Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
DirectAccess って知っとぉ?カソウプライベートネットワークっぽいことが      できるったい、これが。                       ‘12/12/15                        @ CLR/H ...
自己紹介   知北直宏(ちきたなおひろ)Twitter: @wanto1101   アイティデザイン株式会社 代表取締役社長   九州発ITPro系コミュニティ「Win.tech.q」代表   福岡でITProば、やりようとですたい。 ...
アジェンダ   DirectAccessってなんね?   DirectAccessの新機能   DirectAccessのセットアップ   DirectAccessの利用   DirectAccessの管理   まとめ       ...
おことわり 12/8(土)に日本マイクロソフト本社で開催された「 Windows  Server 2012 Community Day 」の資料のダイジェスト版やけん。 Windows Server 2012 と Windows 8 を組み...
DirectAccessってなんね?•   インターネット接続を使って社内ネットワークに安全にアクセスする仕組みげな。•   IPv6とIPsecをベースとしたテクノロジーばい。•   DirectAccessによってネットワークを社外にまで「...
VPNとどげん違うとね?DirectAccessはVPN(カソウプライベートネットワーク)と用途や目的は似とっちゃけど、次のような違いがあるったい• クライアントの設定が簡単。  (グループポリシーベースの設定)• インターネットに接続するだけ...
これまでのDirectAccessはどげんやったと?Windows Server 2008 R2 から実装されたDirectAccessやけど、次のようにいろいろと敷居が高かったたい。。。• 展開が難しかった。。。  (IPv6やPKIとか、い...
DirectAccessの新機能ば教えちゃってんWindows Server 2012 の DirectAccess にはたくさんの新機能が実装されたったい!• 展開が容易になった!  (難しいことを理解しなくても展開可能!PKIは必須ではなく...
ほかにどげな新機能があると?   負荷分散をサポート(NLBなど)   複数のドメインをサポート   マルチサイトをサポート   強制トンネリングの自動サポート   外部管理をサポート(Manage-Out)   NAP(IPsec...
展開が容易になったばい!「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡単にDirectAccessの展開ができるようになったっちゃが。       DirectAccessサーバーの自己署名証明書       が多用される...
柔軟な配置が可能になったげな! パブリックIPv4アドレスの要件が緩和されたばい。  (パブリックなIPv6なし、非・固定IPv4環境でも展開可能) DirectAccessサーバーをさまざまな構成で配置できるようになったばい。 (NATデ...
DirectAccessサーバーの構成例1 2枚のNICを持つDirectAccessサーバーを「エッジ」に配置する構成です。 「作業の開始ウィザード」 では「エッジ」と呼びよったい。 Windows Server 2008 R2 ではこ...
DirectAccessサーバーの構成例2 2枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデ  バイス(エッジデバイス)の背後に配置する構成げな。 「作業の開始ウィザード」 では「エッジデバイスの背後(ネッ...
DirectAccessサーバーの構成例3 1枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデ  バイス(エッジデバイス)の背後に配置する構成たい。 「作業の開始ウィザード」 では「エッジデバイスの背後(ネッ...
DirectAccessのシステム要件1DirectAccessサーバーの要件• Active Directory に参加していること。• IPv6およびIPv6移行テクノロジーが有効であること。• IPヘルパーサービスが起動していること。• ...
DirectAccessのシステム要件2Active Directoryに関する要件• IPv6が有効な次のOSによるドメインコントローラーであること。    Windows Server 2012    Windows Server 20...
DirectAccessのシステム要件3DirectAccessクライアントの要件• Active Directoryに参加していること。• 次のいずれかのOS、エディションであること。    Windows 8 Enterprise   ...
DirectAccessの簡単セットアップ システム要件を満たした環境ば用意してね。 パブリックIPアドレスば用意してね。 DirectAccessサーバーにDNS名でアクセスできる環境ば推奨するけん。 「DirectAccessおよび...
DEMODirectAccessのセットアップ   (紙芝居)
DEMOの説明 すでにActive Directoryドメインに参加しているサーバーに、DirectAccessサーバーをセット  アップしとったい。 DirectAccessサーバーのNICは1枚のみげな。 インターネットからはファイア...
社内ネットワーク                               InternetServer                                 DNSサーバー                             ...
DirectAccessサーバー                   22
DirectAccessサーバー                   23
DirectAccessサーバー                   24
DirectAccessサーバー                   25
DirectAccessサーバー                   26
DirectAccessサーバー                   27
DirectAccessサーバー                   28
DirectAccessサーバー                   29
DirectAccessサーバー                   30
DirectAccessサーバー                   31
DirectAccessサーバー                   32
DirectAccessサーバー                   33
DirectAccessサーバー                   34
DirectAccessサーバー                   35
DirectAccessサーバー                   36
DirectAccessサーバー                   37
DirectAccessサーバー                   38
DirectAccessサーバー                   39
DirectAccessサーバー                   40
DirectAccessサーバー                   41
DirectAccessサーバー                   42
DirectAccessサーバー                   43
DirectAccessサーバー                   44
DirectAccessサーバー                   45
DirectAccessサーバー                   46
DirectAccessサーバー                   47
DirectAccessサーバー                   48
DNSサーバー          49
ドメインコントローラー              50
ドメインコントローラー              51
ドメインコントローラー              52
ドメインコントローラー              53
ドメインコントローラー              54
ドメインコントローラー              55
ドメインコントローラー              56
ドメインコントローラー              57
ドメインコントローラー              58
「作業の開始ウィザード」だけではできないこと 「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡  単にDirectAccessの展開ができるようになったっちゃけど。。。 次のような構成のときは追加設定(PKI環境構築など...
DirectAccessの使い方はどげんなっとおとね? Active Directoryに参加  しているクライアントPCは、  自動的にDirectAccessク  ライアントの設定がされるとで  すたい。 社外からインターネット接続  ...
DirectAccessを介したクライアントPCの管理 管理者は、ユーザーのクライアントPCが社内にあるか、DirectAccessに  よってインターネット経由で接続しているかを意識することなく、管理を行う  ことができるけん。  (ユーザ...
DEMODirectAccessクライアントの   (紙芝居)利用と管理
DEMOの説明 Active Directoryドメインに参加している Windows 8 Enterprise  クライアントPCば、社外(家庭内ネットワーク)に持ち出してみるけん。 ユーザーは特別な操作をすることなく、社外からDirec...
DirectAccessクライアント                     ⇒      社内ネットワーク接続時          インターネット経由で                         DirectAccessで接続!    ...
DirectAccessクライアント                     65
DirectAccessクライアント                     66
DirectAccessクライアント・IPCONFIGによるインターフェイスの状態確認Windows IP 構成                                                                  ...
DNSサーバー          68
DirectAccessクライアントから社内のファイルサーバーへアクセス                                       69
DirectAccessクライアントから社内サーバーへリモートデスクトップアクセス                                            70
社内からDirectAccessクライアントへリモートデスクトップアクセス                                        71
まとめ DirectAccessは敷居が一気に下がって、展開が本当に簡単になったの  がわかったちゃない?いいやろ? 要件を満たす環境であれば、使わんと損やなか? DirectAccessクライアントとなっているコンピューターの盗難、紛失...
おしまい知北直宏 @wanto1101  Copyright 2012 ITdesign Corporation ,                                          73           All Right...
