リモート デスクトップ ゲートウェイ

「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

• 戻る

目次 †

概要 †

インターネット経由で、イントラ内部の「RDセッション ホスト」に「RD接続」しなければならない場合、
VPNなどのセキュアなネットワーク インフラを構築する必要があったが、「RDゲートウェイ」によって、
VPNなどのセキュアなネットワーク インフラを構築せずに「RD接続」可能になった。

• RDクライアント6.0以降が必要。
• RDP over HTTPSを使用して、VPNを構築せず、インターネットからアクセス可能になった。

詳細 †

+ NPS †

• また、「RDゲートウェイ」では、
  RD CAP・RD RAPを組み合わせ、制限するセキュリティ機能を搭載している 。

• これらの機能はネットワーク ポリシー サーバ（以下、NPSと略す）から提供される。

RD CAP †

RD接続承認ポリシー（RD CAP : RD Connection Authorization Policy）

• 通過できるユーザ、PC
• 認証方法（password / smart card）
• クライアント デバイスのリダイレクト制限

RD RAP †

RDリソース認証ポリシー（RD RAP : RD Resource Authorization Policy）

• 接続ユーザ
• 接続先サーバ
• 接続先ポート

管理 †

できること。 †

「RD接続」一覧から以下のオペレーションが可能である。

• 接続の監視
• この接続を切断
• このユーザとの接続を切断

管理方法 †

[リモート デスクトップ ゲートウェイ マネージャー]管理ツールを起動し、
左部分ウィンドウから対象のサーバ展開し、その直下の[監視]から接続を管理する。

インストールと設定 †

インストール †

• 以下から、「RDゲートウェイ」をインストールする。
  • [サーバ マネージャ]管理ツールの[役割] → [役割の追加] → 「リモート デスクトップ サービス」
  • または、[役割] → 「リモート デスクトップ サービス」 → [役割サービスの追加]

• なお、「RDゲートウェイ」のサイトを立ち上げるために、IIS、NPSをインストールしておく必要があるが、
  これは「RDゲートウェイ」のインストールの際に、合わせて自動的にインストールされる。

設定 †

SSL用のサーバ証明書の設定 †

承認ポリシーの設定 †

• クライアントのユーザ、コンピュータ グループの設定を作成
  • ワーク グループ環境
    • ローカル グループ
    • グループにメンバを追加

• AD環境
  • グループのスコープ：グローバル
  • グループの種類：セキュリティ
  • グループにメンバを追加

• 接続承認ポリシー（RD CAP）の設定
  [リモート デスクトップ ゲートウェイ マネージャ]管理ツールを起動し、
  左部分ウィンドウから対象のサーバの[ポリシー] → [接続承認ポリシー]を右クリック、
  [新規ポリシーの作成] → [カスタム]を選択することで、表示される
  [新規RD CAP]ダイアログから設定を行う。設定手順は以下のとおり。
  • [全般]タブで[ポリシー名]テキスト ボックスにポリシー名を入力する。
  • 次いで、[このポリシーを有効にする]チェック ボックスをオンに設定する。
  • [要件]タブで、Windows認証方法と、ユーザ グループ メンバシップを設定する。
    • クライアント グループ メンバシップ（必須）
    • クライアント コンピュータ グループ メンバシップ（オプション）
      HTTPS経由でのWeb接続の場合、クライアント環境がサーバ環境と同じフォレストの
      AD環境に含まれないことが多いので、この設定はオプションの扱いとなっている。

• [デバイス リダイレクト]タブにて、リソースのリダイレクトを設定する。

• リソース承認ポリシー（RD RAP）の設定
  [リモート デスクトップ ゲートウェイ マネージャ]管理ツールを起動し、
  左部分ウィンドウから対象のサーバの[ポリシー] → [リソース承認ポリシー]を右クリック、
  [新規ポリシーの作成] → [カスタム]を選択することで、表示される
  [新規RD RAP]ダイアログから設定を行う。設定手順は以下のとおり。
  • [全般]タブで[ポリシー名]テキスト ボックスにポリシー名を入力する。
  • 次いで、[このポリシーを有効にする]チェック ボックスをオンに設定する。
  • [ユーザ グループ]タブで「RDセッション ホスト」へのアクセスを許可するユーザ グループを指定する 。
  • [コンピュータ グループ]タブで「RDセッション ホスト」を纏めたコンピュータ グループを指定する。
  • [許可されたポート]タブで接続先の「RDセッション ホスト」のポート番号を指定する。

クライアント接続の設定と確認 †

• [RD ゲートウェイ サーバー設定]ダイアログ
  • [サーバ名]テキスト ボックスに入力する「サーバ名」は、
    「証明書のサブジェクト名」と一致させるため、正規のFQDN、NetBIOS名などで指定する必要がある 。

• [ローカル アドレスには RD ゲートウェイ サーバーを使用しない]
  評価環境などで、同一イントラ ネット内の「ターミナル サーバ」へアクセスする場合、
  ローカル アドレス（プライベート アドレス）が使用されるためチェックを外す。

クライアント接続のトラブルシュート †

「RD ゲートウェイ」のサーバ証明書が

• 自己署名証明書の場合で、
• かつADの外部から、DNSだけ利用して

「RDゲートウェイ」経由で「RD接続」した場合は、サーバ証明書の発行元が信頼されず、
以下のメッセージ ボックス表示とともに、「RD接続」は切断されるため、この場合は、

• サーバ証明書のルート証明書をエクスポートし、
• クライアントの「信頼されたルート証明機関」にインストールする

必要がある。

RemoteAppで利用する †

[RD RemoteAppマネージャ]管理ツールの右部分ウィンドウの[RDゲートウェイ設定]ボタンを押下して
表示される[RemoteAppの展開設定]ダイアログの[TSゲートウェイ]タブから設定が可能。

この設定は、

• 以下のファイルを作成する際の設定に反映される。
  • RDP ファイル（*.rdp）
  • MSIファイル（*.msi）

• また、「RD Webアクセス」 にも適用される。

ログ設定・表示 †

• 設定
  1. [TSゲートウェイ マネージャ]管理ツールを起動し、
  2. 左部分ウィンドウから対象のサーバを選択、これを右クリックして
  3. 表示されプロパティ ダイアログの[監査]タブを選択し、
  4. ここでログに記録するイベントのチェック ボックスをオンにする。

• 表示
  1. [イベント ビューア]管理ツールを起動し、
  2. 左部分ウィンドウから対象のサーバを選択、
  3. [アプリケーションとサービス ログ] → [Microsoft] → [Windows] → [TerminalService?-gateway]と展開する。

ファーム †

負荷分散クラスタ構成（以降、「RDゲートウェイ ファーム」と呼ぶ）を構築する事も可能。

GPを使用した設定 †

クライアント側の接続設定は、ADのGP設定でも可能。
以下の設定項目をダブルクリックして設定する。

• [ユーザーの構成\ポリシー\管理用テンプレート\Windowsコンポーネント\ターミナル サービス\TSゲートウェイ]
  • [TSゲートウェイ経由で接続を有効にする]
  • [TSゲートウェイ サーバアドレスを設定する]

---

Tags: :Windows, :仮想化