次の方法で共有

手順 1 基本的な DirectAccess インフラストラクチャを計画する

1 台のサーバーでの基本的な DirectAccess 展開の最初の手順は、展開に必要なインフラストラクチャの計画を実行することです。 このトピックでは、インフラストラクチャの計画手順を説明します。

課題 説明
ネットワークのトポロジと設定を計画する DirectAccess サーバーを配置する場所 (エッジ、またはネットワーク アドレス変換 (NAT) デバイスまたはファイアウォールの背後) を決定し、IP アドレス指定とルーティングを計画します。
ファイアウォールの要件を計画する エッジ ファイアウォールを介して DirectAccess を許可することを計画します。
証明書の要件を計画する DirectAccess では、クライアント認証に Kerberos または証明書を使用できます。 この基本的な DirectAccess 展開では、Kerberos プロキシが自動的に構成され、Active Directory 資格情報を使用して認証が実行されます。
DNS の要件を計画する DirectAccess サーバー、インフラストラクチャ サーバー、クライアント接続の DNS 設定を計画します。
Active Directory を計画する ドメイン コントローラーと Active Directory の要件を計画します。
グループ ポリシー オブジェクトを計画する 組織で必要な GPO とその GPO の作成または編集方法を決定します。

計画タスクは特定の順序で実行する必要はありません。

ネットワークのトポロジと設定を計画する

ネットワーク アダプターと IP アドレス指定を計画する

  1. 使用するネットワーク アダプターのトポロジを決定します。 DirectAccess は、次のいずれかを使用して設定できます。

    • 2 つのネットワーク アダプターを使用します。1 つのネットワーク アダプターがインターネットに接続され、もう 1 つは内部ネットワークに接続されているか、NAT、ファイアウォール、またはルーター デバイスの背後にあり、一方のネットワーク アダプターは境界ネットワークに接続され、もう 1 つは内部ネットワークに接続されます。

    • 1 つのネットワーク アダプターを持つ NAT デバイスの背後 - DirectAccess サーバーは NAT デバイスの背後にインストールされ、1 つのネットワーク アダプターが内部ネットワークに接続されます。

  2. IP アドレス指定の要件を特定します。

    DirectAccess は、IPv6 と IPsec を組み合わせて、DirectAccess クライアント コンピューターと企業内部ネットワークとの間にセキュリティで保護された接続を確立します。 ただし、DirectAccess は、IPv6 インターネットへの接続または内部ネットワーク上でのネイティブ IPv6 サポートを必ずしも必要とはしません。 その代わりに、IPv6 移行テクノロジを自動的に構成、使用して、IPv4 インターネット上 (6to4、Teredo、IP-HTTPS) および IPv4 専用イントラネット上 (NAT64 または ISATAP) で IPv6 トラフィックをトンネリングします。 このような移行テクノロジの概要については、次のリソースを参照してください。

  3. 次の表に従って、必要なアダプターとアドレス指定を構成します。 1 つのネットワーク アダプターを使用して NAT デバイスの背後に展開する場合は、[ 内部ネットワーク アダプター ] 列のみを使用して IP アドレスを構成します。

    説明 外部ネットワーク アダプター 内部ネットワーク アダプター1 ルーティングの要件
    IPv4 イントラネットおよび IPv4 インターネット 次を構成します。

    - 適切なサブネット マスクを持つ 1 つの静的パブリック IPv4 アドレス。
    - インターネット ファイアウォールまたはローカルのインターネット サービス プロバイダー (ISP) ルーターのデフォルト ゲートウェイの IPv4 アドレス。

    		 次を構成します。

    - 適切なサブネット マスクを持つ IPv4 イントラネット アドレス。
    - イントラネット名前空間の接続固有の DNS サフィックス。 DNS サーバーも内部インターフェイスで構成する必要があります。
    - イントラネット インターフェイスにはデフォルト ゲートウェイを構成しないでください。

