ステップ2DirectAccess-VPNサーバーを構成する

  • 08/07/2020
  • 5 読むべき分
    • J
    • e
    • j
    • n
    • m
    • +2

適用先:Windows Server(半期チャネル)、Windows Server2016

ここでは、DirectAccessの有効化ウィザードを使用して、基本的なリモートアクセス展開に必要なクライアントとサーバーの設定を構成する方法について説明します。

次の表に、このトピックを使用して完了できる手順の概要を示します。

タスク 説明
DirectAccessクライアントの構成 DirectAccessクライアントを含むセキュリティグループを使用してリモートアクセスサーバーを構成します。
ネットワークトポロジの構成 リモートアクセスサーバーの設定を構成します。
DNSサフィックス検索リストの設定 必要に応じて、サフィックス検索リストを変更します。
GPO構成 必要に応じてGpoを変更します。

DirectAccesの有効化ウィザードを開始するには

  1. サーバーマネージャーで、[ツール]をクリックし、[リモートアクセス]をクリックします。DirectAccessを有効にするウィザードは、この画面を再度表示しないを選択しない限り、自動的に起動します。

  2. ウィザードが自動的に起動しない場合は、ルーティングとリモートアクセスツリーでサーバーノードを右クリックし、DirectAccessを有効にするをクリックします。

  3. [次へ]をクリックします。

DirectAccessクライアントの構成

DirectAccessを使用するようにプロビジョニングするクライアントコンピューターは、選択したセキュリティグループに属している必要が DirectAccessを構成すると、セキュリティグループ内のクライアントコンピューターが、DirectAccessグループポリシーを受信するようにプロビジョニングされます。

  1. [グループの選択]ページで、[追加]をクリックします。

  2. [グループの選択]ダイアログボックスで、DirectAccessクライアントコンピューターを含むセキュリティグループを選択します。

  3. モバイルコンピュータのみが内部ネットワークにアクセスできるようにするには、DirectAccessをモバイルコンピュータのみに有効にするチェックボック

  4. リモートアクセスサーバーを介してすべてのクライアントトラフィックを(内部ネットワークおよびインターネットに)ルーティングするには、[強制トンネリングを使用する]チェックボックスをオンにします。

  5. [次へ]をクリックします。

ネットワークトポロジの構成

リモートアクセスを展開するには、適切なネットワークアダプター、クライアントコンピューターが接続できるリモートアクセスサーバーのパブリックURL(接続先アドレス)、および接続先アドレスと一致するサブジェクトを持つIP-HTTPS証明書を使用してリモートアクセスサーバーを構成する必要があります。

  1. ネットワークトポロジページで、組織で使用される展開トポロジをクリックします。 リモートアクセスサーバーへの接続にクライアントが使用するパブリック名またはIpv4アドレスを入力するには、展開のパブリック名を入力します(こedge1.contoso.com)をクリックし、次へをクリックします。

DNSサフィックス検索リストの設定

DNSクライアントの場合、DNS検索機能を拡張または改訂するDNSドメインサフィックス検索リストを設定できます。 リストに追加の接尾辞を追加することで、指定された複数のDNSドメイン内の短い、修飾されていないコンピュータ名を検索できます。 その後、DNSクエリが失敗した場合、DNSクライアントサービスはこのリストを使用して、元の名前に他の名前接尾辞の末尾を追加し、これらの代替FqdnのDNSサー

  1. DNSクライアントサフィックス検索リストを使用したDirectAccessクライアントの構成を選択して、クライアント名の検索に追加のサフィックスを指定します。

  2. [New Suffix]に新しいサフィックス名を入力し、[Add]をクリックします。 また、検索順序を変更したり、使用するドメイン接尾辞から接尾辞を削除したりすることもできます。

名前空間の不一致のシナリオ(1つ以上のドメインコンピューターに、コンピューターが属するActive Directoryドメインと一致しないDNSサフィックスがある場合)では、必 リモートアクセスウィザードは、既定でActive Directory DNS名をクライアントのプライマリDNSサフィックスとして構成します。 管理者は、クライアントが名前解決に使用するDNSサフィックスを追加するようにする必要があります。

コンピューターとサーバーでは、以下のデフォルトのDNS検索動作が事前に設定され、修飾されていない短い名前を完了して解決するときに使用されます。サフィックス検索リストが空または指定されていない場合、コンピューターのプライマリDNSサフィックスが短い非修飾名に追加され、DNSクエリが結果のFQDNを解決するために使用されます。

このクエリが失敗した場合、コンピューターは、ネットワーク接続用に構成された接続固有のDNSサフィックスを追加することにより、代替Fqdnの追加クエリを試接続固有のサフィックスが構成されていないか、これらの結果として得られる接続固有のFqdnに対するクエリが失敗した場合、クライアントはプライマリサフィックスの体系的な削減(デボルブションとも呼ばれます)に基づいてクエリの再試行を開始できます。

たとえば、プライマリサフィックスが”example.microsoft.com、”委譲プロセスは、短い名前のクエリを再試行することができます”microsoft.com com”のドメインを取得しています。

サフィックス検索リストが空ではなく、少なくとも一つのDNSサフィックスが指定されている場合、短いDNS名を修飾して解決しようとする試みは、指定されたサフィックスリストによって可能になったFqdnのみを検索することに制限されます。

リスト内の各サフィックスを追加して試行した結果として形成されたすべてのFqdnに対するクエリが解決されない場合、クエリプロセスは失敗し、”name not found”

警告

ドメインサフィックスリストが使用されている場合、クエリが応答または解決されない場合でも、クライアントは別のDNSドメイン名に基づ 接尾辞リストのエントリを使用して名前が解決されると、未使用のリストエントリは試行されません。 このため、最初に最も使用されているドメイン接尾辞を持つリストを注文するのが最も効率的です。

ドメイン名サフィックス検索は、DNS名エントリが完全修飾されていない場合にのみ使用されます。 DNS名を完全に修飾するには、末尾のピリオド(.)は、名前の最後に入力されます。

GPOの構成

リモートアクセスを構成すると、DirectAccessの設定がグループポリシーオブジェクト(GPO)に収集されます。

GPO設定では、DirectAccessサーバーのGPO名とクライアントのGPO名が一覧表示されます。 また、GPOの選択設定を変更することもできます。

2つのGpoにDirectAccess設定が自動的に設定され、この方法で配布されます:

  1. DirectAccessクライアントGPO。 このGPOには、Ipv6移行テクノロジの設定、NRPTエントリ、および高度なセキュリティ接続セキュリティルールを持つWindowsファイアウォールなどのクライ GPOは、クライアントコンピューターに指定されたセキュリティグループに適用されます。

  2. DirectAccessサーバー GPO。 このGPOには、展開内のリモートアクセスサーバーとして構成された任意のサーバーに適用されるDirectAccess構成設定が含まれています。 また、高度なセキュリティ接続セキュリティルールを備えたWindowsファイアウォールも含まれています。

概要

リモートアクセスの設定が完了すると、概要が表示されます。 構成された設定を変更するか、[Finish]をクリックして構成を適用できます。

コメントを残す

メールアドレスが公開されることはありません。