとリモート アクセス サービスをインストールする

INET1 への 2 番目のネットワーク アダプターのインストールが完了し、ルーティングとリモート アクセス サービスをインストールする準備が整いました。INET1 にルーティングとリモート アクセス サービスをインストールするには、次の手順を実行します。

1. INET1 コンピューターまたは仮想マシンに管理者としてログオンします。[サーバー マネージャー] を開きます (自動的に開かない場合)。[サーバー マネージャー] コンソールの左側のウィンドウで、[役割] をクリックします。コンソールの右側のウィンドウで、[役割の追加] をクリックします。

2. [開始する前に] ページで、[次へ] をクリックします。

3. [サーバーの役割の選択] ページで、[ネットワーク ポリシーとアクセス サービス] を選択して、[次へ] をクリックします。

4. [ネットワーク ポリシーとアクセス サービス] ページで、[次へ] をクリックします。

5. [役割サービス] ページで、[ルーティングとリモート アクセス サービス] を選択して、[次へ] をクリックします。

6. [確認] ページで、[インストール] をクリックします。

7. [結果] ページで、[閉じる] をクリックします。

C. NAT サーバーとして INET1 を構成する

これで、NAT サーバーとして INET1 を構成する準備が整いました。NAT サーバーとして INET1 を構成するには、次の手順を実行します。

1. INET1 で、[スタート] ボタンをクリックし、[管理ツール] をポイントして [ルーティングとリモート アクセス] をクリックします。

2. [ルーティングとリモート アクセス] コンソールの左側のウィンドウで、[INET1] を右クリックし、[ルーティングとリモート アクセスの構成と有効化] をクリックします。

3. [ルーティングとリモート アクセス サーバーのセットアップ ウィザードの開始] ページで、[次へ] をクリックします。

4. [構成] ページで、[ネットワーク アドレス変換 (NAT)] オプションを選択して、[次へ] をクリックします。

5. [NAT インターネット接続] ページで、[インターネットへの接続にパブリック インターフェイスを使用する] が選択されていることを確認します。[ネットワーク インターフェイス] リストから、ライブ ネットワークに接続しているインターフェイスを表すアダプターを選択します。[次へ] をクリックします。

6. [ルーティングとリモート アクセス サーバーのセットアップ ウィザードの完了] で、[完了] をクリックします。

7. [ルーティングとリモート アクセス] コンソールを閉じます。

手順 3: TMG1 をインストールして構成する

DirectAccess クライアントに対して強制トンネリングが有効になっている場合、分割トンネリングが無効になっているため、DirectAccess クライアントはインターネットに直接アクセスできません。強制トンネリングが有効になっている場合、DirectAccess クライアントにインターネット アクセスを提供する方法は 2 つあります。Web プロキシ デバイス経由のインターネット アクセスと、UAG DirectAccess サーバーの NAT64/DNS64 サービス経由のインターネット アクセスです。Web プロキシ経由のインターネット アクセスが有効になっている場合は、HTTP および HTTPS インターネット アクセスのみが有効です。

ここでは、次の手順を実行します。

A. TMG1 にオペレーティング システムをインストールする。TMG1 は、このテスト ラボ ガイドで新たに使用するコンピューターです。ここでは、TMG1 コンピューターまたは仮想マシンにオペレーティング システムをインストールすることから始める必要があります。TMG1 には、オペレーティング システムをインストールする前に 2 つのネットワーク アダプターが搭載されている必要があります。

B. TMG1 上で TCP/IP プロパティを構成する。オペレーティング システムのインストールが完了したら、次に、TMG1 の内部/外部インターフェイスの IP アドレス設定を構成します。

C. TMG1 の名前を変更し、TMG1 を CORP ドメインに参加させる。セキュリティのベスト プラクティスとして、TMG ファイアウォールをドメイン メンバーとして構成する必要があります。この手順では、コンピューターまたは仮想マシンの名前を TMG1 に変更し、CORP ドメインに参加させます。

D. Forefront Threat Management Gateway (TMG) 2010 Standard Edition をインストールする。オペレーティング システムをインストールして IP アドレス指定を割り当て、コンピューター名を変更してドメインに参加させたら、次に Threat Management Gateway 2010 ソフトウェアをインストールします。

E. インターネット アクセスについて TMG ファイアウォールを構成する。既定では、TMG ファイアウォールはトラフィックの通過を許可していません。この手順では、インターネット トラフィックの発信を許可するように、TMG ファイアウォールを構成します。

A. TMG1 にオペレーティング システムをインストールする

TMG1 コンピューターまたは仮想マシンにオペレーティング システムをインストールするには、次の手順を実行します。

1. Windows Server 2008 R2 のインストールを開始します。

2. 手順に従ってインストールを行います。Windows Server 2008 R2 Enterprise Edition (完全インストール) を指定し、ローカル管理者アカウントに適切なパスワードを指定します。インストール完了後、ローカル管理者アカウントを使用してログオンします。

3. TMG1 をインターネット アクセスが可能なネットワークに接続し、Windows Update を実行して、Windows Server 2008 R2 の最新の更新プログラムをインストールします。

4. 更新プログラムのインストールが完了したら、ネットワーク アダプターの 1 つを Corpnet サブネットに接続し、もう 1 つを Internet サブネットに接続します。

B. TMG1 上で TCP/IP プロパティを構成する

TMG1 にインストールされているアダプターの TCP/IP プロパティを構成するには、次の手順を実行します。

1. TMG1 コンピューターまたは仮想マシンに管理者としてログオンします。TMG1 コンピューターまたは仮想マシンで、[初期構成タスク] の [ネットワークの構成] をクリックします。

2. [ネットワーク接続] で、Corpnet サブネットに接続しているネットワーク接続を右クリックし、[名前の変更] をクリックします。

3. 「Corpnet」と入力し、Enter キーを押します。

4. [Corpnet] インターフェイスを右クリックし、[プロパティ] をクリックします。

5. [インターネット プロトコル バージョン 4 (TCP/IPv4)] をクリックし、[プロパティ] をクリックします。

6. [次の IP アドレスを使う] を選択します。[IP アドレス] に「10.0.0.10」と入力します。[サブネット マスク] に「255.255.255.0」と入力します。

7. [次の DNS サーバーのアドレスを使う] を選択します。[優先 DNS サーバー] に「10.0.0.1」と入力します。

8. [詳細設定] ボタンをクリックし、[DNS] タブをクリックします。

9. [この接続の DNS サフィックス] に「corp.contoso.com」と入力し、[OK] を 2 回クリックして [閉じる] をクリックします。

10. [ネットワーク接続] ウィンドウで、Internet サブネットに接続しているネットワーク接続を右クリックし、[名前の変更] をクリックします。

11. 「Internet」と入力し、Enter キーを押します。

12. [Internet] を右クリックし、[プロパティ] をクリックします。

13. [インターネット プロトコル バージョン 4 (TCP/IPv4)] をクリックし、[プロパティ] をクリックします。

14. [IP アドレスを自動的に取得する] が選択されていることを確認します。次に、[次の DNS サーバーのアドレスを使う] オプションを選択します。[優先 DNS サーバー] テキスト ボックスに「10.0.0.1」と入力します。[OK] をクリックし、[閉じる] をクリックします。

15. [ネットワーク接続] ウィンドウを閉じます。

C. TMG1 の名前を変更し、TMG1 を CORP ドメインに参加させる

TMG1 コンピューターまたは仮想マシンの名前を変更し、それを CORP ドメインに参加させるには、次の手順を実行します。

1. TMG1 コンピューターまたは仮想マシンで、[初期構成タスク] ウィンドウの [コンピューター名とドメインの入力] をクリックします。

2. [システムのプロパティ] ダイアログ ボックスの [コンピューター名] タブで、[変更] ボタンをクリックします。

3. [コンピューター名/ドメイン名の変更] ダイアログ ボックスの [コンピューター名] テキスト ボックスに「TMG1」と入力します。[所属するグループ] フレームで、[ドメイン] オプションを選択し、テキスト ボックスに「corp.contoso.com」と入力します。[OK] をクリックします。

4. [Windows セキュリティ] ダイアログ ボックスで、[ユーザー名] テキスト ボックスに「User1」と入力し、[パスワード] テキスト ボックスに User1 のパスワードを入力します。[OK] をクリックします。

5. corp.contoso.com ドメインに変更されたことを示す [コンピューター名/ドメイン名の変更] ダイアログ ボックスで、[OK] をクリックします。

6. コンピューターを再起動する必要があることを示す [コンピューター名/ドメイン名の変更] ダイアログ ボックスで、[OK] をクリックします。

7. コントロール パネルの [システム] ダイアログ ボックスで、[閉じる] をクリックします。

8. [Microsoft Windows] ダイアログ ボックスで、[今すぐ再起動する] をクリックします。

9. CORP\User1 としてログオンします。

D. Forefront Threat Management Gateway (TMG) 2010 Standard Edition をインストールする

TMG1 は、Web プロキシ サーバーとして動作し、強制トンネリングを有効化した DirectAccess クライアントのインターネット アクセスをサポートします。CLIENT1 に Web プロキシ サービスを提供する Threat Management Gateway (TMG) 2010 をインストールするには、次の手順を実行します。

1. TMG1 コンピューターまたは仮想マシンで、Threat Management Gateway 2010 Standard Edition DVD を DVD トレイに挿入するか、その .iso ファイルを仮想マシンの仮想 DVD ドライブにマウントします。

2. [自動再生] ダイアログ ボックスで、[Splash.hta の実行] をクリックします。

3. [Forefront Threat Management Gateway 2010 Standard] スプラッシュ ページで [準備ツールの実行] をクリックします。[ユーザーアカウント制御] ダイアログ ボックスで、[はい] をクリックします。

4. [Microsoft Forefront Threat Management Gateway (TMG)準備ツールの開始] ページで、[次へ] をクリックします。

5. [使用許諾契約書] ページで、[ライセンス条項に同意します] チェックボックスをオンにし、[次へ] をクリックします。

6. [インストールの種類] ページで、[Forefront TMG サービスと管理] オプションを選択して、[次へ] をクリックします。

7. [準備の完了] ページで、[Forefront TMG インストール ウィザードの起動] チェックボックスがオンになっていることを確認して、[完了] をクリックします。[ユーザーアカウント制御] ダイアログ ボックスで、[はい] をクリックします。

