e2e: IPv4 と IPv6 混在環境での DirectAccess 単一サーバーのセットアップ

重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。

英語版 KB:3022362
お知らせ
この資料は、DirectAccess のエンド・ツー・エンドの構成およびトラブルシューティングに関する一連の記事の 1 つです。シリーズの一覧は、次を参照してください。 エンド ・ ツー ・ エンドの構成および DirectAccess のトラブルシューティング.
概要
このガイドでは、展開エクスペリエンスの機能性を示すために、テスト ラボで IPv4 と IPv6 リソースが混在する単一サーバー 展開における DirectAccess の構成手順を分かりやすく説明しています。5 台のサーバー コンピューターおよび 2 台のクライアント コンピューターを使用して、Windows Server 2012 の基本構成に基づいて DirectAccess を設定し、展開します。結果として得られるテスト ラボでは、イントラネット、インターネット、および、ホーム ネットワークをシミュレートし、さまざまなインターネット接続のシナリオにおいて DirectAccess をデモ説明していきます。

重要: 以下は、最小限のコンピューターを使用するリモート アクセスのテスト ラボを構成するための手順です。個々のコンピューターは、ネットワーク上で提供されるサービスを分離し、必要な機能性を明確化するために必要となります。この構成は、ベスト プラクティスを反映するように設計されていませんし、運用ネットワークに必要なまたは推奨される構成を反映してもいません。この構成は、IP アドレスおよびその他のすべての構成パラメーターを含めて、独立したテスト ラボのネットワークでのみ動作するように設計されています。このリモート アクセスのテスト ラボ構成をパイロットまたは運用展開に適応しようとすると、構成上または機能性の問題が発生する恐れがあります。
配置情報

大要

このテスト ラボでは、次のトポロジでリモート アクセスを展開します。
  • イントラネットのドメイン コント ローラー、ドメイン ネーム システム (DNS) サーバー、および動的ホスト構成プロトコル (DHCP) サーバーとして構成されている DC1 という名前の Windows Server 2012 を実行しているコンピューター 1 台
  • DirectAccess サーバーとして構成されている EDGE1 という名前の Windows Server 2012 を実行しているイントラネット メンバー サーバー 1 台
  • 一般的なアプリケーション サーバーおよび web サーバーとして構成されている APP1 という名前の Windows Server 2012 を実行しているイントラネット メンバー サーバー 1 台。APP1 は、DirectAccess のエンタープライズ ルート証明機関(CA) およびネットワーク ロケーション サーバー (NLS) として構成します。
  • 一般的なアプリケーション サーバーおよび web サーバーとして構成されている APP2 という名前の Windows Server 2008 R2 を実行しているイントラネット メンバー サーバー 1 台。APP2 は、NAT64 および DNS64 の機能を示すために使用される IPv4 専用イントラネット リソースです。
  • インターネット DHCP サーバー、DNS サーバー、および web サーバーとして構成されている INET1 という名前の Windows Server 2012 を実行しているスタンドアロン サーバー 1 台。
  • DirectAccess クライアントとして構成されている CLIENT1 という名前の Windows 8 を実行しているローミング メンバー クライアント コンピューター 1 台。
  • インターネット接続の共有を使用するネットワーク アドレス変換 (NAT) デバイスとして構成されている NAT1 という名前の Windows 8 を実行しているスタンドアロン クライアント コンピューター 1 台。
リモート アクセスのテスト ラボは、以下をシミュレートする 3 つのサブネットで構成されます。
  • インターネット (131.107.0.0/24)。
  • EDGE1 によってインターネットから分離された、Corpnet という名前のイントラネット (10.0.0.0/24)、(2001:db8:1::/64)
  • NAT デバイスを使用してインターネット サブネットに接続された、Homenet という名前のホーム ネットワーク (192.168.137.0/24)
各サブネット上のコンピューターは、ハブまたはスイッチを使用して接続します。次の図を参照してください。
展開
このテスト ラボでは、IPv4 と IPv6 のイントラネット リソースが混在する単一 DirectAccess サーバーの展開を示します。

ハードウェアおよびソフトウェア要件

テスト ラボに必要なコンポーネントを次に示します。
  • Windows Server 2012 用の製品ディスク、またはファイル
  • Windows 8 用の製品ディスク、またはファイル
  • Windows Server 2008 R2 用の製品ディスク、またはファイル
  • Windows Server 2012 のハードウェア要件を最小限満たすコンピューター 6 台、または仮想マシン 6 台
  • Windows Server 2008 R2 のハードウェア要件を満たすコンピューター 1 台、または仮想マシン 1 台

既知の問題

以下は、Windows Server 2012 で単一の DirectAccess サーバー ラボを構成する際の既知の問題です。
  • 1 台の Windows Server 2012 サーバーから別サーバーへの DirectAccess 構成の移行は、今回のリリースではサポートされておらず、リモート アクセス管理コンソールが応答を停止し予期せずに終了する原因となります。この問題を回避するには、以下の手順を行ってください。
    1. レジストリ エディターを起動します。
    2. レジストリ エディターで、次のレジストリ サブキーを探してクリックします。
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ramgmtsvc\Config\Parameters
    3. DaConfigured の DWORD 値を削除します。
    4. コマンド プロンプトから新しい DirectAccess サーバー上で gpupdate /force を実行します。
  • 接続先のサーバー アカウントが WinRM TrustedHosts のドメインに参加していないコンピューター一覧に追加されない限り、 ドメインに参加していないコンピューターからは RSAT を使用した管理はできません。
    • WinRM TrustedHosts のドメインに参加していないコンピューターの一覧に対象の DirectAccess サーバーを追加するには、次のコマンドを実行します:
      set-item wsman:\localhost\client\trustedhosts "<computerName>" -force
  • このリリースでは、リモート アクセス ウィザードは、グループ ポリシー オブジェクト (GPO) が過去に Active Directory 内の別のコンテナーにリンクされていた場合でも、常に DirectAccess の GPO をドメイン ルートにリンクします。デプロイ用に GPO を OU にリンクしたい場合は、ウィザードが完了した後に、ドメイン ルートのリンクを削除してから目的の OU に GPO をリンクし直します。また、DirectAccess を構成する前に、DirectAccess 管理者のドメイン ルートへのリンクのアクセス許可を削除できます。

リモート アクセスのテスト ラボを構成する手順を実行します。

Windows Server 2012 の基本構成テスト ラボに基づいてリモート アクセスのエクスプレス セットアップのテスト ラボをセットアップする際は、次の 6 つの手順に従ってください。
  1. 基本構成テスト ラボをセットアップします。

    DirectAccess の単一サーバーのテスト ラボを必要とします テスト ラボ ガイド: Windows Server 2012 の基本構成オプションのミニ モジュール: Homenet サブネットオプションのミニ モジュール: 基本的な PKI
  2. DC1 を構成します。

