簡単・安全に社内ネットワークにリモート接続!DirectAccess (基本編)!
みなさん、こんにちは。
Windows 7 の一般発売までいよいよあと 7 日となりましたね。先日秋葉原をブラブラしているといたるところで Windows 7 の CM が流れていたり、目玉機能の紹介ポスターが貼ってあったりと盛り上がっていました。Windows Server 2008 R2 も同時発売ですのでよろしくお願いいたします (笑)
さて、以前 Windows 7 と Windows Server 2008 R2 の連携機能 BranchCache を紹介させていただきましたが、今回は DirectAccess の紹介をしたいと思います。
- DirectAccess って?
社外に持ち出したモバイル PC をインターネットに接続するだけで、社内ネットワークと同様の環境を実現する仕組み。そういわば VPN みたいなリモート接続環境を提供する機能のことです。
- VPN とはここが違う!3 つのポイント
1. インターネットに接続するだけで、自動で社内ネットワークに接続!
2. セットアップは自動で完了!グループポリシーベースの設定!
3. イントラネットへのアクセスとインターネットへのアクセスの分離!
- DirectAccess の接続プロセス
DirectAccess クライアントが社外にいるのか社内にいるのかの確認
DirectAccess クライアントがネットワークに接続されると、管理者が指定したイントラネット Web サーバー*に接続を試みます。Web サイトにアクセスできれば、DirectAccess クライアントは社内ネットワークにいると判断し、DirectAccess の接続プロセスを終了します。つまり、通常の通信を行います。一方、Web サイトにアクセスできなければ、DirectAccess クライアントはインターネットに接続されていると判断し、DirectAccess の接続プロセスを続行します。(*DirectAccess クライアントの位置を確認するための Web サイトを「ネットワークロケーションサーバー」と言います)
DirectAccess サーバーへの接続
DirectAccess クライアントから DirectAccess サーバーに接続します。その際の接続方法は以下の 4 つです。DirectAccess クライアントがインターネットに接続した際に割り振られる IP アドレスによって自動で選択されます。
・IPv6 アドレスが割り振られた場合→IPv6 で接続
・パブリック IPv4 アドレスが割り振られた場合→6to4 で接続
・プライベート IPv4 アドレスが割り振られた場合→Teredo で接続
・ファイアウォールによって、6to4 や Teredo がブロックされている場合
→IP-HTTPS で接続
DirectAccess サーバーに接続後は、DirectAccess クライアントと DirectAccess サーバーが、コンピューター証明書を使用して相互認証を行います。接続が確立すると、Active Directory で適切なアクセス権が設定されているコンピューターやユーザーに DirectAccess を通じて接続を許可します。
- システム要件
Direct Access クライアント:
・Windows 7 Enterprise, Ultimate (ドメイン参加済み)
Direct Access サーバー:
・Windows Server 2008 R2 Standard 以上 (Server Core 不可、NIC が 2 枚以上)
その他の要件
・Windows Server 2008 SP2 以降のドメインコントローラーと DNS が最低 1 台必要 (スマートカード認証を行う場合は、2008 R2 が必要)
・IPv4 の内部ネットワークで利用する場合は、接続サーバーで ISATAP を有効化するか、ネットワーク機器 (NAT-PT) または Unified Access Gateway (UAG) が必要。
いかがでしたでしょうか? Windows Server 2008 R2 + Windows 7 で実現する新機能 DirectAccess を使うと、社外から社内ネットワークに簡単にアクセスすることができます。もちろん通信は IPsec によって暗号化されていますのでセキュリティも確保されています。次回の私の担当では発展編として DirectAccess の設定方法について紹介したいと思います。
マイクロソフト株式会社
竹内宏之