    		 内部 IPv4 ネットワーク上のすべてのサブネットに到達するように DirectAccess サーバーを構成するには、次の操作を行います。

    1. イントラネット上のすべての場所の IPv4 アドレス空間を一覧表示します。
    2. ルート追加 -p または netsh インターフェイス ipv4 add route コマンドを使用して、IPv4 アドレス空間を DirectAccess サーバーの IPv4 ルーティング テーブルに静的ルートとして追加します。
    IPv6 インターネットおよび IPv6 イントラネット 次を構成します。

    - ISP によって提供される自動構成されたアドレス構成を使用します。
    - route print コマンドを使用して、ISP ルーターを指す既定の IPv6 ルートが IPv6 ルーティング テーブルにあることを確認します。
    - ISP およびイントラネット ルーターで、RFC 4191 に記述されている既定のルーター基本設定が使用されているかどうか、およびローカルのイントラネット ルーターより高度な既定の基本設定が使用されているかどうかを確認します。 どちらについても使用している場合は、既定のルートに他の構成は必要ありません。 ISP ルーターの高度な基本設定によって、DirectAccess サーバーの既定の IPv6 アクティブ ルートが IPv6 インターネットを示すことが保証されます。

    DirectAccess サーバーは IPv6 ルーターであるため、ネイティブ IPv6 インフラストラクチャがある場合は、インターネット インターフェイスからイントラネット上のドメイン コントローラーに到達することもできます。 この場合、DirectAccess サーバーのインターネット接続インターフェイスの IPv6 アドレスへの接続を防ぐ境界ネットワークのドメイン コントローラーに、パケット フィルターを追加します。

    		 次を構成します。

    - 既定の基本設定レベルを使用していない場合は、netsh interface ipv6 set InterfaceIndex ignoredefaultroutes=enabled コマンドを使用してイントラネット インターフェイスを構成します。 このコマンドを実行すると、イントラネット ルーターを示す既定のルートがそれ以上 IPv6 ルーティング テーブルに追加されないことが保証されます。 イントラネット インターフェイスの InterfaceIndex は、netsh interface show interface コマンドの表示で確認できます。

    		 IPv6 イントラネットがある場合、IPv6 のすべての場所に到達できるように DirectAccess サーバーを構成するには、次のようにします。

    1. イントラネット上のすべての場所の IPv6 アドレス空間を一覧表示します。
    2. netsh インターフェイス ipv6 add route コマンドを使用して、DirectAccess サーバーの IPv6 ルーティング テーブルに静的ルートとして IPv6 アドレス空間を追加します。
    IPv4 インターネットおよび IPv6 イントラネット DirectAccess サーバーは、Microsoft 6to4 アダプター インターフェイスを使用して既定の IPv6 ルート トラフィックを IPv4 インターネット上の 6to4 リレーに転送します。 IPv4 インターネット上の Microsoft 6to4 リレーの IPv4 アドレス用に DirectAccess サーバーを構成できます (ネイティブ IPv6 が企業ネットワークに展開されていない場合に使用されます)。netsh interface ipv6 6to4 set relay name=192.88.99.1 state=enabled コマンドを使用します。

    次の点に注意してください。

    1. パブリック IPv4 アドレスが割り当てられている DirectAccess クライアントは、6to4 移行テクノロジを使ってイントラネットに接続します。 6to4 を使って DirectAccess サーバーに接続できない DirectAccess クライアントは、IP-HTTPS を使用します。
    2. ネイティブ IPv6 クライアント コンピューターは、ネイティブ IPv6 経由で DirectAccess サーバーに接続できます。移行テクノロジを必要としません。

ファイアウォールの要件を計画する

DirectAccess サーバーがエッジ ファイアウォールの内側にある場合、DirectAccess サーバーが IPv4 インターネット上にある場合、DirectAccess トラフィックには次の例外が必要です。

  • 6to4 トラフィック - IP プロトコル 41 の受信と送信。

  • IP の HTTPS の伝送制御プロトコル (TCP) 宛先ポート 443 と TCP 発信元ポート 443 送信します。

  • 1 つのネットワーク アダプターで DirectAccess を展開し、DirectAccess サーバーにネットワーク ロケーション サーバーをインストールする場合は、TCP ポート 62000 も除外する必要があります。

    この除外は DirectAccess サーバー上にあります。 その他のすべての例外はエッジ ファイアウォールにあります。

DirectAccess サーバーが IPv6 インターネット上にある場合、DirectAccess トラフィックには次の例外が必要です。

  • IP プロトコル 50

  • UDP 宛先ポート 500 の受信と、UDP 発信元ポート 500 の送信。

追加のファイアウォールを使用する場合は、DirectAccess トラフィックに対して次の内部ネットワーク ファイアウォール例外を適用します。

  • ISATAP - プロトコル 41 の受信と送信

  • すべての IPv4/IPv6 トラフィックに対する TCP/UDP

証明書の要件を計画する

IPsec の証明書の要件には、クライアントと DirectAccess サーバー間の IPsec 接続を確立するときに DirectAccess クライアント コンピューターによって使用されるコンピューター証明書と、DirectAccess クライアントとの IPsec 接続を確立するために DirectAccess サーバーによって使用されるコンピューター証明書が含まれます。 Windows Server 2012 R2 および Windows Server 2012 の DirectAccess では、これらの IPsec 証明書の使用は必須ではありません。 作業の開始ウィザードでは、証明書を必要とせずに IPsec 認証を実行する Kerberos プロキシとして機能するように DirectAccess サーバーを構成します。

  1. IP-HTTPS サーバー。 DirectAccess を構成すると、IP-HTTPS Web リスナーとして機能するように DirectAccess サーバーが自動的に構成されます。 IP-HTTPS サイトは Web サイト証明書を要求します。また、クライアント コンピューターは、その証明書の証明書失効リスト (CRL) サイトに接続できる必要があります。 DirectAccess の有効化ウィザードでは、SSTP VPN 証明書の使用を試みます。 SSTP が構成されていない場合は、IP-HTTPS の証明書がコンピューターの個人用ストアにあるかどうを確認します。 どれも使用できない場合は、自己署名証明書を自動的に作成します。

  2. ネットワーク ロケーション サーバー。 ネットワーク ロケーション サーバーは、クライアント コンピューターが企業ネットワークに存在するかどうかを検出するために使用される Web サイトです。 ネットワーク ロケーション サーバーには Web サイト証明書が必要です。 DirectAccess クライアントは、その証明書の CRL サイトに接続できる必要があります。 リモート アクセスの有効化ウィザードでは、ネットワーク ロケーション サーバーの証明書がコンピューターの個人用ストアに存在するかどうかを確認します。 ない場合は、自己署名証明書が自動的に作成されます。

これらの各要素の認定要件を次の表にまとめます。

IPsec 認証 IP-HTTPS サーバー ネットワーク ロケーション サーバー
認証に Kerberos プロキシを使用しない場合に、内部 CA が DirectAccess サーバーとの IPsec 認証にクライアントをコンピューター証明書を発行するために必要 パブリック CA - パブリック CA を使用して IP-HTTPS 証明書を発行することをお勧めします。これにより、CRL 配布ポイントが外部で使用できるようになります。 内部 CA - 内部 CA を使用して、ネットワーク ロケーション サーバー Web サイト証明書を発行できます。 CRL 配布ポイントが内部ネットワークからいつでも利用できることを確認してください。
内部 CA - 内部 CA を使用して、IP-HTTPS 証明書を発行できます。ただし、CRL 配布ポイントが外部で使用できることを確認する必要があります。 自己署名証明書 - ネットワーク ロケーション サーバー Web サイトに自己署名証明書を使用できます。ただし、マルチサイト展開では自己署名証明書を使用できません。
自己署名証明書 - IP-HTTPS サーバーに自己署名証明書を使用できます。ただし、CRL 配布ポイントが外部で使用できることを確認する必要があります。 自己署名証明書はマルチサイト展開で使用できません。

