備忘録なので責任は持ちません。
間違ってたらツッコミをお願いします。
そもそもDirect Accessって何?って人は
こんなエントリ読んでないと思いますが、一応説明しておくと、
Windows 7 と Windows Server 2008 R2 から実装された、
リモートアクセス用の仕組みです。
ただ、クライアントがEnterpriseじゃないと使えないという、
詳しくはこのへん参照。
ITpro-DirectAccessとは
2008 R2で構築する場合には、
NICが2つ以上でグローバルIPを2つ持っていないとダメだったり、
直接外部ネットワークに繋がっていないと設定がややこしかったりで、
2012からは楽になったと聞いたので環境構築してみることにしました。
今回構築した環境は以下のとおり
サーバー
Windows Server 2012 Std(Hyper-V上に構築)クライアント
NIC x 1
ドメインに参加済み
Windows 8 EEDNS
ドメインに参加済み
固定のIPv4アドレス x 1
外部から解決できるよう登録済み
こんな感じの環境です。
参考にしたサイトなんかはこの辺り
Windows Server TechCenter -
Windows Server 2012 “DirectAccess”で実現する Work Anywhere シナリオ
Slideshare -
Direct accessったい 121222
Tech Notes -
Windows Server 2012でDirectAccess【設定編】
インストール作業を進めて行く前にやっておいたほうがいいこと
- AD上でDirect Accessを利用するコンピュータが追加されているセキュリティグループの作成
全部がそうなんだよ!って人は割愛してもいいかと思います。
Slideshareを参考にインストールしていきます。
あ、例によって画面コピーは省略です。
参照先を見てください。
役割と機能の追加は特にハマる要素はなし。
リモートアクセスの構成では
エッジデバイスの背後(ネットワークアダプター1つ)
を、選択してください。
その後完了を押す前に、ウィザード設定を編集するにはここをクリックして
リモートクライアント - 変更
から、対象のクライアントについて
Domain Computers
↓
作成したセキュリティグループ
に変更します。
あとはそのままでも大丈夫です。
(証明書とか変えたい人はここで変えれるらしいけど割愛)
これで元の画面に戻り、完了を押せばあとは勝手に構成が始まります。
ただ、私の時には以下の警告が発生しました。
「RPT エントリには、リモート アクセス サーバーに接続するためにクライアント コンピューターによって使用されるパブリック名が含まれています」
原因不明ですが、特に問題なく稼働しています。
(どこかのタイミングで解消したかも実はわかっていない)
サーバ側の構成はこれで終わりです。
クライアントにいたっては特に作業は不要です。
しばらくすれば勝手にグループポリシーが適用されます。
(急ぐ人はgpupdateとか叩いてください)
ただ、これだけではつながりません。
Firewallの設定が必要です。
通すプロトコルはクライアントの置かれている環境によって異なります。
- クライアントにPublicのIPv6アドレスが設定されている場合
インターネット→サーバ方向
IP:50
UDP:500
サーバ→インターネット方向
UDP:500
- クライアントにPublicのIPv4が設定されている場合
インターネット→サーバ方向
IP:41
サーバ→インターネット方向
IP:41
- クライアントにLocalのIPv4が設定されている場合
(企業は殆どこれに該当かと)
インターネット→サーバ方向
TCP:443
サーバ→インターネット方向
TCP:443
IPv6は自宅では使えるものの、組織のネットワーク上では落とされていたり、
出先では実はまだ使えないなどの、環境要因があるため注意が必要です。
Portの変更は出来ないので、別のサービスで利用している場合には注意が必要です。
特にTCP 443はかぶっていたりする可能性が高いので、
必要であれば別のPublicIPを用意するなどして確保してください。
ちなみに私は1番目と3番目の設定を入れています。
※本当は443は使いたくないのですけど…
TCP:443を利用するIP-HTTPSの場合、2008R2の頃はパフォーマンスに問題がありましたが、
2012からは改善しているようです。
あとは、外に持ちだした端末をネットワークに接続すれば、
勝手につないでくれます。
デフォルトでは「職場の接続」という接続が作成されて接続済みになっているはずです。
接続中 のままである場合には、
Firewallの設定が誤っている可能性が高いです。
見なおしてみてください。
家庭用回線(K社)とレンタルルータでも設定は可能でしたので、
企業ユースであれば問題ないと思います。
一般家庭ではなかなか利用することは無いと思いますが、
SA契約でEEが利用できる場合には、導入してみる価値はあると思います。
Windows7 の場合にはPDF内を参考にしてサポートの有効化と、
端末へのインストール作業を行なってみてください。
ライセンス違反はダメなんだからねッ!