DirectAccess(ダイレクトアクセス)とは,Windows 7とWindows Server 2008 R2を組み合わせて,リモート・アクセス環境を手軽に実現するための機能である。クライアント側,サーバー側ともに専用のソフトウエアが不要で,WindowsだけでIPsec(アイピーセック)を使ったリモート・アクセス環境を構築できる(図1)。
Windows Server 2008 R2はDirectAccessのサーバーとなり,従来はVPNルーターなどの専用ゲートウエイ装置で実現していた機能を置き換える。Windows 7はDirectAccessのクライアントとなる。そのほかActive Directoryのドメイン・コントローラ,DNSサーバーが必要である。ネットワーク管理者は,DirectAccessクライアントが接続するDirectAccessサーバーやDNSサーバーなどを,Active Directoryのグループ・ポリシーなどを使ってあらかじめ設定しておく。
DirectAccessのやりとりの例を見てみよう。DirectAccessではクライアント側に事前の設定をしておけば,パソコンがネットワークにつながった時点で自動的に社内LANへの接続手続きを進める。そしてDirectAccessクライアントはDirectAccessサーバーに対してIPv6での接続を試みる。
現状企業ユーザーが社外から社内LANにアクセスする場合はIPv4インターネットを利用することが多い。その場合,Windows 7が備えるTeredo(テレード)などのトンネリング技術を使って,IPv4のネットワーク上でIPv6パケットを送る。
Windows 7からのIPパケットには「ルーター要請」(RS)というメッセージが含まれている。パケットを受け取ったDirectAccessサーバーは,「ルーター広告」(RA)と呼ぶパケットを返信。このRAに含まれる値とWindows 7側で作ったランダムな値を組み合わせてIPv6アドレスを生成する。
その後DirectAccessサーバーは,AutuIP(オースアイピー)と呼ぶプロトコルを使ってDirectAccessクライアントを認証し,IPsecの接続を確立する。
