DirectAccessをオフラインドメイン参加で構成する。

先の記事でSurfaceを購入したというお知らせをしました。
Apple大好きな私があえてWindowsを選んだのには理由があります。
それは、Windows Serverで構成できる「DirectAccess(ダイレクトアクセス)」という機能を使いたかったからです。
これは、Macでは使用することができない、Windowsだけの機能です。

簡単にDirectAccessの説明

DirectAccessは、VPNとはまったく異なる方法で、リモートから社内ネットワークへのシームレスな接続と、社内リソースへのアクセス手段を提供する機能です。
VPNは、VPNクライアントを使用して VPNサーバーに接続するという、ユーザーによる意図的な操作が必要になりますが、DirectAccessはそのような操作はまったく必要なく、ユーザーの無意識のうちに、自動的に社内ネットワークへの接続が行われ、社内ネットワーク上のリソースにアクセスすることができます。
また、ActiveDirectoryのオフラインドメイン参加を併用することによって、ユーザーは社内LANに一度も接続しないまま、リモートの場所でドメイン環境を利用できるようになります。
DirectAccessは、社外に存在するクライアントに対して、ユーザーのログオン状態にかかわらず、グループポリシーを適用したり、ソフトウェアや更新プログラムを配布したりなど、ドメインコントローラーの管理下に含めることができるすごい技術です。

オフラインドメイン参加の方法

オフラインドメイン参加の作業の流れ

オフラインドメイン参加はWindows Server 2008 R2以降のドメイン コントローラーで実施することができます。
Djoin.exe を使用するための一般的な手順は、次のとおりです。

  1. djoin /provision で、コンピューター アカウント メタデータを作成する。
  2. djoin /requestODJ で、コンピューター アカウント メタデータを対象コンピューターの Windows ディレクトリに挿入する。
  3. 対象コンピューターを再起動すると、コンピューターはドメインに参加します。

DirectAccessをオフラインドメイン参加で利用する際には、手順1の段階でDirectAccessのクライアントポリシーをメタデータの中に含めることで実現します。

①コンピュータアカウントメタデータを作成する。

DirectAccessサーバでコンピュータアカウントメタデータを作成する

DirectAccessサーバーのコマンド プロンプトで、次のコマンドを入力してコンピューター アカウントをプロビジョニングします。

Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\provision.txt /reuse

例) Djoin /provision /domain hogehoge.skri.gr.jp /machine TEST01 /policynames "DirectAccess Client Settings" /rootcacerts /savefile c:\provision.txt /reuse

ここで大切なのは、/policynamesのオプションを設定していることです。
このオプションを含めることにより、グループポリシーが含まれた状態で構成することができます。
実行すると、「Computer provisioning completed successfully.」となり、プロビジョニングされます。

ドメインコントローラーで作成したコンピュータアカウントを DirectAccessのクライアントGPOが反映される範囲に配置する。

ドメインコントローラで「ActiveDirectoryユーザーとコンピュータ」を開きます。
「コンピュータ」のところに手順①で追加したコンピュータアカウントが追加されていますから、これをDirectAccessのクライアントポリシーが適用されるOUなどに移動させます。

②コンピューター アカウント メタデータを対象コンピューターの Windows ディレクトリに挿入する。

安全な方法でテキストファイルをオフラインドメイン参加したいコンピュータに移動させ、コマンドプロンプトで次のコマンドを投入します。

Djoin /requestodj /loadfile C:\provision.txt /windowspath %windir% /localos

可変はオレンジ色の部分のみです。

③コンピュータを再起動します。

再起動するとコンピューターはドメインに参加した状態となります。
再起動後、インターネットに接続したクライアントは、DirectAccess を使用して自動的に企業ネットワークに接続します。
「接続済み」となったあとは、ADのアカウントでログインすることが可能となっています。


DirectAccessは、OSのサポート期間を超えてサポートが継続されることはなく、終了が予定されています。
後継は「Always On VPN 」です。
あと数年後のことを考えてどちらを運用するか、また別のソリューションを検討するかは慎重に考えた方がよいと思います。