手順 3 負荷分散クラスターを構成する

• 適用対象:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

クラスター用のサーバーを準備した後、単一サーバーで負荷分散を構成し、必要な証明書を構成して、クラスターを展開します。

タスク	説明
3.1 IPv6 プレフィックスを構成する	企業環境が IPv4+IPv6 または IPv6 専用の場合は、単一のリモート アクセス サーバーで、DirectAccess クライアント コンピューターに割り当てられている IPv6 プレフィックスが、クラスター内のすべてのサーバーをカバーできる大きさであることを確認します。
3.2 負荷分散を有効化する	単一のリモート アクセス サーバーで負荷分散を有効にします。
3.3 IP-HTTPS 証明書をインストールする	クラスター内の各サーバーには、IP-HTTPS 接続を認証するためのサーバー証明書が必要です。 単一のリモート アクセス サーバーから IP-HTTPS 証明書をエクスポートし、クラスターに追加する各サーバーに展開します。 これは、非自己署名証明書を使用する場合にのみ必要です。
3.4 ネットワーク ロケーション サーバーの証明書をインストールする	単一サーバーでネットワーク ロケーション サーバーがローカルに展開されている場合は、クラスター内の各サーバーにネットワーク ロケーション サーバー証明書を展開する必要があります。 ネットワーク ロケーション サーバーが外部サーバーにホストされている場合、各サーバーの証明書は必要ありません。 これは、非自己署名証明書を使用する場合にのみ必要です。
3.5 クラスターにサーバーを追加する	すべてのサーバーをクラスターに追加します。 追加するサーバーでリモート アクセスを構成することはできません。
3.6 クラスターからサーバーを削除する	クラスターからサーバーを削除する手順です。
3.7 負荷分散を無効化する	負荷分散を無効にする手順です。

注意

DIP に選択された IP アドレスは、クラスター内の最初のリモート アクセス サーバーのネットワーク アダプターで使用されていない必要があります。 ネットワーク アダプターに VIP と DIP の両方を追加して DirectAccess 展開を開始すると、エラーが発生します。

注意

ネットワーク上の別のコンピューターに既に存在する DIP を使用しないようにしてください。

3.1 IPv6 プレフィックスを構成する

プレフィックスを構成する

1. リモート アクセス サーバーで、[スタート] をクリックし、[リモート アクセス管理] をクリックします。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。

2. リモート アクセス管理コンソールで、[構成] をクリックします。

3. コンソールの中央のウィンドウで、[手順 2 DirectAccess サーバー] 領域の [編集] をクリックします。

4. [プレフィックスの構成] をクリックします。 [プレフィックスの構成] ページの [DirectAccess クライアント コンピューターに割り当てられた IPv6 プレフィックス] に、サブネットの長さが 59 の DirectAccess クライアント コンピューターに使用される IPv6 プレフィックスを入力します (例: 2001:db8:1:1000::/59)。 VPN が IPv6 でも有効になっていた場合は、IPv6 プレフィックスが表示され、サブネットの長さを 59 に変更する必要があります。 [次へ] をクリックします。

5. コンソールの中央のウィンドウで、[完了] をクリックします。

6. [リモート アクセスの確認] ダイアログ ボックスで、構成設定を確認し、[適用] をクリックします。 [リモートアクセス セットアップ ウィザードの設定を適用しています] ダイアログ ボックスで、[閉じる] をクリックします。

3.2 負荷分散を有効化する

負荷分散を有効化する

1. 構成された DirectAccess サーバーで、[スタート] をクリックし、[リモート アクセス管理] をクリックします。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。

2. リモート アクセス管理コンソールの左側のウィンドウで、[構成] をクリックし、[タスク] ウィンドウで [負荷分散の有効化] をクリックします。

3. 負荷分散の有効化ウィザードで、[次へ] をクリックします。

4. 計画手順で選択した内容に応じて、次の手順を実行します。

   1. Windows NLB: [負荷分散方法] ページで、[Windows ネットワーク負荷分散 (NLB) を使用する] をクリックし、[次へ] をクリックします。

   2. 外部ロード バランサー: [負荷分散方法] ページで、[外部ロード バランサーを使用する] をクリックし、[次へ] をクリックします。

5. 1 つのネットワーク アダプターの展開の [専用 IP アドレス] ページで、次の操作を行い、[次へ] をクリックします。

   1. [IPv4 アドレス] ボックスに、このリモート アクセスサーバーの新しい IPv4 アドレスを入力します。現在の IPv4 アドレスは、負荷分散クラスターの仮想 IP アドレス (VIP) になります。 [サブネット マスク] ボックスに、サブネット マスクを入力します。

