DirectAccess のセットアップ ウィザードのこの手順 (手順 3) では、インフラストラクチャ サーバーの設定を構成します。DirectAccess スナップインでの DirectAccess サーバー設定の初期構成では、[DirectAccess] ノードを展開し、[セットアップ] ノードをクリックし、手順 3 の [構成] をクリックします。手順 2 の構成が完了するまで、手順 3 の [構成] はクリックできません。インフラストラクチャ サーバーの設定を変更するには、手順 3 の [編集] をクリックします。

手順 3 を実行する前に、次の項目を決定します。

  • 高可用性の内部ネットワーク Web サーバーが DirectAccess ネットワーク ロケーション サーバーとして機能できるかどうか、およびその Web サーバー上に HTTPS ベースの URL (Uniform Resource Locator) があるかどうか。この項目は省略可能ですが、決定することをお勧めします。

  • 内部ネットワーク リソースに対応するドメイン ネーム システム (DNS) 名前空間のセット (たとえば、contoso.com)。

  • DirectAccess クライアントからの名前クエリに応答する内部ネットワークの DNS サーバーのインターネット プロトコル バージョン 4 (IPv4) またはインターネット プロトコル バージョン 6 (IPv6) アドレス。

  • DirectAccess クライアントとの通信を開始する内部ネットワーク上の管理サーバーのホスト名、IPv4 アドレス、または IPv6 アドレス。管理サーバーには、更新プログラムを配布したり、ソフトウェアまたはハードウェア インベントリを実行するサーバーを含めることができます。

手順 3 の [構成] または [編集] をクリックすると、ウィザードではネットワーク ロケーション サーバー、DNS とドメイン コントローラー、および管理サーバーを構成するページが表示されます。

場所

[場所] ページでは、ネットワーク ロケーション サーバーを指定します。これは、内部ネットワークまたはインターネットのどちらに配置されているかを判断するために DirectAccess クライアントによって使用されるサーバーです。DirectAccess クライアントがネットワーク ロケーション サーバーにアクセスし、指定された Web ページにアクセスできる場合、DirectAccess クライアントは内部ネットワークにページが配置されていると判断し、DirectAccess 機能は使用されません。

ネットワーク ロケーション サーバー機能を DirectAccess サーバーまたは内部ネットワーク上の別のサーバーのどちらに含めるかを指定できます。

  • ネットワーク ロケーション サーバー機能を DirectAccess サーバーに含めない (推奨) 場合は、そのサーバー上で Web ページの HTTPS ベースの URL を入力する必要があります。

  • ネットワーク ロケーション サーバー機能を DirectAccess サーバーに含める場合は、DirectAccess クライアントと DirectAccess サーバー間の HTTPS ベース接続の認証に使用される証明書を指定する必要があります。

どちらの場合も、ネットワーク ロケーション サーバーは高可用性である必要があり、DirectAccess インフラストラクチャの重要な要素です。内部ネットワークでネットワーク ロケーション サーバーにアクセスできない場合は、内部ネットワーク上に配置されていても DirectAccess クライアントで DirectAccess 機能が有効にされるので、内部ネットワーク リソースへのアクセス機能が低下します。

DNS およびドメイン コントローラー

[DNS およびドメイン コントローラー] ページでは、名前解決ポリシー テーブル (NRPT) と DirectAccess クライアント名解決の動作を構成します。

NRPT

NRPT とは、DirectAccess クライアントが DNS 名前要求の送信先を決定するのに使用するテーブルです。エントリは、特定のコンピューターの完全修飾ドメイン名 (FQDN) (emailsrv21.europe.contoso.com など) または DNS 名前空間の一部 (contoso.com など) を表現できる DNS ドメイン名と、FQDN または名前空間を扱う DNS サーバーの対応するアドレス セットで構成されます。DNS サーバー アドレスの指定がない場合、そのエントリは除外エントリです。DNS 名が DNS サーバーのアドレスを含む NRPT 内のエントリと一致した場合、DirectAccess クライアントは指定された内部ネットワークの DNS サーバーに名前クエリを送信します。DNS 名が DNS サーバーのアドレスを含まない NRPT 内のエントリと一致した場合、または NRPT 内のエントリと一致しなかった場合、DirectAccess クライアントはインターネットに接続する DNS サーバーに名前クエリを送信します。

NRPT には DirectAccess サーバーの DNS サフィックスと DNS サーバー構成に基づいた既存のエントリが含まれている場合があります。また、NRPT にはネットワーク ロケーション サーバーに対応する除外エントリが含まれている場合もあります。このエントリは、インターネット上の DirectAccess クライアントが内部ネットワークの DNS サーバーを使用してネットワーク ロケーション サーバーの名前を解決しようとするのを防ぐために追加されています。

