F5 と Windows Server 2012 DirectAccess/リモート アクセス サービス

導入

Windows 8 および Windows Server 2012 では、Microsoft は、以前のバージョンの Windows Server にあった 2 つのリモート アクセス テクノロジ (DirectAccess と VPN Server) を採用し、単にリモート アクセスと呼ばれる同じ管理傘下にまとめました。 F5 テクノロジーを導入すると、これらのサービスのトラフィックを管理し、負荷を分散することができます。

DirectAccess は、もともと Windows Server 2008 R2 および Windows 7 で導入され、以前のリモート アクセス テクノロジを転換しました。 ユーザー レベルで接続が手動で開始される従来の VPN とは異なり、DirectAccess はシームレスなシステム レベルの接続を利用します。 つまり、ドメインに参加しているリモート システムは、起動時に企業ネットワークの存在を自動的かつ安全に構築することになります。

以前はリモート アクセス サービス (RAS) と呼ばれていた VPN は、Windows NT で導入され、IKEv2、SSTP、PPTP、L2TP などの従来の Windows VPN テクノロジが含まれています。 Windows Server 2012 のお客様は、DirectAccess、VPN、またはその両方を展開できますが、両方を展開するとメリットが得られる場合が多くあります。 DirectAccess は、適切なアクセス許可が付与されているドメインに参加している Windows 7 (およびそれ以降) クライアントにリモート アクセスを提供します。一方、VPN は、ドメインに参加していないマシンやまだ Windows 7 を実行していないマシンへのリモート アクセスを提供します。

Windows Server 2012 の DirectAccess の新機能として、ローカルと広域の両方の負荷分散がサポートされています。 F5 BIG-IP Local Traffic Manager (LTM) はローカル エリアの負荷分散を提供するために使用でき、F5 BIG-IP Global Traffic Manager (GTM) は広域 (グローバルとも呼ばれる) の負荷分散を提供できます。

DirectAccess および VPN で F5 製品を使用する利点

F5 製品は、Windows Server 2012 リモート アクセスの展開において重要な役割を果たします。

  • 高可用性 BIG-IP LTM は、実際の DirectAccess/VPN サービスを認識して、ユーザーが常に新しい接続の準備ができている DirectAccess/VPN サーバーに送信されるようにし、ダウンしているサーバーやパフォーマンスの低いサーバーにユーザーが送信される状況を排除します。 さらに、BIG-IP LTM はサービス全体にわたる永続性機能を備えています。 これは、Windows 95 R2 以降のすべてのバージョンの Windows クライアントに同梱されており、クライアント コンピューター上で非常に広範囲にカバーされるポイントツーポイント トンネリング プロトコル (PPTP) などのトラフィックを処理する場合に有利です。 PPTP 経由で DirectAccess に接続する各クライアントは、制御接続とデータ接続という 2 つの独立した必須フローを作成します。負荷分散時には、接続が切断されないように、各クライアントからの両方のフローを同じ PPTP サーバーに送信する必要があります。 BIG-IP LTM には、特定のクライアントからのフローを同じサーバーに送信するインテリジェンスが備わっており、接続が中断されないようにします。

  • スケーラビリティ BIG-IP LTM はトラフィックをインテリジェントに管理することで、DirectAccess/VPN サーバーのマルチサイト ファームにスループットを分散し、システムを他の方法で処理できるよりもはるかに多くのユーザーに対応できるように拡張できます。

  • パフォーマンス BIG-IP LTM は、TCP 最適化や SSL オフロードからサーバー パフォーマンスの認識まで、さまざまな方法でパフォーマンスの向上に役立ちます。 その結果、アクセスが高速化され、ユーザーにとって最高のネットワーク エクスペリエンスが実現します。 特に、BIG-IP LTM SSL/TLS 暗号化オフロードにより、DirectAccess/VPN サーバーの大きなワークロードを軽減できます。 クライアントとの SSL 接続を終了し、トラフィックを暗号化せずにサーバーに送信することで、BIG-IP LTM はサーバーの CPU を解放してクライアントにサービスを提供します。