8. [Microsoft Forefront TMG Standard のインストール ウィザードの開始] ページで、[次へ] をクリックします。

9. [使用許諾契約書] ページで、[使用許諾契約書に同意します] オプションを選択し、[次へ] をクリックします。

10. [所有者情報] ページで、[次へ] をクリックします。

11. [インストール パス] ページで、[次へ] をクリックします。

12. [内部ネットワークの定義] ページで、[追加] をクリックします。[アドレス] ダイアログ ボックスで、[アダプターの追加] をクリックします。[ネットワークアダプターの選択] ダイアログ ボックスで、[Corpnet] チェックボックスをオンにして、[OK] をクリックします。[アドレス] ダイアログ ボックスで、[OK] をクリックします。

13. [内部ネットワークの定義] ページで、[内部ネットワークアドレス範囲(開始－終了)] セクションに "10.0.0.0-10.0.0.255" と表示されていることを確認します。[次へ] をクリックします。

14. [サービスの警告] ページで、[次へ] をクリックします。

15. [プログラムをインストールする準備] ページで、[インストール] をクリックします。

16. [インストール ウィザードの完了] ページで、[ウィザードの終了時に Forefront TMG の管理を起動する] チェックボックスをオンにし、[完了] をクリックします。

17. Internet Explorer が開き、[Forefront TMGコンピューターの保護] ページが表示されます。[Internet Explorer 8 へようこそ] ページで、[次へ] をクリックします。[おすすめサイトを有効にする] ページで、[いいえ、有効にしません] を選択して、[次へ] をクリックします。[設定の選択] ページで、[高速設定を選択する] を選択して、[完了] をクリックします。[Internet Explorer] ウィンドウを閉じます。

E. インターネット アクセスについて TMG ファイアウォールを構成する

既定では、TMG ファイアウォールはトラフィックを通過させません。この手順では、重要な初期構成設定を指定して TMG ファイアウォールを構成し、発信トラフィックを許可するファイアウォール ルールを作成します。ファイアウォールを構成し、ファイアウォール ルールを作成するには、次の手順を実行します。

1. [開始ウィザード] ダイアログ ボックスで、[ネットワーク設定の構成] をクリックします。

1. [ネットワーク セット ウィザードの開始] ページで、[次へ] をクリックします。

1. [ネットワーク テンプレートの選択] ページで、[エッジ ファイアウォール] が選択されていることを確認して、[次へ] をクリックします。

1. [ローカル エリア ネットワーク(LAN) の設定] ページで、[LAN に接続されているネットワークアダプター] ドロップダウン リストから [Corpnet] を選択します。[次へ] をクリックします。

1. [インターネットの設定] ページで、[インターネットに接続されているネットワークアダプター] ドロップダウン リストに [Internet] が表示されていることを確認します。[次へ] をクリックします。

1. [ネットワーク セットアップ ウィザードの完了] ページで、[完了] をクリックします。

1. [開始ウィザード] ダイアログ ボックスで、[システム設定の構成] をクリックします。

1. [システム構成ウィザードの開始] ページで、[次へ] をクリックします。

1. [ホスト ID] ページで、[次へ] をクリックします。

1. [システム構成ウィザードの完了] ページで、[完了] をクリックします。

1. [開始ウィザード] ダイアログ ボックスで、[展開オプションの定義] をクリックします。

1. [展開ウィザードの開始] ページで、[次へ] をクリックします。

1. [Microsoft Update のセットアップ] ページで、[Microsoft Update サービスを使用して更新プログラムを確認する(推奨)] オプションを選択して、[次へ] をクリックします。

1. [Forefront TMG 保護機能の設定] ページで、[次へ] をクリックします。

1. [NIS 署名の更新の設定] ページで、[次へ] をクリックします。

1. [カスタマー フィードバック] ページで、[次へ] をクリックします。

1. [Microsoft 遠隔測定レポート サービス] ページで、[詳細設定] を選択して、[次へ] をクリックします。

1. [展開ウィザードの完了] ページで、[完了] をクリックします。注意: ウィザードが停止していると思われ、数分間応答がない場合は、ウィザードを閉じてください。これにより、TMG コンソールも閉じます。[スタート] メニューから TMG コンソールを再び開くことで、ウィザードを再起動してください。[開始ウィザード] ダイアログ ボックスが再び表示されます。[展開オプションの定義] をクリックし、ウィザードを再び最初から最後まで実行します。ウィザードを完了すると、[開始ウィザード] ダイアログ ボックスが再び表示され、各手順の左側に緑色のチェックマークが表示されます。[Web アクセス ウィザードを実行する] チェックボックスをオフにして、[閉じる] をクリックします。

1. [Forefront TMG] コンソールの左側のウィンドウで、[Forefront TMG (TMG1)] を展開して、[ファイアウォール ポリシー] をクリックします。

1. コンソールの右側のウィンドウで、[タスク] タブをクリックします。[タスク] タブで [アクセス ルールの作成] をクリックします。

1. [新しいアクセスルールウィザードの開始] ページで、[アクセス ルールの名前] テキスト ボックスに「All Open」と入力します。[次へ] をクリックします。

