DirectAccess インフラストラクチャを計画した後、基本的な設定を使用して 1 台のサーバーに DirectAccess を展開する次の手順では、作業の開始ウィザードの設定を計画します。
| タスク | 説明 |
|---|---|
| クライアント展開の計画 | 作業の開始ウィザードでは、既定で、WMI フィルターをクライアント設定の GPO に適用して、ドメイン内のすべてのノート PC とノートブック コンピューターに DirectAccess を展開します |
| DirectAccess サーバー展開の計画 | DirectAccess サーバーの展開方法を計画します。 |
クライアント展開の計画
クライアントの展開の計画時には 2 つの決定事項があります。
DirectAccess をモバイル コンピューターのみから使用できるようにするか、すべてのコンピューターから使用できるようにするか
作業の開始ウィザードで DirectAccess クライアントを構成する際に、指定したセキュリティ グループのモバイル コンピューターにのみ、DirectAccess を使用した接続を許可するように選択できます。 アクセスをモバイル コンピューターに制限する場合、DirectAccess によって自動的に WMI フィルターが構成され、DirectAccess クライアント GPO が指定したセキュリティ グループのモバイル コンピューターにのみ適用されるようになります。 DirectAccess 管理者は、この設定を有効にするために、グループ ポリシー WMI フィルターを作成または変更するアクセス許可が必要です。
どのセキュリティ グループに DirectAccess クライアント コンピューターを含めるか
DirectAccess 設定は DirectAccess クライアント GPO に含まれます。 GPO は、作業の開始ウィザードで指定したセキュリティ グループに含まれるコンピューターに適用されます。 サポートされる任意のドメインに含まれるセキュリティ グループを指定できます。 DirectAccess を構成する前に、セキュリティ グループを作成する必要があります。 DirectAccess の展開の完了後、セキュリティ グループにコンピューターを追加できますが、別のドメインに存在するクライアント コンピューターをセキュリティ グループに追加した場合、クライアント GPO はこれらのクライアントに適用されないことに注意してください。 たとえば、ドメイン A に DirectAccess クライアント用の SG1 を作成し、後でドメイン B のクライアントをこのグループに追加した場合、クライアント GPO はドメイン B のクライアントに適用されません。この問題を回避するには、クライアント コンピューターを含むドメインごとに、新しいクライアント セキュリティ グループを作成します。 または新しいセキュリティ グループを作成しない場合は、新しいドメインに対して、新しい GPO の名前で Add-DAClient コマンドレットを実行します。
DirectAccess サーバー展開の計画
DirectAccess サーバーの展開を計画する場合、多くの決定事項があります。
ネットワーク トポロジ: DirectAccess サーバーを展開する場合、2 つのトポロジを使用できます。
2 つのアダプター: 2 つのネットワーク アダプターを使用して、一方のネットワーク アダプターをインターネットに直接接続し、他方を内部ネットワークに接続して DirectAccess を構成できます。 または、サーバーをファイアウォールやルーターなどの境界デバイスの内側にインストールします。 この構成では、一方のネットワーク アダプターを境界ネットワークに接続し、他方を内部ネットワークに接続します。
単一のネットワーク アダプター: この構成では、DirectAccess サーバーをファイアウォールやルーターなどの境界デバイスの内側にインストールします。 ネットワーク アダプターは内部ネットワークに接続します。
ネットワーク アダプター - DirectAccess ウィザードは、DirectAccess サーバー上で構成されたネットワーク アダプターを自動的に検出します。 [確認] ページから正しいアダプターが選択されていることを確認できます。
IP-HTTPS 証明書 - この展開では PKI は必要ないため、ウィザードによって、IP-HTTPS およびネットワーク ロケーション サーバー用の自己署名証明書が自動的にプロビジョニングされ (証明書が存在しない場合)、Kerberos プロキシが自動的に有効になります。 IPv4 のみの環境では、プロトコル変換のために NAT64 と DNS64 も有効になります。 ウィザードによる構成の適用が正常に完了したら、[閉じる] をクリックします。
Windows 7 クライアント - 作業の開始ウィザードから Windows 7 クライアントのサポートを有効にすることはできません。 これは、詳細セットアップ ウィザードから有効にできます。 詳細については、「詳細設定を使用して単一の DirectAccess サーバーを展開する」を参照してください。
VPN 構成 - DirectAccess を構成する前に、VPN アクセスをリモート クライアントに提供するかどうかを決定します。 組織に DirectAccess 接続をサポートしていないクライアント コンピューターがある場合 (管理されていない。または DirectAccess がサポートされていないオペレーティング システムで実行されているため)、VPN アクセスを提供する必要があります。 この作業の開始ウィザードでは、DHCP を使用して VPN IP アドレスの割り当てを構成し、Active Directory を使用して認証される VPN クライアントを構成します。
強制トンネリング - 強制トンネリングを使用する計画がある場合、または今後追加する可能性がある場合は、[詳細設定を使用して単一の DirectAccess サーバーを展開する] を使用して、2 つのトンネル構成を展開する必要があります。 セキュリティ上の注意事項により、単一のトンネル構成での強制トンネリングはサポートされていません。