自己紹介 知北直宏 ( ちきたなおひろ アイティデザイン株式会社代表取締役社長 九州発 ITPro 系コミュニティ Win.tech.q 代表 福岡で ITPro やってます Active Directory Hyper-V Exchange System

Windows Server 2012

“DirectAccess”で実現する

Work Anywhere シナリオ

アイティデザイン株式会社

知北直宏 (Naohiro Chikita)

2

自己紹介

 知北直宏（ちきたなおひろ）Twitter: @wanto1101  アイティデザイン株式会社 代表取締役社長  九州発ITPro系コミュニティ「Win.tech.q」代表  福岡でITProやってます。

Active Directory、Hyper-V、Exchange、System Center その他いろいろの提案・設計・構築・サポートまでなんでも。

大手、地場インテグレーターさんの後方支援など。  Microsoft MVP(Directory Services)

 MCT、MCSE、MCITPとかいろいろ。

 「標準テキスト Windows Server 2008 R2 構築・運用・管理パー フェクトガイド」という本を書きました。

アジェンダ

 DirectAccess【ベーシック編】 ~ これを聞いたら、明日からDirectAccessが使いたくなる！ ~  DirectAccess【アドバンス編】 ~ DirectAccessを本格的に使うときに必要な知識やテクノロジーを解説 ~  まとめ

4

おことわり

 DirectAccessは、 Windows Server 2012 と Windows 8 を組 み合わせた構成を中心にお話しします。

（クライアントが Windows 7 のときは少し事情が異なります）

6

DirectAccess【ベーシック】編

 DirectAccessとは？  DirectAccessの新機能  DirectAccessのセットアップ  DirectAccessの利用  DirectAccessの管理 次へ

DirectAccessとは？

• インターネット接続を使って社内ネットワークに安全にアクセスする仕組みです。

• IPv6とIPsecをベースとしたテクノロジーです。

• DirectAccessによってネットワークを社外にまで「拡張」することができます。

• Windows Server 2008 R2 / Windows 7で実装されました。

• 社内にいても、社外にいても、同様に社内リソースにアクセスして仕事ができます。 DirectAccess クライアント DirectAccess サーバー ドメイン コントローラー 各種 IPv6 + IPsecテクノロジー

8

VPNとの違い

DirectAccessはVPN（仮想プライベートネットワーク）と用途や目的は似 ていますが、次のような違いがあります。 • クライアントの設定が簡単です。 （グループポリシーベースの設定） • インターネットに接続するだけで、自動で社内ネットワークに接続します。 （ログオンしていない状態でも接続できます） • さまざまな方法で接続しようとします。 （PPTP/L2TPのような「出張先のホテルから繋がらなかった」ということがありません） 次へ

これまでのDirectAccessは。。。

Windows Server 2008 R2 から実装されたDirectAccessですが、次の ようにいろいろと敷居が高かったです。。。 • 展開が難しかった。。。 （IPv6やPKIとか、いろいろと難しいテクノロジーを理解しないと展開困難） • パブリックなIPv4アドレスが2つも必要だった。。。（Teredoのため） • 社内のIPv4機器にアクセスするには追加のシステムが必要だった。。。 • 他にもいろいろな制約あり。。。 （配置に制約がある、RRASと共存できないなど、いろいろな仕様的な制約。。。）

10

DirectAccessの新機能

Windows Server 2012 の DirectAccess にはたくさんの新機能が実 装されています！ • 展開が容易になった！ （難しいことを理解しなくても展開可能！PKIは必須ではなくなった！） • パブリックIPv4アドレスの要件が緩和！配置も柔軟に！！ • 社内のIPv4デバイスにアクセスできるようになった！ • 他にもいろいろな新機能あり！（後半のアドバンス編へつづく） 次へ

展開が容易になった！

「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡単に DirectAccessの展開ができるようになりました。 DirectAccessサーバーの自己署名証明書 が多用されます。 グループポリシーによって自動配布されます。

12

柔軟な配置が可能になった！

 パブリックIPv4アドレスの要件が緩和されました。 （パブリックなIPv6なし、非・固定IPv4環境でも展開可能）  DirectAccessサーバーをさまざまな構成で配置できるようになりました。 （NATデバイスの背後に配置する、NICを1枚のみで構成する、など3種類）  「作業の開始ウィザード」の中でどの構成かを指定します。 次へ

DirectAccessサーバーの構成例1

 2枚のNICを持つDirectAccessサーバーを「エッジ」に配置する構成です。  「作業の開始ウィザード」 では「エッジ」と呼びます。  Windows Server 2008 R2 ではこの構成しかできませんでした。 DirectAccess サーバー 社内サーバー NIC NIC ここに パブリックIP を設定

14

DirectAccessサーバーの構成例2

 2枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデ バイス（エッジデバイス）の背後に配置する構成です。  「作業の開始ウィザード」 では「エッジデバイスの背後（ネットワークアダプ ター2つ）」と呼びます。 ここにパブリックIP を設定して、NAT でDirectAccess サーバーを公開。 DirectAccess サーバー 社内サーバー NIC NIC 次へ

DirectAccessサーバーの構成例3

 1枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデ バイス（エッジデバイス）の背後に配置する構成です。  「作業の開始ウィザード」 では「エッジデバイスの背後（ネットワークアダプ ター1つ）」と呼びます。 ここにパブリックIP を設定して、NAT でDirectAccess DirectAccess サーバー 社内サーバー NIC

16

DirectAccessのシステム要件1

DirectAccessサーバーの要件 • Active Directory に参加していること。 • IPv6およびIPv6移行テクノロジーが有効であること。 • IPヘルパーサービスが起動していること。 • Windowsファイアウォールが動作していること。 • ネットワークが「ドメイン」プロファイルであること。 • Hyper-V仮想マシンでも大丈夫。 もちろん、 Windows Server 2012 であること！ 次へ

DirectAccessのシステム要件2

Active Directoryに関する要件 • IPv6が有効な次のOSによるドメインコントローラーであること。  Windows Server 2012  Windows Server 2008 R2  Windows Server 2008 • ドメインの機能レベルとフォレストの機能レベルは問いません。 DNSサーバーに関する要件 • 次のOSによるDNSサーバーであること。  Windows Server 2012  Windows Server 2008 R2  Windows Server 2008

18

DirectAccessのシステム要件3

DirectAccessクライアントの要件 • Active Directoryに参加していること。 • 次のいずれかのOS、エディションであること。  Windows 8 Enterprise  Windows 7 Enterprise/Ultimate  Windows Server 2012  Windows Server 2008 R2  これら以外のOS、エディションからも接続する必要があれば、DirectAccessサー バーにRRASもセットアップして、VPNもアクセス可能にするといいでしょう。  Windows 7 などをサポートするには「作業の開始ウィザード」だけでは展開できま せん。 次へ

DirectAccessの簡単セットアップ

 システム要件を満たした環境を用意します。  パブリックIPアドレスを用意します。  DirectAccessサーバーにDNS名でアクセスできる環境を推奨します。  「DirectAccessおよびVPN（RAS）」の役割サービスを追加します。  「リモートアクセス管理」コンソールを起動して、「作業の開始ウィザード」を 実行します。  必要に応じて追加設定を行います。

 すでにActive Directoryドメインに参加しているサーバーに、DirectAccessサーバーをセット アップします。  DirectAccessサーバーのNICは1枚のみです。  インターネットからはファイアウォールのNATでアクセスできるようにしています。  インターネット上のDNSサーバーに、DirectAccessサーバーのパブリック名（DNS名）を登録 済みです。 （デモ環境の詳細は次のスライドで） DEMOの説明

