none
ActiveDirectoryをInternetから利用する方法について RRS feed

 > 

  • 質問

  • Question
    サインインして投票
    0
    サインインして投票
    皆さまいつもありがとうございます。業務に役立たせていただいています。

    テレワークPC増加にともない、
    ActiveDirectoryをInternetから利用したいと考えております。

    ■実現したいこと
    ①キャッシュログオンをやめたい。
    ②GPOを使って、ログオンスクリプトを動作させたい。

    ■現状
    ①テレワークPCを起動(キャッシュログオン)
    ②インターネット接続
    ③SSLVPNで社内接続

    ■実現の為想定していること
    ①DMZにAD DSを設置
    ②ADはRODCとして動作
    ③テレワークPCのDNSをDMZ ADDSに変更

    なお、以下のサイトを参考にして検討していたしました。
    https://www.slideshare.net/junichia/active-directory-internet4

    最近のテレワークPC増加にともない、
    需要はありそうなのですが、情報が乏しく実現例などがあまり無いので、
    懸念点、もしくは、DMZにAD DSを設置せずに実現できる方法があれば、お教えいただきたいです。

    宜しくお願いいたします。

    • 編集済み junjunwt 2020年5月3日 2:17 間違えた
    2020年5月3日 2:16
    |

回答

  • Question
    サインインして投票
    1
    サインインして投票
    少しズレた感じになってしまうかもしれませんが回答させていただきます。
    恐らくですが資料を見る限りADが2008で説明されていることから10年近く前の資料かと思います。。。
    DMZにAD DSを配置するのはセキュリティー的にオススメできません。
    もしやるのであれば、今だとWindows10のログインはAzure AD joinedにして、デバイス管理はIntuneにして、アクセス制御に関しては条件付きアクセスに変更する等してクラウドベースの技術を組み合わせることで実現できそうな気がします。
    ただし、既存の設計がどうなっているか不明なことや費用のこともあるので、実現可能かも含めて全体の設計ができるSEさんに相談された方が良いかと思います。

    2020年5月3日 2:54
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、質問者さんの意向に愚直に答えるなら、「Direct Access」一択になるかとおもいます。Direct Accessは透過的にはVPN的手法(IPsecトンネリングという意味ですが)を使いますが、クライアント起動時から社内ネットワークに接続し、ユーザーは「VPN接続操作」を行うことなく、通常サインインでドメイン認証を行うことができます。もちろんグループポリシーも適用されるため、ログオンスクリプト等も動作します(ただしデフォルトでは、通信速度が低い環境でのログオンスクリプトは動作しないため、設定を変更する必要があるかもしれません)。Direct Accessに関しては、したの資料を参考にしてください。

    http://download.microsoft.com/download/C/F/2/CF2F9D51-5D9E-45FE-B134-D0783220DCE8/WS2012_Chikita.pdf

    ただし、クライアントが「Windows 10 Enterprise」でないと、Direct Accessは使えないようですね。

    https://docs.microsoft.com/ja-jp/windows-server/remote/remote-access/directaccess/directaccess

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2020年5月3日 7:49
    |
    モデレータ

すべての返信

  • Question
    サインインして投票
    1
    サインインして投票
    少しズレた感じになってしまうかもしれませんが回答させていただきます。
    恐らくですが資料を見る限りADが2008で説明されていることから10年近く前の資料かと思います。。。
    DMZにAD DSを配置するのはセキュリティー的にオススメできません。
    もしやるのであれば、今だとWindows10のログインはAzure AD joinedにして、デバイス管理はIntuneにして、アクセス制御に関しては条件付きアクセスに変更する等してクラウドベースの技術を組み合わせることで実現できそうな気がします。
    ただし、既存の設計がどうなっているか不明なことや費用のこともあるので、実現可能かも含めて全体の設計ができるSEさんに相談された方が良いかと思います。

    2020年5月3日 2:54
    |
  • Question
    サインインして投票
    1
    サインインして投票

    チャブーンです。

    この件ですが、質問者さんの意向に愚直に答えるなら、「Direct Access」一択になるかとおもいます。Direct Accessは透過的にはVPN的手法(IPsecトンネリングという意味ですが)を使いますが、クライアント起動時から社内ネットワークに接続し、ユーザーは「VPN接続操作」を行うことなく、通常サインインでドメイン認証を行うことができます。もちろんグループポリシーも適用されるため、ログオンスクリプト等も動作します(ただしデフォルトでは、通信速度が低い環境でのログオンスクリプトは動作しないため、設定を変更する必要があるかもしれません)。Direct Accessに関しては、したの資料を参考にしてください。

    http://download.microsoft.com/download/C/F/2/CF2F9D51-5D9E-45FE-B134-D0783220DCE8/WS2012_Chikita.pdf

    ただし、クライアントが「Windows 10 Enterprise」でないと、Direct Accessは使えないようですね。

    https://docs.microsoft.com/ja-jp/windows-server/remote/remote-access/directaccess/directaccess

    フォーラムは有償サポートとは異なる「コミュニティ」です。フォーラムでご質問頂くにあたっての注意点 をご一読のうえ、お楽しみください。



    2020年5月3日 7:49
    |
    モデレータ
  • Question
    サインインして投票
    0
    サインインして投票

    フォーラムにご投稿くださいましてありがとうございます。

    この後の状況はいかがでしょうか。

    同じ問題を持っている人々に役に立つために参考になった投稿には「回答としてマーク」をご設定ください

    ご不明な点がございましたら、お気軽にお問い合わせください

     

    Fan

    Please remember to mark the replies as an answers if they help. If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com

    2020年5月5日 6:32
    |
    モデレータ