DirectAccessをオフラインドメイン参加で構成する。

2022-05-18 2023-06-05 SAKURAI

先の記事でSurfaceを購入したというお知らせをしました。
Apple大好きな私があえてWindowsを選んだのには理由があります。
それは、Windows Serverで構成できる「DirectAccess（ダイレクトアクセス）」という機能を使いたかったからです。
これは、Macでは使用することができない、Windowsだけの機能です。

Contents

1 簡単にDirectAccessの説明
2 オフラインドメイン参加の方法
- 2.1 オフラインドメイン参加の作業の流れ
  - 2.1.1 ①コンピュータアカウントメタデータを作成する。
    - 2.1.1.1 DirectAccessサーバでコンピュータアカウントメタデータを作成する
    - 2.1.1.2 ドメインコントローラーで作成したコンピュータアカウントを DirectAccessのクライアントGPOが反映される範囲に配置する。
  - 2.1.2 ②コンピューターアカウントメタデータを対象コンピューターの Windows ディレクトリに挿入する。
- 2.2 ③コンピュータを再起動します。

簡単にDirectAccessの説明

DirectAccessは、VPNとは異なるアプローチで、リモートから社内ネットワークへの接続とアクセスを提供する機能です。VPNでは、ユーザーが意図的にVPNクライアントを使用してVPNサーバーに接続する必要がありますが、DirectAccessでは、ユーザーは何も操作する必要がありません。

DirectAccessを利用すると、ユーザーは意識することなく、自動的に社内ネットワークに接続し、社内のリソースにアクセスすることができます。これは、ユーザーが社内LANに接続する必要がなく、リモートの場所でドメイン環境を利用できるという利便性を提供します。

さらに、DirectAccessはActive Directoryのオフラインドメイン参加と組み合わせることができます。これにより、ユーザーは一度も社内LANに接続することなく、ドメイン環境を利用することができます。

DirectAccessの特徴的な点は、社外に存在するクライアントに対して、ユーザーのログオン状態にかかわらず、グループポリシーやソフトウェアの配布など、ドメインコントローラーの管理を適用できることです。これにより、リモートからのアクセスでもセキュリティや管理の一貫性を確保することができます。

つまり、DirectAccessはリモートからのアクセスを簡便化し、社内ネットワークへのシームレスな接続とリソースの利用を可能にする強力な技術です。

オフラインドメイン参加の方法

オフラインドメイン参加の作業の流れ

オフラインドメイン参加は、Windows Server 2008 R2以降のドメインコントローラーで利用できます。DirectAccessをオフラインドメイン参加で利用する場合、次の手順で行います。

djoin /provision コマンドを使用して、コンピューターアカウントのメタデータを作成します。この手順では、DirectAccessのクライアントポリシーをメタデータに含めます。
djoin /requestODJ コマンドを使用して、コンピューターアカウントのメタデータを対象コンピューターのWindowsディレクトリに挿入します。
対象コンピューターを再起動すると、コンピューターはドメインに参加します。この時点で、DirectAccessをオフラインドメイン参加で利用する準備が整いました。

以上が、DirectAccessをオフラインドメイン参加で利用するための手順です。これにより、DirectAccessを使用してリモートからのアクセスをシームレスかつセキュアに行うことができます。

①コンピュータアカウントメタデータを作成する。

DirectAccessサーバでコンピュータアカウントメタデータを作成する

DirectAccessサーバーのコマンドプロンプトで、次のコマンドを入力してコンピューターアカウントをプロビジョニングします。

Djoin /provision /domain <your domain name> /machine <remote machine name> /policynames DA Client GPO name /rootcacerts /savefile c:\provision.txt /reuse

例)　Djoin /provision /domain hogehoge.skri.gr.jp /machine TEST01 /policynames "DirectAccess Client Settings" /rootcacerts /savefile c:\provision.txt /reuse

ここで大切なのは、/policynamesのオプションを設定していることです。
このオプションを含めることにより、グループポリシーが含まれた状態で構成することができます。
実行すると、「Computer provisioning completed successfully.」となり、プロビジョニングされます。

ドメインコントローラーで作成したコンピュータアカウントを DirectAccessのクライアントGPOが反映される範囲に配置する。

ドメインコントローラで「ActiveDirectoryユーザーとコンピュータ」を開きます。
「コンピュータ」のところに手順①で追加したコンピュータアカウントが追加されていますから、これをDirectAccessのクライアントポリシーが適用されるOUなどに移動させます。

②コンピューターアカウントメタデータを対象コンピューターの Windows ディレクトリに挿入する。

安全な方法でテキストファイルをオフラインドメイン参加したいコンピュータに移動させ、コマンドプロンプトで次のコマンドを投入します。

Djoin /requestodj /loadfile C:\provision.txt /windowspath %windir% /localos

可変はオレンジ色の部分のみです。

③コンピュータを再起動します。

再起動するとコンピューターはドメインに参加した状態となります。
再起動後、インターネットに接続したクライアントは、DirectAccess を使用して自動的に企業ネットワークに接続します。
「接続済み」となったあとは、ADのアカウントでログインすることが可能となっています。

DirectAccessは、OSのサポート期間を超えてサポートが継続されることはなく、終了が予定されています。
後継は「Always On VPN 」です。
あと数年後のことを考えてどちらを運用するか、また別のソリューションを検討するかは慎重に考えた方がよいと思います。

カテゴリー: TECHNOLOGY

タグ: Windows Server クラウドテクノロジー

iPadですべてをすることがちょっと難しくなった。

Surface純正で出してほしいUSB-Cでつなげる充電ケーブル (YOUZIPPER SF-18)