「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。

-[[戻る>リモートデスクトップサービス(旧ターミナルサービス)]]

* 目次 [#kc6d3c57]
#contents

*概要 [#wfb3e3a3]
インターネット経由で、イントラ内部の「リモートデスクトップサービス」に「RD接続」しなければならない場合、~
セキュアなネットワーク インフラを構築する必要があるが、「RDゲートウェイ」によって、VPNなどのセキュアなネットワーク インフラを構築せずに「RD接続」可能になった。
インターネット経由で、イントラ内部の「[[RDセッション ホスト>リモートデスクトップサービス(旧ターミナルサービス)#p667dc57]]」に「RD接続」しなければならない場合、~
VPNなどのセキュアなネットワーク インフラを構築する必要があったが、「RDゲートウェイ」によって、~
VPNなどのセキュアなネットワーク インフラを構築せずに「RD接続」可能になった。

-RDクライアント6.0以降が必要。
-RDP over HTTPSを使用して、VPNを構築せず、インターネットからアクセス可能になった。

***RDゲートウェイ + NPS [#i63731f7]
* + NPS [#i63731f7]
-また、「RDゲートウェイ」では、
--RD接続承認ポリシー(RD CAP : RD Connection Authorization Policy)
---通過できるユーザ、PC
---認証方法(password / smart card)
---[[クライアント デバイスのリダイレクト>#e1f16476]]制限
---[[クライアント デバイスのリダイレクト>リモートデスクトップサービス(旧ターミナルサービス)#e1f16476]]制限

--RDリソース認証ポリシー(RD RAP : RD Resource Authorization Policy)
---接続ユーザ
---接続先サーバ
---接続先ポート

>を組み合わせ、制限するセキュリティ機能を搭載している 。

-これらの機能はネットワーク ポリシー サーバ(以下、NPSと略す)から提供される。~
なお、「RDゲートウェイ」のサイトを立ち上げるために、IIS、NPSをインストールしておく必要があるが、~
これは「RDゲートウェイ」のインストールの際に、合わせて自動的にインストールされる。
-これらの機能はネットワーク ポリシー サーバ(以下、NPSと略す)から提供される。

#ref(RDGateway.png,left,nowrap,RDゲートウェイ)

***管理 [#y002d217]
「[[RD接続>#i1fbec97]]」一覧から以下のオペレーションが可能である。
*インストールと設定 [#p80b831e]
**インストール [#j4e4e1b4]
-以下から、「RDゲートウェイ」をインストールする。
--[サーバ マネージャ]管理ツールの[役割] → [役割の追加] → 「リモート デスクトップ サービス」
--または、[役割] → 「リモート デスクトップ サービス」 → [役割サービスの追加]

-なお、「RDゲートウェイ」のサイトを立ち上げるために、IIS、NPSをインストールしておく必要があるが、~
これは「RDゲートウェイ」のインストールの際に、合わせて自動的にインストールされる。

**設定 [#z31e1ea9]

***SSL用のサーバ証明書の設定 [#o580d213]

***承認ポリシーの設定 [#v6045db9]
-クライアントのユーザ、コンピュータ グループの設定を作成
--ワーク グループ環境
---ローカル グループ
---グループにメンバを追加

--AD環境
---グループのスコープ:グローバル
---グループの種類:セキュリティ
---グループにメンバを追加

-接続承認ポリシー(RD CAP)の設定~
[リモート デスクトップ ゲートウェイ マネージャ]管理ツールを起動し、~
左部分ウィンドウから対象のサーバの[ポリシー] → [接続承認ポリシー]を右クリック、~
[新規ポリシーの作成] → [カスタム]を選択することで、表示される~
[新規RD CAP]ダイアログから設定を行う。設定手順は以下のとおり。
--[全般]タブで[ポリシー名]テキスト ボックスにポリシー名を入力する。
--次いで、[このポリシーを有効にする]チェック ボックスをオンに設定する。
--[要件]タブで、Windows認証方法と、ユーザ グループ メンバシップを設定する。
---クライアント グループ メンバシップ(必須)
---クライアント コンピュータ グループ メンバシップ(オプション)~
HTTPS経由でのWeb接続の場合、クライアント環境がサーバ環境と同じフォレストの~
AD環境に含まれないことが多いので、この設定はオプションの扱いとなっている。

