directaccess 機能紹介資料itlib1.sakura.ne.jp/test380/pdfichuran/0270/0040-direct...①...
TRANSCRIPT
2
他の章は下記をクリックして
PDF一覧からお入り下さい。
ITライブラリー (pdf 100冊)http://itlib1.sakura.ne.jp/
目次番号 270番 Windows Server Enterprise 2008 R2
完全解説 (再入門 ) 全26冊
DirectAccess 概要
DirectAccess とは?
動作概要
VPN との比較
3
DirectAccess サーバーDirectAccessクライアント
モバイル PC をインターネットに接続するだけで内部ネットワークと同様の環境を実現する仕組み
DirectAccess の特徴内部ネットワークへの自動接続
IPsec を使った通信の暗号化
持ち出したモバイル PC の管理 (GPO 適用など)
グループポリシーによる設定の自動化
コンピュータ ベースの認証
内部ネットワーク
インターネット
4
① インターネットに接続すると同時に指定された DirectAccess サーバーに接続
② 接続が許可されたモバイル PC であればドメイン コントローラーと認証を実施
③ 認証後、内部ネットワークのサーバーに接続
DirectAccess サーバーDirectAccessクライアント
接続先サーバー
ドメインコントローラー
①②
③
5
VPN DirectAccess
使い勝手
セットアップ △インストール作業が必要
○GPO で自動設定
接続時の操作 △ユーザー ID とパスワードの入力
○インターネット接続時に自動接続
内部ネットワーク接続時のインターネットへの通信
△内部ネットワーク経由でアクセス
(通信速度に影響あり)
○内部ネットワークへの通信と
インターネットへの通信の分離
安全性
通信の暗号化 ○SLL, IPsec で暗号化
○IPsec で暗号化
接続の制限 △ユーザー認証
○ドメイン内のコンピュータだけに
アクセスを制限
その他
外部の PC の管理 × ○内部ネットワークと同様に管理
クライアント OS の要件 ○特に制限なし
△Windows 7 Enterprise, Ultimate
6
Direct Access クライアントWindows 7 Enterprise, Ultimate (ドメイン参加済み)
Direct Access サーバーWindows Server 2008 R2 Standard 以上(Server Core 不可、NIC が 2 枚以上)
その他の要件最低 1 台のWindows Server 2008 SP2 以降のドメイン コントローラーと DNS サーバーが必要(スマートカード認証を行う場合は、2008 R2 が必要)
企業ネットワーク内に CA が必要
IPv4 の内部ネットワークで利用する場合は、接続サーバーで ISATAP を有効化するか、ネットワーク機器 (NAT-PT) が必要
7
意識的に VPN 接続を確立する必要がないため、ユーザーの利便性が向上
インターネットへの通信は、内部ネットワークを経由することなく、ダイレクトに通信可能
接続可能な PC はドメイン参加済み PC に限定されるため、管理性や安全性を確保
DirectAccess サーバーDirectAccessクライアント 内部ネットワーク
インターネット
8
DirectAccess 技術概要
アーキテクチャ
設定方法
9
IPv4 のサーバーに接続する際は、接続先の ISATAP の有効化、またはネットワーク機器 (NAT-PT) が必要
IPsec を利用して外部から接続するサーバーを限定することも可能
通信は IPsec で暗号化
インターネットへの接続と内部ネットワークへの接続を分離
DirectAccess サーバー
インターネット 内部ネットワーク
DirectAccessクライアント
10
接続したインターネットが IPv6 の場合IPv6 で DirectAccess サーバーにアクセス
接続したインターネットが IPv4 の場合パブリック IPv4 アドレス: 6to4
プライベート IPv4 アドレス: Teredo
6to4 と Teredo が利用できない場合: IP-HTTPS
Native IPv6
6to4
Teredo
IP-HTTPSDirectAccess サーバー
DirectAccessクライアント
11
6to4 (RFC: 3056)IPv6 トラフィックを IPv4 でトンネリングする技術
クライアントに割り振られたアドレスが、パブリック IPv4 アドレスの場合に 6to4 を利用
6to4 の IP アドレス2002:<IPv4 アドレス>::<IPv4 アドレス> の形式
IPv4 → 11.12.13.14 の場合、6to4 → 2002:0B0C:0D0E::2002:0B0C:0D0E
DirectAccess サーバー(6to4 Gateway)
6to4クライアント IPv6 端末
12
Teredo (RFC: 4380)IPv6 トラフィックを IPv4 でトンネリングする技術
クライアントに割り振られたアドレスが、プライベート IPv4 アドレスの場合に Teredo を利用
NAT を超えた通信が可能
Teredo の IP アドレス2001:0000:**** の形式
例: 2001:0:53aa:64c:8000:f839:249d:4ffc
DirectAccess サーバー(Teredo リレイ、Teredo サーバー)
Teredoクライアント IPv6 端末
13
IP-HTTPSWindows 7/Windows Server 2008 R2 の新機能
6to4 と Teredo が利用できない場合にのみ利用例: NAT で UDP/3544 がブロックされている場合等
IP-HTTPS のアドレス2002: で始まりIP-HTTPS サーバーのアドレスを含む形式
例: 2002:201:101:2:50d0:854b:f716:f32c
DirectAccess サーバー(IP-HTTPS サーバー)
IP-HTTPSクライアント IPv6 端末
14
内部ネットワークが IPv6 完全対応の場合特別な機器なしで内部ネットワークへの接続が可能
ネットワーク機器や端末含め対応が必要