   2. 企業環境がネイティブ IPv6 の場合は、[IPv6 アドレス] ボックスに、このリモート アクセス サーバーの新しい IPv6 アドレスを入力します。現在の IPv6 アドレスは、負荷分散クラスターの VIP になります。 [サブネット プレフィックスの長さ] ボックスに、サブネット プレフィックスの長さを入力します。

6. 2 つのネットワーク アダプターの展開の [外部専用 IP アドレス] ページで、次の操作を行い、[次へ] をクリックします。

   1. [外部 IPv4 アドレス] ボックスに、このリモート アクセスサーバーの新しい外部 IPv4 アドレスを入力します。現在の IPv4 アドレスは、負荷分散するクラスターの仮想 IP アドレス (VIP) になります。 [サブネット マスク] ボックスに、サブネット マスクを入力します。

   2. 現在、リモート アクセス サーバーのインターネットに接続しているネットワーク アダプターにネイティブ IPv6 アドレスが構成されている場合は、[IPv6 アドレス] ボックスに、このリモート アクセス サーバーの新しい外部 IPv6 アドレスを入力します。現在の IPv6 アドレスは、負荷分散クラスターの VIP になります。 [サブネット プレフィックスの長さ] ボックスに、サブネット プレフィックスの長さを入力します。

7. 2 つのネットワーク アダプターの展開の [内部専用 IP アドレス] ページで、次の操作を行い、[次へ] をクリックします。

   1. [内部 IPv4 アドレス] ボックスに、このリモート アクセスサーバーの新しい内部 IPv4 アドレスを入力します。現在の IPv4 アドレスは、負荷分散クラスターの VIP になります。 [サブネット マスク] ボックスに、サブネット マスクを入力します。

   2. 企業環境がネイティブ IPv6 の場合は、[IPv6 アドレス] ボックスに、このリモート アクセス サーバーの新しい内部 IPv6 アドレスを入力します。現在の IPv6 アドレスは、負荷分散クラスターの VIP になります。 [サブネット プレフィックスの長さ] ボックスに、サブネット プレフィックスの長さを入力します。

8. [概要] ページで、[コミット] をクリックします。

9. [負荷分散の有効化] ダイアログ ボックスで、[閉じる] をクリックします。

10. 負荷分散の有効化ウィザードで、[閉じる] をクリックします。

    注意

    外部負荷分散を使用している場合は、仮想 IP を書き留め、外部ロード バランサーとして指定します。

Windows PowerShell の同等のコマンド

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

計画手順で Windows NLB を使用することを選択した場合は、次のように実行します。

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -InternetVirtualIPAddress @("2.1.1.1/255.255.255.0","2.1.1.2/255.255.255.0") -InternalVirtualIPAddress @("10.1.1.2/255.255.255.0","3ffe::2/64")

計画手順で外部ロード バランサーを使用することを選択した場合は、次のように実行します。

Set-RemoteAccessLoadBalancer -InternetDedicatedIPAddress "2.1.1.20/255.255.255.0" -InternalDedicatedIPAddress @("10.1.1.30/255.255.255.0","3ffe::20/64") -UseThirdPrtyLoadBalancer

注意

ステージング GPO を使用している場合は、他の設定変更にロード バランサーの設定変更を含めないことをお勧めします。 ロード バランサーの設定を変更する場合は、最初に適用してから、その他の構成の変更を行う必要があります。 また、新しい DirectAccess サーバーでロード バランサーを構成した後は、企業内の DNS サーバー間で IP の変更が適用およびレプリケートされるまでしばらく待ってから、新しいクラスターに関連する他の DirectAccess 設定を変更してください。