IP-HTTPS およびネットワーク ロケーション サーバーの証明書を計画する

これらの目的で証明書をプロビジョニングする場合は、「詳細設定を使用した 単一の DirectAccess サーバーの展開」を参照してください。 使用できる証明書がない場合は、これらの目的で自己署名証明書が自動的に作成されます。

IP-HTTPS とネットワーク ロケーション サーバーの証明書を手動でプロビジョニングする場合は、証明書にサブジェクト名があることを確認します。 証明書にサブジェクト名がないが、別名が付いている場合、DirectAccess ウィザードでは受け入れられない。

DNS の要件を計画する

DirectAccess 展開では、次の場合に DNS が必要です。

  • DirectAccess クライアント要求。 DNS は、内部ネットワークに存在しない DirectAccess クライアント コンピューターからの要求を解決するために使用されます。 DirectAccess クライアントは、インターネット上に配置されているか、または企業ネットワーク上に配置されているかを判断するために、DirectAccess ネットワーク ロケーション サーバーへの接続を試行します。接続に成功した場合、クライアントはイントラネット上にあると判断され、DirectAccess は使用されません。クライアント要求は、クライアント コンピューターのネットワーク アダプター上で構成された DNS サーバーを使って解決されます。 接続に失敗した場合、クライアントはインターネット上にあると見なされます。 DirectAccess クライアントは名前解決ポリシー テーブル (NRPT) を使って、名前の要求を解決するときに使用する DNS サーバーを判断します。 クライアントが名前解決に DirectAccess DNS64 または代替の内部 DNS サーバーを使用するように指定することができます。 名前解決の実行時、NRPT が DirectAccess クライアントによって使用されて、要求の処理方法が特定されます。 クライアントは、FQDN または単一ラベル名 (例: http://internal.) を要求します。 単一ラベル名が要求の場合は、DNS サフィックスが追加されて FQDN になります。 DNS クエリが NRPT 内のエントリに一致し、そのエントリに対して DNS4 またはイントラネット DNS サーバーが指定されている場合、そのクエリは指定されたサーバーを使って名前解決のために送信されます。 一致するエントリはあっても DNS サーバーが指定されていない場合は、除外規則を意味しているので、通常の名前解決が適用されます。

    DirectAccess 管理コンソールで NRPT に新しいサフィックスが追加されると、[検出] ボタンをクリックしてサフィックスの既定の DNS サーバーを自動的に 検出 できます。 自動検出のしくみは次のとおりです。

    1. 企業ネットワークが IPv4 ベースの場合、または IPv4 と IPv6 の場合、既定のアドレスは DirectAccess サーバー上の内部アダプターの DNS64 アドレスです。

    2. 企業ネットワークが IPv6 ベースである場合、既定のアドレスは、企業ネットワーク内の DNS サーバーの IPv6 アドレスです。

Windows 10 の 2020 年 5 月の更新プログラム以降、クライアントは名前解決ポリシー テーブル (NRPT) で構成された DNS サーバーに IP アドレスを登録しなくなりました。 MANAGE Out など、DNS 登録が必要な場合は、クライアントでこのレジストリ キーを使用して明示的に有効にすることができます。

パス: HKLM\System\CurrentControlSet\Services\Dnscache\Parameters
タイプ: DWORD
値の名前: DisableNRPTForAdapterRegistration
値:
1 - DNS 登録が無効 (Windows 10 の 2020 年 5 月の更新プログラム以降は既定値)
0 - DNS 登録が有効

  • インフラストラクチャ サーバー

    1. ネットワーク ロケーション サーバー。 DirectAccess クライアントは、内部ネットワークに配置されているかを判断するために、ネットワーク ロケーション サーバーに接続しようとします。 内部ネットワーク上のクライアントは、ネットワーク ロケーション サーバーの名前を解決できる必要がありますが、インターネットに配置されているときは名前を解決できないようにする必要があります。 このような処理が行われるように、既定では、ネットワーク ロケーション サーバーの FQDN が除外規則として NRPT に追加されます。 さらに、DirectAccess を構成すると、次の規則が自動的に作成されます。

      1. ルート ドメインまたは DirectAccess サーバーのドメイン名、および DirectAccess サーバーで構成されているイントラネット DNS サーバーに対応する IPv6 アドレスの DNS サフィックス規則。 たとえば、DirectAccess サーバーが corp.contoso.com ドメインのメンバーである場合、corp.contoso.com DNS サフィックスについて規則が作成されます。

      2. ネットワーク ロケーション サーバーの FQDN の除外規則。 たとえば、ネットワーク ロケーション サーバーの URL が https://nls.corp.contoso.com の場合、FQDN nls.corp.contoso.com に対して除外規則が作成されます。

      IP-HTTPS サーバー。 DirectAccess サーバーは、IP-HTTPS リスナーとして機能し、そのサーバー証明書を使用してクライアント IP-HTTPS 認証します。 IP-HTTPS 名は、パブリック DNS サーバーを使って DirectAccess クライアントによって解決できる必要があります。

      接続検証ツール。 DirectAccess は、DirectAccess クライアント コンピューターが内部ネットワークへの接続を確認するために使用する既定の Web プローブを作成します。 プローブが想定どおりに動作するように、次の名前を DNS 内に手動で登録する必要があります。

      1. directaccess-webprobehost - DirectAccess サーバーの内部 IPv4 アドレスに解決されます。IPv6 専用環境では IPv6 アドレスに解決されます。

      2. directaccess-corpconnectivityhost - localhost (ループバック) アドレスに解決されます。 A レコードと AAAA レコードが作成されます。A レコードは 127.0.0.1 の値を持ち、AAAA レコードは NAT64 プレフィックスと最後の 32 ビットが 127.0.0.1 で構成される値を持ちます。 NAT64 プレフィックスは、コマンドレット get-netnattransitionconfiguration を実行して取得できます。

      HTTP または PING 経由で他の Web アドレスを使用して、追加の接続検証方法を作成できます。 接続検証方法ごとに、DNS エントリが存在している必要があります。

DNS サーバーの要件

  • DirectAccess クライアントの場合は、Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、または IPv6 をサポートする任意の DNS サーバーを実行している DNS サーバーを使用する必要があります。

DirectAccess をデプロイする場合は、Windows Server 2003 を搭載している DNS サーバーは使用しないことをお勧めします。 Windows Server 2003 の DNS サーバーは IPv6 のレコードをサポートしていますが、Microsoft による Windows Server 2003 のサポートは終了しています。 さらに、ファイル レプリケーション サービスでの問題のため、ドメイン コントローラーが Windows Server 2003 を搭載している場合は、DirectAccess をデプロイしないでください。 詳細については、「DirectAccess Unsupported Configurations (DirectAccess のサポートされない構成)」をご覧ください。

ネットワーク ロケーション サーバーを計画する

ネットワーク ロケーション サーバーは、DirectAccess クライアントが企業ネットワークに存在するかどうかを検出するために使用される Web サイトです。 企業ネットワーク内のクライアントは、DirectAccess を使用して内部リソースに到達するのではなく、直接接続します。

作業の開始ウィザードでは、DirectAccess サーバーにネットワーク ロケーション サーバーが自動的に設定され、DirectAccess を展開すると Web サイトが自動的に作成されます。 これにより、証明書インフラストラクチャを使用せずに簡単にインストールできます。

