Windows7ダイレクトアクセス
Windows 7ダイレクトアクセスは、サードパーティのソフトウェアを使用せずにネットワークに安全に直接アクセスできるようにする機能です。
その要件は何ですか?この機能をどのように設定しますか?
DirectAccessの要件
- 2つのネットワークアダプターを備えたWindowsServer 2008 R2を実行している1つ以上のDirectAccessサーバー。1つはインターネットに直接接続され、もう1つはイントラネットに接続されています。
- DirectAccessサーバーで、インターネットに接続されているネットワークアダプターに割り当てられた少なくとも2つの連続したパブリックIPv4アドレス。
- Windows7を実行しているDirectAccessクライアント。
- Windows Server2008またはWindowsServer 2008 R2を実行している少なくとも1つのドメインコントローラーとドメインネームシステム(DNS)サーバー。エンドツーエンドの保護にスマートカードベースの認証が必要な場合は、Windows Server 2008R2でActiveDirectoryドメインサービス(AD DS)を使用する必要があります。
- コンピューター証明書、スマートカード証明書、およびNAPの場合は健康証明書を発行するための公開鍵インフラストラクチャ(PKI)。詳細については、 http://www.Microsoft.com/pki を参照してください。
- トラフィックの保護を指定するIPsecポリシー。詳細については、 http://www.Microsoft.com/ipsec を参照してください。
- DirectAccessサーバーで使用できるIPv6移行テクノロジ:ISATAP、Teredo、および6to4。
この機能はロックに見えます。 SSLVPNの売上が減少するはずです...
DirectAccess(DA)を構成するには、vzczcが提供する回答を参照して、何が必要かを確認できます。システムとインフラストラクチャを配置したら、次のことを行う必要があります。
AD/DNSを準備する
- DAクライアントとなるコンピューターのセキュリティグループを作成する
- イントラネットDAクライアントのネットワークロケーションサーバーのDNSホストレコードを作成します。
- イントラネットで証明書失効リスト(CRL)をホストするサーバーのDNSホストレコードを作成します。
- パブリックDNSで、インターネットベースのDAクライアントのCRLへのアクセスを提供するホストのDNSホストレコードを作成します。
PKI環境を構成します
- CAサーバーの役割を追加/構成する
- CRL配布設定を構成する
- 指定されたイントラネットの場所にCRLを公開します
- 証明書テンプレートを作成し、テンプレートのセキュリティ設定を構成して、認証されたユーザーが証明書を登録できるようにします
- コンピューターの証明書を配布します(これはGPOおよび自動登録を介して行うことができます)
DAクライアントを構成する
- DAクライアントがDA認証に必要なコンピューター証明書を持っていることを確認します
- クライアントがイントラネットリソースに接続できることを確認する
DAサーバーを構成する
- DAサーバーに2つのNIC
- DAサーバーにWebサーバーの役割をインストールします
- CRLをホストする仮想ディレクトリを作成します
- CRLを仮想ディレクトリに公開します
- DA管理コンソール機能のインストール
- DA管理ウィザードを実行してDAを構成します
ネットワークロケーションサーバー機能は、DAクライアントがイントラネット上にあるかどうかを判断するために使用されます。ネットワークロケーションサーバーの応答(または非応答)に応じて、DAクライアントはDAまたは非DA(イントラネット)アクセスに適したプロファイルとルールを確立します。
ネットワークロケーションサーバーはDAサーバー上で実行できます。機能するには、Webサーバーの役割が必要です。