マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

インターネット経由で、イントラ内部の「RDセッション ホスト」に「RD接続」しなければならない場合、
VPNなどのセキュアなネットワーク インフラを構築する必要があったが、「RDゲートウェイ」によって、
VPNなどのセキュアなネットワーク インフラを構築せずに「RD接続」可能になった。

  • RDクライアント6.0以降が必要。
  • RDP over HTTPSを使用して、VPNを構築せず、インターネットからアクセス可能になった。

+ NPS

  • RDリソース認証ポリシー(RD RAP : RD Resource Authorization Policy)
    • 接続ユーザ
    • 接続先サーバ
    • 接続先ポート

を組み合わせ、制限するセキュリティ機能を搭載している 。

  • これらの機能はネットワーク ポリシー サーバ(以下、NPSと略す)から提供される。
RDゲートウェイ

インストールと設定

インストール

  • 以下から、「RDゲートウェイ」をインストールする。
    • [サーバ マネージャ]管理ツールの[役割] → [役割の追加] → 「リモート デスクトップ サービス」
    • または、[役割] → 「リモート デスクトップ サービス」 → [役割サービスの追加]
  • なお、「RDゲートウェイ」のサイトを立ち上げるために、IIS、NPSをインストールしておく必要があるが、
    これは「RDゲートウェイ」のインストールの際に、合わせて自動的にインストールされる。

設定

SSL用のサーバ証明書の設定

承認ポリシーの設定

  • クライアントのユーザ、コンピュータ グループの設定を作成
    • ワーク グループ環境
      • ローカル グループ
      • グループにメンバを追加
  • AD環境
    • グループのスコープ:グローバル
    • グループの種類:セキュリティ
    • グループにメンバを追加
  • 接続承認ポリシー(RD CAP)の設定
    [リモート デスクトップ ゲートウェイ マネージャ]管理ツールを起動し、
    左部分ウィンドウから対象のサーバの[ポリシー] → [接続承認ポリシー]を右クリック、
    [新規ポリシーの作成] → [カスタム]を選択することで、表示される
    [新規RD CAP]ダイアログから設定を行う。設定手順は以下のとおり。
    • [全般]タブで[ポリシー名]テキスト ボックスにポリシー名を入力する。
    • 次いで、[このポリシーを有効にする]チェック ボックスをオンに設定する。
    • [要件]タブで、Windows認証方法と、ユーザ グループ メンバシップを設定する。
      • クライアント グループ メンバシップ(必須)
      • クライアント コンピュータ グループ メンバシップ(オプション)
        HTTPS経由でのWeb接続の場合、クライアント環境がサーバ環境と同じフォレストの
        AD環境に含まれないことが多いので、この設定はオプションの扱いとなっている。
  • [デバイス リダイレクト]タブにて、リソースのリダイレクトを設定する。
  • リソース承認ポリシー(RD RAP)の設定
    [リモート デスクトップ ゲートウェイ マネージャ]管理ツールを起動し、
    左部分ウィンドウから対象のサーバの[ポリシー] → [リソース承認ポリシー]を右クリック、
    [新規ポリシーの作成] → [カスタム]を選択することで、表示される
    [新規RD RAP]ダイアログから設定を行う。設定手順は以下のとおり。
    • [全般]タブで[ポリシー名]テキスト ボックスにポリシー名を入力する。
    • 次いで、[このポリシーを有効にする]チェック ボックスをオンに設定する。
    • [ユーザ グループ]タブで「RDセッション ホスト」へのアクセスを許可するユーザ グループを指定する 。
    • [コンピュータ グループ]タブで「RDセッション ホスト」を纏めたコンピュータ グループを指定する。
    • [許可されたポート]タブで接続先の「RDセッション ホスト」のポート番号を指定する。

クライアント接続の設定と確認

  • [RD ゲートウェイ サーバー設定]ダイアログ
    • [サーバ名]テキスト ボックスに入力する「サーバ名」は、
      「証明書のサブジェクト名」と一致させるため、正規のFQDN、NetBIOS名などで指定する必要がある 。
  • [ローカル アドレスには RD ゲートウェイ サーバーを使用しない]
    評価環境などで、同一イントラ ネット内の「ターミナル サーバ」へアクセスする場合、
    ローカル アドレス(プライベート アドレス)が使用されるためチェックを外す。

クライアント接続のトラブルシュート

「RD ゲートウェイ」のサーバ証明書が

  • 自己署名証明書の場合で、
  • かつADの外部から、DNSだけ利用して

「RDゲートウェイ」経由で「RD接続」した場合は、サーバ証明書の発行元が信頼されず、
以下のメッセージ ボックス表示とともに、「RD接続」は切断されるため、この場合は、

  • サーバ証明書のルート証明書をエクスポートし、
  • クライアントの「信頼されたルート証明機関」にインストールする

必要がある。

RemoteAppで利用する

[RD RemoteAppマネージャ]管理ツールの右部分ウィンドウの[RDゲートウェイ設定]ボタンを押下して
表示される[RemoteAppの展開設定]ダイアログの[TSゲートウェイ]タブから設定が可能。

この設定は、

  • 以下のファイルを作成する際の設定に反映される。
    • RDP ファイル(*.rdp)
    • MSIファイル(*.msi)

ログ設定・表示

  • 設定
    1. [TSゲートウェイ マネージャ]管理ツールを起動し、
    2. 左部分ウィンドウから対象のサーバを選択、これを右クリックして
    3. 表示されプロパティ ダイアログの[監査]タブを選択し、
    4. ここでログに記録するイベントのチェック ボックスをオンにする。
  • 表示
    1. [イベント ビューア]管理ツールを起動し、
    2. 左部分ウィンドウから対象のサーバを選択、
    3. [アプリケーションとサービス ログ] → [Microsoft] → [Windows] → [TerminalService?-gateway]と展開する。

ファーム

負荷分散クラスタ構成(以降、「RDゲートウェイ ファーム」と呼ぶ)を構築する事も可能。

GPを使用した設定

クライアント側の接続設定は、ADのGP設定でも可能。
以下の設定項目をダブルクリックして設定する。

  • [ユーザーの構成\ポリシー\管理用テンプレート\Windowsコンポーネント\ターミナル サービス\TSゲートウェイ]
    • [TSゲートウェイ経由で接続を有効にする]
    • [TSゲートウェイ サーバアドレスを設定する]

管理

できること。

RD接続」一覧から以下のオペレーションが可能である。

  • 接続の監視
  • この接続を切断
  • このユーザとの接続を切断

管理方法

[リモート デスクトップ ゲートウェイ マネージャー]管理ツールを起動し、
左部分ウィンドウから対象のサーバ展開し、その直下の[監視]から接続を管理する。


Tags: :Windows, :仮想化


添付ファイル: fileRDGateway.png 309件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2018-02-08 (木) 16:31:30 (523d)