    DC1 を Active Directory でドメイン コントローラーとして構成し、イントラネットのサブネット用 DNS および DHCP サーバーにします。単一の DirectAccess サーバー テスト ラボ用に、静的 IPv6 アドレスを持つようにDC1 を構成する必要があります。Active Directory に DirectAccess クライアント コンピューターのセキュリティ グループを追加します。
  3. APP1 を構成します。

    APP1 は、既に、IIS で構成されているメンバー サーバーで、ファイル サーバーやエンタープライズ ルート証明機関 (CA) としても動作します。リモート アクセス エクスプレス セットアップのテスト ラボ用に、静的 IPv6 アドレスを持つように APP1 を構成する必要があります。
  4. APP2 を構成します。

    APP2 は、IPv4 専用イントラネット リソースを示すために、web サーバーやファイル サーバーとして構成されています。
  5. EDGE1 を構成します。

    EDGE1 は、既にメンバー サーバーです。単一の DirectAccess サーバー テスト ラボ用に、静的 IPv6 アドレスを持つリモート アクセス サーバーとしてEDGE1 を構成する必要があります。
  6. CLIENT1 を構成します。

    CLIENT1 は、既に、Windows 8 を実行しているドメイン メンバーのクライアント コンピューターです。リモート アクセス エクスプレス セットアップのテスト ラボ用に、CLIENT1 はリモート アクセスの操作をテスト、デモ説明するために使用されます。
注: <b>このガイドに記載されているタスクを完了するには、ドメイン管理者グループのメンバーとして、または各コンピューターの管理者グループのメンバーとしてログオンする必要があります。管理者グループのメンバーであるアカウントでログオンしているときにタスクを完了できない場合は、ドメイン管理者グループのメンバーであるアカウントでログオンしているときに、タスクを実行してみてください。
展開方法
このガイドでは、Windows Server 2012 の基本構成テスト ラボ用のコンピューターを構成する手順、Windows Server 2012 のリモート アクセスを構成する手順、そして、リモート クライアントの接続を実演する手順を提供しています。次のセクションで、これらのタスクを実行する方法について詳しく説明します。

手順 1: 基本構成のテスト ラボをセットアップする

」の手順を構成する、社内ネットワークのサブネット」と「手順の構成、インターネット サブネット」のセクションで手順を使用して、社内ネットワークとインターネットの両方のサブネットの基本構成のテスト ラボをセットアップします テスト ラボ ガイド: Windows Server 2012 の基本構成.

手順を使用して Homenet のサブネットを設定します オプションのミニ モジュール: Homenet サブネット.

手順を使用して基本的な証明書インフラストラクチャを展開します オプションのミニ モジュール: 基本的な PKI.

手順 2: DC1 を構成する

次の手順で、DirectAccess 単一サーバーの展開テスト ラボ用の DC1 構成を行います。
  • DC1 で IPv6 アドレスを構成します。
  • DirectAccess クライアント コンピューターのセキュリティ グループを作成します。
  • ネットワーク ロケーション サーバーの DNS レコードを作成します。
  • ドメイン グループ ポリシーで ICMPv4 および ICMPv6 のエコー要求ファイアウォール規則を作成します。
次のセクションで、これらの手順の詳細について説明します。

DC1 で IPv6 アドレスを構成する

Windows Server 2012 の基本構成テスト ラボには、IPv6 アドレスの構成は含まれていません。この手順では、DirectAccess の展開をサポートするために IPv6 アドレスの構成を追加しています。
DC1 で IPv6 アドレスを構成するには
  1. サーバー マネージャーでは、コンソール ツリーで、ローカル サーバーをクリックします。詳細ウィンドウの最上部にスクロールし、[イーサネット] の横にあるリンクをクリックします。
  2. [ネットワーク接続] で [イーサネット] を右クリックし、[プロパティ] をクリックします。
  3. [インターネット プロトコル バージョン 6 (TCP/IPv6)] をクリックし、[プロパティ] をクリックします。
  4. [次の IPv6 アドレスを使う] をクリックします。IPv6 アドレス] に、次のように入力します。 2001:db8:1::1.サブネット プレフィックスの長さ、次のように入力します。 64.デフォルト ゲートウェイを、次のように入力します。 2001:db8:1::2.次の DNS サーバーのアドレスを使用する] をクリックし、優先 DNS サーバーは、次のように入力します。 2001:db8:1::1と入力し、[OK] をクリックします。
  5. [インターネット プロトコル バージョン 4 (TCP/ IPv4)] をクリックし、[プロパティ] をクリックします。
  6. デフォルト ゲートウェイを、次のように入力します。 10.0.0.2と入力し、[OK] をクリックします。
  7. [イーサネット プロパティ] ダイアログ ボックスを閉じます。
  8. ネットワーク接続] ウィンドウを閉じます。
デモ: DC1 で IPv6 アドレスを構成します。


注: <b>次の Windows PowerShell コマンドレットまたはコマンドレットは、前の手順と同じ機能を実行します。表示形式の制約によってここでいくつかの行に折り返されて表示されていても、各コマンドレットは 1 行で入力してください「イーサネット」インターフェイスの名前は、お使いのコンピューター上では異なる場合があることに注意してください。使用ipconfig/allインタ フェースをリストにします。
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::1 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

手順 3: DirectAccess クライアント コンピューターのセキュリティ グループを作成する

DirectAccess が構成されている場合、DirectAccess 設定を含む GPO が自動的に作成され、DirectAccess クライアントおよびサーバーに適用されます。既定では、簡易設定ウィザードは、クライアント GPO をドメイン コンピューター のセキュリティ グループのモバイル コンピューターにのみ適用します。このテスト ラボの手順では、既定の設定を使用しませんが、代わりに DirectAccess クライアントの代替セキュリティ グループを作成します。

DirectAccess クライアント セキュリティ グループを作成するには

  1. DC1 のスタート画面から、 Active Directory 管理センターをクリックします。
  2. コンソール ツリーで、 矢印をクリックして corp (ローカル) を展開して、[ユーザー] をクリックします。
  3. [タスク] ウィンドウで、[新規作成] をクリックし、[グループ] をクリックします。
  4. グループの作成] ダイアログ ボックスで次のように入力します。 DirectAccessClients グループ名にします。
  5. 下にスクロールして [グループの作成] ダイアログ ボックスの [メンバー ] セクションへアクセスし、[追加] をクリックします。
  6. [オブジェクトの種類] をクリックして、コンピューターを選択し、[OK] をクリックします。
  7. タイプ CLIENT1と入力し、[OK] をクリックします。
  8. [ok] をクリックして、[グループの作成] ダイアログ ボックスを閉じます。
  9. Active Directory 管理センターを終了します。