1. [ルールの動作] ページで、[許可する] を選択して、[次へ] をクリックします。

1. [プロトコル] ページで、[このルールの適用先] ドロップダウン リストから [すべての送信トラフィック] を選択します。[次へ] をクリックします。

1. [マルウェア検査] ページで、[このルールでマルウェア検査を有効にする] を選択して、[次へ] をクリックします。

1. [アクセス ルールの送信元] ページで、[追加] をクリックします。[ネットワークエンティティの追加] ダイアログ ボックスで、[ネットワーク] をクリックし、[内部] をダブル クリックします。[閉じる] をクリックします。[次へ] をクリックします。

1. [アクセスルール の宛先] ページで、[追加] をクリックします。[ネットワークエンティティの追加] ダイアログ ボックスで、[ネットワーク] をクリックし、[外部] をダブル クリックします。[閉じる] をクリックします。[次へ] をクリックします。

1. [ユーザーセット] ページで、[次へ] をクリックします。

1. [新しいアクセスルールウィザードの完了] ページで、[完了] をクリックします。

1. コンソールの中央のウィンドウで、[適用] ボタンをクリックします。

1. [構成の変更の説明] ダイアログ ボックスで、[適用] をクリックします。

1. [構成の変更の保存] ダイアログ ボックスで、[OK] をクリックします。

手順 4: UAG1 および DC1 上の既定のゲートウェイを構成する

DirectAccess クライアントが UAG NAT64/DNS64 サービスを使用したインターネット アクセス用に構成されている場合、UAG サーバーによって接続がインターネットに転送される必要があります。このためには、UAG1 を、インターネットへのルーティングを提供する既定のゲートウェイを指定して構成する必要があります。UAG1 の既定のゲートウェイは、INET1 上の Internet サブネット インターフェイスです。DC1 には、UAG サーバーの DNS64 サービス、および TMG1 上の Web プロキシ サービスに対してインターネット ホスト名を解決するために、インターネットへのゲートウェイが必要です。DC1 では、インターネットへのゲートウェイとして TMG1 が使用されます。

UAG1 および DC1 を構成するには、次の操作を実行します。

A. UAG1 上の既定のゲートウェイを構成する。この手順では、既定のゲートウェイとして INET1 上の Internet サブネット インターフェイスを使用するように UAG1 を構成します。

B. DC1 上の既定のゲートウェイを構成する。この手順では、既定のゲートウェイとして TMG1 上の Corpnet サブネット インターフェイスを使用するように DC1 を構成します。

A. UAG1 上の既定のゲートウェイを構成する

UAG1 上の既定のゲートウェイを構成するには、次の手順を実行します。

1. UAG1 コンピューターまたは仮想マシンで、[Start] ボタンをクリックし、[Search] ボックスに「View network connections」と入力して Enter キーを押します。

2. [Network Connections] ウィンドウで、Internet ネットワークアダプタ を右クリックし、[Properties] をクリックします。

3. [Internet Properties] ダイアログ ボックスで、[Internet Protocol Version 4 (TCP/IPv4)] をクリックし、[Properties] をクリックします。

4. [Internet Protocol Version 4 (TCP/IPv4) Properties] ダイアログ ボックスの [Default gateway] テキスト ボックスに「131.107.0.1」と入力します。[OK] をクリックし、[Close] をクリックします。

5. [Network Connections] ウィンドウを閉じます。

B. DC1 上の既定のゲートウェイを構成する

DC1 上の既定のゲートウェイを構成するには、次の手順を実行します。

1. DC1 コンピューターまたは仮想マシンに User1 としてログオンします。[スタート] ボタンをクリックし、[プログラムとファイルの検索] ボックスに「ネットワーク接続」と入力して、Enter キーを押します。

2. [ネットワーク接続] ウィンドウで、[ローカル エリア接続] を右クリックし、[プロパティ] をクリックします。I

3. [インターネットのプロパティ] ダイアログ ボックスで、[インターネット プロトコル バージョン 4 (TCP/IPv4)] をクリックし、[プロパティ] をクリックします。

4. [インターネット プロトコル バージョン 4 (TCP/IPv4) プロパティ] ダイアログ ボックスの [デフォルト ゲートウェイ] テキスト ボックスに「10.0.0.10」と入力します。[OK] をクリックし、[閉じる] をクリックします。

5. [ネットワーク接続] ウィンドウを閉じます。

6. コマンド プロンプト ウィンドウを開きます。コマンド プロンプト ウィンドウに「nslookup www.microsoft.com」と入力して、Enter キーを押します。この名前に解決される IP アドレスと、いくつかのエイリアスが表示されます。要求がタイムアウトした場合は、nslookup コマンドを繰り返します。コマンド プロンプト ウィンドウを閉じます。

7. * UAG1 コンピューターまたは仮想マシンに移動します。コマンド プロンプトを開き、「nslookup www.microsoft.com」と入力して Enter キーを押します。この名前に解決される IP アドレスおよび名前と、いくつかのエイリアスが表示されます。このレコードは、DC1 上の DNS キャッシュから取得されたため、権限がないものとして返されます。コマンド プロンプト ウィンドウを閉じます。