インターネット

22

 1台の Windows Server 2012 Hyper-V 上で次のようなデモ環境が動作しています。

 Hyper-Vの仮想スイッチでネットワークを分割しています。 社内ネットワーク InternetServer DNSサーバー Webサーバー 203.0.113.1/24 DC01 Windows Server 2012 ドメインコントローラー DNSサーバー DHCPサーバー 10.0.0.1/24, IPv6有効 NATルーター DHCPサーバー Ext:203.0.113.200/24 Int:192.168.0.254/24 WIN8-01 Windows 8 Enterprise DHCPクライアント DA01 Windows Server 2012 DirectAccessサーバー 10.0.0.2/24,IPv6有効 家庭内ネットワーク ファイアウォール Ext:203.0.113.100/24 Int:10.0.0.254/24 DirectAccessサーバーを 「203.0.113.2」で公開

vSwitchHome vSwitchInternet vSwitchCorp

ドメイン名

Active Directory ： contoso.local 社外ドメイン ： contoso.com

デモを ご覧ください

DirectAccessの利用

 Active Directoryに参加し ているクライアントPCは、 自動的にDirectAccessクラ イアントの設定がされます。  社外からインターネット接続す ると、自動的に DirectAccessによって社内 ネットワークに接続することが できます。

24

DirectAccessを介したクライアントPCの管理

 管理者は、ユーザーのクライアントPCが社内にあるか、DirectAccessに よってインターネット経由で接続しているかを意識することなく、管理を行う ことができます。 （ユーザーがPCにログオンしている必要もありません。） 次へ

DirectAccessクライアントの

26

 Active Directoryドメインに参加している Windows 8 Enterprise クライアントPCを、社外（家庭内ネットワーク）に持ち出してみます。  ユーザーは特別な操作をすることなく、社外からDirectAccessで社内 ネットワークにアクセスできることをご覧いただきます。  管理者は、ユーザーが社外にいることを意識することなく、クライアントPCの 管理操作ができることをご覧いただきます。 DEMOの説明 デモを ご覧ください 次へ

DirectAccessサーバーの管理

 DirectAccessサーバーの管 理は、「リモートアクセス管理」コ ンソールを使って行います。  構成の変更や、接続状況の確 認や、レポートの生成が可能で す。

28

DirectAccessのコンポーネント

次の4つのコンポーネントによって 構成されています。 • リモートクライアント • リモートアクセスサーバー • インフラストラクチャサーバー • アプリケーションサーバー 次へ

DirectAccessの構成の変更

 「リモートアクセス管理」コンソールを使って、 DirectAccessの構成の変更が可能です。  構成情報はグループポリシーに保存されます。  つまり、クライアントPCへの反映には時間を要 します。 （既定では、ドメインコントローラー間で5分、 クライアントへは90分）  急ぐときは「 gpupdate /force 」で。

 「リモートアクセス管理」コンソールの基本的な操作をご覧いただきます。  レポートを生成するために、「アカウンティングの構成」を行います。  DirectAccessの構成を変更してみます。 DEMOの説明 デモを ご覧ください

DirectAccess【アドバンス】編

DirectAccess【アドバンス】編

 「作業の開始ウィザード」でなにが起こっている？  IPv6移行テクノロジーとは  名前解決ポリシーテーブル（NRPT）とは  ネットワークロケーションサーバー（NLS）とは  ネットワーク接続状態インジケーター（NCSI）とは  HTTPSベースのKerberosプロキシーとは  オフラインドメイン参加との併用  DirectAccessの新機能のつづき

34

「作業の開始ウィザード」でなにが起こっている？

「作業の開始ウィザード」を実行すると、DirectAccessのコンポーネントのセッ トアップや、DNSへのレコード登録や、次の2つのGPO（グループポリシーオブ ジェクト）のActive Directoryへの登録などが行われています。 • DirectAccessサーバーの設定 • DirectAccessクライアントの設定 次へ

「DirectAccessサーバーの設定」GPO

 DirectAccessサーバーの Windowsファイアウォール設 定などが定義されています。  ドメインにリンクされますが、 DirectAccessサーバーのみ に適用されるような「セキュリ ティフィルター処理」が自動設 定されます。

36

「DirectAccessクライアントの設定」GPO

 IPSec、名前解決ポリシー、 IPv6移行テクノロジーなど、 DirectAccessクライアントの動 作に関わる各種設定が定義され ています。  ドメインにリンクされますが、ノート PCのみに適用されるような 「WMIフィルター処理」が自動設 定されます。 次へ