Upcoming SlideShare
Loading in …5
×

Direct accessったい 121222

4,646 views

Published on

Published in: Technology
  • Be the first to comment

Direct accessったい 121222

  1. 1. DirectAccess って知っとぉ?カソウプライベートネットワークっぽいことが できるったい、これが。 ‘12/12/15 @ CLR/H アイティデザイン株式会社 知北直宏 Copyright 2012 ITdesign Corporation , All Rights Reserved 1
  2. 2. 自己紹介 知北直宏(ちきたなおひろ)Twitter: @wanto1101 アイティデザイン株式会社 代表取締役社長 九州発ITPro系コミュニティ「Win.tech.q」代表 福岡でITProば、やりようとですたい。 Active Directory、Hyper-V、Exchange、System Center その他いろいろの提案・設計・構築・サポートまでなんでも。 大手、地場インテグレーターさんの後方支援など。 Microsoft MVP(Directory Services) MCT、MCSE、MCITPとかいろいろ。 「標準テキスト Windows Server 2008 R2 構築・運用・管理パー フェクトガイド」という本ば書きました。 御礼・2012年10月に第8版発売、通算15000部発行 次へ 2
  3. 3. アジェンダ DirectAccessってなんね? DirectAccessの新機能 DirectAccessのセットアップ DirectAccessの利用 DirectAccessの管理 まとめ 次へ 3
  4. 4. おことわり 12/8(土)に日本マイクロソフト本社で開催された「 Windows Server 2012 Community Day 」の資料のダイジェスト版やけん。 Windows Server 2012 と Windows 8 を組み合わせた DirectAccess構成ば中心に話すけん。 (クライアントが Windows 7 のときは少し事情が異なるったい) 次へ 4
  5. 5. DirectAccessってなんね?• インターネット接続を使って社内ネットワークに安全にアクセスする仕組みげな。• IPv6とIPsecをベースとしたテクノロジーばい。• DirectAccessによってネットワークを社外にまで「拡張」することができるったい。• Windows Server 2008 R2 / Windows 7で実装されたと。• 社内にいても、社外にいても、同様に社内リソースにアクセスして仕事ができるげな(涙)。 ドメイン コントローラー DirectAccess DirectAccess サーバー クライアント IPv6 + IPsecテクノロジー 各種 社内サーバー 5 次へ
  6. 6. VPNとどげん違うとね?DirectAccessはVPN(カソウプライベートネットワーク)と用途や目的は似とっちゃけど、次のような違いがあるったい• クライアントの設定が簡単。 (グループポリシーベースの設定)• インターネットに接続するだけで、自動で社内ネットワークに接続。 (ログオンしていない状態でも接続できるったい、これが)• なんらやかんやらいろんな方法で接続しようとするったい。 (PPTP/L2TPのような「出張先のホテルから繋がらなかった」ということがなくなるったい) 次へ 6
  7. 7. これまでのDirectAccessはどげんやったと?Windows Server 2008 R2 から実装されたDirectAccessやけど、次のようにいろいろと敷居が高かったたい。。。• 展開が難しかった。。。 (IPv6やPKIとか、いろいろと難しいテクノロジーを理解しないと展開困難)• パブリックなIPv4アドレスが2つも必要だった。。。(Teredoのため)• 社内のIPv4機器にアクセスするには追加のシステムが必要だった。。。• 他にもいろいろな制約あり。。。 (配置に制約がある、RRASと共存できないなど、いろいろな仕様的な制約。。。) 次へ 7
  8. 8. DirectAccessの新機能ば教えちゃってんWindows Server 2012 の DirectAccess にはたくさんの新機能が実装されたったい!• 展開が容易になった! (難しいことを理解しなくても展開可能!PKIは必須ではなくなった!)• パブリックIPv4アドレスの要件が緩和!配置も柔軟に!!• 社内のIPv4デバイスにアクセスできるようになった!• 他にもいろいろな新機能あり! 次へ 8
  9. 9. ほかにどげな新機能があると? 負荷分散をサポート(NLBなど) 複数のドメインをサポート マルチサイトをサポート 強制トンネリングの自動サポート 外部管理をサポート(Manage-Out) NAP(IPsec強制)と統合 Server Coreのサポート Windows PowerShellのサポート などなど 次へ 9
  10. 10. 展開が容易になったばい!「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡単にDirectAccessの展開ができるようになったっちゃが。 DirectAccessサーバーの自己署名証明書 が多用されるよ。 グループポリシーによって自動配布されるげな。 次へ 10
  11. 11. 柔軟な配置が可能になったげな! パブリックIPv4アドレスの要件が緩和されたばい。 (パブリックなIPv6なし、非・固定IPv4環境でも展開可能) DirectAccessサーバーをさまざまな構成で配置できるようになったばい。 (NATデバイスの背後に配置する、NICを1枚のみで構成する、など3種類) 「作業の開始ウィザード」の中でどの構成かを指定するとげな。 次へ 11
  12. 12. DirectAccessサーバーの構成例1 2枚のNICを持つDirectAccessサーバーを「エッジ」に配置する構成です。 「作業の開始ウィザード」 では「エッジ」と呼びよったい。 Windows Server 2008 R2 ではこの構成しかできませんでした。 DirectAccess 社内サーバー サーバー NIC NIC ここに パブリックIP を設定 次へ 12
  13. 13. DirectAccessサーバーの構成例2 2枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデ バイス(エッジデバイス)の背後に配置する構成げな。 「作業の開始ウィザード」 では「エッジデバイスの背後(ネットワークアダプ ター2つ)」と呼ぶげな。 DirectAccess 社内サーバー サーバー NIC NIC ここにパブリックIP を設定して、NAT でDirectAccess サーバーを公開。 次へ 13
  14. 14. DirectAccessサーバーの構成例3 1枚のNICを持つDirectAccessサーバーをファイアウォールなどのNATデ バイス(エッジデバイス)の背後に配置する構成たい。 「作業の開始ウィザード」 では「エッジデバイスの背後(ネットワークアダプ ター1つ)」と呼ぶったい。 DirectAccess 社内サーバー サーバー NIC ここにパブリックIP を設定して、NAT でDirectAccess サーバーを公開。 次へ 14
  15. 15. DirectAccessのシステム要件1DirectAccessサーバーの要件• Active Directory に参加していること。• IPv6およびIPv6移行テクノロジーが有効であること。• IPヘルパーサービスが起動していること。• Windowsファイアウォールが動作していること。• ネットワークが「ドメイン」プロファイルであること。• Hyper-V仮想マシンでも大丈夫。もちろん、 Windows Server 2012 であること! 次へ 15
  16. 16. DirectAccessのシステム要件2Active Directoryに関する要件• IPv6が有効な次のOSによるドメインコントローラーであること。  Windows Server 2012  Windows Server 2008 R2  Windows Server 2008• ドメインの機能レベルとフォレストの機能レベルは問いません。DNSサーバーに関する要件• 次のOSによるDNSサーバーであること。  Windows Server 2012  Windows Server 2008 R2  Windows Server 2008 次へ 16
  17. 17. DirectAccessのシステム要件3DirectAccessクライアントの要件• Active Directoryに参加していること。• 次のいずれかのOS、エディションであること。  Windows 8 Enterprise  Windows 7 Enterprise/Ultimate  Windows Server 2012  Windows Server 2008 R2 これら以外のOS、エディションからも接続する必要があれば、DirectAccessサー バーにRRASもセットアップして、VPNもアクセス可能にしたらよかっちゃない?。 Windows 7 などをサポートするには「作業の開始ウィザード」だけでは展開できけ ん注意して!! 次へ 17
  18. 18. DirectAccessの簡単セットアップ システム要件を満たした環境ば用意してね。 パブリックIPアドレスば用意してね。 DirectAccessサーバーにDNS名でアクセスできる環境ば推奨するけん。 「DirectAccessおよびVPN(RAS)」の役割サービスを追加してん。 「リモートアクセス管理」コンソールを起動して、「作業の開始ウィザード」を 実行してん。 必要に応じて追加設定を行って終わりげな。 次へ 18
  19. 19. DEMODirectAccessのセットアップ (紙芝居)
  20. 20. DEMOの説明 すでにActive Directoryドメインに参加しているサーバーに、DirectAccessサーバーをセット アップしとったい。 DirectAccessサーバーのNICは1枚のみげな。 インターネットからはファイアウォールのNATでアクセスできるようにしとおけん。 インターネット上のDNSサーバーに、DirectAccessサーバーのパブリック名(DNS名)を登 録済みやけん。 (デモ環境の詳細は次のスライドで)20 次へ
  21. 21. 社内ネットワーク InternetServer DNSサーバー DC01 Webサーバー Windows Server 2012 203.0.113.1/24 ドメインコントローラー DNSサーバー 家庭内ネットワーク DHCPサーバー 10.0.0.1/24, IPv6有効WIN8-01 DA01Windows 8 Windows Server 2012Enterprise インターネット DirectAccessサーバーDHCPクライアント 10.0.0.2/24,IPv6有効 NATルーター ファイアウォール DHCPサーバー Ext:203.0.113.100/24 Ext:203.0.113.200/24 Int:10.0.0.254/24 Int:192.168.0.254/24 DirectAccessサーバーを ドメイン名 「203.0.113.2」で公開 Active Directory : デモを contoso.local ご覧ください 社外ドメイン : contoso.com 21 次へ
  22. 22. DirectAccessサーバー 22
  23. 23. DirectAccessサーバー 23
  24. 24. DirectAccessサーバー 24
  25. 25. DirectAccessサーバー 25
  26. 26. DirectAccessサーバー 26
  27. 27. DirectAccessサーバー 27
  28. 28. DirectAccessサーバー 28
  29. 29. DirectAccessサーバー 29
  30. 30. DirectAccessサーバー 30
  31. 31. DirectAccessサーバー 31
  32. 32. DirectAccessサーバー 32
  33. 33. DirectAccessサーバー 33
  34. 34. DirectAccessサーバー 34
  35. 35. DirectAccessサーバー 35
  36. 36. DirectAccessサーバー 36
  37. 37. DirectAccessサーバー 37
  38. 38. DirectAccessサーバー 38
  39. 39. DirectAccessサーバー 39
  40. 40. DirectAccessサーバー 40
  41. 41. DirectAccessサーバー 41
  42. 42. DirectAccessサーバー 42
  43. 43. DirectAccessサーバー 43
  44. 44. DirectAccessサーバー 44
  45. 45. DirectAccessサーバー 45
  46. 46. DirectAccessサーバー 46
  47. 47. DirectAccessサーバー 47
  48. 48. DirectAccessサーバー 48
  49. 49. DNSサーバー 49
  50. 50. ドメインコントローラー 50
  51. 51. ドメインコントローラー 51
  52. 52. ドメインコントローラー 52
  53. 53. ドメインコントローラー 53
  54. 54. ドメインコントローラー 54
  55. 55. ドメインコントローラー 55
  56. 56. ドメインコントローラー 56
  57. 57. ドメインコントローラー 57
  58. 58. ドメインコントローラー 58
  59. 59. 「作業の開始ウィザード」だけではできないこと 「作業の開始ウィザード」を実行して、ほんの少しの設定を行うだけで、簡 単にDirectAccessの展開ができるようになったっちゃけど。。。 次のような構成のときは追加設定(PKI環境構築など)が必要やけん。  Windows 7クライアントをサポートする  強制トンネリングを行う  NAPと統合する  2要素認証を行う (スマートカードやOTP/ワンタイムパスワードの利用時)  その他 次へ 59
  60. 60. DirectAccessの使い方はどげんなっとおとね? Active Directoryに参加 しているクライアントPCは、 自動的にDirectAccessク ライアントの設定がされるとで すたい。 社外からインターネット接続 すると、自動的に DirectAccessによって社内 ネットワークに接続することが できるけん。 次へ 60
  61. 61. DirectAccessを介したクライアントPCの管理 管理者は、ユーザーのクライアントPCが社内にあるか、DirectAccessに よってインターネット経由で接続しているかを意識することなく、管理を行う ことができるけん。 (ユーザーがPCにログオンしている必要もないけん。) 次へ 61
  62. 62. DEMODirectAccessクライアントの (紙芝居)利用と管理