3.3 IP-HTTPS 証明書をインストールする

この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。

IP-HTTPS 証明書をインストールする

1. 構成されたリモート アクセス サーバーで、[スタート] をクリックし、「mmc」と入力して Enter キーを押します。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。

2. MMC コンソールの [ファイル] メニューで、 [スナップインの追加と削除] をクリックします。

3. [スナップインの追加と削除] ダイアログ ボックスで、[証明書]、[追加]、[コンピューター アカウント]、[次へ]、[完了] の順にクリックし、[OK] をクリックします。

4. コンソールの左側のウィンドウで、[証明書 (ローカル コンピューター)]、[個人用]、[証明書] の順に開きます。 IP-HTTPS 証明書を右クリックし、[すべてのタスク] をポイントして、[エクスポート] をクリックします。

5. [証明書のエクスポート ウィザードの開始] ページで、[次へ] をクリックします。

6. [秘密キーのエクスポート] ページで、[はい、秘密キーをエクスポートします] をクリックし、[次へ] をクリックします。

7. [エクスポート ファイルの形式] ページで、[Personal Information Exchange - PKCS #12 (.PFX)] をクリックし、[次へ] をクリックします。

8. [セキュリティ] ページで、[パスワード] チェックボックスをオンにし、[パスワード] ボックスにパスワードを入力して、パスワードを確認し、[次へ] をクリックします。

9. [エクスポートするファイル] ページで、証明書ファイルの名前を入力し、デスクトップに保存してから、[次へ] をクリックします。

10. [証明書のエクスポート ウィザードの完了] ページで、[完了] をクリックします。

11. [証明書のエクスポート ウィザード] ダイアログ ボックスで、[OK] をクリックします。

12. クラスターのメンバーにするすべてのサーバーに証明書をコピーします。

13. 新しい DirectAccess サーバーで、[スタート] をクリックし、「mmc」と入力して Enter キーを押します。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。

14. MMC コンソールの [ファイル] メニューで、 [スナップインの追加と削除] をクリックします。

15. [スナップインの追加と削除] ダイアログ ボックスで、[証明書]、[追加]、[コンピューター アカウント]、[次へ]、[完了] の順にクリックし、[OK] をクリックします。

16. コンソールの左側のウィンドウで、[証明書 (ローカル コンピューター)]、[個人用]、[証明書] の順に開きます。 [証明書] ノードを右クリックし、[すべてのタスク] をポイントして、[インポート] をクリックします。

17. [証明書のインポート ウィザードの開始] ページで、[次へ] をクリックします。

18. [インポートするファイル] ページで、[参照] をクリックして証明書を探します。 証明書を選択し、[次へ] をクリックします。

19. [秘密キーの保護] ページの [パスワード] ボックスにパスワードを入力し、[次へ] をクリックします。

20. [証明書ストア] ページで、[次へ] をクリックします。

21. [証明書のインポート ウィザードの完了] ページで、[完了] をクリックします。

22. [証明書のインポート ウィザード] ダイアログ ボックスで、[OK] をクリックします。

23. クラスターのメンバーにするすべてのサーバーで、手順 13 から 22 を繰り返します。

3.4 ネットワーク ロケーション サーバーの証明書をインストールする

この手順を完了するには、少なくともローカルの Administrators グループ、またはそれと同等のメンバーシップが必要です。

ネットワーク ロケーションの証明書をインストールする

1. リモート アクセス サーバーで、[スタート] をクリックし、「mmc」と入力して Enter キーを押します。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。

2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。

3. [証明書]、[追加]、[コンピューター アカウント]、[次へ]、[ローカル コンピューター]、[完了] の順にクリックし、[OK] をクリックします。

4. 証明書スナップインのコンソール ツリーで、[証明書 (ローカル コンピューター)]、[個人用]、[証明書] の順に開きます。

5. [証明書] を右クリックし、[すべてのタスク] をポイントして、[新しい証明書の要求] をクリックします。

6. [次へ] を 2 回クリックします。

7. [証明書の要求] ページで、Web サーバー証明書テンプレートをクリックして、[この証明書を登録するにはもう少し情報が必要です] をクリックします。

   Web サーバー証明書テンプレートが表示されない場合は、リモート アクセス サーバーのコンピューター アカウントに、Web サーバー証明書テンプレートの登録アクセス許可があることを確認します。 詳細については、Web サーバー証明書テンプレートのアクセス許可の構成に関するページを参照してください。