38

「作業の開始ウィザード」だけではできないこと

 「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡 単にDirectAccessの展開ができるようになりましたが。。。  次のような構成のときは追加設定（PKI環境構築など）が必要です。  Windows 7クライアントをサポートする  強制トンネリングを行う  NAPと統合する  2要素認証を行う （スマートカードやOTP/ワンタイムパスワードの利用時）  その他 次へ

IPv6移行テクノロジーってなに？

 IPv6に移行するために、IPv4との相互通信を行うための各種テクノロジーです。  DirectAccessはIPv6をベースとしたシステムであるため、IPv6やIPv6移行テクノロジーを使っ て通信を試みます。 DirectAccess サーバー 社内サーバー Public IPv6 IPv4 Only Private IPv6 ISATAP ISATAP NAT64/ DNS64 IP-HTTPS 6to4 IP-HTTPS Private IPv4 6to4 Public IPv4 Public IPv6 IPv6 IPv4 IPv4 IPv6 IPv4 IPv4 IPv4

40

IP-HTTPSとは

 IP-HTTPSとは、IPv6パケットをIPv4でカプセル化するテクノロジーです。  Windows Server 2008 R2まではプライベートIPv4からのアクセス時

にTeredoというIPv6テクノロジーを使っていましたが、Windows Server 2012では廃止され、IP-HTTPSの利用に置き換わっています。  DirectAccessではIPv6をIPsecで暗号化し、さらにHTTPSで暗号化 しています。  Windows Server 2012ではパフォーマンスが向上しています。  認証プロキシーにも対応した模様です。 次へ

NAT64/DNS64とは

 IPv4のみのデバイスにDirectAccessクライアントがアクセスするためのテク ノロジーです。

 DirectAccessサーバーで動作している「NAT64」によってIPv6からIPv4

へのプロトコル変換が、「DNS64」によって名前解決が行われます。

 Windows Server 2008 R2 ではUAG（Forefront Unified Access Gateway）が別途必要でした。

 NAT64による変換は一方向（DirectAccessクライアント => IPv4デ バイス）であるため、IPv4デバイスからDirectAccessクライアントへの接 続、管理などはできません。

DirectAccessによる

 社内ネットワークに配置した、IPv4のみのサーバーへ、 社外（家庭内ネットワーク）から DirectAccessで接続してみます。 インターネット 社内ネットワーク InternetServer DC01 Windows Server 2012 ドメインコントローラー DNSサーバー DHCPサーバー 10.0.0.1/24, IPv6有効 NATルーター WIN8-01 Windows 8 Enterprise DHCPクライアント DA01 Windows Server 2012 DirectAccessサーバー 10.0.0.2/24,IPv6有効 家庭内ネットワーク ファイアウォール SV01 ワークグループ構成 Webサーバー 10.0.0.3/24,IPv4のみ DEMOの説明 デモを ご覧ください

44

ファイアウォールで必要な設定

 IPv6やIPv6移行テクノロジーを使うために、ファイアウォールでは次のようなポートを許可する必 要があります。 DirectAccess サーバー ファイアウォール Destination: IP 50 Destination: UDP 500 Source: UDP 500 Destination: IP 41 Destination: IP 41 Destination: TCP 443 Source: TCP 443 IPv6 6to4 IP-HTTPS 次へ

名前解決ポリシーテーブル（NRPT）とは

 名前解決ポリシーテーブル（NRPT）とは、DNSの名前空間ごとに使用 するDNSサーバーを切り替える仕組みです。

 Windows Server 2008 R2 / Windows 7から実装されています。  インターネットでの名前解決と、社内ネットワークでの名前解決を切り替え

ることができます。

 「DirectAccessクライアントの設定」GPOで設定されます。

46

名前解決ポリシーテーブル（NRPT）の編集

「DirectAccessクライアントの設 定」GPOの次のポリシーに設定さ れています。 「コンピューターの構成」 ー「ポリシー」 －「Windowsの設定」 －「名前解決ポリシー」 編集は「リモートアクセス管理」コ ンソールの「インフラストラクチャ サーバーのセットアップ」で行いま しょう。 次へ

