「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -[[戻る>リモートデスクトップサービス(旧ターミナルサービス)]] * 目次 [#kc6d3c57] #contents *概要 [#wfb3e3a3] インターネット経由で、イントラ内部の「[[RDセッション ホスト>リモートデスクトップサービス(旧ターミナルサービス)#p667dc57]]」に「RD接続」しなければならない場合、~ VPNなどのセキュアなネットワーク インフラを構築する必要があったが、「RDゲートウェイ」によって、~ VPNなどのセキュアなネットワーク インフラを構築せずに「RD接続」可能になった。 -RDクライアント6.0以降が必要。 -RDP over HTTPSを使用して、VPNを構築せず、インターネットからアクセス可能になった。 * + NPS [#i63731f7] -また、「RDゲートウェイ」では、 --RD接続承認ポリシー(RD CAP : RD Connection Authorization Policy) ---通過できるユーザ、PC ---認証方法(password / smart card) ---[[クライアント デバイスのリダイレクト>リモートデスクトップサービス(旧ターミナルサービス)#e1f16476]]制限 --RDリソース認証ポリシー(RD RAP : RD Resource Authorization Policy) ---接続ユーザ ---接続先サーバ ---接続先ポート >を組み合わせ、制限するセキュリティ機能を搭載している 。 -これらの機能はネットワーク ポリシー サーバ(以下、NPSと略す)から提供される。 #ref(RDGateway.png,left,nowrap,RDゲートウェイ) *インストールと設定 [#p80b831e] **インストール [#j4e4e1b4] -以下から、「RDゲートウェイ」をインストールする。 --[サーバ マネージャ]管理ツールの[役割] → [役割の追加] → 「リモート デスクトップ サービス」 --または、[役割] → 「リモート デスクトップ サービス」 → [役割サービスの追加] -なお、「RDゲートウェイ」のサイトを立ち上げるために、IIS、NPSをインストールしておく必要があるが、~ これは「RDゲートウェイ」のインストールの際に、合わせて自動的にインストールされる。 **設定 [#z31e1ea9] ***SSL用のサーバ証明書の設定 [#o580d213] ***承認ポリシーの設定 [#v6045db9] -クライアントのユーザ、コンピュータ グループの設定を作成 --ワーク グループ環境 ---ローカル グループ ---グループにメンバを追加 --AD環境 ---グループのスコープ:グローバル ---グループの種類:セキュリティ ---グループにメンバを追加 -接続承認ポリシー(RD CAP)の設定~ [リモート デスクトップ ゲートウェイ マネージャ]管理ツールを起動し、~ 左部分ウィンドウから対象のサーバの[ポリシー] → [接続承認ポリシー]を右クリック、~ [新規ポリシーの作成] → [カスタム]を選択することで、表示される~ [新規RD CAP]ダイアログから設定を行う。設定手順は以下のとおり。 --[全般]タブで[ポリシー名]テキスト ボックスにポリシー名を入力する。 --次いで、[このポリシーを有効にする]チェック ボックスをオンに設定する。 --[要件]タブで、Windows認証方法と、ユーザ グループ メンバシップを設定する。 ---クライアント グループ メンバシップ(必須) ---クライアント コンピュータ グループ メンバシップ(オプション)~ HTTPS経由でのWeb接続の場合、クライアント環境がサーバ環境と同じフォレストの~ AD環境に含まれないことが多いので、この設定はオプションの扱いとなっている。 --[デバイス リダイレクト]タブにて、リソースのリダイレクトを設定する。 -リソース承認ポリシー(RD RAP)の設定~ [リモート デスクトップ ゲートウェイ マネージャ]管理ツールを起動し、~ 左部分ウィンドウから対象のサーバの[ポリシー] → [リソース承認ポリシー]を右クリック、~ [新規ポリシーの作成] → [カスタム]を選択することで、表示される~ [新規RD RAP]ダイアログから設定を行う。設定手順は以下のとおり。 --[全般]タブで[ポリシー名]テキスト ボックスにポリシー名を入力する。 --次いで、[このポリシーを有効にする]チェック ボックスをオンに設定する。 -- [ユーザ グループ]タブで「[[RDセッション ホスト>リモートデスクトップサービス(旧ターミナルサービス)#p667dc57]]」へのアクセスを許可するユーザ グループを指定する 。 --[コンピュータ グループ]タブで「[[RDセッション ホスト>リモートデスクトップサービス(旧ターミナルサービス)#p667dc57]]」を纏めたコンピュータ グループを指定する。 --[許可されたポート]タブで接続先の「[[RDセッション ホスト>リモートデスクトップサービス(旧ターミナルサービス)#p667dc57]]」のポート番号を指定する。 ***クライアント接続の設定と確認 [#s810551d] -[RD ゲートウェイ サーバー設定]ダイアログ --[サーバ名]テキスト ボックスに入力する「サーバ名」は、~ 「証明書のサブジェクト名」と一致させるため、正規のFQDN、NetBIOS名などで指定する必要がある 。 --[ローカル アドレスには RD ゲートウェイ サーバーを使用しない]~ 評価環境などで、同一イントラ ネット内の「ターミナル サーバ」へアクセスする場合、~ ローカル アドレス(プライベート アドレス)が使用されるためチェックを外す。 ***クライアント接続のトラブルシュート [#c1173d03] 「RD ゲートウェイ」のサーバ証明書が -自己署名証明書の場合で、 -かつADの外部から、DNSだけ利用して 「RDゲートウェイ」経由で「RD接続」した場合は、サーバ証明書の発行元が信頼されず、~ 以下のメッセージ ボックス表示とともに、「RD接続」は切断されるため、この場合は、 -サーバ証明書のルート証明書をエクスポートし、 -クライアントの「信頼されたルート証明機関」にインストールする 必要がある。 ***RemoteAppで利用する [#w9f3af8a] [RD RemoteAppマネージャ]管理ツールの右部分ウィンドウの[RDゲートウェイ設定]ボタンを押下して~ 表示される[RemoteAppの展開設定]ダイアログの[TSゲートウェイ]タブから設定が可能。 この設定は、 -以下のファイルを作成する際の設定に反映される。 --RDP ファイル(*.rdp) --MSIファイル(*.msi) -また、「[[RD Webアクセス>リモート デスクトップ Webアクセス]]」 にも適用される。 ***ログ設定・表示 [#qf2fac7e] -設定 ++[TSゲートウェイ マネージャ]管理ツールを起動し、 ++左部分ウィンドウから対象のサーバを選択、これを右クリックして ++表示されプロパティ ダイアログの[監査]タブを選択し、 ++ここでログに記録するイベントのチェック ボックスをオンにする。 -表示 ++[イベント ビューア]管理ツールを起動し、 ++左部分ウィンドウから対象のサーバを選択、 ++[アプリケーションとサービス ログ] → [Microsoft] → [Windows] → [TerminalService-gateway]と展開する。 ***ファーム [#yaa73f72] 負荷分散クラスタ構成(以降、「RDゲートウェイ ファーム」と呼ぶ)を構築する事も可能。 ***GPを使用した設定 [#qb7b90cd] クライアント側の接続設定は、ADのGP設定でも可能。~ 以下の設定項目をダブルクリックして設定する。 -[ユーザーの構成\ポリシー\管理用テンプレート\Windowsコンポーネント\ターミナル サービス\TSゲートウェイ] --[TSゲートウェイ経由で接続を有効にする] --[TSゲートウェイ サーバアドレスを設定する] *管理 [#y002d217] **できること。 [#x5d9caaa] 「[[RD接続>リモートデスクトップサービス(旧ターミナルサービス)#i1fbec97]]」一覧から以下のオペレーションが可能である。 -接続の監視 -この接続を切断 -このユーザとの接続を切断 **管理方法 [#m051c8c8] [リモート デスクトップ ゲートウェイ マネージャー]管理ツールを起動し、~ 左部分ウィンドウから対象のサーバ展開し、その直下の[監視]から接続を管理する。 ---- Tags: [[:Windows]], [[:仮想化]]