手順 5: 強制トンネリングおよびインターネットへの Web プロキシ アクセスについて UAG1 を構成する

DirectAccess クライアントは、強制トンネリングを使用するように構成されている場合は、DirectAccess トンネルを通過しないとインターネットに接続できません。強制トンネリング DirectAccess クライアントにインターネットへのアクセスを提供する方法は 2 つあります。Web プロキシと NAT64/DNS64 です。この手順では、UAG DirectAccess サーバー上で強制トンネリングを構成し、TMG1 上の Web プロキシによってインターネット アクセスが提供されるようにします。強制トンネリングおよび Web プロキシ インターネット アクセスを構成するには、次の手順を実行します。

1. UAG1 コンピューターまたは仮想マシンで [Start] ボタンをクリックし、[All Programs] をクリックします。[Microsoft Forefront UAG] をクリックして、[Forefront UAG Management] をクリックします。[User Account Control] ダイアログ ボックスで、[OK] をクリックします。

2. [Microsoft Forefront Unified Access Gateway Management] コンソールの左側のウィンドウで、[DirectAccess] をクリックします。

3. コンソールの右側のウィンドウの [Step 2 DirectAccess Server] セクションで、[Force Tunneling] リンクをクリックします。

4. Force Tunneling Configuration ウィザードの [Connectivity Method] ページで、[Use force tunneling. Send Internet requests from DirectAccess clients through the UAG DirectAccess server] を選択します。[Next] をクリックします。

5. [Force Tunneling] ページで、[Route requests directly to a corporate Web Proxy server] を選択します。[Server name] テキスト ボックスに「TMG1.corp.contoso.com」と入力します。[Port] テキスト ボックスに「8080」と入力します。[Validate Connectivity] ボタンをクリックします。緑色のチェックマークと、"Validation successful" が表示されます。[Finish] をクリックします。

6. 右側のウィンドウの下部で、[Apply Policy] ボタンをクリックします。

7. [Forefront UAG DirectAccess Configuration Review] ページで、[Apply Now] をクリックします。

8. [DirectAccess Policy Configuration] ダイアログ ボックスで "Script run completed with no error or warnings" と表示されたら、[OK] をクリックします。

9. [Forefront UAG DirectAccess Configuration Review] ページで、[Close] をクリックします。

10. 管理者特権でのコマンド プロンプトを開きます。コマンド プロンプト ウィンドウに「gpupdate /force」と入力して、Enter キーを押します。コマンドが完了するまで待ち、コマンド プロンプト ウィンドウを閉じます。

11. 右側のウィンドウの下部で、[Activate] ボタンをクリックします。

12. [Activate Configuration] ページで、[Activate] をクリックします。

13. [Activate Configuration] ページで、[Finish] をクリックします。

手順 6: CLIENT1 を更新し、インターネットへのプロキシ アクセスをテストする

この手順では、CLIENT1 上のグループ ポリシー設定を更新し、DirectAccess クライアントとして動作する場合に強制トンネリングが使用されるようにします。次に、CLIENT1 を Homenet サブネットに移動し、強制トンネリング構成をテストします。CLIENT1 がインターネットに接続した後、TMG1 上のログ ファイルのエントリで、インターネット接続が Web プロキシを介して行われたことを確認します。

CLIENT1 を構成するには、次の操作を実行します。

A. CLIENT1 上のグループ ポリシーを更新する。CLIENT1 には、強制トンネリングを有効にするように更新されたグループ ポリシーが必要です。この手順では、CLIENT1 上のグループ ポリシーを更新します。

B. Homenet に接続されているときの CLIENT1 からのインターネット アクセスをテストする。この手順では、CLIENT1 を Homenet サブネットに移動し、強制トンネリングを使用した DirectAccess とインターネットとの接続をテストします。

C. TMG1 ログ ファイルで CLIENT1 のインターネット活動を確認する。この手順では、TMG1 上のログ ファイルで、CLIENT1 が TMG1 Web プロキシを介してインターネットにアクセスしたことを確認します。

A. CLIENT1 上のグループ ポリシーを更新する

CLIENT1 上のグループ ポリシーを更新するには、次の手順を実行します。

1. CLIENT1 を Corpnet サブネットに接続し、CLIENT1 に User1 としてログオンします。CLIENT1 コンピューターまたは仮想マシンで、管理者特権でのコマンド プロンプトを開きます。コマンド プロンプト ウィンドウに「gpupdate /force」と入力して、Enter キーを押します。ユーザー ポリシーは正しく更新されますが、コンピューター ポリシーを更新できないというエラーが表示されます。これは、予期されているエラーです。

1. コマンド プロンプト ウィンドウに「netsh namespace show policy」と入力して、Enter キーを押します。設定エントリが表示されます。そのセクションには、"DirectAccess (プロキシ設定)： TMG1.corp.contoso.com:8080" の行があります。これは、新しいグループ ポリシー設定が CLIENT1 に適用されたことを示します。このエントリは、プロキシを使用して DirectAccess トンネル経由ですべてのサイトに接続するように CLIENT1 に指示します。ただし、NRPT のその他のエントリは例外です。

1. コマンド プロンプト ウィンドウを閉じます。

B. Homenet に接続されているときの CLIENT1 からのインターネット アクセスをテストする

この手順では、CLIENT1 を Homenet サブネットに接続し、TMG1 上の Web プロキシによる DirectAccess トンネル経由のインターネット アクセスをテストします。CLIENT1 DirectAccess クライアントからのインターネット アクセスをテストにするには、次の手順を実行します。

