企業内リソースへの自動リモート接続機能「DirectAccess」

2013年10月03日 08時00分更新

文● 山市良

“常時接続”のDirectAccessはPCのリモート管理に活用できる

　従来のVPN接続では、クライアントPCはVPNトンネルを介してリモートのIPサブネット（社内ネットワーク）に接続していた。この場合、接続後のPCは、IPサブネット上にあるほかのサーバーやクライアントPCと同じように双方向で通信が可能だ。これに対してDirectAccessは、クライアントと接続先の社内リソースが個々にIPv6のピア・ツー・ピア通信を行うイメージである。社外からDirectAccessで接続するクライアントPCでは、「名前解決ポリシーテーブル（NRPT）」と呼ばれる規則に基づいて、インターネット上のリソース（公開Webサーバなど）と社内リソースへのアクセスを、DNSサフィックスごとに適切にルーティングする。

　DirectAccessを利用して、企業ネットワーク側からDirectAccessクライアントへの管理用アクセスを許可することもできる。先述したとおり、DirectAccessはクライアントがインターネット接続されていればユーザーのログオン状態に関係なく自動接続されるため、VPNよりもリモート管理に適していると言える。DirectAccessサーバーを、クライアントPCのリモート管理のためだけにセットアップするオプションも用意されている。

　ただし、DirectAccessを介したリモート管理を行う場合は、クライアント側のWindowsファイアウォール（あるいは他社製のパーソナルファイアウォールソフト）を適切に構成しないと、セキュリティが低下してしまうおそれがあるので注意が必要だ。DirectAccessクライアントが社外から企業ネットワークに接続する際、インターネット接続には「パブリック」プロファイルが適用される（NAT経由でインターネット接続している場合はプライベートプロファイルかもしれないが）。パブリックプロファイルは、標準では企業ネットワーク側からの接続をブロックするので、リモート管理に使用するポートやアプリケーションを、Windowsファイアウォールで許可しておかなければならない。

　DirectAccess経由のリモート接続を許可するには、ファイアウォールの受信の規則で「エッジトラバーサルを許可」するよう設定することが必要だ。また、DirectAccess経由ではないインターネット側からの接続をブロックするために、接続元を管理サーバーのIPv6アドレスだけに限定することも重要である。なお、DirectAccessクライアントでWindowsファイアウォールを利用している場合は、DirectAccessクライアント用のグループポリシーオブジェクト(または他のグループポリシーオブジェクト)を使用してファイアウォールの設定を展開することができる。

DirectAccessの接続を介して、社外にあるクライアントPCを企業ネットワーク側からリモート管理する

リモート管理を許可するには、使用する管理アプリケーションに対応したWindowsファイアウォールの許可設定をパブリックプロファイルに対して設定する。「エッジトラバーサルの許可」に加えて、不正なアクセスをブロックするために接続元を限定することも忘れずに

ユーザーにとっても管理者にとっても大きなメリットのある機能

　DirectAccessは、設定から接続までユーザーの手をわずらわせることがなく、社外にあるPCを常に追跡できるため、ユーザーにとっても管理者にとっても導入のメリットは計り知れない。しかし、この機能を利用できるのは「Windowsソフトウェアアシュアランス（Windows SA）」契約を通じて提供される、Enterpriseエディションだけである。

＊　＊　＊　＊　＊

　Windows 8/8.1で、Enterpriseエディションだけに提供されている企業向け機能には次のようなものがある。次回はこの中から「Windows To Go」機能について説明する。

DirectAccess … 今回説明したリモートアクセス機能
BranchCache … ブランチオフィスのネットワークを高速化するキャッシュ機能
AppLocker … グループポリシーを使用して特定のWindowsストア（WinRT）アプリやデスクトップアプリの使用を許可／禁止するセキュリティ機能
VDI対応機能 … Virtual Desktop Access（VDA）ライセンス、仮想デスクトップにおける、RemoteFX 3Dビデオアダプター／RemoteFX USBリダイレクトのサポート（仮想マシン向けのデバイスドライバー）
WinRTアプリのサイドローディング展開 … WinRTアプリをWindowsストアを経由せずに社内展開する機能
Windows To Go … USBデバイス内のインストールイメージを使用してWindows 8/8.1を起動するローミング機能

筆者紹介：山市良（山内和朗）

Windows Server系の書籍、記事、技術文書を得意とするITテクニカルライター。2008年からMicrosoft MVP for Virtual Machineを受賞（Oct 2008 - Sep 2013）。主な著書に「Windows Server 2012テクノロジ入門」（日経BP社、2012年）、「Windows Server仮想化テクノロジ入門」（日経BP社、2011年）、「Windows Server 2008 R2テクノロジ入門」（日経BP社、2009年）。ブログ http://yamanxworld.blogspot.jp/

前へ 1 2 3 次へ

ツイートする

カテゴリートップへ