DirectAccess には、構成がサポートされていません
デプロイを開始する前に、サポートされていない DirectAccess 構成の次の一覧を確認して、デプロイを再度開始する必要が生じしないようにしてください。
ファイル レプリケーション サービス (FRS) によるオブジェクトのグループ ポリシー (SYSVOL レプリケーション)
ドメイン コントローラーがグループ ポリシー オブジェクト (SYSVOL レプリケーション) の配布のためにファイル レプリケーション サービス (FRS) を実行している環境では、 DirectAccess を展開しないでください。 FRS を使用する場合、DirectAccess のデプロイはサポートされていません。
サーバー 2003 または Windows Server 2003 R2 を実行しているWindowsの場合は、FRS を使用します。 さらに、以前に Windows 2000 Server または Windows Server 2003 ドメイン コントローラーを使用し、FRS から 分散ファイル システム レプリケーション (DFS-R) に SYSVOL レプリケーションを移行したことがない場合は、FRS を使用している可能性があります。
FRS SYSVOL レプリケーションを使用して DirectAccess を展開すると、DirectAccess サーバーとクライアント構成情報を含む DirectAccess グループ ポリシー オブジェクトが意図せずに削除されるリスクがあります。 これらのオブジェクトが削除された場合、DirectAccess の展開は停止し、DirectAccess を使用するクライアント コンピューターはネットワークに接続することはできません。
DirectAccess を展開する予定の場合は、Windows Server 2003 R2 より後のオペレーティング システムを実行しているドメイン コントローラーを使用する必要があります。DFS-R を使用する必要があります。
FRS から DFS-R への移行の詳細については、「 SYSVOL レプリケーション移行ガイド: FRS から DFS への移行」をDFS レプリケーション。
DirectAccess クライアントのネットワーク アクセス保護
ネットワーク アクセス保護 (NAP) は、リモート クライアント コンピューターが企業ネットワークへのアクセスを許可される前に IT ポリシーを満たすかどうかを判断するために使用されます。 NAP は R2 では非Windows Server 2012 R2とされ、このバージョンには含Windows Server 2016が含まれません。 このため、NAP を使用して DirectAccess の新しい展開の開始は推奨されません。 DirectAccess クライアントのセキュリティのために、別の方法でエンド ポイント制御を行う方法をお勧めします。
Windows7クライアントのマルチサイトサポート
DirectAccess がマルチサイト展開で構成されている場合、Windows 10 ®、Windows ® 8.1 、Windows ®8 のクライアントは、最も近いサイトに接続できます。 Windows 7® のクライアント コンピューターは同じ機能を持っていません。 Windows 7 クライアントのサイト選択は、ポリシーの構成時に特定のサイトに設定され、これらのクライアントは場所に関係なく、常に指定されたサイトに接続します。
ユーザーベースのアクセス制御
DirectAccess ポリシーはコンピューター ベースで、ユーザー ベースではありません。 企業ネットワークへのアクセスを制御する DirectAccess ユーザー ポリシーの指定はサポートされていません。
DirectAccess ポリシーのカスタマイズ
DirectAccess を構成するには、DirectAccess セットアップ ウィザード、リモート アクセス管理コンソール、またはリモート アクセス Windows PowerShellコマンドレットを使用します。 DirectAccess のセットアップ ウィザード以外の任意の方法を使用した DirectAccess の構成 (DirectAccess グループ ポリシー オブジェクトの直接の変更、サーバーまたはクライアントの既定のポリシー設定の手動での変更など) は、サポートされていません。 これらの変更により、構成が使用できなくなる可能性があります。
KerbProxy 認証
ウィザードを使用して DirectAccess サーバーを構成するとはじめにコンピューターとユーザー認証に KerbProxy 認証を使用するように DirectAccess サーバーが自動的に構成されます。 このため、Windows 10®、Windows 8.1、または Windows 8 ®クライアントのみを展開する単一サイト展開には、はじめに ウィザードのみを使用する必要があります。
さらに、KerbProxy 認証では次の機能を使用できません:
外部ロード バランサーまたは外部ロード バランサーを使用した負荷分散Windows Load Balancer
スマート カードまたはワンタイム パスワード (OTP) が必要な 2 要素認証
KerbProxy 認証を有効にした場合、次の展開計画はサポートされません:
マルチサイト。
Windows7 クライアント向けWindows DirectAccess のサポート。
強制トンネリング。 強制トンネリングを使用するときに KerbProxy 認証が有効になっていない場合は、ウィザードの実行中に次の項目を構成します:
強制トンネリングを有効にする
Windows7 クライアントの DirectAccessを有効にする
注意
前の展開では、証明書ベースのコンピューターとユーザー認証で 2 トンネル構成を使用する高度な構成ウィザードを使用する必要があります。 「詳細設定を使用して単一の DirectAccess サーバーを展開する」を参照してください。
ISATAP の使用
ISATAP は、IPv4 専用企業ネットワークで IPv6 接続を提供する移行テクノロジです。 単一のDirectAccess サーバーの展開が小規模および中規模の組織に限定され、DirectAccess クライアントのリモート管理が可能になります。 ISATAP がマルチサイト、負荷分散、またはマルチドメイン環境に展開されている場合は、DirectAccess を構成する前に、それを削除するか、ネイティブ IPv6 デプロイに移動する必要があります。
IPHTTPS とワンタイム パスワード (OTP) エンドポイントの構成
IPHTTPS を使用する場合、ロード バランサーなどの他のデバイスではなく、DirectAccess サーバーで IPHTTPS 接続を終了する必要があります。 同様に、ワンタイム パスワード (OTP) 認証中に作成されるアウトオブバンド Secure Sockets Layer (SSL) 接続は、DirectAccess サーバーで終了する必要があります。 これらの接続のエンドポイント間のすべてのデバイスは、パススルー モードで構成する必要があります。
OTP 認証Tunnelを強制する
OTP と強制トンネリングを使用して 2 要素認証を使用すると DirectAccess サーバーを展開しないでください。OTP 認証が失敗します。 Secure Sockets Layer (SSL) 接続を使用するには、DirectAccess サーバーと DirectAccess クライアント帯域外接続が必要です。 この接続では、DirectAccess トンネルの外部にトラフィックを送信するために除外が必要です。 Force Tunnel構成では、すべてのトラフィックが DirectAccess トンネルを通過する必要があります。トンネルの確立後に除外は許可されません。 この理由から、強制認証構成で OTP 認証を使用Tunnelされません。
DirectAccess 読み取り専用ドメイン コントローラーを使用して展開します
DirectAccess サーバーは、読み取り/書き込みドメイン コントローラーにアクセスできる必要があります。また、読み取り専用 ドメイン コントローラー (RODC) では正しく機能しません。
読み取り/書き込みドメイン コントローラーは、次のような多くの理由で必要です:
DirectAccess サーバーでは、リモート アクセスMicrosoft Management Console (MMC) を開くための読み取り/書き込みドメインコントローラーが必要です。
DirectAccess サーバーは、DirectAccess クライアントと DirectAccess サーバーに対する読み取りおよび書き込みの両方グループ ポリシー (GPO) を持つ必要があります。
DirectAccess サーバーは、特にプライマリ ドメイン コントローラー エミュレーター (PDCe) からクライアント GPO の読み取りと書き込みを行います。
これらの要件のため、RODC を使用して DirectAccess を展開しないでください。