8. [証明書のプロパティ] ダイアログ ボックスの [サブジェクト] タブで、[サブジェクト名] の [種類] から [共通名] を選択します。

9. [値] に、ネットワーク ロケーション サーバー Web サイトのイントラネット名の完全修飾ドメイン名 (FQDN) を入力し (nls.corp.contoso.com など)、[追加] をクリックします。

10. [OK] をクリックし、[登録] をクリックして、[完了] をクリックします。

11. 証明書スナップインの詳細ウィンドウで、FQDN の新しい証明書が [サーバー認証] の [使用目的] とともに登録されていることを確認します。

12. その証明書を右クリックしてから、[プロパティ] をクリックします。

13. [表示名] に「Network Location Certificate」と入力し、[OK] をクリックします。

    ヒント

    手順 12 と 13 は省略可能ですが、リモート アクセスを構成するときに、ネットワーク ロケーションの証明書を簡単に選択できるようになります。

14. すべてのサーバー クラスターのメンバーにするには、この手順を繰り返します。

3.5 クラスターにサーバーを追加する

クラスターにサーバーを追加する

1. 構成された DirectAccess サーバーで、[スタート] をクリックし、[リモート アクセス管理] をクリックします。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。

2. リモート アクセス管理コンソールで、[構成] をクリックします。 [タスク] ウィンドウの [負荷分散クラスター] で、[サーバーの追加と削除] をクリックします。

3. [サーバーの追加と削除] ダイアログ ボックスで、[サーバーの追加] をクリックします。

4. [サーバーの追加] ダイアログ ボックスの [サーバーの選択] ページで、追加のリモート アクセス サーバーの名前を入力し、[次へ] をクリックします。

5. [ネットワーク アダプター] ページで、次のいずれかの操作を行います。

   • 2 つのネットワーク アダプターを含むトポロジを展開する場合は、[外部アダプター] で、外部ネットワークに接続されるアダプターを選択します。 [内部アダプター] で、内部ネットワークに接続されているアダプターを選択します。

   • 1 つのネットワーク アダプターを含むトポロジを展開する場合は、[ネットワーク アダプター] で、内部ネットワークに接続されるアダプターを選択します。

6. [ネットワーク アダプター] ページの [IP-HTTPS 接続の認証に使用する証明書の選択] で、[参照] をクリックして IP-HTTPS 証明書を探して選択し、[次へ] をクリックします。

7. [ネットワーク ロケーション サーバー] ページで、[参照] をクリックして、リモート アクセス サーバーで実行されているネットワーク ロケーション サーバーの Web サイトの証明書を選択し、[次へ] をクリックします。

   注意

   [ネットワーク ロケーション サーバー] ページは、ネットワーク ロケーション サーバーの Web サイトがリモート アクセス サーバーで実行されている場合にのみ表示されます。

   注意

   リモート アクセス サーバーでも VPN が構成されている場合は、この時点で VPN IP アドレス プール情報を追加するように求められます。

8. [概要] ページで [追加] をクリックします。

9. [完了] ページで [閉じる] をクリックします。

10. クラスターに追加するすべてのリモート アクセス サーバーに対して、この手順を繰り返します。

11. [サーバーの追加と削除] ダイアログ ボックスで、[コミット] をクリックします。

12. [サーバーの追加と削除] ダイアログ ボックスで、[閉じる] をクリックします。

Windows PowerShell の同等のコマンド

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

Add-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

注意

負荷分散クラスターで VPN が有効になっていない場合は、Windows PowerShell コマンドレットを使用して新しいサーバーをクラスターに追加するときに、VPN アドレス範囲を指定することはできません。 誤ってそうしてしまった場合は、サーバーをクラスターから削除し、VPN アドレス範囲を指定せずに再度クラスターに追加します。

3.6 クラスターからサーバーを削除する

クラスターからサーバーを削除する

1. 構成されたリモート アクセス サーバーで、[スタート] をクリックし、[リモート アクセス管理] をクリックします。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。

