山市良の「企業ユーザーはここに注目しよう!Windows 8.1の新機能」 第5回
Enterpriseエディション限定だがユーザーも管理者も便利に使える
企業内リソースへの自動リモート接続機能「DirectAccess」
2013年10月03日 08時00分更新
Windows Server 2012/Windows 8で要件と展開が大幅に簡素化
DirectAccessは、IPSec(IP Security Architecture)トンネルとIPv6のテクノロジに基づくセキュアなリモートアクセス環境を提供する。
DirectAccessを利用したい場合、企業ネットワーク側には、Active DirectoryドメインとDirectAccessの役割を構成したDirectAccessサーバーを設置する。DirectAccessのセットアップはすべて、Active Directoryのグループポリシーを使って展開されるため、Active Directoryのドメイン環境は必須である。別の観点から言うと、グループポリシーだけでDirectAccessクライアントをセットアップすることができるため、Active Directoryの「オフラインドメイン参加」機能と組み合わせれば、一度も企業内ネットワークに接続していないPCを、社外にある状態のままでドメインメンバーおよびDirectAccessクライアントとしてセットアップし、そのまま企業ネットワークに接続させることも可能である。
DirectAccessはIPv6テクノロジに基づくものだが、だからと言ってクライアントがIPv6でインターネット接続しなければならないというわけではない。実際、ほとんどの企業はまだIPv4でインターネット接続しており、ネイティブなIPv6の導入は進んでいないはずだ。
企業ネットワーク、DirectAccessクライアントの双方がネイティブなIPv6ネットワークに接続していない場合でも、複数のIPv4-IPv6移行テクノロジ(6to4、ISATAP、Teredo、IP-HTTPS)を利用して、IPv6によるDirectAccess接続を確立することができる。ここで個々のIPv6移行テクノロジは説明しないが、NATやファイアウォールの背後で他の方法がブロックされたとしても、最終的にHTTPS(443/TCPポート)のみを使う「IP-HTTPS」で接続できるので、従来のVPNよりも格段に接続性が高い。
DirectAccessの通信イメージ。基本はIPv6によるIPSecトンネルであるが、さまざまなIPv4-IPv6移行テクノロジが実装されており、IPv4ネットワーク上でも接続できる。企業ネットワーク側もネイティブなIPv6ネットワークとの接続は必須ではない
DirectAccessが初めて実装されたのはWindows Server 2008 R2/Windows 7だが、このときはIPv4だけでアクセス可能なリソースにはDirectAccessクライアントから接続できなかった。その後、Windows Server 2012で「NAT64」および「DNS64」が追加されたことにより、IPv4だけのリソースにもアクセスできるようになっている。なお、Windows Server 2008 R2/Windows 7では必須だった「Teredo」(IPv6 over IPv4プロトコルの1つ)は、Windows Server 2012/Windows 8からはオプション扱いとなっており、標準的な展開方法では使われなくなっている。
またWindows Server 2008 R2時点でのDirectAccessは、企業ネットワークのエッジ(境界)へのDirectAccessサーバーの配置、DirectAccessサーバーのネットワークインターフェイスへの連続した2つのパブリックIPv4アドレスの割り当て(Teredoサポートのために必要)、エンタープライズPKI(公開キー基盤)の展開など、導入の敷居が高かった。
こうした点がWindows Server 2012では改善されており、特に、Windows 8以降のDirectAccessクライアントだけを使用する場合は非常に簡単に展開できるようになっている。具体的には、自己署名証明書による展開が可能になったため、エンタープライズPKIが必須ではなくなった。またTeredoがオプション扱いになったので、連続した2つのパブリックIPv4アドレスという要件もなくなった(パブリックIPv4アドレスが1つあればよい)。さらには、DirectAccessサーバーをNATの背後にプライベートIPv4アドレスで配置するというネットワークトポロジも可能になった。NAT64およびDNS64の実装は、アクセス可能な社内リソースの幅を大きく広げている。
なお、Windows Server 2012 R2 PreviewおよびWindows 8.1 Previewへのバージョンアップでは、DirectAccessに関して特筆すべき大きな変更点はないようである。
Windows Server 2012以降、DirectAccessサーバーのセットアップは大幅に簡素化されている。DirectAccessサーバーをNATデバイスの背後に設置することもできるし、Windows 7クライアントが存在しなければ、自動生成される自己署名証明書を用いることでエンタープライズPKIも必須ではなくなる
DirectAccessサーバー/DirectAccessクライアントの設定は、自動生成されるグループポリシーオブジェクトによってサーバーおよびクライアントに展開され、セットアップされる
(→次ページ、“常時接続”のDirectAccessはPCのリモート管理に活用できる)
この連載の記事
-
最終回
ソフトウェア・仮想化
Windows 8.1を持ち歩く「Windows To Go」の活用と注意点 -
第4回
ソフトウェア・仮想化
面倒な操作をなくす!Windows 8.1「自動VPN接続」を使う -
第3回
ソフトウェア・仮想化
Windows 8.1の新しいファイル同期機能「作業フォルダー」 -
第2回
ソフトウェア・仮想化
Win 8.1のBYOD機能「社内参加(Workplace Join)」を使う -
第1回
ソフトウェア・仮想化
Windows 8.1で「クライアントHyper-V」はこう改善された -
ソフトウェア・仮想化
山市良の「企業ユーザーはここに注目しよう!Windows 8.1の新機能」 - この連載の一覧へ