注: <b>次の Windows PowerShell コマンドレットまたはコマンドレットは、前の手順と同じ機能を実行します。表示形式の制約によってここでいくつかの行に折り返されて表示されていても、各コマンドレットは 1 行で入力してください
New-ADGroup -GroupScope global -Name DirectAccessClients Add-ADGroupMember -Identity DirectAccessClients -Members CLIENT1$

手順 4: ネットワーク ロケーション サーバーの DNS レコードを作成する

APP1 サーバー上に配置されるネットワーク ロケーション サーバーの名前を解決するには、DNS レコードが必要です。

ネットワーク ロケーション サーバーの DNS レコードを作成するには

  1. [スタート] をクリックし、[DNS] をクリックします。
  2. DC1 の [前方参照ゾーン] を展開し、 corp.contoso.com を選択します。
  3. corp.contoso.com を右クリックし、[新しいホスト (A または AAAA)] をクリックします。
  4. [名] で次のように入力します。 NLS、[IP アドレス] で次のように入力します。 10.0.0.3.
  5. [ホストの追加] をクリックし、[ok] をクリックして [完了] をクリックします。
  6. DNS マネージャー コンソールを閉じます。
デモ: ネットワーク ロケーション サーバーの DNS record.mp4 を作成します。


注: <b>次の Windows PowerShell コマンドレットまたはコマンドレットは、前の手順と同じ機能を実行します。表示形式の制約によってここでいくつかの行に折り返されて表示されていても、各コマンドレットは 1 行で入力してください
Add-DnsServerResourceRecordA -Name NLS -ZoneName corp.contoso.com -IPv4Address 10.0.0.3

手順 5: ドメインのグループ ポリシーで ICMPv4 と ICMPv6 エコー要求のファイアウォール規則を作成する

Teredo のサポートには、ICMPv4 と ICMPv6 エコー要求の着信および発信が必要です。DirectAccess クライアントは、プライベート (RFC 1918) の IP アドレスが割り当てられていて NAT デバイスや UDP ポート 3544 の送信を許可するファイアウォールの背後にある場合、IPv6 移行テクノロジである Teredo を使用して IPv4 インターネット経由で DirectAccess サーバーに接続します。さらに、ping を有効にすると、DirectAccess ソリューションの参加者の間でのテスト接続が促進されます。

ICMPv4 および ICMPv6 のファイアウォール規則を作成するには

  1. スタート画面で、グループ ポリシーの管理をクリックします。
  2. コンソール ツリーで、フォレスト: corp.contoso.com\Domains\corp.contoso.com を展開します。
  3. グループ ポリシー オブジェクトを選択します。
  4. 詳細ウィンドウで、既定のドメイン ポリシーを右クリックし、[編集] をクリックします。
  5. グループ ポリシー管理エディターのコンソール ツリーで、Computer Configuration\Policies\Windows Settings\Security Settings\Windows Firewall with Advanced Security\Windows Firewall with Advanced Security-LDAP://CN=... を展開します。
  6. コンソール ツリーで、 [受信の規則] を選択し、 [受信の規則] を右クリックし [新しい規則] をクリックします。
  7. 新しい受信規則ウィザードの [規則の種類] ページで [カスタム] をクリックし、[次へ] をクリックします。
  8. [プログラム] ページで、[次へ] をクリックします。
  9. [プロトコルおよびポート] ページの [プロトコルの種類] で、[ICMPv4] をクリックし [カスタマイズ] をクリックします。
  10. [ICMP 設定のカスタマイズ] ダイアログ ボックスで、[特定の ICMP の種類] をクリックして、[エコー要求] を選択し、[OK] をクリックし、[次へ] をクリックします。
  11. [次へ] を 3 回クリックします。
  12. [名] ページの [名前を入力します。 ICMPv4 エコー要求を受信します。、し、[完了] をクリックします。
  13. コンソール ツリーで、 [受信の規則] を右クリックし、[新しい規則] をクリックします。
  14. [規則の種類] ページで [カスタム] をクリックし、[次へ] をクリックします。
  15. [プログラム] ページで、[次へ] をクリックします。
  16. [プロトコルおよびポート] ページの [プロトコルの種類] で、ICMPv6 をクリックし [カスタマイズ] をクリックします。
  17. [ICMP 設定のカスタマイズ] ダイアログ ボックスで、[特定の ICMP の種類] をクリックして、[エコー要求] を選択し、[OK] をクリックし、[次へ] をクリックします。
  18. [次へ] を 3 回クリックします。
  19. [名] ページの [名前を入力します。 ICMPv6 エコー要求を受信します。、し、[完了] をクリックします。
  20. 作成したルールが [受信の規則] ノードに表示されることを確認します。グループ ポリシー管理エディターを閉じ、グループ ポリシー管理コンソールを閉じます。
デモ: ICMPv4 および ICMPv6 ファイアウォール規則を作成します。


注: <b>次の Windows PowerShell コマンドレットまたはコマンドレットは、前の手順と同じ機能を実行します。表示形式の制約によってここでいくつかの行に折り返されて表示されていても、各コマンドレットは 1 行で入力してくださいこれらのコマンドは、それぞれの社内ネットワーク コンピューターに必要し、グループ ポリシー設定を構成しないことに注意してください。
Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv4-In)" -Enabled True -Direction Inbound -Action Allow Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv6-In)" -Enabled True -Direction Inbound -Action Allow

手順 6: APP1 を構成する

次の手順で DirectAccess 単一サーバーの展開テスト ラボ用の APP1 構成を行います。
  • APP1 の IPv6 アドレスを構成します。
  • Web サーバー証明書テンプレートのアクセス許可を構成します。
  • APP1 の追加の証明書を取得します。
  • HTTPS セキュリティ バインディングを構成します。
次のセクションで、これらの手順の詳細について説明します。

APP1 で IPv6 アドレスを構成する

Windows Server 2012 の基本構成テスト ラボには、IPv6 アドレスの構成は含まれていません。この手順では、DirectAccess の展開をサポートするために IPv6 アドレスの構成を追加しています。
APP1 の IPv6 アドレスを構成するのには
  1. サーバー マネージャーでは、コンソール ツリーで、ローカル サーバーをクリックします。詳細ウィンドウの最上部にスクロールし、[イーサネット] の横にあるリンクをクリックします。
  2. [ネットワーク接続] で [イーサネット] を右クリックし、[プロパティ] をクリックします。
  3. [インターネット プロトコル バージョン 6 (TCP/IPv6)] をクリックし、[プロパティ] をクリックします。
  4. [次の IPv6 アドレスを使う] をクリックします。IPv6 アドレス2001:db8:1::3 と入力します。サブネット プレフィックスの長さには、64 と入力します。[デフォルト ゲートウェイ] には 2001:db8:1::2 と入力します。[次の DNS サーバーのアドレスを使用する] をクリックし、優先 DNS サーバー2001:db8:1::1 と入力します。[OK] をクリックします。
  5. [インターネット プロトコル バージョン 4 (TCP/ IPv4)] をクリックし、[プロパティ] をクリックします。
  6. [デフォルト ゲートウェイ] に 10.0.0.2 と入力し、[ OK] をクリックします。
  7. [イーサネット プロパティ] ダイアログ ボックスを閉じます。
  8. ネットワーク接続] ウィンドウを閉じます。
デモ: APP1 の IPv6 アドレスを構成します。


注: <b>次の Windows PowerShell コマンドレットまたはコマンドレットは、前の手順と同じ機能を実行します。表示形式の制約によってここでいくつかの行に折り返されて表示されていても、各コマンドレットは 1 行で入力してください「イーサネット」インターフェイスの名前は、お使いのコンピューター上では異なる場合があることに注意してください。使用ipconfig/allインタ フェースをリストにします。
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::3 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

Web サーバー証明書テンプレートのアクセス許可を構成する

次に、リクエストしているコンピューターが証明書のサブジェクト名を指定できるように、Web サーバーの証明書テンプレートのアクセス許可を構成します。
Web サーバー証明書テンプレートのアクセス許可を構成するのには
  1. APP1 のスタート画面から 証明機関をクリックします。
  2. 詳細ウィンドウで、 corp-APP1-CA を展開します。
  3. [証明書テンプレート] を右クリックして [管理] をクリックします。
  4. 証明書テンプレート コンソールで、 [Web サーバー] テンプレートを右クリックし、[プロパティ] をクリックします。
  5. [セキュリティ] タブをクリックし、[認証されたユーザー] をクリックします。
  6. [認証されたユーザーのアクセス許可] で [許可] の下の [登録] をクリックし、[OK] をクリックします。

    注: <b>テスト ラボでは、わかりやすくするために、Authenticated Users (認証されたユーザー) グループをここで構成します。実際の展開では、カスタム証明書を要求することができる組織内のコンピューターのコンピューター アカウントを含むセキュリティ グループの名前を指定します。これには、DirectAccess サーバーとネットワーク ロケーション サーバーが含まれます。
  7. 証明書テンプレート コンソールを閉じます。
デモ: Web サーバー証明書テンプレートのアクセス許可を構成します。

APP1 で追加の証明書を取得する

ネットワーク ロケーション用にカスタマイズされたサブジェクトと別名で APP1 の追加の証明書を取得します。
APP1 の追加の証明書を取得するには
  1. スタート画面から、 mmc と入力し、Enter キーを押します。
  2. [ファイル] をクリックし、 [スナップインの追加と削除] をクリックします。
  3. [証明書] をクリックし、[追加] をクリックして、コンピューター アカウントを選択し、[次へ] をクリックし、ローカル コンピューターを選択して、[完了] をクリックして、[OK] をクリックします。
  4. 証明書スナップインのコンソール ツリーで、証明書 (ローカル コンピューター)\個人\証明書 を開きます。
  5. 証明書を右クリックし、[すべてのタスク] をポイントし、[新しい証明書の要求] をクリックします。
  6. [次へ] を 2 回クリックします。
  7. [証明書の要求] ページで、Web サーバーをクリックし、[この証明書に登録するには詳細情報が必要です] をクリックします。
  8. [証明書のプロパティ] ダイアログ ボックスの [サブジェクト] タブで、[サブジェクト名] の [種類] で [共通名] を選択します。
  9. [] に nls.corp.contoso.com と入力し、[追加] をクリックします。
  10. [Ok] をクリックして、[登録] をクリックし、[完了] をクリックします。
  11. 証明書スナップインの詳細ウィンドウで、nls.corp.contoso.com という名前の新しい証明書がサーバー認証使用目的と一緒に登録されていることを確認します。
  12. コンソール ウィンドウを閉じます。設定を保存するメッセージが表示されたら、[いいえ] をクリックします。
デモ: APP1 で追加の証明書を取得します。

HTTPS セキュリティ バインディングを構成する

次に、APP1 がネットワーク ロケーション サーバーとして機能するように HTTPS セキュリティ バインディングを構成します。
HTTPS セキュリティ バインディングを構成するのには
  1. スタート画面で、インターネット インフォメーション サービス (IIS) マネージャーをクリックします。
  2. インターネット インフォメーション サービス (IIS) マネージャーのコンソール ツリーで APP1/Sites を開き、[既定の Web サイト] をクリックします。
  3. [操作] ウィンドウで、[結合] をクリックします。
  4. [サイト バインド] ダイアログ ボックスで、[追加] をクリックします。
  5. [サイト バインドの追加] ダイアログ ボックスの [種類] リストで、[https] をクリックします。SSL 証明書で、 nls.corp.contoso.com という名前を持つ証明書をクリックします。[OK] をクリックし、[閉じる] をクリックします。
  6. インターネット インフォメーション サービス (IIS) マネージャー コンソールを閉じます。
デモ: APP1 で HTTPS セキュリティ バインディングを構成します。

手順 7: インストールし、APP2 を構成する

APP2 は、IPv4 専用ホストとして機能する Windows Server 2008 R2 Enterprise Edition コンピューターであり、DNS64 および NAT64 機能を使用して IPv4 専用リソースへの DirectAccess 接続をデモ説明するために使用されます。APP2 は、DirectAccess クライアント コンピューターがシミュレートされたインターネットからアクセスできる HTTP 及び SMB の両リソースをホストします。DNS64/NAT64 の機能セットにより、組織がネットワーク リソースをネイティブ IPv6 または IPv6 対応へとアップグレードする必要がなく、DirectAccess をデプロイできます

次の手順で DirectAccess 単一サーバーのテスト ラボ用の APP2 構成を行います。
  • APP2 で共有フォルダーを作成します。
  • IIS web サービスをインストールします。
次のセクションで、これらの手順の詳細について説明します。

APP2 で共有フォルダーを作成します。

最初の手順は、APP2 で共有フォルダーを作成します。APP2 は、DirectAccess 接続経由での IPv4 専用ホストへの HTTP の接続性を示すために使用されます。
  1. APP2 で Windows エクスプ ローラーを開きます。
  2. C: ドライブに移動します。
  3. 空白のウィンドウを右クリックして、新規作成をポイントし、フォルダーをクリックします。
  4. タイプ ファイル Enter キーを押します。
  5. 右クリックしてファイル プロパティを選択します。
  6. [ファイルのプロパティ] ダイアログ ボックスで、共有 ] タブで、[共有...] をクリックします。追加Everyone 読み アクセス許可、し、[共有] をクリックします。
  7. ダブルクリックして、ファイル フォルダー。
  8. 空白のウィンドウを右クリックして、[新規作成] をポイントし、[テキスト ドキュメント] をクリックします。
  9. ダブルクリックして、新規テキスト ドキュメント.txt ファイルです。
  10. 新規テキスト ドキュメント.txt-メモ帳 ] ウィンドウで、入力してくださいAPP2、IPv4 専用のサーバー上のテキスト ドキュメントをこの.
  11. メモ帳を閉じます。[メモ帳] ダイアログ ボックスをクリックしてはい 変更を保存します。
  12. Windows エクスプ ローラーを閉じます。

APP2 に IIS web サービスをインストールする

APP2 を web サーバーとして構成します。
  1. APP2 で、サーバー マネージャーを開きます。
  2. [ロール] をクリックし、[ロールの追加] をクリックします。
  3. の役割の追加ウィザード ] ウィンドウで、[次へ] をクリックします。
  4. Web サーバー (IIS)] を選択し、[次へ] をクリックします。
  5. クリックして2 回し、[インストール] をクリックします。
デモ: インストールし、APP2 を構成します

手順 8: EDGE1 を構成する

次の手順で DirectAccess 単一サーバーの展開テスト ラボ用の EDGE1 構成を行います。
  • EDGE1 で IPv6 アドレスを構成します。
  • EDGE1 に IP-HTTPS の証明書を用意します。
  • EDGE1 にリモート アクセスのロールをインストールします。
  • EDGE1 で DirectAccess を構成します。
  • グループ ポリシー設定を確認します。
  • IPv6 の設定を確認します。
次のセクションで、これらの手順の詳細について説明します。

EDGE1 で IPv6 アドレスを構成する

Windows Server 2012 の基本構成テスト ラボには、IPv6 アドレスの構成は含まれていません。この手順では、DirectAccess の展開をサポートするために、EDGE1 に IPv6 アドレスの構成を追加します。
EDGE1 で IPv6 アドレスを構成するには
  1. サーバー マネージャーでは、コンソール ツリーで、ローカル サーバーをクリックします。詳細ウィンドウの最上部までスクロールし、Corpnet の横にあるリンクをクリックします。
  2. [ネットワーク接続] で Corpnet を右クリックし、[プロパティ] をクリックします。
  3. [インターネット プロトコル バージョン 6 (TCP/IPv6)] をクリックし、[プロパティ] をクリックします。
  4. [次の IPv6 アドレスを使う] をクリックします。IPv6 アドレス] に、次のように入力します。 2001:db8:1::2.サブネット プレフィックスの長さ、次のように入力します。 64.次の DNS サーバーのアドレスを使用する] をクリックし、優先 DNS サーバーは、次のように入力します。 2001:db8:1::1.[OK] をクリックします。
  5. [Corpnet のプロパティ] ダイアログ ボックスを閉じます。
  6. ネットワーク接続] ウィンドウを閉じます。
デモ: EDGE1 に IPv6 アドレスを構成します。


注: <b>次の Windows PowerShell コマンドレットまたはコマンドレットは、前の手順と同じ機能を実行します。表示形式の制約によってここでいくつかの行に折り返されて表示されていても、各コマンドレットは 1 行で入力してください「イーサネット」インターフェイスの名前は、お使いのコンピューター上では異なる場合があることに注意してください。使用ipconfig/allインタ フェースをリストにします。
New-NetIPAddress -InterfaceAlias Corpnet -IPv6Address 2001:db8:1::2 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias Corpnet -ServerAddresses 2001:db8:1::1

EDGE1 に IP-HTTPS の証明書を用意する

クライアントが HTTPS 経由で接続する場合、IP-HTTPS リスナーを認証するための証明書が必要です。
証明書テンプレートを準備する
  1. App1、[開始] 画面から入力します。 mmc、し、Enter キーを押します。
  2. [ファイル] をクリックし、 [スナップインの追加と削除] をクリックします。
  3. [証明書テンプレート] をクリックし、[追加] をクリックし、[OK] をクリックします。
  4. クリックしての証明書テンプレート 左側のパネルで。[詳細] パネルで右クリックし、コンピューター テンプレート [テンプレートの複製] をクリックします。
  5. クリックして、のサブジェクト名 タブをクリックし、要求内で指定のオプションをクリックします。[OK] をクリックします。
  6. クリックして、一般的な タブをクリックし、入力し、DA 用のテンプレート [テンプレート表示名です。
  7. [OK] をクリックします。
  8. MMC ウィンドウで、[ファイル] をクリックし、 [スナップインの追加と削除] をクリックします。
  9. 証明機関をクリックし、[追加] をクリックし、ローカル コンピューター: (このコンソールが実行されているコンピューター) をクリックして、 [完了] をクリックし、[OK] をクリックします。
  10. corp-APP1-CA を展開し、証明書テンプレートを右クリックし、新規を選択し、[発行する証明書テンプレート] をクリックします。
  11. DA 用テンプレートを選択し、 [OK] をクリックします。
デモ: 証明書テンプレートを準備します。
EDGE1 に IP-HTTPS 証明書をインストールするには
  1. EDGE1、[開始] 画面から入力します。 mmc では、 Enter キーを押します。
  2. [ファイル] をクリックし、 [スナップインの追加と削除] をクリックします。
  3. [証明書] をクリックし、[追加] をクリックし、[コンピューター アカウント] をクリックし、[次へ] をクリックして、ローカル コンピューターを選択して、[完了] をクリックして、 [OK] をクリックします。
  4. 証明書スナップインのコンソール ツリーで、証明書 (ローカル コンピューター)\個人\証明書 を開きます。
  5. 証明書を右クリックし、[すべてのタスク] をポイントし、[新しい証明書の要求] をクリックします。
  6. [次へ] を 2 回クリックします。
  7. [証明書の要求] ページで DA 用テンプレートをクリックし、[この証明書に登録するには詳細情報が必要です] をクリックします。
  8. [証明書のプロパティ] ダイアログ ボックスの [サブジェクト] タブで、[サブジェクト名] の [種類] で共通名を選択します。
  9. [] に次のように入力します。 edge1.contoso.com、し、[追加] をクリックします。
  10. [別名] 領域の [種類] の下で [DNS] を選択します。
  11. [] に次のように入力します。 edge1.contoso.com、し、[追加] をクリックします。
  12. [全般] タブの [フレンドリ名] で、次のように入力します。 IP HTTPS 証明書.
  13. [Ok] をクリックして、[登録] をクリックし、[完了] をクリックします。
  14. 証明書スナップインの詳細ウィンドウで edge1.contoso.com という名前の新しい証明書がサーバー認証やクライアント認証の使用目的と共に登録されていることを確認します。
  15. コンソール ウィンドウを閉じます。設定を保存するメッセージが表示されたら、[いいえ] をクリックします。
注: <b>DA 用のテンプレートのテンプレートが表示されない場合は、次の項目を確認します。
  • ユーザー アカウントが、DA のテンプレートを登録する権限を持つかどうかを確認してください。
  • 証明書テンプレートが CA に正常に追加されているかどうかを確認します。
デモ: EDGE1 に IP-HTTPS 証明書をインストールします。

EDGE1 にリモート アクセス サーバーのロールをインストールする

Windows Server 2012 のリモート アクセス サーバー ロールは、DirectAccess 機能と RRAS ロール サービスを新しい統一サーバー ロールに結合します。この新しいリモート アクセス サーバー ロールは、DirectAccess および VPN ベースのリモート アクセス サービス双方の一元的管理、構成、および監視を考慮しています。EDGE1 にリモート アクセス ロールをインストールするには、次の手順を使用します。
EDGE1 にリモート アクセス サーバーのロールをインストールするには
  1. サーバー マネージャーのダッシュボード コンソールで [このローカル サーバーを構成する] の下の [ロールと機能の追加] をクリックします。
  2. [次へ] を 3 回クリックして、[サーバー ロールの選択] 画面に進みます。
  3. [サーバー ロールの選択] ダイアログ ボックスで、リモート アクセスを選択し、促されたら [機能の追加] をクリックし、[次へ] をクリックします。
  4. [次へ] を 5 回クリックし、機能、リモート アクセスのロール サービス、および web サーバーのロール サービスの既定の設定をそのまま受け入れます。
  5. [確認] 画面で [インストール] をクリックします。
  6. 機能のインストールが完了するまで待ち、[閉じる] をクリックします。
ビデオ


注: <b>次の Windows PowerShell コマンドレットまたはコマンドレットは、前の手順と同じ機能を実行します。表示形式の制約によってここでいくつかの行に折り返されて表示されていても、各コマンドレットは 1 行で入力してください
Install-WindowsFeature RemoteAccess -IncludeManagementTools

EDGE1 で DirectAccess を構成する

リモート アクセスのセットアップ ウィザードを使用して、単一サーバー 展開の DirectAccess を構成します。
EDGE1 で DirectAccess を構成するには
  1. スタート画面で、リモート アクセスの管理をクリックします。
  2. リモート アクセス管理コンソールで、[リモート アクセス セットアップ ウィザードの実行] をクリックします。
  3. リモート アクセスの構成ウィザードで、 [DirectAccess のみを展開する] をクリックします。
  4. 「ステップ 1 リモート クライアント」の下の [構成] をクリックします。
  5. [クライアント アクセスやリモート管理用にすべての DirectAccess を展開する] を選択し、[次へ] をクリックします。
  6. グループの選択] 画面で、[追加] をクリックしてタイプ DirectAccessClients、[ OK] をクリックし、[次へ] をクリックします。
  7. [ DirectAccess 接続名の横のネットワーク接続時のアシスタント] 画面で次のように入力します。 Contoso DirectAccess 接続.[完了] をクリックします。
  8. 「ステップ 2 DirectAccess サーバー」の下の [構成] をクリックします。
  9. ネットワーク トポロジとして Edge (エッジ) が選択されていることを確認します。タイプ edge1.contoso.com としてリモート アクセス クライアントが接続するパブリック名です。[次へ] をクリックします。
  10. [ネットワーク アダプター] 画面で、ウィザードがインターネット及び Corpnet のインターフェースを設定するまで待ちます。CN=edge1.contoso.com が IP-HTTPS 接続を認証するために自動的に選択された証明書であることを確認します。[次へ] をクリックします。
  11. [プレフィックスの構成] 画面で、[次へ] をクリックします。
  12. [認証] 画面で、[コンピューターの証明書を使用する] を選択し、[参照] をクリックします。
  13. corp-APP1-CA を選択し、 [ok] をクリックし、[完了] をクリックします。
  14. 「手順 3 インフラストラクチャ サーバー] の下の [構成] をクリックします。
  15. ネットワーク ロケーション サーバーの URL に、https://nls.corp.contoso.com と入力し [検証] をクリックします。
  16. APP1 で NLS URL への接続が正常に検証されたら、[次へ] をクリックします。
  17. [次へ] を 2 回クリックして DNS および管理の既定の設定をそのまま受け入れて、[完了] をクリックします。
  18. リモート アクセスのセットアップ画面の下部で、[完了] をクリックします。
  19. [リモート アクセスのレビュー] ダイアログ ボックスで、[適用] をクリックします。
  20. リモート アクセスのセットアップウィザードが完了したら、[閉じる] をクリックします。
  21. リモート アクセス管理コンソールのコンソール ツリーで [操作 ステータス] を選択します。すべての監視ステータスが「処理中」と表示されるまで待機します。[監視] の下の [タスク] ウィンドウで、定期的に [更新] をクリックして表示を更新します。
デモ: EDGE1 で Direct Access を構成する


注: <b>今回の Windows Server 2012 のリリースでは、ネットワーク アダプターのステータスが緑色ではなく黄色である可能性があります。ネットワーク アダプターのステータスが「処理中」と表示されていることを確認するには、管理者特権のコマンド プロンプトを開き、次のコマンドを入力し、Enter キーを押します。
netsh interface ipv6 add route 2001:db8:1::/48 publish=yes interface = "Corpnet"

グループ ポリシーの設定を確認する

DirectAccess のウィザードは、リモート アクセス サーバーや DirectAccess クライアント用に Active Directory を使用して自動的に展開した GPO および設定を構成します。

DirectAccess ウィザードで作成されたグループ ポリシーの設定を確認するには

  1. EDGE1 のスタート画面から、[グループ ポリシーの管理] をクリックします。
  2. [フォレスト: corp.contoso.com] を展開し、[ドメイン] を展開し、[corp.contoso.com] を展開し、[グループ ポリシー オブジェクト] を展開します。
  3. リモート アクセスのセットアップ ウィザードは、2 つの新しい GPO を作成します。DirectAccessClients セキュリティ グループのメンバーには、 DirectAccess クライアントの設定が適用されます。EDGE1 DirectAccess サーバーには、 DirectAccess サーバーの設定が適用されます。コンソールの詳細ウィンドウの [スコープ] タブのセキュリティ フィルター セクションで GPO をクリックしてエントリを表示して、これらの各 GPO に対して適切なセキュリティ フィルター処理が実行されていることを確認します。
  4. [開始] 画面で、次のように入力します。 wf.msc、し、Enter キーを押します。
  5. セキュリティが強化された Windows ファイアウォールのコンソールで、ドメイン プロファイルがアクティブで、パブリック プロファイルがアクティブであることに留意してください。Windows ファイアウォールが有効になっていること、そして、ドメインおよびパブリック プロファイルの双方がアクティブであることを確認します。Windows ファイアウォールが無効になっている場合、またはドメインまたはパブリック プロファイルが無効になっている場合、DirectAccess は正しく機能しません。
  6. セキュリティが強化された Windows ファイアウォールコンソール ツリーで、[接続セキュリティの規則] ノードをクリックします。コンソールの詳細ウィンドウに 2 つの接続セキュリティの規則が表示されます: DirectAccess Policy-DaServerToCorp、および DirectAccess Policy-DaServerToInfra 。最初の規則は、イントラネット トンネルの確立に使用され、2 番目の規則は、インフラストラクチャ トンネルに使用されます。両規則は、グループ ポリシーを使用して、EDGE1 に配信されます。
  7. セキュリティが強化された Windows ファイアウォール コンソールを閉じます。
デモ: グループ ポリシーの設定を確認します。

IPv6 の設定を確認する

  1. EDGE1 のデスクトップ タスク バーから、Windows PowerShell を右クリックし、[管理者として実行] をクリックします。
  2. Windows PowerShell ウィンドウで、次のように入力します。 Get NetIPAddress Enter キーを押します。
  3. 出力には、EDGE1 ネットワーク構成に関連する情報が表示されます。関係のあるセクションがいくつかあります。
    • 6TO4 アダプターのセクションに、EDGE1 が外部インターフェイス上で使用しているグローバル IPv6 アドレスを含む情報が表示されます。
    • IPHTTPSInterface セクションに IP-HTTPS インターフェイスに関する情報が表示されます。
  4. EDGE1 に Teredo インターフェイスに関する情報を表示するには、次のように入力します。 netsh インターフェイスが Teredo は、状態を表示します。 Enter キーを押します。出力には、状態: オンラインというエントリが含まれているはずです。
デモ: IPv6 の設定を確認します。

手順 9: Client1 を Corpnet のサブネットに接続し、グループ ポリシーを更新する

DirectAccess の設定を受信するには、CLIENT1 が Corpnet のサブネットに接続されているときに、グループ ポリシー設定を更新する必要があります。

CLIENT1 でグループ ポリシーを更新し、DirectAccess の設定を適用するには

  1. CLIENT1 を Corpnet のサブネットに接続します。
  2. Corpnet のサブネットに接続されている間にグループ ポリシーおよびセキュリティ グループ メンバーシップを更新するために、CLIENT1 コンピューターを再起動します。再起動後、CORP\User1 としてログオンします。
  3. [開始] 画面で、次のように入力します。 PowerShellWindows PowerShellでは、を右クリックし、管理者として実行] をクリックします。
  4. タイプ Get DnsClientNrptPolicy Enter キーを押します。DirectAccess の名前解決ポリシー テーブル (NRPT) のエントリが表示されます。NLS サーバー適用除外が NLS.corp.contoso.com として表示されることに注意してください。これは、APP1 サーバー用に使用されるエイリアスです。企業ネットワークの外部では、Corp.contoso.com の他のすべての名前解決は、EDGE1 サーバーの内部 IPv6 アドレス (2001:db8::1::2) を使用します。
  5. タイプ Get NCSIPolicyConfiguration Enter キーを押します。ネットワーク接続状態インジケーターによって展開される設定ウィザードが表示されます。DomainLocationDeterminationURL の値であることを確認します。 https://nls.corp.contoso.com.このネットワーク ロケーション サーバー URL にアクセスできる時は必ず、クライアントは企業ネットワークの内部にいることを確認します、 そして、NRPT の設定は適用されません。
  6. タイプ Get DAConnectionStatus Enter キーを押します。クライアントがネットワーク ロケーション サーバー URL に達することができるため、ConnectedLocally というステータスが表示されます。
デモ: Client1 を Corpnet のサブネットに接続して、グループ ポリシーを更新します。

クライアント コンピューターを Corpnet のサブネットに接続してから再起動した後に、以下のデモ ビデオを視聴してください。

手順 10: CLIENT1 をインターネットのサブネットに接続し、リモート アクセスをテストする

インターネットからリモート アクセス接続をテストするには、CLIENT1 接続をインターネット サブネットに移動します。

インターネットからリモート アクセスをテストするには

  1. CLIENT1 をインターネットのサブネットに接続します。ネットワーク決定のプロセスが完了したら、ネットワーク アイコンにインターネット アクセスと表示されるはずです。
  2. PowerShell ウィンドウで、次のように入力します。 Get DAConnectionStatus Enter キーを押します。ConnectedRemotely というステータスが表示されます。
  3. システム通知領域に [ネットワーク] アイコンをクリックします。[Contoso DirectAccess 接続] が、Connected と表示されていることに注意してください。これは、DirectAccess のウィザードで提供される接続名です。
  4. [Contoso DirectAccess 接続] を右クリックし、[プロパティ] をクリックします。Connected というステータスが表示されることに注意してください。
  5. PowerShell プロンプトから次のように入力します。 inet1.isp.example.com に ping を実行します。 インターネットの名前解決および接続を確認するのには Enter キーを押します。131.107.0.1 から 4 つの応答を受信するはずです。
  6. タイプ app1.corp.contoso.com に ping を実行します。 企業のイントラネットの名前解決および接続を確認するのには Enter キーを押します。APP1 は IPv6 が有効になっているイントラネット リソースであるので、ICMP 応答は APP1 の IPv6 アドレス (2001:db8:1::3) から来ます。
  7. タイプ app2.corp.contoso.com に ping を実行します。 名前解決、およびイントラネットの Windows Server 2003 ファイル サーバーへの接続を確認するのには Enter キーを押します。返された IPv6 アドレスの形式に注意してください。APP2 は IPv4 専用イントラネット リソースであるので、APP2 の動的に作成された NAT64 アドレスが返されます。NAT64 用に DirectAccess によって割り当てられる動的に作成されたプレフィックスは、fdxx:xxxx:xxxx:7777::/96 という形式になります。
  8. Internet Explorer アイコンをクリックして Internet Explorer を起動します。Http://inet1.isp.example.com の web サイトにアクセスできることを確認します。このサイトは INET1 インターネット サーバー上で実行されていて、DirectAccess より外のインターネット接続を検証します。
  9. Http://app1.corp.contoso.com の web サイトにアクセスできることを確認します。このサイトは、APP1 のサーバー上で実行されていて、内部 IPv6 web サーバーへの DirectAccess 接続を検証します。
  10. Http://app2.corp.contoso.com の web サイトにアクセスできることを確認します。IPv4 専用の内部 web サーバーへの DirectAccess 接続を確認する、既定の IIS の [作業中] web ページが表示されるはずです。
  11. デスクトップ タスク バーから、 Windows エクスプローラーのアイコンをクリックします。
  12. アドレス バーに、\\app1\Files と入力し、Enter キーを押します。
  13. ファイルの共有フォルダーの内容と共に、フォルダー ウィンドウが表示されます。
  14. ファイル共有フォルダー ウィンドウで、 Example.txt ファイルをダブルクリックします。Example.txt ファイルの内容を表示する必要があります。
  15. [Example - メモ帳] ウィンドウを閉じます。
  16. Windows エクスプローラーのアドレス バーに \\app2\Files と入力し、Enter キーを押します。
  17. ファイル共有フォルダー ウィンドウで、[新しいテキスト ドキュメント.txt] ファイルをダブルクリックします。IPv4 専用サーバー上の共有ドキュメントの内容が表示されます。
  18. [新しいテキスト ドキュメント - メモ帳] 、および [共有ファイル フォルダー] のウィンドウを閉じます。
  19. PowerShell ウィンドウで、次のように入力します。 Get NetIPAddress クライアントの IPv6 構成を確認するのには Enter キーを押します。
  20. タイプ Get NetTeredoState Teredo の構成を確認するのには Enter キーを押します。Teredo サーバー名が edge1.contoso.comであり、EDGE1 サーバーの外部で解決可能な DNS 名であることに注意してください。
  21. タイプ Get NetIPHTTPSConfiguration Enter キーを押します。クライアントを接続するグループ ポリシーによって適用される設定を確認します。 https://edge1.contoso.com:443/IPHTTPS.
  22. タイプ wf.msc および高度なセキュリティ コンソールを使用して Windows ファイアウォールを起動するのには Enter キーを押します。[監視] を展開し、[セキュリティ アソシエーション] を展開して、確立された IPsec SAs を調べます。使用される認証方法が、コンピューター Kerberos およびユーザー Kerberos、そして、コンピューター 証明書およびユーザー Kerberos であることに注意してください。
  23. コンソール ツリーで、接続セキュリティ規則を選択します。DirectAccess 接続のために使用される規則を調べます。
  24. セキュリティが強化された Windows ファイアウォール コンソールを閉じます。
デモ: CLIENT1 をインターネットのサブネットに接続し、リモート アクセスをテストします

インターネット サブネットにクライアント コンピューターを接続した後に、以下のデモ ビデオを視聴してください。

手順 11: CLIENT1 を Homenet サブネットに接続し、リモート アクセスをテストする

NAT の背後にあるシミュレートされたホーム ネットワークからリモート アクセス接続をテストするには、CLIENT1 接続を Homenet サブネットに移します。

ホーム ネットワークからリモート アクセスをテストするには

  1. CLIENT1 を Homenet サブネットに接続します。ネットワークの決定プロセスが完了するとすぐに、ネットワーク アイコンにインターネット アクセスが表示されるはずです。
  2. PowerShell ウィンドウで、次のように入力します。 Get DAConnectionStatus Enter キーを押します。ConnectedRemotely というステータスが表示されます。
  3. システム通知領域に [ネットワーク] アイコンをクリックします。[Contoso DirectAccess 接続] が、Connected と表示されていることに注意してください。[Contoso DirectAccess 接続] を右クリックし、[プロパティ] をクリックします。ステータスが Connected と表示されていることに注意してください。
  4. タイプ app1.corp.contoso.com に ping を実行します。 企業のイントラネットの名前解決および内部の IPv6 リソースへの接続を確認するのには Enter キーを押します。
  5. タイプ app2.corp.contoso.com に ping を実行します。 企業のイントラネットの名前解決および内部の IPv4 リソースへの接続を確認するのには Enter キーを押します。
  6. Internet Explorer アイコンをクリックして Internet Explorer を起動します。Http://inet1.isp.example.com、[http://app1.corp.contoso.com、http://app2.corp.contoso.com の web サイトにアクセスできることを確認します。
  7. デスクトップ タスク バーから、 Windows エクスプローラーのアイコンをクリックします。
  8. \\APP1\Files および \\APP2\Files の共有ファイルにアクセスできることを確認します。
  9. Windows エクスプ ローラー ウィンドウを閉じます。
  10. PowerShell ウィンドウで、次のように入力します。 Get NetIPAddress クライアントの IPv6 構成を確認するのには Enter キーを押します。
  11. タイプ Get NetTeredoState Teredo の構成を確認するのには Enter キーを押します。Teredo ステータスが qualified と表示されていることに注意してください。
  12. タイプ ipconfig Enter キーを押します。NAT の背後のこの展開では、DirectAccess クライアントが Teredo のトンネル アダプターを介して接続していることに注意してください。
デモ: CLIENT1 を Homenet サブネットに接続し、リモート アクセスをテストします。

Homenet サブネットにクライアント コンピューターを接続した後に、以下のデモ ビデオを視聴してください。

手順 12: EDGE1 DirectAccess サーバーでクライアント接続を監視する

Windows Server 2012 のリモート アクセス管理コンソールは、DirectAccess および VPN 接続両方のリモート クライアント ステータス監視機能を提供します。

EGDE1 でクライアント接続を監視するには

  1. スタート画面で、リモート アクセスの管理をクリックします。
  2. リモート アクセス管理コンソールで、ダッシュボードを選択します。
  3. リモート クライアント ステータス の下に収集されるデータを確認します。
  4. リモート アクセス管理コンソールでリモート クライアント ステータスを選択します。
  5. CLIENT1 接続をダブルクリックして、リモート クライアントの詳細統計情報ダイアログ ボックスを表示します。
デモ: EGDE1 でクライアント接続を監視します。

オプション: 構成のスナップショット

これで、IPv4 専用環境のテスト ラボでの DirectAccess 簡易展開を終了します。動作済みのリモート アクセスの構成に迅速に戻って他のリモート アクセス モジュールのテスト ラボ ガイド (TLGs) や TLG 拡張機能をテストできるように、または独自の実験や学習用に、この構成を保存するには次の操作を行います。

1. テスト ラボのすべての物理コンピューターまたは仮想マシンのウィンドウをすべて閉じて、正常なシャット ダウンを実行します。

2. テスト環境は、仮想マシンに基づいている場合各仮想マシンのスナップショットを保存し、 DirectAccess が混在したは、IPv4 と IPv6のスナップショットの名前を指定します。ラボに物理的コンピューターを使用している場合は、ディスク イメージを作成して DirectAccess の簡易 IPv4 専用テスト ラボ構成を保存します

警告: この記事は自動翻訳されています

プロパティ

文書番号:3022362 - 最終更新日: 11/09/2015 09:47:00 - リビジョン: 6.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Foundation, Windows Server 2012 Standard

  • kbexpertiseadvanced kbsurveynew kbinfo kbhowto kbmt KB3022362 KbMtja
フィードバック