内部ネットワークが IPv6 未対応の場合接続するサーバーで ISATAP を有効化
NAT-PT を導入して IPv4 への変換を行う
DirectAccess サーバー 接続先のサーバー
Native IPv6
ISATAP
IPv6 → IPv4
15
ISATAP (RFC: 5214)Intra-Site Automatic Tunnel Addressing Protocol
IPv4 の環境下で、IPv6 接続を行う自動トンネル技術
DirectAccess + ISATAPWindows Vista/Windows Server 2008 以降の端末への接続が可能
ネットワーク機器の IPv6 対応は不要
NAT-PT (RFC: 2766)Network Address Translation Protocol translation
IPv6 パケットを IPv4 に変換するハードウェア
16
DirectAccessサーバー
DirectAccessクライアント
ポート/プロトコル 方向
外部ファイアウォール
IPv6 受信、送信
IP プロトコル 50 (ESP) 受信、送信
IP プロトコル 41 (6to4) 受信、送信
UDP 3544 (Teredo) 受信
TCP 443 (IP-HTTPS) 受信
内部ファイアウォール
UDP 500 (IPsec の認証) 受信、送信
IP プロトコル 50 (ESP) 受信、送信
ICMPv6 受信、送信
17
Name Resolution Policy Table (NRPT) DirectAccess クライアントが異なる名前空間に対して定義された DNS サーバーにクエリーを実行
グループ ポリシーで有効/無効の制御が可能
DirectAccessサーバー
DirectAccessクライアント
内部ネットワーク用DNS サーバー
インターネット用DNS サーバー
18
OS の機能「DirectAccess 管理コンソール」追加
19
DirectAccess 管理コンソール全ての設定を終えるとグループ ポリシーが自動作成されドメインにリンクされる
1. DirectAccess クライアントのコンピュータを指定
2. ネットワークと認証に使用する証明書の設定
3. ユーザー認証を行うドメインコントローラの指定
4. End-to-End の認証の設定
20
Unified Access Gateway 連携
DirectAccess サーバーの冗長化構成
IPv4 端末への接続
21
サーバー アプリケーションを社外に安全に公開するアプライアンス サーバー
DirectAccess + Unified Access GatewayDirectAccess サーバーの冗長化
NAT-PT なしで IPv4 端末への接続
Exchange
SharePoint Server
ファイルサーバー など
暗号化通信(HTTPS)
22
DirectAccess サーバーNLB や クラスタによる冗長化構成ができない
DirectAccess サーバー +Unified Access Gateway
DirectAccess サーバーの冗長化構成が可能に
DirectAccessサーバー
DirectAccessクライアント
DirectAccessサーバー
DirectAccessクライアント
23
① x.contoso.com の DNS AAAA クエリを送信
② DNS64 が x.contoso.com の DNS A クエリをDNS サーバーに問い合わせを行う
③ DNS サーバーは DNS A クエリの応答を DAS に送信
④ DNS64 が NAT64 のプレフィックスをつけて結果を送信
NAT64 プレフィックス:2a01:110:6:6:6:6::/96
DNS64
NAT642a01:110:6:6:6:6::192.168.100.2
x.contoso.com192.168.100.2
IPv4端末
DirectAccess サーバー①
②
③
④
24
⑤ 2a01:110:6:6:6:6::192.168.100.2 にパケットを送信
⑥ NAT64 が送信されてきたアドレスの中からIPv4 アドレスを抜き出し、パケットを送信
⑦ IPv4 端末からクライアントへ応答が帰ってくる
NAT64 プレフィックス:2a01:110:6:6:6:6::/96
DNS64
NAT64
x.contoso.com192.168.100.2
IPv4端末
DirectAccess サーバー
⑥
⑦
⑤
25
モバイル PC をインターネットに接続するだけで内部ネットワークと同様の環境を実現する仕組み
IPv6 のテクノロジーを利用インターネットが IPv6 未対応の環境は6to4, Teredo, IP-HTTPS を利用して接続可能
内部ネットワークが IPv6 未対応の場合はISATAP, NAT-PT, UAG を利用して接続可能
DirectAccess サーバーDirectAccessクライアント 内部ネットワーク
インターネット
26
DirectAccess Technical Overviewhttp://go.microsoft.com/fwlink/?LinkId=137754
DirectAccess Executive Overviewhttp://go.microsoft.com/fwlink/?LinkId=137755
Win 7 Networking Executive Overviewhttp://go.microsoft.com/fwlink/?LinkId=137758
Win 7 Networking Enhancements and Enterpriseshttp://go.microsoft.com/fwlink/?LinkId=137759
DirectAccess Early Adopter's Guidehttp://www.microsoft.com/downloads/details.aspx?FamilyID=2fdc531d-9138-454f-a820-78211755b52a&displaylang=en
27
28
他の章は下記をクリックして
PDF一覧からお入り下さい。
ITライブラリー (pdf 100冊)http://itlib1.sakura.ne.jp/
目次番号 270番 Windows Server Enterprise 2008 R2
完全解説 (再入門 ) 全26冊