ネットワーク ロケーション サーバーを展開し、自己署名証明書を使用しない場合は、「詳細設定を使用した 単一の DirectAccess サーバーの展開」を参照してください。

Active Directory を計画する

DirectAccess では、次のように Active Directory および Active Directory グループ ポリシー オブジェクトが使用されます。

  • 認証。 Active Directory は認証に使用されます。 DirectAccess トンネルは、ユーザーが内部リソースにアクセスするために Kerberos 認証を使用します。

  • グループ ポリシー オブジェクト。 DirectAccess は、DirectAccess サーバーとクライアントに適用されるグループ ポリシー オブジェクトに構成設定を収集します。

  • セキュリティ グループ。 DirectAccess では、セキュリティ グループを使用して、DirectAccess クライアント コンピューターと DirectAccess サーバーを収集して識別します。 グループ ポリシーは必要なセキュリティ グループに適用されます。

Active Directory の要件

DirectAccess 展開の Active Directory を計画する場合は、次のものが必要です。

  • Windows Server 2016、Windows Server 2012 R2、Windows Server 2012、Windows Server 2008 R2、または Windows Server 2008 に少なくとも 1 つのドメイン コントローラーがインストールされています。

    ドメイン コントローラーが境界ネットワーク上にある場合 (したがって、DirectAccess サーバーのインターネット接続ネットワーク アダプターから到達可能) は、インターネット アダプターの IP アドレスへの接続を防ぐために、ドメイン コントローラーにパケット フィルターを追加して DirectAccess サーバーが到達できないようにします。

  • DirectAccess サーバーはドメイン メンバーである必要があります。

  • DirectAccess クライアントは、ドメイン メンバーである必要があります。 クライアントは次に所属することができます。

    • DirectAccess サーバーと同じフォレスト内の任意のドメイン。

    • DirectAccess サーバー ドメインと双方向の信頼関係がある任意のドメイン。

    • DirectAccess ドメインが所属するフォレストと双方向の信頼関係があるフォレスト内の任意のドメイン。

  • DirectAccess サーバーはドメイン コントローラーになることができません。
  • DirectAccess に使用される Active Directory ドメイン コントローラーは、DirectAccess サーバーの外部インターネット アダプターから到達できません (アダプターが Windows ファイアウォールのドメイン プロファイルに含まれていない必要があります)。

グループ ポリシー オブジェクトを計画する

DirectAccess の構成時に構成された DirectAccess 設定は、グループ ポリシー オブジェクト (GPO) に収集されます。 2 つの異なる GPO に DirectAccess 設定が設定され、次のように配布されます。

  • DirectAccess クライアント GPO. この GPO には、IPv6 移行テクノロジ設定、NRPT エントリ、セキュリティが強化された Windows ファイアウォール接続セキュリティの規則を含むクライアント設定が含まれます。 この GPO は、クライアント コンピューターに対して指定されたセキュリティ グループに適用されます。

  • DirectAccess サーバー GPO。 この GPO には、展開で DirectAccess サーバーとして構成されたすべてのサーバーに適用される DirectAccess 構成設定が含まれています。 また、セキュリティが強化された Windows ファイアウォールの接続セキュリティの規則も含まれます。

GPO は 2 つの方法で構成できます。

  1. 自動。 自動的に作成されるように指定できます。 各 GPO には既定の名前が指定されます。 GPO は、作業の開始ウィザードによって自動的に作成されます。

  2. 手動。 Active Directory 管理者によって事前に定義されている GPO を使用できます。

特定の GPO を使用するように DirectAccess をいったん構成してしまうと、別の GPO の使用を構成できなくなることに注意してください。

重要

GPO を自動的に使用するか手動で構成するかに関係なく、クライアントが 3G を使用する場合は、低速リンク検出のポリシーを追加する必要があります。 ポリシーのグループ ポリシー パス : グループ ポリシーの低速リンク検出の構成 は、 コンピューターの構成/ポリシー/管理用テンプレート/システム/グループ ポリシーです

注意事項

DirectAccess コマンドレットを実行する前にすべての DirectAccess グループ ポリシー オブジェクトをバックアップするには、次の手順に従います。 DirectAccess 構成のバックアップと復元

自動的に作成された GPO

自動的に作成された GPO を使用するときは、次の点に注意してください。

自動的に作成された GPO は、次に示すように、場所とリンク先のパラメーターに基づいて適用されます。

  • DirectAccess サーバー GPO の場合、場所パラメーターとリンク パラメーターの両方が、DirectAccess サーバーを含むドメインを指します。

  • クライアント GPO が作成されると、場所は GPO の作成先となる単一ドメインに設定されます。 GPO 名は各ドメインで検索され、存在する場合は DirectAccess の設定が読み込まれます。 リンク先は GPO が作成されたドメインのルートに設定されます。 GPO は、クライアント コンピューターを含むドメインごとに作成され、GPO はそれぞれのドメインのルートにリンクされます。

自動的に作成された GPO を使用して DirectAccess 設定を適用する場合、DirectAccess サーバー管理者は次のアクセス許可を必要とします。

  • 各ドメインの GPO 作成アクセス許可。

  • 選択したすべてのクライアント ドメイン ルートのリンク アクセス許可。

  • サーバー GPO ドメイン ルートのリンク アクセス許可。

  • セキュリティの作成、編集、削除、および変更のアクセス許可が GPO には必要です。

  • DirectAccess 管理者は、必要なドメインごとに GPO の読み取りアクセス許可を持っていることをお勧めします。 これにより、DirectAccess は GPO の作成時に重複する名前の GPO が存在しないことを確認できます。

GPO をリンクするための正しいアクセス許可がない場合は、警告が表示されることに注意してください。 DirectAccess 操作は続行されますが、リンクは行われません。 この警告が発行された場合、アクセス許可が後で追加された後でも、リンクは自動的に作成されません。 代わりに、管理者がリンクを手動で作成する必要があります。

手動で作成された GPO

手動で作成された GPO を使用するときは、次の点に注意してください。

  • GPO は、リモート アクセスの概要ウィザードを実行する前に存在する必要があります。

  • 手動で作成された GPO を使用する場合、DirectAccess 管理者が DirectAccess 設定を適用するには、手動で作成された GPO に対する完全な GPO アクセス許可 (編集、削除、セキュリティの変更) が必要です。

  • 手動で作成された GPO を使用しているときは、GPO へのリンクがドメイン全体で検索されます。 GPO がドメイン内でリンクされていない場合は、ドメイン ルート内にリンクが自動的に作成されます。 リンクを作成するために必要なアクセス許可がない場合は、警告が表示されます。

GPO をリンクするための正しいアクセス許可がない場合は、警告が表示されることに注意してください。 DirectAccess 操作は続行されますが、リンクは行われません。 この警告が表示された場合は、後でアクセス許可を追加しても、リンクは自動的には作成されません。 代わりに、管理者がリンクを手動で作成する必要があります。

削除された GPO からの回復

DirectAccess サーバー、クライアント、またはアプリケーション サーバーの GPO が誤って削除され、使用可能なバックアップがない場合は、構成設定を削除して再度構成する必要があります。 バックアップを使用できる場合は、バックアップから GPO を復元できます。

DirectAccess 管理 には、 GPO <GPO 名> が見つかりませんというエラー メッセージが表示されます。 構成設定を削除するには、次の手順に従います。

  1. PowerShell コマンドレット Uninstall-remoteaccess を実行します。

  2. DirectAccess Management を再度開きます。

  3. GPO が見つからないというエラー メッセージが表示されます。 [構成設定の削除] をクリックします。 完了すると、サーバーが未構成の状態に復元されます。