  63. 63. DEMOの説明 Active Directoryドメインに参加している Windows 8 Enterprise クライアントPCば、社外(家庭内ネットワーク)に持ち出してみるけん。 ユーザーは特別な操作をすることなく、社外からDirectAccessで社内 ネットワークにアクセスできることを見ちゃってん。 管理者は、ユーザーが社外にいることを意識することなく、クライアントPC の管理操作ができることも見ちゃってん。 デモを ご覧ください 63 次へ
  64. 64. DirectAccessクライアント ⇒ 社内ネットワーク接続時 インターネット経由で DirectAccessで接続! 64
  65. 65. DirectAccessクライアント 65
  66. 66. DirectAccessクライアント 66
  67. 67. DirectAccessクライアント・IPCONFIGによるインターフェイスの状態確認Windows IP 構成 Windows IP 構成イーサネット アダプター イーサネット: イーサネット アダプター イーサネット: 接続固有の DNS サフィックス . . . . .: contoso.local 接続固有の DNS サフィックス . . . . .: リンクローカル IPv6 アドレス. . . . .: fe80::b0dd:1605:3462:32d0%13 リンクローカル IPv6 アドレス. . . . .: fe80::b0dd:1605:3462:32d0%13 IPv4 アドレス . . . . . . . . . . . .: 10.0.0.154 IPv4 アドレス . . . . . . . . . . . .: 192.168.0.19 サブネット マスク . . . . . . . . . .: 255.255.255.0 サブネット マスク . . . . . . . . . .: 255.255.255.0 ⇒ デフォルト ゲートウェイ . . . . . . .: 10.0.0.254 デフォルト ゲートウェイ . . . . . . .: 192.168.0.254Tunnel adapter ローカル エリア接続* 11: Tunnel adapter isatap.{BAB6C200-0A52-4AE4-BA87-C935653C81CF}: メディアの状態. . . . . . . . . . . .: メディアは接続されていません メディアの状態. . . . . . . . . . . .: メディアは接続されていません 接続固有の DNS サフィックス . . . . .: 接続固有の DNS サフィックス . . . . .:Tunnel adapter isatap.contoso.local: Tunnel adapter ローカル エリア接続* 11: メディアの状態. . . . . . . . . . . .: メディアは接続されていません メディアの状態. . . . . . . . . . . .: メディアは接続されていません 接続固有の DNS サフィックス . . . . .: contoso.local 接続固有の DNS サフィックス . . . . .:Tunnel adapter iphttpsinterface: Tunnel adapter iphttpsinterface: メディアの状態. . . . . . . . . . . .: メディアは接続されていません 接続固有の DNS サフィックス . . . . .: 接続固有の DNS サフィックス . . . . .: IPv6 アドレス . . . . . . . . . . . .: fd72:c435:5cf8:1000:b838:1cbb:629e:a7ae 一時 IPv6 アドレス. . . . . . . . . .: fd72:c435:5cf8:1000:9169:b910:894d:be29 リンクローカル IPv6 アドレス. . . . .: fe80::b838:1cbb:629e:a7ae%22 デフォルト ゲートウェイ . . . . . . .: 社内ネットワーク接続時 DirectAccess接続時 67
  68. 68. DNSサーバー 68
  69. 69. DirectAccessクライアントから社内のファイルサーバーへアクセス 69
  70. 70. DirectAccessクライアントから社内サーバーへリモートデスクトップアクセス 70
  71. 71. 社内からDirectAccessクライアントへリモートデスクトップアクセス 71
  72. 72. まとめ DirectAccessは敷居が一気に下がって、展開が本当に簡単になったの がわかったちゃない?いいやろ? 要件を満たす環境であれば、使わんと損やなか? DirectAccessクライアントとなっているコンピューターの盗難、紛失対策と して、ぜひBitLockerで暗号化するなどの対処をせんといかんよ! 次へ 72
  73. 73. おしまい知北直宏 @wanto1101 Copyright 2012 ITdesign Corporation , 73 All Rights Reserved

×