2012/11/09

Windows Server 2012 テクノロジ入門 > DirectAccess クライアントのリモート管理について

Amazon 書籍ランキングで「ひと目でわかる Windows Server 2012」や「できる Windows ほにゃらら」の追い上げが気になる今日この頃。「ひと目」や「できる」ではなく、「Windows Server 2012 テクノロジ入門」の DirectAccess の内容に関してちょっと補足。

DirectAccess クライアントは、パブリックまたはプライベート ネットワーク (Windows ファイアウォールのプロファイル) の接続を使用して、企業ネットワークにシームレスに接続しますが、企業ネットワーク側からのリモート管理トラフィックは、既定のパブリックやプライベート プロファイルではもちろんブロックされます。

リモート管理トラフィックを許可する方法について、「Windows Server 2012 テクノロジ入門」や「Windows Server 2008 R2 テクノロジ入門」に書くのをすっかり忘れていました。

具体的な方法については、以下のドキュメントを参考にしてください。ざっと言うと、DirectAccess クライアントに適用される GPO で、管理用トラフィックのための受信の規則をパブリックおよびプライベート プロファイルに対して作成し、「エッジトラバーサルを許可する」を設定します。また、これだけではパブリックやプライベート プロファイルのファイアウォールの穴が大きすぎるので、他のセキュリティのオプションや、受信を許可する企業ネットワーク側のリモート コンピューター (IPv6 や FQDN) を指定してください。

TechNet ライブラリ > 管理コンピューターのパケット フィルター
[URL] http://technet.microsoft.com/ja-jp/library/ee382313(v=ws.10).aspx
TechNet ライブラリ > DirectAccess クライアントへの管理トラフィックを許可するパケット フィルターの構成
[URL] http://technet.microsoft.com/ja-jp/library/ee649264(v=ws.10).aspx


DirectAccess のトラフックに関しては、ドメイン プロファイルが適用されるようような実装になっていると楽なんですが、残念ながら、そうはなっていません。DirectAccess は簡単に言うと、IPv6 によるエンド・ツー・エンドの通信を IPSec で保護しているだけなので ( IPv6 通信できないときは、さらにIP-HTTPS でカプセル化するだけです) 。

0 件のコメント: