windows server 2012...
TRANSCRIPT
Windows Server 2012“DirectAccess”で実現する
Work Anywhere シナリオ
アイティデザイン株式会社
知北直宏 (Naohiro Chikita)Microsoft MVP - Directory Services
2
自己紹介
知北直宏(ちきたなおひろ)Twitter: @wanto1101 アイティデザイン株式会社 代表取締役社長 九州発ITPro系コミュニティ「Win.tech.q」代表 福岡でITProやってます。
Active Directory、Hyper-V、Exchange、System Centerその他いろいろの提案・設計・構築・サポートまでなんでも。
大手、地場インテグレーターさんの後方支援など。 Microsoft MVP(Directory Services) MCT、MCSE、MCITPとかいろいろ。 「標準テキスト Windows Server 2008 R2 構築・運用・管理パー
フェクトガイド」という本を書きました。御礼・2012年10月に第8版発売、通算15000部発行
次へ
3
アジェンダ
DirectAccess【ベーシック編】~ これを聞いたら、明日からDirectAccessが使いたくなる! ~
DirectAccess【アドバンス編】~ DirectAccessを本格的に使うときに必要な知識やテクノロジーを解説 ~
まとめ
次へ
4
おことわり
DirectAccessは、 Windows Server 2012 と Windows 8 を組み合わせた構成を中心にお話しします。(クライアントが Windows 7 のときは少し事情が異なります)
次へ
DirectAccess【ベーシック】編
5
6
DirectAccess【ベーシック】編
DirectAccessとは? DirectAccessの新機能 DirectAccessのセットアップ DirectAccessの利用 DirectAccessの管理
次へ
7
DirectAccessとは?
• インターネット接続を使って社内ネットワークに安全にアクセスする仕組みです。• IPv6とIPsecをベースとしたテクノロジーです。• DirectAccessによってネットワークを社外にまで「拡張」することができます。• Windows Server 2008 R2 / Windows 7で実装されました。• 社内にいても、社外にいても、同様に社内リソースにアクセスして仕事ができます。
DirectAccessクライアント
DirectAccessサーバー
ドメインコントローラー
各種社内サーバー
IPv6 + IPsecテクノロジー
次へ
8
VPNとの違い
DirectAccessはVPN(仮想プライベートネットワーク)と用途や目的は似ていますが、次のような違いがあります。
• クライアントの設定が簡単です。(グループポリシーベースの設定)
• インターネットに接続するだけで、自動で社内ネットワークに接続します。(ログオンしていない状態でも接続できます)
• さまざまな方法で接続しようとします。(PPTP/L2TPのような「出張先のホテルから繋がらなかった」ということがありません)
次へ
9
これまでのDirectAccessは。。。
Windows Server 2008 R2 から実装されたDirectAccessですが、次のようにいろいろと敷居が高かったです。。。
• 展開が難しかった。。。(IPv6やPKIとか、いろいろと難しいテクノロジーを理解しないと展開困難)
• パブリックなIPv4アドレスが2つも必要だった。。。(Teredoのため)
• 社内のIPv4機器にアクセスするには追加のシステムが必要だった。。。• 他にもいろいろな制約あり。。。
(配置に制約がある、RRASと共存できないなど、いろいろな仕様的な制約。。。)
次へ
10
DirectAccessの新機能
Windows Server 2012 の DirectAccess にはたくさんの新機能が実装されています!
• 展開が容易になった!(難しいことを理解しなくても展開可能!PKIは必須ではなくなった!)
• パブリックIPv4アドレスの要件が緩和!配置も柔軟に!!• 社内のIPv4デバイスにアクセスできるようになった!• 他にもいろいろな新機能あり!(後半のアドバンス編へつづく)
次へ
11
展開が容易になった!
「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡単にDirectAccessの展開ができるようになりました。
DirectAccessサーバーの自己署名証明書が多用されます。グループポリシーによって自動配布されます。
次へ
12
柔軟な配置が可能になった!
パブリックIPv4アドレスの要件が緩和されました。(パブリックなIPv6なし、非・固定IPv4環境でも展開可能)
DirectAccessサーバーをさまざまな構成で配置できるようになりました。(NATデバイスの背後に配置する、NICを1枚のみで構成する、など3種類)
「作業の開始ウィザード」の中でどの構成かを指定します。
次へ
13
DirectAccessサーバーの構成例1
2枚のNICを持つDirectAccessサーバーを「エッジ」に配置する構成です。 「作業の開始ウィザード」 では「エッジ」と呼びます。 Windows Server 2008 R2 ではこの構成しかできませんでした。
DirectAccessサーバー
社内サーバー
NIC NIC
ここにパブリックIP
を設定
次へ
14
DirectAccessサーバーの構成例2
2枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデバイス(エッジデバイス)の背後に配置する構成です。
「作業の開始ウィザード」 では「エッジデバイスの背後(ネットワークアダプター2つ)」と呼びます。
ここにパブリックIPを設定して、NATでDirectAccessサーバーを公開。
DirectAccessサーバー
社内サーバー
NIC NIC
次へ
15
DirectAccessサーバーの構成例3
1枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデバイス(エッジデバイス)の背後に配置する構成です。
「作業の開始ウィザード」 では「エッジデバイスの背後(ネットワークアダプター1つ)」と呼びます。
ここにパブリックIPを設定して、NATでDirectAccessサーバーを公開。
DirectAccessサーバー
社内サーバー
NIC
次へ
16
DirectAccessのシステム要件1
DirectAccessサーバーの要件• Active Directory に参加していること。• IPv6およびIPv6移行テクノロジーが有効であること。• IPヘルパーサービスが起動していること。• Windowsファイアウォールが動作していること。• ネットワークが「ドメイン」プロファイルであること。• Hyper-V仮想マシンでも大丈夫。
もちろん、 Windows Server 2012 であること!
次へ
17
DirectAccessのシステム要件2
Active Directoryに関する要件• IPv6が有効な次のOSによるドメインコントローラーであること。
Windows Server 2012 Windows Server 2008 R2 Windows Server 2008
• ドメインの機能レベルとフォレストの機能レベルは問いません。
DNSサーバーに関する要件• 次のOSによるDNSサーバーであること。
Windows Server 2012 Windows Server 2008 R2 Windows Server 2008
次へ
18
DirectAccessのシステム要件3
DirectAccessクライアントの要件• Active Directoryに参加していること。• 次のいずれかのOS、エディションであること。
Windows 8 Enterprise Windows 7 Enterprise/Ultimate Windows Server 2012 Windows Server 2008 R2
これら以外のOS、エディションからも接続する必要があれば、DirectAccessサーバーにRRASもセットアップして、VPNもアクセス可能にするといいでしょう。
Windows 7 などをサポートするには「作業の開始ウィザード」だけでは展開できません。
次へ
19
DirectAccessの簡単セットアップ
システム要件を満たした環境を用意します。 パブリックIPアドレスを用意します。 DirectAccessサーバーにDNS名でアクセスできる環境を推奨します。
「DirectAccessおよびVPN(RAS)」の役割サービスを追加します。 「リモートアクセス管理」コンソールを起動して、「作業の開始ウィザード」を
実行します。 必要に応じて追加設定を行います。
次へ
DirectAccessのセットアップ DEMO
21
すでにActive Directoryドメインに参加しているサーバーに、DirectAccessサーバーをセットアップします。
DirectAccessサーバーのNICは1枚のみです。 インターネットからはファイアウォールのNATでアクセスできるようにしています。 インターネット上のDNSサーバーに、DirectAccessサーバーのパブリック名(DNS名)を登録
済みです。
(デモ環境の詳細は次のスライドで)
DEMOの説明
次へ
インターネット
22
1台の Windows Server 2012 Hyper-V 上で次のようなデモ環境が動作しています。 Hyper-Vの仮想スイッチでネットワークを分割しています。 社内ネットワーク
InternetServerDNSサーバーWebサーバー
203.0.113.1/24
DC01Windows Server 2012ドメインコントローラーDNSサーバーDHCPサーバー10.0.0.1/24, IPv6有効
NATルーターDHCPサーバー
Ext:203.0.113.200/24Int:192.168.0.254/24
WIN8-01Windows 8EnterpriseDHCPクライアント
DA01Windows Server 2012DirectAccessサーバー10.0.0.2/24,IPv6有効
家庭内ネットワーク
ファイアウォールExt:203.0.113.100/24
Int:10.0.0.254/24DirectAccessサーバーを「203.0.113.2」で公開
vSwitchHome vSwitchInternet vSwitchCorp
ドメイン名Active Directory : contoso.local社外ドメイン : contoso.com
デモをご覧ください
次へ
23
DirectAccessの利用
Active Directoryに参加しているクライアントPCは、自動的にDirectAccessクライアントの設定がされます。
社外からインターネット接続すると、自動的にDirectAccessによって社内ネットワークに接続することができます。
次へ
24
DirectAccessを介したクライアントPCの管理
管理者は、ユーザーのクライアントPCが社内にあるか、DirectAccessによってインターネット経由で接続しているかを意識することなく、管理を行うことができます。(ユーザーがPCにログオンしている必要もありません。)
次へ
DirectAccessクライアントの利用と管理
DEMO
26
Active Directoryドメインに参加している Windows 8 EnterpriseクライアントPCを、社外(家庭内ネットワーク)に持ち出してみます。
ユーザーは特別な操作をすることなく、社外からDirectAccessで社内ネットワークにアクセスできることをご覧いただきます。
管理者は、ユーザーが社外にいることを意識することなく、クライアントPCの管理操作ができることをご覧いただきます。
DEMOの説明
デモをご覧ください
次へ
27
DirectAccessサーバーの管理
DirectAccessサーバーの管理は、「リモートアクセス管理」コンソールを使って行います。
構成の変更や、接続状況の確認や、レポートの生成が可能です。
次へ
28
DirectAccessのコンポーネント
次の4つのコンポーネントによって構成されています。
• リモートクライアント• リモートアクセスサーバー• インフラストラクチャサーバー• アプリケーションサーバー
次へ
29
DirectAccessの構成の変更
「リモートアクセス管理」コンソールを使って、DirectAccessの構成の変更が可能です。
構成情報はグループポリシーに保存されます。 つまり、クライアントPCへの反映には時間を要
します。(既定では、ドメインコントローラー間で5分、クライアントへは90分)
急ぐときは「 gpupdate /force 」で。
次へ
DirectAccessサーバーの管理 DEMO
31
「リモートアクセス管理」コンソールの基本的な操作をご覧いただきます。 レポートを生成するために、「アカウンティングの構成」を行います。 DirectAccessの構成を変更してみます。
DEMOの説明
デモをご覧ください
次へ
DirectAccess【アドバンス】編
32
33
DirectAccess【アドバンス】編
「作業の開始ウィザード」でなにが起こっている? IPv6移行テクノロジーとは 名前解決ポリシーテーブル(NRPT)とは ネットワークロケーションサーバー(NLS)とは ネットワーク接続状態インジケーター(NCSI)とは HTTPSベースのKerberosプロキシーとは オフラインドメイン参加との併用 DirectAccessの新機能のつづき
次へ
34
「作業の開始ウィザード」でなにが起こっている?
「作業の開始ウィザード」を実行すると、DirectAccessのコンポーネントのセットアップや、DNSへのレコード登録や、次の2つのGPO(グループポリシーオブジェクト)のActive Directoryへの登録などが行われています。
• DirectAccessサーバーの設定• DirectAccessクライアントの設定
次へ
35
「DirectAccessサーバーの設定」GPO
DirectAccessサーバーのWindowsファイアウォール設定などが定義されています。
ドメインにリンクされますが、DirectAccessサーバーのみに適用されるような「セキュリティフィルター処理」が自動設定されます。
次へ
36
「DirectAccessクライアントの設定」GPO
IPSec、名前解決ポリシー、IPv6移行テクノロジーなど、DirectAccessクライアントの動作に関わる各種設定が定義されています。
ドメインにリンクされますが、ノートPCのみに適用されるような「WMIフィルター処理」が自動設定されます。
次へ
37
自動設定されるWMIフィルター
次へ
38
「作業の開始ウィザード」だけではできないこと
「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡単にDirectAccessの展開ができるようになりましたが。。。
次のような構成のときは追加設定(PKI環境構築など)が必要です。 Windows 7クライアントをサポートする 強制トンネリングを行う NAPと統合する 2要素認証を行う
(スマートカードやOTP/ワンタイムパスワードの利用時) その他
次へ
39
IPv6移行テクノロジーってなに?