2. リモート アクセス管理コンソールで、[構成] をクリックします。 [タスク] ウィンドウの [負荷分散クラスター] で、[サーバーの追加と削除] をクリックします。

3. [サーバーの追加と削除] ダイアログ ボックスで、削除するリモート アクセス サーバーを選択し、[サーバーの削除] をクリックします。

4. [サーバーの削除の警告] ダイアログ ボックスで、適切なサーバーを選択し、[OK] をクリックします。

5. クラスターから削除するすべてのリモート アクセス サーバーに対して、この手順を繰り返します。

6. [サーバーの追加と削除] ダイアログ ボックスで、[コミット] をクリックします。

7. [サーバーの追加と削除] ダイアログ ボックスで、[閉じる] をクリックします。

Windows PowerShell の同等のコマンド

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

Remove-RemoteAccessLoadBalancerNode -RemoteAccessServer <server name>

3.7 負荷分散を無効化する

この手順を Windows PowerShell で行う

負荷分散を無効化する

1. 構成された DirectAccess サーバーで、[スタート] をクリックし、[リモート アクセス管理] をクリックします。 [ユーザー アカウント制御] ダイアログ ボックスが表示されたら、表示された操作が正しいことを確認し、[はい] をクリックします。

2. リモート アクセス管理コンソールで、[構成] をクリックします。 [タスク] ウィンドウの [負荷分散クラスター] で、[負荷分散の無効化] をクリックします。

3. [負荷分散の無効化] ダイアログ ボックスで、[OK] をクリックします。

4. [負荷分散の無効化] ダイアログ ボックスで、[閉じる] をクリックします。

Windows PowerShell の同等のコマンド

次の Windows PowerShell コマンドレットは、前の手順と同じ機能を実行します。 各コマンドレットを単一行に入力します。ただし、ここでは、書式上の制約があるために、複数行に改行されて表示される場合があります。

set-RemoteAccessLoadBalancer -disable

負荷分散を無効化すると、リモート アクセス設定と NLB 設定 (構成されている場合) が、実行中のサーバーを除くすべてのサーバーから削除されます。 このリモート アクセス サーバーでは、NLB 設定は削除されますが (構成されている場合)、リモート アクセス設定は残ります。

[構成設定の削除] をクリックすると、展開内のすべてのサーバーからリモート アクセスと NLB (構成されている場合) が削除されます。

注意

• 負荷分散を展開するときにリモート アクセスがアンインストールされた場合、すべてのサーバーに DIP が残ります。 VIP は削除されます。 これにより、VIP アドレスを対象とする企業ネットワーク内のすべてのルートが失敗します。 これは、ネットワーク ロケーション サーバー証明書のサブジェクト名など、VIP に解決される DNS エントリにも影響します。 この問題を回避するには、負荷分散を無効にします。これにより、最後のリモート アクセス サーバー上の VIP が残ります。その後、リモート アクセスをアンインストールします。
• Set-RemoteAccessLoadBalancer コマンドレットを使用して負荷分散を無効化した後、他のコマンドレットを実行する前に 2 分間待ちます。 これは、Set-RemoteAccessLoadBalancer -disable コマンドレットの後に別のコマンドレットを実行するスクリプトでも行う必要があります。
• 負荷分散を無効にすると、クラスターの仮想 IP アドレスが専用 IP アドレスに変更されます。 その結果、サーバーの名前を照会する操作は、サーバー上のキャッシュされた DNS エントリの有効期限が切れるまで失敗します。 負荷分散を無効にした後は、サーバー上のキャッシュの有効期限が切れるまで、リモート アクセス PowerShell コマンドレットを実行しないようにしてください。 この問題は、別のドメインにある別のマシンからマシンの負荷分散を無効にしようとする場合に、よく発生します。 これは、リモート アクセス管理コンソールから負荷分散を無効化した場合にも発生し、構成の読み込みを妨げる可能性があります。 構成は、キャッシュの有効期限が切れた後、またはフラッシュされた後に読み込まれます。

関連項目

• 手順 4: クラスターを確認する