エントリをさらに追加するには、空の行を右クリックし、[新規] をクリックします。または、空の行をダブルクリックすることもできます。[名前空間アクセス情報] ダイアログ ボックスで、DNS サフィックスを入力し、DNS サフィックスで終わる名前を解決する内部ネットワークの DNS サーバーの IPv4 または IPv6 アドレス セットを指定します。IPv4 または IPv6 アドレスを指定したら、[検証] をクリックして、DNS サーバーが実行中であり、DirectAccess サーバーからアクセスできるかどうかをテストします。

NRPT のエントリを編集するには、エントリを右クリックし、[編集] をクリックします。または、既存のエントリをダブルクリックできます。NRPT のエントリを削除するには、エントリを右クリックし、[削除] をクリックします。

名前解決の動作

[DNS およびドメイン コントローラー] ページでは、DirectAccess クライアントのローカルでの名前解決の動作も構成できます。ローカルでの名前解決では、DNS リゾルバー キャッシュのエントリのチェックと内部ネットワークの DNS サーバーへのクエリを伴わない名前解決の手法を使用します。これらの手法には、インターネットに接続する DNS サーバーの使用とローカル サブネットへのクエリが含まれます。

次のような 3 つのオプションがあります。

  • 内部ネットワークの DNS サーバーによって名前が存在しないと判断された場合にのみローカルでの名前解決を使用します。

    DirectAccess クライアントは解決できないサーバー名についてのみインターネットに接続する DNS サーバーに DNS クエリを送信するため、これは最も安全性の高いオプションです。

  • 内部ネットワークの DNS サーバーによって名前が存在しないと判断された場合、または内部ネットワークの DNS サーバーがアクセス不可能であり、DirectAccess クライアント コンピューターがプライベート ネットワーク上にある場合に、ローカルでの名前解決を使用します。

    別の内部ネットワーク上の名前を解決できるため、このオプションをお勧めします。

  • 内部ネットワークの DNS サーバーを使用した名前解決の試行時にエラーが発生した場合に、ローカルでの名前解決を使用します。

    DirectAccess クライアントが解決を試みる内部ネットワーク サーバー名がインターネットに接続する DNS サーバーに送信され、DirectAccess クライアントとインターネットに接続する DNS サーバーの間で傍受された内部ネットワーク サーバー名が決定される可能性があるため、これは最も安全性の低いオプションです。

管理

[管理] ページでは、DirectAccess クライアントとの通信を開始する内部ネットワーク サーバーの IPv4 または IPv6 アドレスのリストを構成します。これらのサーバーは通常、DirectAccess クライアント コンピューターにアクセスし、ソフトウェアまたはハードウェア インベントリ評価などの管理機能を実行したり、更新プログラムをインストールしたりする管理サーバーです。[管理] ページで指定した管理サーバーからは、DirectAccess のセットアップ ウィザードの手順 1 で指定したセキュリティ グループのメンバーである DirectAccess クライアントにのみアクセスできます。

管理サーバーを追加するには、空の行を右クリックし、[新規] をクリックします。または、空の行をダブルクリックすることもできます。[IPv4 アドレス] または [IPv6 アドレス/プレフィックス] ダイアログ ボックスで、サーバーのホスト名から IPv4 または IPv6 アドレスを取得するか、または手動で入力できます。

  • ホスト名から IPv4 または IPv6 アドレスを取得するには、[特定のコンピューターのホスト名] を選択し、サーバーの名前を入力します。[名前の確認] をクリックして、名前を登録されたアドレスに解決します。いずれかのアドレスをクリックし、[OK] をクリックします。

  • IPv4 アドレスを手動で指定するには、[IPv4 アドレス] ダイアログ ボックスで [IPv4 アドレス] を選択し、アドレスを入力します。終了したら、[OK] をクリックします。

  • IPv6 アドレスまたはプレフィックスを手動で指定するには、[IPv6 アドレス/プレフィックス] ダイアログ ボックスで [IPv6 アドレス] または [IPv6 プレフィックス] を選択し、アドレスまたはプレフィックスを入力します。終了したら、[OK] をクリックします。

リスト内の IPv4 アドレスや IPv6 アドレスまたはプレフィックスのエントリを編集するには、エントリを右クリックし、[編集] をクリックします。エントリを削除するには、エントリを右クリックし、[削除] をクリックします。

その他の参照情報