IPv6に移行するために、IPv4との相互通信を行うための各種テクノロジーです。 DirectAccessはIPv6をベースとしたシステムであるため、IPv6やIPv6移行テクノロジーを使っ
て通信を試みます。
DirectAccessサーバー
社内サーバー
Public IPv6
IPv4Only
PrivateIPv6
ISATAPISATAP
NAT64/DNS64
IP-HTTPS
6to4
IP-HTTPSPrivateIPv4
6to4Public IPv4
Public IPv6
IPv6
IPv4
IPv4
IPv6
IPv4
IPv4IPv4
次へ
40
IP-HTTPSとは
IP-HTTPSとは、IPv6パケットをIPv4でカプセル化するテクノロジーです。 Windows Server 2008 R2まではプライベートIPv4からのアクセス時
にTeredoというIPv6テクノロジーを使っていましたが、WindowsServer 2012では廃止され、IP-HTTPSの利用に置き換わっています。
DirectAccessではIPv6をIPsecで暗号化し、さらにHTTPSで暗号化しています。
Windows Server 2012ではパフォーマンスが向上しています。 認証プロキシーにも対応した模様です。
次へ
41
NAT64/DNS64とは
IPv4のみのデバイスにDirectAccessクライアントがアクセスするためのテクノロジーです。
DirectAccessサーバーで動作している「NAT64」によってIPv6からIPv4へのプロトコル変換が、「DNS64」によって名前解決が行われます。
Windows Server 2008 R2 ではUAG(Forefront Unified Access Gateway)が別途必要でした。
NAT64による変換は一方向(DirectAccessクライアント => IPv4デバイス)であるため、IPv4デバイスからDirectAccessクライアントへの接続、管理などはできません。
次へ
DirectAccessによるIPv4デバイスへのアクセス
DEMO
43
社内ネットワークに配置した、IPv4のみのサーバーへ、社外(家庭内ネットワーク)からDirectAccessで接続してみます。
インターネット
社内ネットワーク
InternetServer
DC01Windows Server 2012ドメインコントローラーDNSサーバーDHCPサーバー10.0.0.1/24, IPv6有効
NATルーター
WIN8-01Windows 8EnterpriseDHCPクライアント
DA01Windows Server 2012DirectAccessサーバー10.0.0.2/24,IPv6有効
家庭内ネットワーク
ファイアウォール
SV01ワークグループ構成Webサーバー10.0.0.3/24,IPv4のみ
DEMOの説明
デモをご覧ください
次へ
44
ファイアウォールで必要な設定
IPv6やIPv6移行テクノロジーを使うために、ファイアウォールでは次のようなポートを許可する必要があります。
DirectAccessサーバーファイアウォール
Destination: IP 50
Destination: UDP 500
Source: UDP 500
Destination: IP 41
Destination: IP 41
Destination: TCP 443
Source: TCP 443
IPv6
6to4
IP-HTTPS
次へ
45
名前解決ポリシーテーブル(NRPT)とは
名前解決ポリシーテーブル(NRPT)とは、DNSの名前空間ごとに使用するDNSサーバーを切り替える仕組みです。
Windows Server 2008 R2 / Windows 7から実装されています。 インターネットでの名前解決と、社内ネットワークでの名前解決を切り替え
ることができます。 「DirectAccessクライアントの設定」GPOで設定されます。 「 Get-DnsClientNrptPolicy 」コマンドレットで設定を確認できます。
次へ
46
名前解決ポリシーテーブル(NRPT)の編集
「DirectAccessクライアントの設定」GPOの次のポリシーに設定されています。
「コンピューターの構成」ー「ポリシー」-「Windowsの設定」-「名前解決ポリシー」
編集は「リモートアクセス管理」コンソールの「インフラストラクチャサーバーのセットアップ」で行いましょう。
次へ
47
ローカル名の優先設定
名前解決ポリシーテーブル(NRPT)から、DirectAccessに関する規則を削除することにより、DirectAccessクライアントはローカル名を優先することができます。
「リモートアクセス管理」コンソールで、「DirectAccessクライアントのセットアップ」で設定を変更する必要があります。
