ポジショニング
ポイントは非常に簡単です。 DirectAccessセットアップウィザードでDirectAccessを構成する場合、管理者は特定のURL(ネットワークロケーションURL)を設定します(図1を参照)。
このURLは、グループポリシーを介してすべてのDAクライアントに渡され、レジストリキーに保存されます。
HKEY_LOCAL_MACHINE \ソフトウェア\ポリシー\ Microsoft \ Windows \ NetworkConnectivityStatusIndicator \ CorporateConnectivity \ DomainLocationDeterminationUrl
DAクライアントのネットワーク状態が変化するたびに(コンピューターが再起動し、ケーブルがネットワークカードに挿入され、WiFiアダプターがネットワークに接続するなど)、クライアントは指定されたURLを使用してネットワークロケーションサーバー(NLS)と呼ばれるリソースに接続しようとします。 これが成功した場合、DAクライアントは企業ネットワーク上にいると見なし、そうでない場合はインターネット上にいると見なします。 デフォルトでは、DAクライアントは常に自身を企業ネットワークの外側にあると見なします。
より詳細には、手順は次のとおりです。
1.ネットワークロケーションURLで指定された完全修飾ドメイン名(FQDN)が許可されます。
2. 443 TCPポートを介してHTTPS接続が確立されます。
3. NLSサーバーのSSL証明書が検証されます。
4.証明書は、失効したCRL証明書のリストと照合され、その場所はDAクライアント設定で指定されます。
NLSサーバーに正常に接続した後、DAクライアントはドメインコントローラーの検出と認証を試みます。 認証が成功すると、クライアントグリッドはドメインプロファイルに切り替わります。 また、IPsec設定を含むすべてのDirectAccess設定はパブリックおよびプライベートネットワークプロファイルにのみ適用されるため、これらの設定は無効になり、NRPTは無効になり、DAクライアントは他の通常のドメインコンピューターと同様に機能します。
このアルゴリズムからいくつかの重要な結論を引き出すことができます。
1.ネットワークロケーションURLは、内部DNSサーバーによってのみ解決され、外部DNSサーバーによっては解決されません。
2. NLSサーバーとの通信はDAクライアントの場所を決定するために重要であるため、このリソースの十分なレベルの可用性とフォールトトレランスを確保する必要があります。
3.また、CLRの可用性のレベルにも注意する必要があります。
ドメインネットワーク内でDAクライアントがNLSに到達できない場合はどうなりますか? 明らかに、DAクライアントはインターネット上にあると見なし、DAサーバーの外部インターフェイスへのトンネルを確立しようとします。 そして、彼が成功すれば、彼は企業ネットワークの外にいるように、つまりDAサーバーを介して、内部リソースを操作します。 当然、これは不必要なトラフィックを作成し、ネットワークとの対話の速度を低下させます。次に、クライアントはDirectAccessポリシーで許可された内部リソースにのみアクセスします。 DAサーバーの外部インターフェイスに到達できなかった場合、短い名前には、DNS以外のメカニズム(リンクローカルマルチキャスト名前解決またはNetBIOSなど)を使用して解決できる可能性があります。
DirectAccess展開のインフラストラクチャ要件
基本的なDirectAccessメカニズムが確認されたので、テクノロジを展開するためのインフラストラクチャ要件について説明できます。
DAクライアント:
1. Windows 7 UltimateまたはEnterpriseまたはWindows Server 2008 R2
2. Active Directoryドメインメンバー
DAサーバー:
1. Windows Server 2008 R2
2. Active Directoryドメインメンバー
3. 1つはインターネットに、もう1つはイントラネットに接続された少なくとも2つのネットワークアダプター
4.中継技術の正しい運用のための2つの連続したパブリックIPv4アドレス。 具体的には、Teredoテクノロジには2つのIPが必要です。 RFCによれば、それらはシーケンシャルであるべきではありませんが、現在のDirectAccess実装では、要件はそれだけです。
ネットワーク:
1. Active Directory。 Windows Server 2008で少なくとも1つのドメインコントローラー(R2とは限りません)
2.コンピューター証明書を発行するための包括的な公開キー基盤(PKI)。 後者は、トンネルをインストールするときの認証に必要です
3. DAクライアントにアクセスが許可されるデバイスでのIPv6および中継技術のサポート。 Microsoft OSではWindows XP以降にこのようなサポートが登場したことを思い出させてください
DirectAccessの展開
短いビデオを録画し、DirectAccessをセットアップするための基本的な手順を示し、同時にいくつかの技術的なポイントを説明しました。 同時に、PKIの展開など、DirectAccessに直接関係のないすべてのものを背後に残しました。
豊富な情報については、TechNetポータルの該当するセクションを参照してください。
おわりに
最後に、DirectAccessの主な機能の概要をもう一度説明します。 DirectAccessが特定のVPN拡張オプションであるかどうかという用語については、おそらく長い間議論することができます。 私はこの問題についてさまざまな視点に出くわしました。 たとえば、DirectAccessはステロイドのVPNです。 または、VPNは外部から企業ネットワークへのユーザーの一時的なアクセスであり、DirectAccessはリモートユーザーへの外部の内部リソースの継続的な提供です。 しかし、最終的な分析では、これはそれほど重要ではないようです。 内部リソースへのリモートユーザーアクセスを整理する場合、DirectAccessに関する次のことを覚えておくことが重要です。
1. DAは、企業ネットワークへのリモートユーザーの透過的な接続を提供します。 この場合、ユーザー自身からの追加要求はありません。
2.インターネットへの接続(DAサーバーを使用)が表示されるとすぐに、DA接続が自動的に確立および復元されます。
3. DA接続が確立されると、コンピューターとユーザーの両方が認証されます。 DA接続は、管理者が指定した特定のマシンからのみ可能です。
4.デフォルトでは、DAはトラフィック分離を実装します。ローカルリソースへのトラフィックはDAサーバーを経由して企業ネットワークへのトンネルを通過し、外部リソースへのトラフィックは現在のISPプロバイダーを通過してインターネットへ行きます。
5. DAクライアントを使用する場合、(通信がある限り)常に企業ネットワークに接続されるため、DAクライアントは常にITサービスの制御下にあります。
6.これは「MicrosoftのVPNへの次の松葉杖」ではありません:)。 DAはIPv6に基づいています。これには、従来のIPv4 VPNの問題と制限の多くがありません。
おそらくそれだけです。