このトピックでは、DirectAccess 展開のコンポーネント、DirectAccess クライアントの接続方法、DirectAccess トラフィックのファイアウォール構成、およびスマート カードとの統合について説明します。

DirectAccess コンポーネント

DirectAccess 展開は、次のコンポーネントで構成されます。

  • DirectAccess クライアント

  • 少なくとも 1 つの DirectAccess サーバー

  • Active Directory® ドメイン サービス (AD DS) ドメイン

  • 公開キー基盤 (PKI)

  • ネットワーク ロケーション サーバー

  • インターネット プロトコル バージョン 6 (IPv6) 対応の内部ネットワークとアプリケーションまたはネットワーク アドレス変換 - ポート変換 (NAT-PT) デバイス

DirectAccess クライアント

DirectAccess クライアントは、AD DS ドメインに参加している Windows 7 または Windows Server 2008 R2 を実行中のコンピューターであり、IPv6 とインターネット プロトコル セキュリティ (IPsec) を使用してインターネットから内部ネットワークへのリモート接続を自動的に開始および管理します。

AD DS ドメインに参加していないコンピューターや Windows Vista またはそれより前のバージョンの Windows を実行中のコンピューターでは、DirectAccess はサポートされていません。

少なくとも 1 つの DirectAccess サーバー

DirectAccess サーバーは、AD DS ドメインに参加している Windows Server 2008 R2 を実行中のコンピューターであり、IPv6 と IPsec を使用してインターネット上の DirectAccess クライアントに応答し、それらを内部ネットワークに透過的に接続します。

Active Directory ドメインに参加していないコンピューターや Windows Server 2008 またはそれより前のバージョンの Windows Server を実行中のコンピューターでは、DirectAccess サーバー機能はサポートされていません。

DirectAccess をインストールするには、「DirectAccess をインストールする」を参照してください。

DirectAccess サーバーでは他の主要な機能をホストしないでください。DirectAccess サーバーは DirectAccess 専用にする必要があります。展開とスケーラビリティの要件によっては、複数の DirectAccess サーバーを使用したり、DirectAccess 機能を複数のサーバーに分割するための手動構成を使用したりする必要があります。複数のサーバーでの展開の詳細については、Microsoft Technet の DirectAccess ホーム ページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=142598) を参照してください。

DirectAccess サーバーの要件の詳細については、「チェックリスト: DirectAccess を構成する前に」を参照してください。

AD DS ドメイン

DirectAccess は、認証の資格情報、コンピューター証明書の自動登録、および IPsec や IPv6 などの設定の一元的なグループ ポリシーベースの構成を AD DS に依存しています。DirectAccess クライアントおよびサーバーは AD DS ドメインのメンバーである必要があります。

PKI

DirectAccess は、IPsec セッションと IP-HTTPS ベースの接続での認証を Active Directory 証明書サービス (AD CS) 証明機関により発行されたコンピューター証明書に依存しています。

ネットワーク ロケーション サーバー

ネットワーク ロケーション サーバーは、HTTPS ベースの URL (Uniform Resource Locator) をホストする内部ネットワーク サーバーです。DirectAccess クライアントは URL にアクセスして、それらが内部ネットワーク上に置かれているかどうかを判断します。DirectAccess サーバーをネットワーク ロケーション サーバーとして使用できますが、高可用性 Web サーバーの使用をお勧めします。Web サーバーはネットワーク ロケーション サーバー専用である必要はありません。

IPv6 対応の内部ネットワークとアプリケーションまたは NAT-PT デバイス

DirectAccess クライアントは IPv6 のみを使用して内部ネットワーク リソースにアクセスします。そのため、DirectAccess クライアントでは IPv6 を使用してアクセスできる内部ネットワークのサーバーおよびリソースとのみ通信が可能です。内部ネットワークへの IPv6 接続を確立するには、次の 3 つの方法があります。

  • ネイティブ IPv6 をサポートする内部ネットワークのルーティング インフラストラクチャを構成します。IPv6 をサポートする内部ネットワーク サーバーおよびアプリケーションがアクセス可能になります。Windows 7、Windows Server 2008 R2、Windows Vista、または Windows Server 2008 を実行中のコンピューターは既定で IPv6 を使用するように構成されています。

  • 内部ネットワークに Intra-Site Automatic Tunnel Addressing Protocol (ISATAP) を展開します。ISATAP を使用することで、IPv6 対応の内部ネットワーク サーバーおよびアプリケーションでは IPv4 専用の内部ネットワークに対して IPv6 トラフィックをトンネリングできます。Windows 7、Windows Server 2008 R2、Windows Vista、または Windows Server 2008 を実行中のコンピューターでは ISATAP ホスト機能がサポートされています。ISATAP を使用すると、これらのコンピューターではネイティブの IPv6 ルーティングを必要とせずに IPv6 を使用できます。DirectAccess サーバーは、内部ネットワーク上に IPv6 接続がない場合に自身を ISATAP ルーターとして自動的に構成します。

  • ネットワーク アドレス変換 - プロトコル変換 (NAT-PT) デバイスを使用して、IPv6 を使用する DirectAccess クライアントと IPv4 のみ使用可能なサーバーおよびアプリケーションとの間のトラフィックを変換します。Windows Server 2008 R2 では NAT-PT 機能は提供されません。NAT-PT デバイスは一般にレイヤー 2 とレイヤー 3 のスイッチとルーターのベンダーから入手可能です。NAT-PT の機能および構成の詳細については、スイッチとルーターのドキュメントを参照してください。

DirectAccess クライアントの接続方法

次の表は、DirectAccess クライアントの使用可能な構成と、それに対応する DirectAccess サーバーへの IPv6 トラフィックの送信方法を示しています。