  • セキュリティ DirectAccess/VPN サーバーのトラフィック管理を提供する同じ BIG-IP LTM デバイスは、ICSA 認定のネットワーク ファイアウォールであり、企業がアプリケーション配信コントローラー (ADC) と境界セキュリティ アプライアンスの両方として導入できるようにするデータ センター セキュリティ標準を満たしています。

建築

DirectAccess/VPN の適切なネットワーク アーキテクチャを慎重に検討することは、展開プロセスにおける重要なステップです。 多くのオプションとトポロジを使用できますが、ここで示すのはすべてのデプロイメントに対応する網羅的なリストではなく、主な決定基準といくつかの推奨トポロジのレビューにすぎません。 展開トポロジに一般的に影響する基準には、規模、セキュリティ要件、予算、サービス レベル契約 (SLA) などがあります。 これらの考慮事項により、特定のアーキテクチャが推進されたり、他のアーキテクチャが禁止されたりすることが多いため、展開前に F5 および Microsoft チームに相談することをお勧めします。

高可用性を実現するために、F5 では、アクティブ/スタンバイ展開モデル、またはアクティブに相互サポートする 2 台以上のデバイスのグループ (アクティブ N モデルと呼ばれる) のいずれかを使用して BIG-IP LTM アプライアンスを展開することを強く推奨しています。 どちらのモデルでも、ネットワーク接続を中断することなく BIG-IP LTM フェイルオーバーが可能です。 次の図では、単一の BIG-IP LTM アイコンがフェイルオーバー ペアまたは activeN グループを表しています。

DirectAccess/VPN サーバー フロントエンド

DirectAccess のアプリケーション配信と負荷分散を提供するために、組織では多くの場合、正式なフロントエンドとして DirectAccess/VPN サーバーの前に BIG-IP LTM を導入します。 とりわけ、この BIG-IP デバイスは、DirectAccess/VPN サービスの可用性を監視し、着信クライアント接続をサーバーに分散する役割を担います。

DirectAccess システムのフロントエンドとしての BIG-IP LTM
図1: DirectAccess システムのフロントエンドとしての BIG-IP LTM

Windows Server 2012 DirectAccess サーバー ファーム

DirectAccess/VPN サーバーを使用した階層化アプローチ

単純な DirectAccess/VPN 負荷分散には必要ありませんが、DirectAccess ファームと企業ネットワークの間に BIG-IP LTM デバイスを配置すると、大きなメリットも得られます。 具体的には、この構成により、内部ネットワーク上のクライアントまたはサーバーがリモート接続された DirectAccess クライアントへの管理接続を開始できる「管理アウト」シナリオが可能になります。 さらに、アプリケーション サーバーの内部ファームは負荷分散され、その他の有用なトラフィック管理操作の対象になります。

階層化アプローチによる外部および内部の BIG-IP LTM デバイス
図2: 階層化アプローチによる外部および内部の BIG-IP LTM デバイス
デュアルとシングル(ペア)の BIG-IP LTM デバイスの展開

DirectAccess/VPN ファームの前に BIG-IP LTM デバイスを配置することは、最適な可用性を実現するための要件と考えられており、ファームの企業ネットワーク側に別のデバイスを配置することを強くお勧めします。 必ずしも個別の BIG-IP LTM デバイスは必要ありません。 同じ BIG-IP LTM デバイスを外部ロールと内部ロールの両方に再利用することで、階層化モデルを簡単に導入できます。 図3を参照してください。

階層化された展開における単一の BIG-IP LTM デバイス
図3: 階層化された展開における単一の BIG-IP LTM デバイス

Windows Server 2012 DirectAccess ファーム BIG-IP 企業ネットワーク

デュアル インターフェース vs. 単一インターフェイス DirectAccess/VPN 展開

組織は、フロントエンドまたは階層化アプローチを選択するだけでなく、デュアルホーム/ネットワーク インターフェイスを使用して Direct Access/VPN サーバーを展開するか、単一のネットワーク インターフェイス コントローラ (NIC) を使用して展開するかも選択する必要があります。

