Windows Server 2008 R2および Windows 7 Enterprise/Ultimateは、「DirectAccess(ダイレクトアクセス)」と呼ばれる新機能をサポートしている。DirectAccessは、VPNとはまったく異なる方法で、リモートから社内ネットワークへのシームレスな接続と、社内リソースへのアクセス手段を提供する。VPNでは、インターネットに接続した上で、VPNクライアントを使用して VPNサーバーに接続するという、エンドユーザーによる操作が必要になるが、DirectAccessはそのような操作がまったく必要ない。社内のクライアントを社外に持ち出して、インターネットに接続すれば、DirectAccessによって自動的に社内ネットワークへの接続が行われ、社内にいるときと同じように社内ネットワーク上のリソースにアクセスすることができる。また、IT管理者は、DirectAccessが提供する接続を使用して、社外に存在するクライアントに対して、ユーザーのログオン状態にかかわらず、グループポリシーを適用したり、ソフトウェアや更新プログラムを配布したりなど、システム管理の対象に含めることができる。もちろん、社内ネットワークをセキュリティで保護しながらである。

 DirectAccessのこの夢のような機能は、IPv6と関連テクノロジによって実現されるものである。ただし、IPv6のネットワークインフラストラクチャーが整った環境でなければ導入できないという代物でもない。IPv6の導入予定がまったくない企業においても、既存のIPv4ネットワークインフラストラクチャー上に導入することができる。この点は誤解しないでほしい。Windowsの TCP/IPスタックは、IPv4と IPv6のデュアルスタックに変更され、Windowsのほとんどのコンポーネントが IPv6にネイティブに対応し、利用可能な場合はIPv6を自動選択するようになっている。現在、IPv4しか利用していないとしても、IPv6を意図的に無効にしていない限り、IPv6は動作しており、場合によっては通信に使用されているのである。DirectAccessが要求する IPv6環境は、このレベルの話である。インターネットプロバイダーに IPv6接続したり、IPv6対応のネットワーク機器に入れ替えたりといったことは必要ない。特別なネットワーク機器が必要になるとすれば、Windows Server 2003やWindows XP以前、あるいはその他の IPv4ホストなど、IPv4にしか対応していないコンピューターに対して、外部から接続する場合だけである。その場合、「NAT-PT(Network Address Translation - Protocol Translation)」という IPv6と IPv4のアドレス変換デバイスが別途必要になる。NAT-PTの機能は、Windows Server 2008 R2には含まれない。

DirectAccessのアーキテクチャー

 DirectAccessは、完全に IPv6テクノロジに依存したものである。Windows 7に組み込まれた DirectAccessクライアントは、接続されたネットワークの状況に応じて、DirectAccessサーバーへの接続を試み、IPSecのサーバー認証、クライアント認証を経てIPSec over IPv6のセキュアなトンネル(IPv6および IPプロトコル番号 50の ESPを使用)を構築する。Windows 7クライアントは、このセキュアなトンネルを通して、社内ネットワークと IPv6で相互に、かつシームレスに通信することができる(図27)。

図27●DirectAccessクライアントは、IPSec over IPv6トンネルを通して社内ネットワークにIPv6でアクセスする
[画像のクリックで拡大表示]

 DirectAccessは、IPv6への移行が完了している企業ネットワークに導入すれば、完全にネイティブに動作する。しかし、IPv6への移行をまったく進めていない、通常の IPv4環境にも導入できる。後者のほうが、現実に即した導入シナリオになるだろう。DirectAccessサーバーのシステム要件は、Windows Server 2008 R2を実行し、2つのネットワークアダプターを持つことである。ネットワークアダプターの一方は社内のプライベートネットワークに接続され、もう一方はパブリックな IPアドレスでインターネットに接続されている必要がある。また、インターネット接続側のネットワークアダプターには、連続した 2つのパブリック IPv4アドレスを割り当てておく。DirectAccessのクライアントは、このパブリックな IPv4アドレスと、6to4、Teredo、IP-HTTPS、ISATAPといった IPv6と IPv4の共存テクノロジを利用して、IPv4インターネットを介した IPv6接続を行う(図28)。ファイアウォールやプロキシ、NATデバイスの背後からでも接続することが可能だ。

図28●DirectAccessは、IPv6移行テクノロジを利用して IPv4環境に IPv6の接続性を提供する。ISATAPが利用できるのは、Windows Server 2008およびWindows Vista以降であることに注意
[画像のクリックで拡大表示]

ここからは会員の登録が必要です。