クライアント構成優先する接続方法

グローバル IPv6 アドレスを割り当て済み

グローバル IPv6 アドレス。

パブリック IPv4 アドレスを割り当て済み (アドレスは 10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16 の範囲外)

6to4 (パブリック IPv4 アドレスを持つホストやサイトの IPv4 インターネット上に IPv6 接続を提供する IPv6 移行テクノロジ)。

プライベート IPv4 アドレスを割り当て済み (アドレスは 10.0.0.0/8、172.16.0.0/12、および 192.168.0.0/16 の範囲内)

Teredo (プライベート IPv4 アドレスが割り当てられ、6to4 ルーター機能をサポートしない IPv4 ネットワーク アドレス変換 (NAT) デバイスの背後に置かれたホストの IPv4 インターネット上に IPv6 接続を提供する IPv6 移行テクノロジ)。

6to4 または Teredo を使用する接続ができないクライアント

IP-HTTPS (Web プロキシ サーバーまたはファイアウォール背後のホストが IPv4 ベースのセキュア ハイパーテキスト転送プロトコル (HTTPS) セッション内で IPv6 パケットをトンネリングすることによって接続を確立できるようにする Windows 7 および Windows Server 2008 R2 の新しいプロトコル)。IP-HTTPS は通常、クライアントが他の IPv6 接続方法を使用して DirectAccess サーバーに接続できない場合にのみ使用します。

DirectAccess トラフィックのファイアウォール構成

インターネットと境界ネットワークの間にある外部ファイアウォールでは、DirectAccess サーバーとの間でやり取りされる次の種類のトラフィックが通過できる必要があります。

  • ネイティブの IPv6 トラフィックの場合は、IPv6 用のインターネット制御メッセージ プロトコル (ICMPv6) トラフィック (IPv6 プロトコル 58) および IPsec カプセル化セキュリティ ペイロード (ESP) トラフィック (IPv6 プロトコル 50)。

  • 6to4 トラフィックの場合は、IPv6 トラフィックをカプセル化する IPv4 トラフィック (IPv4 プロトコル 41)。

  • Teredo トラフィックの場合は、ユーザー データグラム プロトコル (UDP) ポート 3544 を使用する IPv4 トラフィック。

  • IP-HTTPS トラフィックの場合は、伝送制御プロトコル (TCP) ポート 443 を使用する IPv4 トラフィック。

たとえば、外部ファイアウォールのインターネット インターフェイスの例外は以下の形式になります。

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

境界ネットワークと内部ネットワークの間にある内部ファイアウォールでは、DirectAccess サーバーとの間でやり取りされる次の種類のトラフィックが通過できる必要があります。

  • ネイティブの IPv6 トラフィックの場合は、すべての種類の IPv6 トラフィック。

  • ISATAP トラフィックの場合は、IPv6 トラフィックをカプセル化する IPv4 トラフィック (IPv4 プロトコル 41)。

  • IPv4 および NAT-PT トラフィックの場合は、すべての TCP、UDP、および UDP 500 インターネット キー交換 (IKE)/AuthIP トラフィック。

Teredo ベースの接続を許可するには、組織内のドメイン メンバー コンピューターのすべてにセキュリティ規則が強化された次の Windows ファイアウォールを追加して構成および展開する必要があります。

  • 受信 ICMPv6 エコー要求メッセージ (必須)

  • 送信 ICMPv6 エコー要求メッセージ (推奨)

定義済みの [ファイルとプリンターの共有 (エコー要求 - ICMPv6 受信)] 受信規則または [ファイルとプリンターの共有 (エコー要求 - ICMPv6 送信)] 送信規則をこの用途のために使用しないでください。これらの定義済み規則を使用すると、組織内でファイルとプリンターの共有をオフにした場合に設定が無効になる可能性があり、Teredo ベースの接続が有効でなくなります。

組織内のすべてのメンバー コンピューターにこれらの Windows ファイアウォール設定を展開する最も簡単な方法は、既定のドメイン グループ ポリシー オブジェクト (GPO) を使用する方法です。詳細については、基本のファイアウォール ポリシー デザインの実装に関するチェックリスト (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=147688) を参照してください。

規則 1: 受信 ICMPv6 エコー要求メッセージ

次の設定を使用して、カスタム受信規則を作成および有効化します。

  • [すべてのプログラム]

  • エコー要求メッセージのある ICMPv6 プロトコルの種類

  • 任意のローカルおよびリモート IP アドレス

  • 操作を許可

  • すべてのプロファイル (ドメイン、職場、パブリック)

この規則は必須です。

規則 2: 送信 ICMPv6 エコー要求メッセージ

次の設定を使用して、カスタム送信規則を作成および有効化します。

  • [すべてのプログラム]

  • エコー要求メッセージのある ICMPv6 プロトコルの種類

  • 任意のローカルおよびリモート IP アドレス

  • 操作を許可

  • すべてのプロファイル (ドメイン、職場、パブリック)

この規則はベスト プラクティスとして推奨されますが、Windows ファイアウォールを使用してすべての送信トラフィックを禁止する場合は、この規則は必須です。

スマート カードとの統合

DirectAccess サーバーに接続する DirectAccess クライアントがスマート カードを使用するように要求できます。ユーザーはコンピューターにログオンし、スマート カードなしでインターネットにアクセスできますが、内部ネットワーク リソースにアクセスするにはスマート カードによる認証が必要になります。

詳細情報

DirectAccess とのサーバーとドメインの分離とネットワーク アクセス保護 (NAP) の統合については、Microsoft Technet の DirectAccess ホーム ページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=142598) を参照してください。