ローカル名の優先設定

 名前解決ポリシーテーブル（NRPT）から、DirectAccessに関する規則を削除することにより、 DirectAccessクライアントはローカル名を優先することができます。  「リモートアクセス管理」コンソールで、「DirectAccessクライアントのセットアップ」で設定を変更 する必要があります。 どうなるのか。。。 _DirectAccess の「切断」や「接 続」ができるよう になります。 ただし、NRPTか ら情報が削除さ れるだけであり、 IPsecトンネルは 維持したままです。

48

ネットワークロケーションサーバー（NLS）とは

 ネットワークロケーションサーバー（NLS）とは、DirectAccessクライアン トが、社内ネットワークに接続しているのか、接続していないのかを判断す るための社内サーバーです。  NLSにアクセスできる場合には社内ネットワークに接続していると判断、 接続できない場合はDirectAccessでの接続を開始します。  DirectAccessサーバーをセットアップすると、IISも自動セットアップされて、 「作業の開始ウィザード」によってDirectAccessサーバー自身がNLSとな ります。  「DirectAccessクライアントの設定」GPOで設定されます。  名前解決ポリシーテーブル（NRPT）に除外登録が必要です。 次へ

ネットワークロケーションサーバー（NLS）の設定

「DirectAccessクライアントの設定」 GPOの次のポリシーで設定。 「コンピューターの構成」 -「ポリシー」 -「管理用テンプレート」 -「ネットワーク」 -「ネットワーク接続インジケーター」 -「ドメインの場所を特定するURLの指定」 編集は「リモートアクセス管理」コンソー ルの「インフラストラクチャサーバーのセッ トアップ」で行いましょう。

50

ネットワーク接続状態インジケーター（NCSI）とは

 ネットワーク接続状態インジケーター（NCSI）とは、DirectAccessクラ イアントが、社内ネットワークに接続しているのか、インターネットに接続して いるのかを判断するための仕組みです。  例えば、次の2つの条件を満たした場合は、インターネットに接続していると 判断します。

 「http://www.msftncsi.com/ncsi.txt」 へアクセスすると「Microsoft NCSI」という 文字列が返ってくる

 「dns.msftncsi.com」のDNS名前解決を要求すると「131.107.255.255」というIP アドレスが返ってくる

HTTPSベースのKerberosプロキシー機能を実装

Windows Server 2012 の DirectAccess はHTTPSベースのKerberosプロキ シー機能を実装しました。これは「作業の開始ウィザード」で自動的に設定されます。 1. DirectAccessクライアントは認証リクエストをDirectAccessサーバーに送信。 2. Kerberosプロキシーがドメインコントローラーに認証を転送。 3. 認証が完了するとドメインに参加しているサーバーとの通信が可能に。 DirectAccess クライアント DirectAccess サーバー ドメイン コントローラー 各種 IPv6 テクノロジー Kerberos プロキシー

52

DirectAccessクライアントの認証方法の指定

 DirectAccessのデフォルトの認証方法 はKerberosプロキシーによる、Active Directoryの資格情報によるものです。  コンピューター証明書を用いた認証に変 更する場合は、「リモートアクセス管理」コ ンソールの「構成」－「リモートアクセス サーバー」の「編集」を開いて設定します。 次へ

オフラインドメイン参加とは

 オフラインドメイン参加とは、ドメインコントローラーと通信できない状態のコ ンピューターを、ドメインに参加させることができる機能です。

 Windows Server 2008 R2 / Windows 7 から実装されました。

 ドメインコントローラーで「プロビジョニングデータファイル」を作成し、それを対 象のコンピューターにコピーして、ドメイン参加に利用します。

54

オフラインドメイン参加とDirectAccessの併用とは

 Windows Server 2012 のオフラインドメイン参加では、プロビジョニン グデータファイルにDirectAccessに関するグループポリシー設定を含めるこ とができるようになりました。  これにより、社内ネットワークにまったく接続したことがないWindows 8 Enterpriseコンピューターを、オフラインでドメインに参加させ、そのまま DirectAccessで社内へアクセスさせることが可能になりました。 次へ

オフラインドメイン参加とDirectAccessの併用の流れ

 次のような流れで、オフラインドメイン参加とDirectAccessを併用します。

1. ドメインコントローラーでプロビジョニング用のコマンドを実行します。 例）

Djoin /provision /domain contoso.local /machine WIN8-02 /policynames “DirectAccess クライアントの設定” /rootcacerts /savefile c:¥files¥provision.txt /reuse

2. （必要であれば）DirectAccess用のグループに該当コンピューターをメンバー登録します。 3. 上記コマンドで作成したプロビジョニングデータファイルを、該当コンピューターにコピーします。 4. 該当コンピューターで次のコマンドを実行します。

例）

Djoin /requestodj /loadfile C:¥provision¥provision.txt /windowspath %windir% /localos 5. 該当コンピューターを再起動します。オフラインドメイン参加機能が成功しており、

オフラインドメイン参加と

 社外にあるドメイン未参加のWindows 8 Enterprise クライアントPCを、オフラインドメイン参加させて、 DirectAccessで社内アクセスもさせます。 WIN8-02 Windows 8 Enterprise DHCPクライアント ワークグループ構成 インターネット 社内ネットワーク InternetServer DC01 Windows Server 2012 ドメインコントローラー DNSサーバー DHCPサーバー 10.0.0.1/24, IPv6有効 NATルーター DA01 Windows Server 2012 DirectAccessサーバー 10.0.0.2/24,IPv6有効 家庭内ネットワーク ファイアウォール DEMOの説明 デモを ご覧ください Active Directoryドメイン参加 ＋ DirectAccessクライアン化 ⇒

58

DirectAccessの新機能のつづき

 負荷分散をサポート（NLBなど）  複数のドメインをサポート  マルチサイトをサポート  強制トンネリングの自動サポート  外部管理をサポート（Manage-Out）  NAP（IPsec強制）と統合  Server Coreのサポート  Windows PowerShellのサポート  などなど 次へ

インターネット 社内ネットワーク インターネット上の サーバー・サービス 社外ネットワーク

強制トンネリングの自動サポート

 DirectAccessクライアントからの インターネットアクセスも、 DirectAccessサーバーを介して 社内ネットワーク経由に強制する ことができます。  「リモートアクセス管理」コンソール の「DirectAccessクライアントの セットアップ」で設定します。 分割トンネリング

×

60

外部管理をサポート（Manage-Out）

 DirectAccessクライアントから 社内ネットワークへのアクセスは禁 止して、管理者が DirectAccessクライアントの管 理操作だけを行うことができるよう にする展開シナリオです。  「リモートアクセス管理」コンソール の「DirectAccessクライアントの セットアップ」で設定します。 インターネット ユーザーからの社内アクセスは禁止

×

管理アクセス（リモートアクセス、グループ ポリシー適用、更新プログラム配信など） は許可

○

次へ

Windows 7 をDirectAccessクライアントにする際の補足

 「リモートアクセス管理」コンソー ルで「リモートアクセスサーバーの セットアップ」を開いて、 Windows 7サポートを有効化。  Windows 7クライアントPCに、 「DirectAccess 接続アシスタ ント 2.0」をセットアップする。 http://support.microsoft.com/kb/2666914/j a

まとめ

まとめ

 DirectAccessは敷居が一気に下がって、展開が本当に簡単になりまし た。  要件を満たす環境であれば、使わないと損だと思います。  DirectAccessクライアントとなっているコンピューターの盗難、紛失対策と して、ぜひBitLockerで暗号化するなどの対処を！

64

ぜひ評価しましょう！

 Windows Server 2012 と Windows 8 Enterprise のライセンスやサブスクリプションを 持っていればぜひ評価、検証しましょう！  持ってない方は、まずは評価版をダウンロード！ Windows Server 2012 評価版ダウンロードサイト http://technet.microsoft.com/ja-jp/evalcenter/hh670538.aspx Windows 8 Enterprise 評価版ダウンロードサイト http://technet.microsoft.com/ja-jp/evalcenter/hh699156.aspx  評価のお供に。 http://blogs.technet.com/b/junichia/p/directaccess-vdi-learning-kit.aspx 次へ

ご清聴ありがとうございました！

知北直宏

Twitter: @wanto1101

66