DirectAccess の展開では、次の各モデルを組み合わせて使用できます。

  • アクセス モデル。DirectAccess クライアントからアクセス可能な内部ネットワーク リソースの種類、および DirectAccess クライアントと内部ネットワーク サーバーがインターネット プロトコル セキュリティ (IPSec) を使用して認証とトラフィック保護を実行するかどうかを定義します。

  • スケーラビリティ モデル。DirectAccess クライアントの要求を満たすために DirectAccess インフラストラクチャを分散する必要がある DirectAccess サーバーの数を定義します。

アクセス モデル

DirectAccess サーバーを展開する際、DirectAccess のセットアップ ウィザードでは次のアクセス モデルを使用できます。

  • エンド ツー エッジ

  • 選択したサーバーに対するエンド ツー エンド

エンド ツー エッジ

エンド ツー エッジのアクセス モデルを使用すると、DirectAccess クライアントは内部ネットワークのすべてのリソースに接続できますが、内部ネットワーク サーバーとのエンド ツー エンド通信を保護する IPsec は使用されません。IPsec ベースのトンネル ポリシーでは認証と暗号化が要求され、IPsec セッションは既定で DirectAccess サーバーで終了します。このアクセス モデルは、IPv6 トラフィックのポリシーベースの IPsec 保護がサポートされない Windows Server 2003 を実行中のネットワーク サーバーで動作します。

選択したサーバーに対するエンド ツー エンド

インターネット経由の DirectAccess クライアントおよびサーバー間のトラフィックの暗号化に加え、選択したサーバーに対するエンド ツー エンドのアクセス モデルでは、DirectAccess クライアントおよび内部ネットワーク サーバー間の通信での認証と保護が保証されます。これにより、DirectAccess クライアントでは目的のサーバーと通信していることを確認できます。

このアクセス モデルでは、保護を含まない認証の使用を指定することもできます。それには、Windows 7 および Windows Server 2008 R2 で使用可能な新しい IPsec ポリシー オプション "認証のみ (NULL カプセル化)" を使用します。保護を含まない認証では、DirectAccess クライアントと内部ネットワーク リソースが IPsec ピア認証を実行する必要がありますが、以降に交換されるデータ パケットは IPsec ヘッダーで保護されません。このオプションは、IPsec で保護されたトラフィックを解析または転送する機能を持たないパケット処理または転送デバイスがあるネットワークで必要になる場合があります。

スケーラビリティ モデル

単一のサーバーを使用して DirectAccess をセットアップでき、その場合は操作に必要なベースライン機能のすべてが DirectAccess により提供されます。ただし、DirectAccess はリモート ユーザーに接続を提供することを目的としているため、複数のサーバーによる信頼性とスケーラビリティおよびタスクの分割も重要です。

単一のサーバー

単一サーバーのシナリオでは、DirectAccess のすべてのコンポーネントが同一のサーバー コンピューターでホストされます。このシナリオの利点は、展開が比較的単純であり、1 つの DirectAccess サーバーのみを必要とする点です。このシナリオの限界は、単一障害点、およびサーバー パフォーマンスのボトルネックにより DirectAccess の最大同時接続数が制限される可能性がある点です。DirectAccess のセットアップ ウィザードでは単一サーバーのシナリオを構成します。

複数のサーバー

高可用性が優先事項である場合、複数のサーバーによってネットワークの停止を約 2 分に最小化できます。これを行うには、最低でも 4 つのサーバーが展開に必要です。2 つのサーバーで構成されたネットワーク負荷分散 (NLB) クラスターにより、インターネット上の DirectAccess クライアントに IPv6 接続が提供されます。2 つのサーバーは IPsec セッションの停止とフェールオーバーを提供します。いずれかのサーバーで障害が発生した場合は、稼働中のサーバーを経由して接続が再びルーティングされるため、サービスは復元されます。

複数のサーバーによるスケーラビリティ モデルおよび異なるサーバーへの DirectAccess コンポーネントの構成方法については、Microsoft Technet の DirectAccess ホーム ページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?LinkId=142598) を参照してください。