DirectAccess機能紹介資料

ＩＴライブラリーより （pdf １００冊）http://itlib1.sakura.ne.jp/

2

他の章は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （pdf １００冊）http://itlib1.sakura.ne.jp/

目次番号 ２７０番 Windows Server Enterprise 2008 R2

完全解説 （再入門 ） 全２６冊

DirectAccess 概要

DirectAccess とは？

動作概要

VPN との比較

3

DirectAccess サーバーDirectAccessクライアント

モバイル PC をインターネットに接続するだけで内部ネットワークと同様の環境を実現する仕組み

DirectAccess の特徴内部ネットワークへの自動接続

IPsec を使った通信の暗号化

持ち出したモバイル PC の管理 (GPO 適用など)

グループポリシーによる設定の自動化

コンピュータ ベースの認証

内部ネットワーク

インターネット

4

① インターネットに接続すると同時に指定された DirectAccess サーバーに接続

② 接続が許可されたモバイル PC であればドメイン コントローラーと認証を実施

③ 認証後、内部ネットワークのサーバーに接続

DirectAccess サーバーDirectAccessクライアント

接続先サーバー

ドメインコントローラー

①②

③

5

VPN DirectAccess

使い勝手

セットアップ △インストール作業が必要

○GPO で自動設定

接続時の操作 △ユーザー ID とパスワードの入力

○インターネット接続時に自動接続

内部ネットワーク接続時のインターネットへの通信

△内部ネットワーク経由でアクセス

(通信速度に影響あり)

○内部ネットワークへの通信と

インターネットへの通信の分離

安全性

通信の暗号化 ○SLL, IPsec で暗号化

○IPsec で暗号化

接続の制限 △ユーザー認証

○ドメイン内のコンピュータだけに

アクセスを制限

その他

外部の PC の管理 × ○内部ネットワークと同様に管理

クライアント OS の要件 ○特に制限なし

△Windows 7 Enterprise, Ultimate

6

Direct Access クライアントWindows 7 Enterprise, Ultimate (ドメイン参加済み)

Direct Access サーバーWindows Server 2008 R2 Standard 以上(Server Core 不可、NIC が 2 枚以上)

その他の要件最低 1 台のWindows Server 2008 SP2 以降のドメイン コントローラーと DNS サーバーが必要(スマートカード認証を行う場合は、2008 R2 が必要)

企業ネットワーク内に CA が必要

IPv4 の内部ネットワークで利用する場合は、接続サーバーで ISATAP を有効化するか、ネットワーク機器 (NAT-PT) が必要

7

意識的に VPN 接続を確立する必要がないため、ユーザーの利便性が向上

インターネットへの通信は、内部ネットワークを経由することなく、ダイレクトに通信可能

接続可能な PC はドメイン参加済み PC に限定されるため、管理性や安全性を確保

DirectAccess サーバーDirectAccessクライアント 内部ネットワーク

インターネット

8

DirectAccess 技術概要

アーキテクチャ

設定方法

9

IPv4 のサーバーに接続する際は、接続先の ISATAP の有効化、またはネットワーク機器 (NAT-PT) が必要

IPsec を利用して外部から接続するサーバーを限定することも可能

通信は IPsec で暗号化

インターネットへの接続と内部ネットワークへの接続を分離

DirectAccess サーバー

インターネット 内部ネットワーク

DirectAccessクライアント

10

接続したインターネットが IPv6 の場合IPv6 で DirectAccess サーバーにアクセス

接続したインターネットが IPv4 の場合パブリック IPv4 アドレス: 6to4

プライベート IPv4 アドレス: Teredo

6to4 と Teredo が利用できない場合: IP-HTTPS

Native IPv6

6to4

Teredo

IP-HTTPSDirectAccess サーバー

DirectAccessクライアント

11

6to4 (RFC: 3056)IPv6 トラフィックを IPv4 でトンネリングする技術

クライアントに割り振られたアドレスが、パブリック IPv4 アドレスの場合に 6to4 を利用

6to4 の IP アドレス2002:<IPv4 アドレス>::<IPv4 アドレス> の形式

IPv4 → 11.12.13.14 の場合、6to4 → 2002:0B0C:0D0E::2002:0B0C:0D0E

DirectAccess サーバー(6to4 Gateway)

6to4クライアント IPv6 端末

12

Teredo (RFC: 4380)IPv6 トラフィックを IPv4 でトンネリングする技術

クライアントに割り振られたアドレスが、プライベート IPv4 アドレスの場合に Teredo を利用

NAT を超えた通信が可能

Teredo の IP アドレス2001:0000:**** の形式

例: 2001:0:53aa:64c:8000:f839:249d:4ffc

DirectAccess サーバー(Teredo リレイ、Teredo サーバー)

Teredoクライアント IPv6 端末

13

IP-HTTPSWindows 7/Windows Server 2008 R2 の新機能

6to4 と Teredo が利用できない場合にのみ利用例: NAT で UDP/3544 がブロックされている場合等

IP-HTTPS のアドレス2002: で始まりIP-HTTPS サーバーのアドレスを含む形式

例: 2002:201:101:2:50d0:854b:f716:f32c

DirectAccess サーバー(IP-HTTPS サーバー)

IP-HTTPSクライアント IPv6 端末

14

内部ネットワークが IPv6 完全対応の場合特別な機器なしで内部ネットワークへの接続が可能

ネットワーク機器や端末含め対応が必要

内部ネットワークが IPv6 未対応の場合接続するサーバーで ISATAP を有効化

NAT-PT を導入して IPv4 への変換を行う

DirectAccess サーバー 接続先のサーバー

Native IPv6

ISATAP

IPv6 → IPv4

15

ISATAP (RFC: 5214)Intra-Site Automatic Tunnel Addressing Protocol

IPv4 の環境下で、IPv6 接続を行う自動トンネル技術

DirectAccess + ISATAPWindows Vista/Windows Server 2008 以降の端末への接続が可能

ネットワーク機器の IPv6 対応は不要

NAT-PT (RFC: 2766)Network Address Translation Protocol translation

IPv6 パケットを IPv4 に変換するハードウェア

16

DirectAccessサーバー

DirectAccessクライアント

ポート/プロトコル 方向

外部ファイアウォール

IPv6 受信、送信

IP プロトコル 50 (ESP) 受信、送信

IP プロトコル 41 (6to4) 受信、送信

UDP 3544 (Teredo) 受信

TCP 443 (IP-HTTPS) 受信

内部ファイアウォール

UDP 500 (IPsec の認証) 受信、送信

IP プロトコル 50 (ESP) 受信、送信

ICMPv6 受信、送信

17

Name Resolution Policy Table (NRPT) DirectAccess クライアントが異なる名前空間に対して定義された DNS サーバーにクエリーを実行

グループ ポリシーで有効/無効の制御が可能

DirectAccessサーバー

DirectAccessクライアント

内部ネットワーク用DNS サーバー

インターネット用DNS サーバー

18

OS の機能「DirectAccess 管理コンソール」追加

19

DirectAccess 管理コンソール全ての設定を終えるとグループ ポリシーが自動作成されドメインにリンクされる

1. DirectAccess クライアントのコンピュータを指定

2. ネットワークと認証に使用する証明書の設定

3. ユーザー認証を行うドメインコントローラの指定

4. End-to-End の認証の設定

20

Unified Access Gateway 連携

DirectAccess サーバーの冗長化構成

IPv4 端末への接続

21

サーバー アプリケーションを社外に安全に公開するアプライアンス サーバー

DirectAccess ＋ Unified Access GatewayDirectAccess サーバーの冗長化

NAT-PT なしで IPv4 端末への接続

Exchange

SharePoint Server

ファイルサーバー など

暗号化通信(HTTPS)

22

DirectAccess サーバーNLB や クラスタによる冗長化構成ができない

DirectAccess サーバー +Unified Access Gateway

DirectAccess サーバーの冗長化構成が可能に

DirectAccessサーバー

DirectAccessクライアント

DirectAccessサーバー

DirectAccessクライアント

23

① x.contoso.com の DNS AAAA クエリを送信

② DNS64 が x.contoso.com の DNS A クエリをDNS サーバーに問い合わせを行う

③ DNS サーバーは DNS A クエリの応答を DAS に送信

④ DNS64 が NAT64 のプレフィックスをつけて結果を送信

NAT64 プレフィックス:2a01:110:6:6:6:6::/96

DNS64

NAT642a01:110:6:6:6:6::192.168.100.2

x.contoso.com192.168.100.2

IPv4端末

DirectAccess サーバー①

②

③

④

24

⑤ 2a01:110:6:6:6:6::192.168.100.2 にパケットを送信

⑥ NAT64 が送信されてきたアドレスの中からIPv4 アドレスを抜き出し、パケットを送信

⑦ IPv4 端末からクライアントへ応答が帰ってくる

NAT64 プレフィックス:2a01:110:6:6:6:6::/96

DNS64

NAT64

x.contoso.com192.168.100.2

IPv4端末

DirectAccess サーバー

⑥

⑦

⑤

25

モバイル PC をインターネットに接続するだけで内部ネットワークと同様の環境を実現する仕組み

IPv6 のテクノロジーを利用インターネットが IPv6 未対応の環境は6to4, Teredo, IP-HTTPS を利用して接続可能

内部ネットワークが IPv6 未対応の場合はISATAP, NAT-PT, UAG を利用して接続可能

DirectAccess サーバーDirectAccessクライアント 内部ネットワーク

インターネット

26

DirectAccess Technical Overviewhttp://go.microsoft.com/fwlink/?LinkId=137754

DirectAccess Executive Overviewhttp://go.microsoft.com/fwlink/?LinkId=137755

Win 7 Networking Executive Overviewhttp://go.microsoft.com/fwlink/?LinkId=137758

Win 7 Networking Enhancements and Enterpriseshttp://go.microsoft.com/fwlink/?LinkId=137759

DirectAccess Early Adopter's Guidehttp://www.microsoft.com/downloads/details.aspx?FamilyID=2fdc531d-9138-454f-a820-78211755b52a&displaylang=en

27

28

他の章は下記をクリックして

ＰＤＦ一覧からお入り下さい。

ＩＴライブラリー （pdf １００冊）http://itlib1.sakura.ne.jp/

目次番号 ２７０番 Windows Server Enterprise 2008 R2

完全解説 （再入門 ） 全２６冊