どうなるのか。。。 DirectAccessの「切断」や「接続」ができるようになります。ただし、NRPTから情報が削除されるだけであり、IPsecトンネルは維持したままです。
次へ
48
ネットワークロケーションサーバー(NLS)とは
ネットワークロケーションサーバー(NLS)とは、DirectAccessクライアントが、社内ネットワークに接続しているのか、接続していないのかを判断するための社内サーバーです。
NLSにアクセスできる場合には社内ネットワークに接続していると判断、接続できない場合はDirectAccessでの接続を開始します。
DirectAccessサーバーをセットアップすると、IISも自動セットアップされて、「作業の開始ウィザード」によってDirectAccessサーバー自身がNLSとなります。
「DirectAccessクライアントの設定」GPOで設定されます。 名前解決ポリシーテーブル(NRPT)に除外登録が必要です。
次へ
49
ネットワークロケーションサーバー(NLS)の設定
「DirectAccessクライアントの設定」GPOの次のポリシーで設定。
「コンピューターの構成」-「ポリシー」-「管理用テンプレート」-「ネットワーク」-「ネットワーク接続インジケーター」-「ドメインの場所を特定するURLの指定」
編集は「リモートアクセス管理」コンソールの「インフラストラクチャサーバーのセットアップ」で行いましょう。
次へ
50
ネットワーク接続状態インジケーター(NCSI)とは
ネットワーク接続状態インジケーター(NCSI)とは、DirectAccessクライアントが、社内ネットワークに接続しているのか、インターネットに接続しているのかを判断するための仕組みです。
例えば、次の2つの条件を満たした場合は、インターネットに接続していると判断します。 「http://www.msftncsi.com/ncsi.txt」 へアクセスすると「Microsoft NCSI」という
文字列が返ってくる 「dns.msftncsi.com」のDNS名前解決を要求すると「131.107.255.255」というIP
アドレスが返ってくる
次へ
51
HTTPSベースのKerberosプロキシー機能を実装
Windows Server 2012 の DirectAccess はHTTPSベースのKerberosプロキシー機能を実装しました。これは「作業の開始ウィザード」で自動的に設定されます。
1. DirectAccessクライアントは認証リクエストをDirectAccessサーバーに送信。2. Kerberosプロキシーがドメインコントローラーに認証を転送。3. 認証が完了するとドメインに参加しているサーバーとの通信が可能に。
DirectAccessクライアント
DirectAccessサーバー
ドメインコントローラー
各種社内サーバー
IPv6 テクノロジー
Kerberosプロキシー
次へ
52
DirectAccessクライアントの認証方法の指定
DirectAccessのデフォルトの認証方法はKerberosプロキシーによる、ActiveDirectoryの資格情報によるものです。
コンピューター証明書を用いた認証に変更する場合は、「リモートアクセス管理」コンソールの「構成」-「リモートアクセスサーバー」の「編集」を開いて設定します。
次へ
53
オフラインドメイン参加とは
オフラインドメイン参加とは、ドメインコントローラーと通信できない状態のコンピューターを、ドメインに参加させることができる機能です。
Windows Server 2008 R2 / Windows 7 から実装されました。 ドメインコントローラーで「プロビジョニングデータファイル」を作成し、それを対
象のコンピューターにコピーして、ドメイン参加に利用します。
次へ
54
オフラインドメイン参加とDirectAccessの併用とは
Windows Server 2012 のオフラインドメイン参加では、プロビジョニングデータファイルにDirectAccessに関するグループポリシー設定を含めることができるようになりました。
これにより、社内ネットワークにまったく接続したことがないWindows 8 Enterpriseコンピューターを、オフラインでドメインに参加させ、そのままDirectAccessで社内へアクセスさせることが可能になりました。
次へ
55
オフラインドメイン参加とDirectAccessの併用の流れ
次のような流れで、オフラインドメイン参加とDirectAccessを併用します。
1. ドメインコントローラーでプロビジョニング用のコマンドを実行します。例)Djoin /provision /domain contoso.local /machine WIN8-02 /policynames “DirectAccess クライアントの設定” /rootcacerts /savefile c:¥files¥provision.txt /reuse
2. (必要であれば)DirectAccess用のグループに該当コンピューターをメンバー登録します。3. 上記コマンドで作成したプロビジョニングデータファイルを、該当コンピューターにコピーします。4. 該当コンピューターで次のコマンドを実行します。
例)Djoin /requestodj /loadfile C:¥provision¥provision.txt /windowspath %windir% /localos
5. 該当コンピューターを再起動します。オフラインドメイン参加機能が成功しており、DirectAccessによって、ドメインのユーザーアカウントでログオンできるようになっています。
次へ
オフラインドメイン参加とDirectAccessの併用
DEMO
57
社外にあるドメイン未参加のWindows 8 Enterprise クライアントPCを、オフラインドメイン参加させて、DirectAccessで社内アクセスもさせます。
WIN8-02Windows 8EnterpriseDHCPクライアントワークグループ構成
インターネット
社内ネットワーク
InternetServer
DC01Windows Server 2012ドメインコントローラーDNSサーバーDHCPサーバー10.0.0.1/24, IPv6有効
NATルーター
DA01Windows Server 2012DirectAccessサーバー10.0.0.2/24,IPv6有効
家庭内ネットワーク
ファイアウォール
DEMOの説明
デモをご覧ください
Active Directoryドメイン参加+
DirectAccessクライアン化⇒
次へ
58
DirectAccessの新機能のつづき
負荷分散をサポート(NLBなど) 複数のドメインをサポート マルチサイトをサポート 強制トンネリングの自動サポート 外部管理をサポート(Manage-Out) NAP(IPsec強制)と統合 Server Coreのサポート Windows PowerShellのサポート などなど
次へ
インターネット
社内ネットワーク
インターネット上のサーバー・サービス
社外ネットワーク
59
強制トンネリングの自動サポート
DirectAccessクライアントからのインターネットアクセスも、DirectAccessサーバーを介して社内ネットワーク経由に強制することができます。
「リモートアクセス管理」コンソールの「DirectAccessクライアントのセットアップ」で設定します。
分割トンネリング×
次へ
60
外部管理をサポート(Manage-Out)
DirectAccessクライアントから社内ネットワークへのアクセスは禁止して、管理者がDirectAccessクライアントの管理操作だけを行うことができるようにする展開シナリオです。
「リモートアクセス管理」コンソールの「DirectAccessクライアントのセットアップ」で設定します。
インターネット
ユーザーからの社内アクセスは禁止
×管理アクセス(リモートアクセス、グループポリシー適用、更新プログラム配信など)は許可
○
次へ
61
Windows 7 をDirectAccessクライアントにする際の補足
「リモートアクセス管理」コンソールで「リモートアクセスサーバーのセットアップ」を開いて、Windows 7サポートを有効化。
Windows 7クライアントPCに、「DirectAccess 接続アシスタント 2.0」をセットアップする。http://support.microsoft.com/kb/2666914/ja
次へ
まとめ
62
63
まとめ
DirectAccessは敷居が一気に下がって、展開が本当に簡単になりました。
要件を満たす環境であれば、使わないと損だと思います。 DirectAccessクライアントとなっているコンピューターの盗難、紛失対策と
して、ぜひBitLockerで暗号化するなどの対処を!
次へ
64
ぜひ評価しましょう!
Windows Server 2012 と Windows 8 Enterprise のライセンスやサブスクリプションを持っていればぜひ評価、検証しましょう!
持ってない方は、まずは評価版をダウンロード!
Windows Server 2012 評価版ダウンロードサイトhttp://technet.microsoft.com/ja-jp/evalcenter/hh670538.aspx
Windows 8 Enterprise 評価版ダウンロードサイトhttp://technet.microsoft.com/ja-jp/evalcenter/hh699156.aspx
評価のお供に。http://blogs.technet.com/b/junichia/p/directaccess-vdi-learning-kit.aspx
次へ
65
Q & A
ご清聴ありがとうございました!
知北直宏Twitter: @wanto1101
66
Thank You!