デュアルインターフェースの展開

DirectAccess は、外部ネットワークを企業ネットワークからセグメント化するデュアル インターフェイス ルーティング構成をサポートします。 この構成はセグメント化された展開を可能にし、DirectAccess スイートで利用可能な Teredo アクセス プロトコルの使用に必要です。 軽量かつ安全となるように設計された Teredo プロトコルは、ネットワーク アドレス変換 (NAT) に適しています。

デュアルインターフェースルーティングによる階層化展開
図4: デュアルインターフェースルーティングによる階層化展開
単一インターフェースの展開

DirectAccess は、各 DirectAccess サーバーに NIC が 1 つだけある単一インターフェイス展開モデルもサポートします。企業ネットワーク。

デュアルBIG-IP LTMデバイスを使用した単一インターフェース展開
図5: デュアルBIG-IP LTMデバイスを使用した単一インターフェース展開
階層化構成のBIG-IP LTMを使用した単一インターフェース展開
図6: 階層化構成のBIG-IP LTMを使用した単一インターフェース展開
単一サイト vs. マルチサイト展開

大規模な多国籍ユーザー ベースを持つ展開や、サイト レベルの回復力の要件がある場合は、マルチサイト展開を選択できます。 このようなシナリオでは、BIG-IP LTM に加えて F5 BIG-IP GTM を導入して、広域トラフィック管理とコンテキスト認識型負荷分散を提供できます。

BIG-IP GTM は、サイト レベルの健全性を監視し、サイト外部からのトラフィック (リモート クライアント要求を含む) を処理し、サイト レベルの災害復旧機能を提供することで、BIG-IP プラットフォームの利点を拡張するグローバル トラフィック管理デバイスです。 BIG-IP GTM の機能には、地理認識機能と、地理的に最も近い DirectAccess ファームへのリモート ユーザー誘導機能があります。 BIG-IP GTM は、計画的または計画外の停止が発生した場合に、アクティブなデータセンターへのサイトレベルのフェイルオーバーも確実に実行します。

広域 DirectAccess/VPN 展開
図7: 広域 DirectAccess/VPN 展開
結論

組織のアーキテクチャとニーズに最適な構成トポロジに関係なく、F5 製品は Windows Server 2012 DirectAccess/VPN 展開において重要な役割を果たすことができます。 BIG-IP LTM と BIG-IP GTM は連携して、DirectAccess およびリモート アクセス サービスに対してサーバー レベルとサイト レベルの両方の回復力を提供できます。 BIG-IP プラットフォームは、サービス、コンテキスト、ユーザー認識、サービス持続性、比類のないスループット機能を備えたトラフィックをインテリジェントに管理することで、可用性を最大化し、スケーラビリティを確保します。 高度なハードウェアベースの最適化テクノロジーと暗号化/復号化のオフロードにより、システム パフォーマンスとサーバー容量が向上し、ユーザー エクスペリエンスも向上します。 ICSA 認定ネットワーク ファイアウォールおよび ADC である BIG-IP LTM は、境界セキュリティ デバイスとしても機能し、BIG-IP ファミリの他のポリシー管理およびセキュリティ モジュールによってさらに強化できます。 DirectAccess/VPN を備えた BIG-IP 製品を導入することで、組織はリモート アクセスへの投資の全体的なメリットとセキュリティを最大限に高めることができます。

2012 年 9 月 5 日公開
  • Facebookでシェア
  • Xに共有
  • LinkedInにシェア
  • メールで共有
  • AddThisで共有

F5とつながる

F5 Labs

最新のアプリケーション脅威インテリジェンス。

DevCentral

ディスカッション フォーラムと専門家による記事のための F5 コミュニティ。

F5 ニュースルーム

ニュース、F5 ブログなど。