--[デバイス リダイレクト]タブにて、リソースのリダイレクトを設定する。

-リソース承認ポリシー(RD RAP)の設定~
[リモート デスクトップ ゲートウェイ マネージャ]管理ツールを起動し、~
左部分ウィンドウから対象のサーバの[ポリシー] → [リソース承認ポリシー]を右クリック、~
[新規ポリシーの作成] → [カスタム]を選択することで、表示される~
[新規RD RAP]ダイアログから設定を行う。設定手順は以下のとおり。
--[全般]タブで[ポリシー名]テキスト ボックスにポリシー名を入力する。
--次いで、[このポリシーを有効にする]チェック ボックスをオンに設定する。
-- [ユーザ グループ]タブで「[[RDセッション ホスト>リモートデスクトップサービス(旧ターミナルサービス)#p667dc57]]」へのアクセスを許可するユーザ グループを指定する 。
--[コンピュータ グループ]タブで「[[RDセッション ホスト>リモートデスクトップサービス(旧ターミナルサービス)#p667dc57]]」を纏めたコンピュータ グループを指定する。
--[許可されたポート]タブで接続先の「[[RDセッション ホスト>リモートデスクトップサービス(旧ターミナルサービス)#p667dc57]]」のポート番号を指定する。

***クライアント接続の設定と確認 [#s810551d]
-[RD ゲートウェイ サーバー設定]ダイアログ
--[サーバ名]テキスト ボックスに入力する「サーバ名」は、~
「証明書のサブジェクト名」と一致させるため、正規のFQDN、NetBIOS名などで指定する必要がある 。

--[ローカル アドレスには RD ゲートウェイ サーバーを使用しない]~
評価環境などで、同一イントラ ネット内の「ターミナル サーバ」へアクセスする場合、~
ローカル アドレス(プライベート アドレス)が使用されるためチェックを外す。

***クライアント接続のトラブルシュート [#c1173d03]
「RD ゲートウェイ」のサーバ証明書が
-自己署名証明書の場合で、
-かつADの外部から、DNSだけ利用して

「RDゲートウェイ」経由で「RD接続」した場合は、サーバ証明書の発行元が信頼されず、~
以下のメッセージ ボックス表示とともに、「RD接続」は切断されるため、この場合は、
-サーバ証明書のルート証明書をエクスポートし、
-クライアントの「信頼されたルート証明機関」にインストールする

必要がある。

***RemoteAppで利用する [#w9f3af8a]
[RD RemoteAppマネージャ]管理ツールの右部分ウィンドウの[RDゲートウェイ設定]ボタンを押下して~
表示される[RemoteAppの展開設定]ダイアログの[TSゲートウェイ]タブから設定が可能。

この設定は、

-以下のファイルを作成する際の設定に反映される。
--RDP ファイル(*.rdp)
--MSIファイル(*.msi)

-また、「[[RD Webアクセス>リモート デスクトップ Webアクセス]]」 にも適用される。

***ログ設定・表示 [#qf2fac7e]
-設定
++[TSゲートウェイ マネージャ]管理ツールを起動し、
++左部分ウィンドウから対象のサーバを選択、これを右クリックして
++表示されプロパティ ダイアログの[監査]タブを選択し、
++ここでログに記録するイベントのチェック ボックスをオンにする。

-表示
++[イベント ビューア]管理ツールを起動し、
++左部分ウィンドウから対象のサーバを選択、
++[アプリケーションとサービス ログ] → [Microsoft] → [Windows] → [TerminalService-gateway]と展開する。

***ファーム [#yaa73f72]
負荷分散クラスタ構成(以降、「RDゲートウェイ ファーム」と呼ぶ)を構築する事も可能。

***GPを使用した設定 [#qb7b90cd]
クライアント側の接続設定は、ADのGP設定でも可能。~
以下の設定項目をダブルクリックして設定する。

-[ユーザーの構成\ポリシー\管理用テンプレート\Windowsコンポーネント\ターミナル サービス\TSゲートウェイ]
--[TSゲートウェイ経由で接続を有効にする] 
--[TSゲートウェイ サーバアドレスを設定する] 

*管理 [#y002d217]

**できること。 [#x5d9caaa]
「[[RD接続>リモートデスクトップサービス(旧ターミナルサービス)#i1fbec97]]」一覧から以下のオペレーションが可能である。
-接続の監視
-この接続を切断
-このユーザとの接続を切断

**管理方法 [#m051c8c8]
[リモート デスクトップ ゲートウェイ マネージャー]管理ツールを起動し、~
左部分ウィンドウから対象のサーバ展開し、その直下の[監視]から接続を管理する。

----
Tags: [[:Windows]], [[:仮想化]]
トップ   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS