DirectAccess インフラストラクチャを計画した後、基本的な設定を使用して 1 台のサーバーに DirectAccess を展開する次の手順では、作業の開始ウィザードの設定を計画します。
| Task | Description |
|---|---|
| クライアント展開の計画 | 作業の開始ウィザードでは、既定で、WMI フィルターをクライアント設定の GPO に適用して、ドメイン内のすべてのノート PC とノートブック コンピューターに DirectAccess を展開します |
| DirectAccess サーバー展開の計画 | DirectAccess サーバーの展開方法を計画します。 |
クライアント展開の計画
クライアントの展開の計画時には 2 つの決定事項があります。
DirectAccess をモバイル コンピューターのみから使用できるようにするか、すべてのコンピューターから使用できるようにするか
作業の開始ウィザードで DirectAccess クライアントを構成する際に、指定したセキュリティ グループのモバイル コンピューターにのみ、DirectAccess を使用した接続を許可するように選択できます。 アクセスをモバイル コンピューターに制限する場合、DirectAccess によって自動的に WMI フィルターが構成され、DirectAccess クライアント GPO が指定したセキュリティ グループのモバイル コンピューターにのみ適用されるようになります。 DirectAccess 管理者は、この設定を有効にするために、グループ ポリシー WMI フィルターを作成または変更するアクセス許可が必要です。
どのセキュリティ グループに DirectAccess クライアント コンピューターを含めるか
DirectAccess 設定は DirectAccess クライアント GPO に含まれます。 GPO は、作業の開始ウィザードで指定したセキュリティ グループに含まれるコンピューターに適用されます。 サポートされる任意のドメインに含まれるセキュリティ グループを指定できます。 DirectAccess を構成する前に、セキュリティ グループを作成する必要があります。 DirectAccess の展開の完了後、セキュリティ グループにコンピューターを追加できますが、別のドメインに存在するクライアント コンピューターをセキュリティ グループに追加した場合、クライアント GPO はこれらのクライアントに適用されないことに注意してください。 たとえば、ドメイン A に DirectAccess クライアント用の SG1 を作成し、後でドメイン B のクライアントをこのグループに追加した場合、クライアント GPO はドメイン B のクライアントに適用されません。この問題を回避するには、クライアント コンピューターを含むドメインごとに、新しいクライアント セキュリティ グループを作成します。 または新しいセキュリティ グループを作成しない場合は、新しいドメインに対して、新しい GPO の名前で Add-DAClient コマンドレットを実行します。
DirectAccess サーバー展開の計画
DirectAccess サーバーの展開を計画する場合、多くの決定事項があります。
ネットワーク トポロジ - DirectAccess サーバーの展開時に使用可能なトポロジは2つあります。
2 つのアダプター -2 つのネットワーク アダプターを使用すると、1 つのアダプターがインターネットに直接接続し、もう 1 つが内部ネットワークに接続された構成で DirectAccess を設定できます。 または、サーバーをファイアウォールやルーターなどの境界デバイスの内側にインストールします。 この構成では、一方のネットワーク アダプターを境界ネットワークに接続し、他方を内部ネットワークに接続します。
単一のネットワーク アダプター: この構成では、DirectAccess サーバーをファイアウォールやルーターなどの境界デバイスの内側にインストールします。 ネットワーク アダプターは内部ネットワークに接続します。
DirectAccess ウィザード -The ネットワーク アダプターは、DirectAccess サーバーで構成されているネットワーク アダプターを自動的に検出します。 【レビュー】ページから正しいアダプターが選択されていることを確認できます。
PKI が不要なこの展開では、IP-HTTPS 証明書とネットワーク ロケーション サーバーについて、証明書が存在しない場合はウィザードが自動的に自己署名証明書をプロビジョニングし、Kerberos プロキシも自動的に有効化します。 IPv4 のみの環境では、プロトコル変換のために NAT64 と DNS64 も有効になります。 ウィザードで構成の適用が正常に完了したら、[ 閉じる] をクリックします。
Windows 7 クライアント - 作業の開始ウィザードから Windows 7 クライアントのサポートを有効にすることはできません。 これは、詳細セットアップ ウィザードから有効にできます。 詳細については、「詳細設定を使用して単一の DirectAccess サーバーを展開する」を参照してください。
VPN 構成 -DirectAccess を構成する前に、リモート クライアントへの VPN アクセスを提供するかどうかを決定してください。 組織に DirectAccess 接続をサポートしていないクライアント コンピューターがある場合 (管理されていない。または DirectAccess がサポートされていないオペレーティング システムで実行されているため)、VPN アクセスを提供する必要があります。 この作業の開始ウィザードでは、DHCP を使用して VPN IP アドレスの割り当てを構成し、Active Directory を使用して認証される VPN クライアントを構成します。
強制トンネリングを使用する予定がある場合や、今後追加する可能性がある場合は、「詳細設定を使用して単一の DirectAccess サーバーを展開する」を使用して、2 つのトンネル構成を展開する必要があります。 セキュリティ上の注意事項により、単一のトンネル構成での強制トンネリングはサポートされていません。