「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
インターネット経由で、イントラ内部の「RDセッション ホスト」に「RD接続」しなければならない場合、
VPNなどのセキュアなネットワーク インフラを構築する必要があったが、「RDゲートウェイ」によって、
VPNなどのセキュアなネットワーク インフラを構築せずに「RD接続」可能になった。
- RDクライアント6.0以降が必要。
- RDP over HTTPSを使用して、VPNを構築せず、インターネットからアクセス可能になった。
詳細 †
+ NPS †
- また、「RDゲートウェイ」では、
RD CAP・RD RAPを組み合わせ、制限するセキュリティ機能を搭載している 。
- これらの機能はネットワーク ポリシー サーバ(以下、NPSと略す)から提供される。
RD CAP †
RD接続承認ポリシー(RD CAP : RD Connection Authorization Policy)
RD RAP †
RDリソース認証ポリシー(RD RAP : RD Resource Authorization Policy)
管理 †
できること。 †
「RD接続」一覧から以下のオペレーションが可能である。
- 接続の監視
- この接続を切断
- このユーザとの接続を切断
管理方法 †
[リモート デスクトップ ゲートウェイ マネージャー]管理ツールを起動し、
左部分ウィンドウから対象のサーバ展開し、その直下の[監視]から接続を管理する。
インストールと設定 †
インストール †
- 以下から、「RDゲートウェイ」をインストールする。
- [サーバ マネージャ]管理ツールの[役割] → [役割の追加] → 「リモート デスクトップ サービス」
- または、[役割] → 「リモート デスクトップ サービス」 → [役割サービスの追加]
- なお、「RDゲートウェイ」のサイトを立ち上げるために、IIS、NPSをインストールしておく必要があるが、
これは「RDゲートウェイ」のインストールの際に、合わせて自動的にインストールされる。
設定 †
SSL用のサーバ証明書の設定 †
承認ポリシーの設定 †
- クライアントのユーザ、コンピュータ グループの設定を作成
- AD環境
- グループのスコープ:グローバル
- グループの種類:セキュリティ
- グループにメンバを追加
- 接続承認ポリシー(RD CAP)の設定
[リモート デスクトップ ゲートウェイ マネージャ]管理ツールを起動し、
左部分ウィンドウから対象のサーバの[ポリシー] → [接続承認ポリシー]を右クリック、
[新規ポリシーの作成] → [カスタム]を選択することで、表示される
[新規RD CAP]ダイアログから設定を行う。設定手順は以下のとおり。
- [全般]タブで[ポリシー名]テキスト ボックスにポリシー名を入力する。
- 次いで、[このポリシーを有効にする]チェック ボックスをオンに設定する。
- [要件]タブで、Windows認証方法と、ユーザ グループ メンバシップを設定する。
- クライアント グループ メンバシップ(必須)
- クライアント コンピュータ グループ メンバシップ(オプション)
HTTPS経由でのWeb接続の場合、クライアント環境がサーバ環境と同じフォレストの
AD環境に含まれないことが多いので、この設定はオプションの扱いとなっている。
- [デバイス リダイレクト]タブにて、リソースのリダイレクトを設定する。
- リソース承認ポリシー(RD RAP)の設定
[リモート デスクトップ ゲートウェイ マネージャ]管理ツールを起動し、
左部分ウィンドウから対象のサーバの[ポリシー] → [リソース承認ポリシー]を右クリック、
[新規ポリシーの作成] → [カスタム]を選択することで、表示される
[新規RD RAP]ダイアログから設定を行う。設定手順は以下のとおり。
- [全般]タブで[ポリシー名]テキスト ボックスにポリシー名を入力する。
- 次いで、[このポリシーを有効にする]チェック ボックスをオンに設定する。
- [ユーザ グループ]タブで「RDセッション ホスト」へのアクセスを許可するユーザ グループを指定する 。
- [コンピュータ グループ]タブで「RDセッション ホスト」を纏めたコンピュータ グループを指定する。
- [許可されたポート]タブで接続先の「RDセッション ホスト」のポート番号を指定する。
クライアント接続の設定と確認 †
- [RD ゲートウェイ サーバー設定]ダイアログ
- [サーバ名]テキスト ボックスに入力する「サーバ名」は、
「証明書のサブジェクト名」と一致させるため、正規のFQDN、NetBIOS名などで指定する必要がある 。
- [ローカル アドレスには RD ゲートウェイ サーバーを使用しない]
評価環境などで、同一イントラ ネット内の「ターミナル サーバ」へアクセスする場合、
ローカル アドレス(プライベート アドレス)が使用されるためチェックを外す。
クライアント接続のトラブルシュート †
「RD ゲートウェイ」のサーバ証明書が
- 自己署名証明書の場合で、
- かつADの外部から、DNSだけ利用して
「RDゲートウェイ」経由で「RD接続」した場合は、サーバ証明書の発行元が信頼されず、
以下のメッセージ ボックス表示とともに、「RD接続」は切断されるため、この場合は、
- サーバ証明書のルート証明書をエクスポートし、
- クライアントの「信頼されたルート証明機関」にインストールする
必要がある。
[RD RemoteAppマネージャ]管理ツールの右部分ウィンドウの[RDゲートウェイ設定]ボタンを押下して
表示される[RemoteAppの展開設定]ダイアログの[TSゲートウェイ]タブから設定が可能。
この設定は、
- 以下のファイルを作成する際の設定に反映される。
- RDP ファイル(*.rdp)
- MSIファイル(*.msi)
ログ設定・表示 †
- 設定
- [TSゲートウェイ マネージャ]管理ツールを起動し、
- 左部分ウィンドウから対象のサーバを選択、これを右クリックして
- 表示されプロパティ ダイアログの[監査]タブを選択し、
- ここでログに記録するイベントのチェック ボックスをオンにする。
- 表示
- [イベント ビューア]管理ツールを起動し、
- 左部分ウィンドウから対象のサーバを選択、
- [アプリケーションとサービス ログ] → [Microsoft] → [Windows] → [TerminalService?-gateway]と展開する。
ファーム †
負荷分散クラスタ構成(以降、「RDゲートウェイ ファーム」と呼ぶ)を構築する事も可能。
GPを使用した設定 †
クライアント側の接続設定は、ADのGP設定でも可能。
以下の設定項目をダブルクリックして設定する。
- [ユーザーの構成\ポリシー\管理用テンプレート\Windowsコンポーネント\ターミナル サービス\TSゲートウェイ]
- [TSゲートウェイ経由で接続を有効にする]
- [TSゲートウェイ サーバアドレスを設定する]
Tags: :Windows, :仮想化