1. CLIENT1 を Corpnet サブネットから Homenet サブネットに移動します。管理者特権でのコマンド プロンプトを開きます。コマンド プロンプト ウィンドウに「ipconfig /all」と入力します。"Tunnel adapter IPHTTPSInterface " のエントリと、そのインターフェイスに関連する IPv6 アドレスが表示されます。強制トンネリングでは、DirectAccess クライアントが IP-HTTPS を使用する必要があるため、CLIENT1 では Teredo は使用されません。

2. コマンド プロンプト ウィンドウに「netsh interface httpstunnel show interfaces」と入力して、Enter キーを押します。[インターフェイスの状態] が " IPHTTPS インターフェイスがアクティブ" であることが表示されます。

3. コマンド プロンプト ウィンドウに「ping app1」と入力して、Enter キーを押します。APP1 からの 4 つの応答が表示されます。

4. コマンド プロンプト ウィンドウに「net view \\APP1」と入力して、Enter キーを押します。共有の一覧が表示されます。これは、User1 が、UAG DirectAccess サーバーおよびユーザー Kerberos 認証で認証できたことを示します。

5. コマンド プロンプト ウィンドウに「ping www.microsoft.com」と入力します。ホストが見つからないというエラーが表示されます。これは、CLIENT1 が corp.contoso.com ドメインの外部の名前についてアクセスできるのは Web プロキシのみだからです。Web プロキシはクライアントの代わりに名前を解決し、それにより、クライアントは Web プロキシを介して Web サイトに接続できます。コマンド プロンプト ウィンドウを閉じます。

6. Internet Explorer を開きます。アドレス バーで「www.microsoft.com」と入力し、Enter キーを押します。www.microsoft.com Web サイトのホーム ページが表示されます。ページ上のいくつかのリンクをクリックしてください。他の関心のある Web サイトを訪問してみてください。すべての Web サイトに接続できます。[Internet Explorer] ウィンドウを閉じます。

C. TMG1 ログ ファイルで CLIENT1 のインターネット活動を確認する

Web 接続が TMG1 上の Web プロキシを経由して行われたことを示すには、TMG1 コンピューターまたは仮想マシン上のログ ファイルを調べます。ログ ファイルを表示するには、次の手順を実行します。

1. * TMG1 コンピューターまたは仮想マシンに移動します。[スタート] ボタンをクリックし、[すべてのプログラム] をクリックします。[Microsoft Forefront TMG] をクリックし、[Forefront TMG の管理] をクリックします。[ユーザー アカウント制御] ダイアログ ボックスで、[はい] をクリックします。

2. [Forefront TMG] コンソールの左側のウィンドウで、[ログ & レポート] ノードをクリックします。コンソールの右側のウィンドウで、[タスク] タブをクリックします。[フィルターの編集] リンクをクリックします。

3. [フィルターの編集] ダイアログ ボックスで、[ログ時刻] エントリをクリックします。[条件] ドロップダウン リストで [過去1時間] を選択します。[更新] ボタンをクリックします。

4. [フィルター方法] ドロップダウン リストで [クライアント IP アドレス] を選択します。[条件] ドロップダウン リストで [等しい] を選択します。[値] テキスト ボックスに「10.0.0.2」と入力します。DirectAccess クライアントが TMG のような IPv4 プロキシに接続する場合、UAG DirectAccess サーバー上の NAT64/DNS64 が使用され、DirectAccess クライアントからのすべての接続は、UAG DirectAccess サーバー上の内部 IPv4 アドレスから発信されているように見えます。[一覧に追加] をクリックします。[クエリの開始] をクリックします。

5. TMG コンソールの左下側に、"クエリが完了しました" と表示されるまで待ちます。クエリが完了したら、[宛先IP アドレス] 列で、パブリック IP アドレスを含む行をクリックします。それらの行の 1 つをクリックしたら、接続の詳細が表示された下部のウィンドウを調べます。[要求] 行に、CLIENT1 が TMG Web プロキシ サービスを経由して接続した URL が表示されます。これは、CLIENT1 が TMG Web プロキシを使用してインターネットに接続しており、インターネット リソースに直接接続したのではなかったことを示します。強制トンネリングが有効になっているので、分割トンネルは無効になっているということです。これらの行のいくつかをクリックし、訪問したさまざまな URL を調べてください。

6. [Forefront TMG] コンソールを閉じます。

手順 7: 強制トンネリングおよび NAT64/DNS64 インターネット アクセスについて UAG1 を構成する

強制トンネリング用に構成された DirectAccess クライアントでインターネットにアクセスするために使用できる 2 番目の方式は、NAT64/DNS64 サービスを使用することです。UAG NAT64/DNS64 サービスを使用する場合、UAG DirectAccess サーバーによって接続がインターネットにルーティングされます。DirectAccess クライアントが NAT64/DNS64 サービスを使用してインターネットにアクセスできるように強制トンネリングを構成するには、次の手順を実行します。

1. * UAG1 コンピューターまたは仮想マシンに移動します。UAG コンソールが開いていることを確認します。開いていない場合、[Start] メニューから UAG コンソールを開きます。コンソールの左側のウィンドウで、[DirectAccess] ノードをクリックします。

1. 右側のウィンドウの [Step 2 DirectAccess Server] セクションで、[Force Tunnel (On)] をクリックします。

1. Force Tunneling Configuration ウィザードの [Connectivity Method] ページで、[Use force tunneling. Send Internet requests from DirectAccess clients through the UAG DirectAccess server] オプションが選択されていることを確認します。[Next] をクリックします。

1. [Force Tunneling] ページで、[Resolve and route requests using UAG DirectAccess DNS64 and NAT64] を選択します。[Validate Connectivity] をクリックします。緑色のチェックマークと、その横に "Validation successful" が表示されます。[Finish] をクリックします。

1. コンソールの右側のウィンドウの下部で、[Apply Policy] をクリックします。

1. [Forefront UAG DirectAccess Configuration Review] ページで、[Apply Now] をクリックします。

1. [DirectAccess Policy Configuration] ダイアログ ボックスで "Script run completed with no errors or warnings" と表示されたら、[OK] をクリックします。

1. [Forefront UAG DirectAccess Configuration Review] ページで、[Close] をクリックします。

1. 管理者特権でのコマンド プロンプトを開きます。コマンド プロンプト ウィンドウに「gpupdate /force」と入力して、Enter キーを押します。コマンドが完了したら、コマンド プロンプト ウィンドウを閉じます。

1. コンソールの右側のウィンドウの下部で、[Activate] をクリックします。

1. [Activate Configuration] ダイアログ ボックスで、[Next] をクリックします。

1. [Activate Configuration] ダイアログ ボックスで、[Finish] をクリックします。

手順 8: CLIENT1 を更新し、インターネットへの NAT64/DNS64 アクセスをテストする

この手順では、CLIENT1 上のグループ ポリシー設定を更新し、DirectAccess クライアントとして動作する場合に強制トンネリングが使用されるようにします。CLIENT1 がインターネットに接続した後、TMG1 上のログ ファイルのエントリで、インターネット接続が Web プロキシを介して行われたことを確認します。

CLIENT1 を構成するには、次の操作を実行します。

A. CLIENT1 上のグループ ポリシーを更新する。CLIENT1 は、現在 Homenet サブネットに接続されています。DirectAccess 接続上のグループ ポリシーを更新します。

B. Homenet に接続されているときの CLIENT1 からのインターネット アクセスをテストする。この手順では、UAG NAT64/DNS64 サービスを使用した CLIENT1 からのインターネット アクセスをテストします。

C. UAG1 TMG ログ ファイルで CLIENT1 のインターネット活動を確認する。この手順では、UAG1 上の TMG ログ ファイルを表示してインターネット接続が UAG1 によって提供されていることを確認します。

A. CLIENT1 上のグループ ポリシーを更新する

CLIENT1 上のグループ ポリシーを更新するには、次の手順を実行します。

1. Homenet サブネット上で、CLIENT1 コンピューターまたは仮想マシンで、管理者特権でのコマンド プロンプトを開きます。コマンド プロンプト ウィンドウに「gpupdate /force」と入力して、Enter キーを押します。ユーザー ポリシーは正しく更新されますが、コンピューター ポリシーを更新できないというエラーが表示されます。これは、予期されているエラーです。

2. コマンド プロンプト ウィンドウに「netsh namespace show policy」と入力して、Enter キーを押します。設定エントリが表示されます。そのセクションには、"DirectAccess (プロキシ設定)： プロキシを使用しない" の行があります。これは、新しいグループ ポリシー設定が CLIENT1 に適用されたことを示します。このエントリは、UAG DirectAccess サーバーを使用した DirectAccess トンネルを介してすべてのサイトに接続するように CLIENT1 に指示します。

3. コマンド プロンプト ウィンドウを閉じます。

B. Homenet に接続されているときの CLIENT1 からのインターネット アクセスをテストする

CLIENT1 からのインターネット アクセスをテストにするには、次の手順を実行します。

1. CLIENT1 を Corpnet サブネットから Homenet サブネットに移動します。管理者特権でのコマンド プロンプトを開きます。コマンド プロンプト ウィンドウに「ipconfig /all」と入力します。"Tunnel adapter IPHTTPSInterface " のエントリと、そのインターフェイスに関連する IPv6 アドレスが表示されます。強制トンネリングでは、DirectAccess クライアントが IP-HTTPS を使用する必要があるため、CLIENT1 では Teredo は使用されません。

2. コマンド プロンプト ウィンドウに「netsh interface httpstunnel show interfaces」と入力して、Enter キーを押します。[インターフェイスの状態] が "IPHTTPSインターフェイスがアクティブ" であることが表示されます。

3. コマンド プロンプト ウィンドウに「ping app1」と入力して、Enter キーを押します。APP1 からの 4 つの応答が表示されます。

4. コマンド プロンプト ウィンドウに「net view \\APP1」と入力して、Enter キーを押します。共有の一覧が表示されます。これは、User1 が、UAG DirectAccess サーバーおよびユーザー Kerberos で認証できたことを示します。APP1 への接続はイントラネット トンネルを介して行われる必要があるためです。

5. コマンド プロンプト ウィンドウに「ping www.microsoft.com」と入力して、Enter キーを押します。UAG DirectAccess サーバーが、IPv6 アドレスを生成してクライアントの名前を解決しますが、www.microsoft.com サーバーは ping 要求を許可しないため、ping の試みが失敗することがわかります。コマンド プロンプト ウィンドウに「ping www.facebook.com」と入力して、Enter キーを押します。IPv6 アドレスからの 4 つの応答が表示されます。これは、サイトの実際の IPv6 アドレスではないことに注意してください。これは、UAG DirectAccess サーバー上の NAT64 サービスによって生成された IPv6 アドレスです。コマンド プロンプト ウィンドウを閉じます。

6. Internet Explorer を開きます。アドレス バーで「www.microsoft.com」と入力し、Enter キーを押します。www.microsoft.com Web サイトのホーム ページが表示されます。ページ上のいくつかのリンクをクリックしてください。他の関心のある Web サイトを訪問してみてください。すべての Web サイトに接続できます。Internet Explorer を閉じます。

C. UAG TMG ログ ファイルで CLIENT1 のインターネット活動を確認する

UAG1 マシン上で TMG ログ ファイルを表示するには、次の手順を実行します。

1. * UAG1 コンピューターまたは仮想マシンに移動します。[Start] ボタンをクリックし、[All Programs] をクリックします。[Microsoft Forefront TMG] をクリックし、[Forefront TMG Management] をクリックします。[Use Account Control] ダイアログ ボックスで、[Yes] をクリックします。

2. [Forefront TMG] コンソールの左側のウィンドウで、[Logs & Reports] ノードをクリックします。コンソールの右側のウィンドウで、[Tasks] タブをクリックします。[Edit Filter] リンクをクリックします。

3. [Edit Filter] ダイアログ ボックスで、[Log Time] エントリをクリックします。[Condition] ドロップダウン リストで [Last Hour] を選択します。[Update] ボタンをクリックします。

4. [Filter by] ドロップダウン リストで [Rule] を選択します。[Condition] ドロップダウン リストで [Equals] を選択します。[Value] ドロップダウン リストで [DirectAccess Allow NATPT] を選択します。[Add To List] をクリックします。[Start Query] をクリックします。

5. TMG コンソールの左下側に、"(Query is done)" と表示されるまで待ちます。クエリが完了したら、エントリのリストをスクロールします。[Protocol] 列に、インターネット サイトへのアクセスに使用したプロトコルが表示されます。[Client IP] 列に、CLIENT1 に割り当てられた IP-HTTPS IPv6 アドレスが表示されます。[BranchCache – Retrieval Protocol] の[Protocol] 列にいくつかのエントリが表示されます。これらのエントリは、実際に UAG1 NAT64/DNS64 サービスを使用して CLIENT1 で行われた HTTP 接続を表しています。

8. [Forefront TMG] コンソールを閉じます。

手順 9: 構成のスナップショットを作成する

この手順で DirectAccess の テスト ラボが完了します。この構成を保存して、すばやく DirectAccess の作業用構成に戻り、他の DirectAccess のモジュール式 TLG や TLG の拡張機能をテストしたり、独自の実験や学習に利用したりできるように、次の手順を実行します。

1. テスト ラボのすべての物理コンピューターまたは仮想マシンで、すべてのウィンドウを閉じてから正常なシャットダウンを実行します。

1. ラボで仮想マシンを使用している場合は、各仮想マシンのスナップショットを保存し、それらのスナップショットに「TLG UAG DirectAccess SP1 FT」という名前を付けます。ラボで物理コンピューターを使用している場合は、ディスク イメージを作成して、DirectAccess テスト ラボ構成を保存します。

その他のリソース

このドキュメントの基礎となる UAG SP1 DirectAccess のデモンストレーションのテスト ラボ ガイドを構成する手順については、UAG SP1 DirectAccess のデモンストレーションのテスト ラボ ガイドを参照してください。

DirectAccess のパイロット展開または運用展開の設計と構成については、『Forefront UAG DirectAccess planning guide』および『Forefront UAG DirectAccess deployment guide』を参照してください。

DirectAccess のトラブルシューティングの詳細については、DirectAccess のトラブルシューティングに関するガイドを参照してください。

テスト ラボにおける DirectAccess のトラブルシューティングの詳細については、『Test Lab Guide: Troubleshooting Forefront UAG DirectAccess』を参照してください。

すべての UAG DirectAccess テスト ラボ ガイドの一覧については、『Test Lab Guides』で、TechNet Wiki のテスト ラボ ガイド情報を参照してください。

DirectAccess の詳細については、DirectAccess の概要に関する Web ページや、DirectAccess に関する TechNet の Web ページ(英語)を参照してください。

1

インターネット

インターネット

DirectAccess

サーバー

DirectAccess

クライアント

企業リソース

インターネットサーバー

イントラネットトラフィック

インターネットトラフィック

インターネット

インターネット

APP3

APP1

DC1

UAG1

INET1

NAT1

CLIENT1

Corpnet

10.0.0.0/24

Internet

131.107.0.0/24

Homenet

192.168.137.0/24

TMG1

�

�

�

�

�

�

�

�

