DirectAccess 展開モデルについて

エンド ツー エッジのアクセス モデルを使用すると、DirectAccess クライアントは内部ネットワークのすべてのリソースに接続できますが、内部ネットワーク サーバーとのエンド ツー エンド通信を保護する IPsec は使用されません。IPsec ベースのトンネル ポリシーでは認証と暗号化が要求され、IPsec セッションは既定で DirectAccess サーバーで終了します。このアクセス モデルは、IPv6 トラフィックのポリシーベースの IPsec 保護がサポートされない Windows Server 2003 を実行中のネットワーク サーバーで動作します。

インターネット経由の DirectAccess クライアントおよびサーバー間のトラフィックの暗号化に加え、選択したサーバーに対するエンド ツー エンドのアクセス モデルでは、DirectAccess クライアントおよび内部ネットワーク サーバー間の通信での認証と保護が保証されます。これにより、DirectAccess クライアントでは目的のサーバーと通信していることを確認できます。

このアクセス モデルでは、保護を含まない認証の使用を指定することもできます。それには、Windows 7 および Windows Server 2008 R2 で使用可能な新しい IPsec ポリシー オプション "認証のみ (NULL カプセル化)" を使用します。保護を含まない認証では、DirectAccess クライアントと内部ネットワーク リソースが IPsec ピア認証を実行する必要がありますが、以降に交換されるデータ パケットは IPsec ヘッダーで保護されません。このオプションは、IPsec で保護されたトラフィックを解析または転送する機能を持たないパケット処理または転送デバイスがあるネットワークで必要になる場合があります。

単一サーバーのシナリオでは、DirectAccess のすべてのコンポーネントが同一のサーバー コンピューターでホストされます。このシナリオの利点は、展開が比較的単純であり、1 つの DirectAccess サーバーのみを必要とする点です。このシナリオの限界は、単一障害点、およびサーバー パフォーマンスのボトルネックにより DirectAccess の最大同時接続数が制限される可能性がある点です。DirectAccess のセットアップ ウィザードでは単一サーバーのシナリオを構成します。

高可用性が優先事項である場合、複数のサーバーによってネットワークの停止を約 2 分に最小化できます。これを行うには、最低でも 4 つのサーバーが展開に必要です。2 つのサーバーで構成されたネットワーク負荷分散 (NLB) クラスターにより、インターネット上の DirectAccess クライアントに IPv6 接続が提供されます。2 つのサーバーは IPsec セッションの停止とフェールオーバーを提供します。いずれかのサーバーで障害が発生した場合は、稼働中のサーバーを経由して接続が再びルーティングされるため、サービスは復元されます。

複数のサーバーによるスケーラビリティ モデルおよび異なるサーバーへの DirectAccess コンポーネントの構成方法については、Microsoft Technet の DirectAccess ホーム ページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=142598) を参照してください。