こんにちは。このビデオでは、リモート デスクトップ サービス ゲートウェイ サーバーのセットアップに必要な手順について説明します。RDSゲートウェイ サーバーは、企業のファイアウォールの外側にいるユーザーにRDS環境へのアクセスを許可する場合に便利です。RDSゲートウェイ サーバーはSSLを使用して、クライアントとRDSサーバー間の通信を暗号化します。
これは、エンド ユーザーのデバイスによって信頼されている RDS ゲートウェイ サーバーにインストールされている証明書のおかげで可能になります。RDSゲートウェイのもう1つのコンポーネントがIISで、こちらは認証に使用されます。IISのおかげで、特定のポリシーを作成して、どのユーザーがどのリソースにアクセスできるかを詳細に定義できます。これについては、このビデオの後半でも説明します。このデモでは、RDS導入が既に存在していることを前提とします。
基本的または高度な RDS デプロイをゼロから設定する方法の詳細については、このシリーズの以前のビデオを確認することをお勧めします。ここでは、使用する仮想マシンを示しています。「RDSlab-DC」はドメイン コントローラーです。また、RD ライセンスの役割もインストールされています。その他すべての仮想マシンは、このドメイン コントローラーでホストされるドメインに参加しています。「RDSlab-CB」は、デプロイの接続ブローカーです。「SH1」と「SH2」は、ファーム内のセッション ホストです。このもう1つの仮想マシンは「RDSFarm」という名前を付け、RDSゲートウェイ サーバーとして構成するマシンです。また、RD Web アクセスの役割もホストします。この RDS 環境は、ビデオの説明に含め、以前のビデオで説明した 5 つの PowerShell 行を使用して作成しました。
そこで、RD ゲートウェイ サーバーを設定するために、展開の接続ブローカーの役割をホストする仮想マシンのコンソールを開きます。「サーバーマネージャー」を開き、「リモートデスクトップサービス」ノードをクリックします。サーバー セクションには、RD ゲートウェイの役割を除くすべての役割がこの展開に対して構成されていることが示されます。このため、このロールは[概要]セクションの下に緑色のプラス記号で表示され、導入が保留中であることを示します。
セットアップするには、はじめにロールを対象サーバーに追加します。[管理]、[役割と機能の追加]の順にクリックします。[役割ベースまたは機能ベースのインストール] を選択します。この展開で RD ゲートウェイの役割のターゲット サーバーを選択し、[次へ] をクリックします。[リモート デスクトップ サービス]を展開し、[リモート デスクトップ ゲートウェイ]チェックボックスをクリックします。[機能の追加]をクリックして前提条件をインストールし、確認画面の[次へ]をクリックし、最後に[インストール]をクリックします。インストールが完了するのを待ってから、[閉じる]をクリックします。サーバー マネージャーに戻り、クリックして導入環境を更新しても変更はありません。これは、バイナリはインストールされているが、展開自体が RD ゲートウェイ サーバーで構成されていないためです。
これを修正するには、[RD Gateway]の上にある緑色のプラス記号をクリックしてウィザードを起動します。RDゲートウェイとして構成するサーバーを選択し、右側に移動して、[次へ]をクリックします。このウィザードでは、自己署名証明書を構成するように求められるため、その証明書のサブジェクトの完全修飾ドメイン名をここに入力する必要があります。ただし、この証明書は今回のデモで使用するものではありません。とりあえず、「次へ」をクリックします。[追加] をクリックして、デプロイへの追加を確認します。ロールのインストールが完了するのを待ち、証明書を構成する必要があることを示す警告が表示されますが、ここでは[閉じる]をクリックします。デプロイをもう一度更新すると、[展開の概要] に RD ゲートウェイ サーバーが存在することが表示され、[タスク] をクリックしてから [展開プロパティの編集] をクリックします。[RD ゲートウェイ] セクションがいくつかの設定で自動的に構成されていることに注意してください。[証明書] ノードをクリックし、RD Web アクセスと RD ゲートウェイの役割に対して証明書が構成されていないことを確認します。最初にRDゲートウェイの役割をクリックします。このオプションは新しい証明書を作成します。
テスト目的では、ここで作成した自己署名証明書、またはウィザードの前半で自動的に作成された証明書などを使用できます。このデモでは、信頼されたパブリック証明機関の証明書を構成します。これにより、この証明書をクライアント コンピューターにインストールする必要はありません。彼らは箱から出してすぐにそれを信頼するでしょう。そこで、ここでは[Select existing certificate]をクリックします。証明書へのパスを入力する必要があります。このデモでは、ドメイン コントローラーのCドライブのルートにコピーしました。次に、保存されたパスワードを入力し、この[許可]チェックボックスをオンにして、[OK]をクリックします。デプロイ構成画面の [適用準備完了] 状態に注目してください。
それでは、[Apply]をクリックしましょう。しばらくすると、操作が正常に完了したことが画面に表示され、レベル列に証明書が信頼できると認識されます。自己署名証明書を使用している場合は、表示が異なります。証明書を適用しても信頼できないと表示され、その証明書をクライアント コンピューターにコピーしてからインストールする必要があります。これは、このデモの場合のように、ドメインベースまたはパブリック証明機関の証明書を使用する主な利点の1つです。ここの [詳細の表示] をクリックすると、証明書の件名が表示され、RD ゲートウェイ仮想マシンの Windows ホスト名が表示されます。RD Web アクセスの役割に対してこれらの手順を繰り返し、同じ証明書を IIS にも使用します。[OK]をクリックして、導入設定画面を終了します。
接続ブローカーで行う必要があるのはこれだけです。次のステップは、接続承認ポリシーとリソース承認ポリシーの構成です。これについては、作成しながら詳しく説明します。次に、RDSゲートウェイ仮想マシンに切り替えます。サーバー マネージャーを開き、[ツール]、[リモート デスクトップ サービス]、[リモート デスクトップ ゲートウェイ マネージャー]の順にクリックします。まず、[サーバーファーム]タブでサーバーのプロパティを調整しましょう。このRDゲートウェイ サーバーを追加して、[Apply]をクリックします。
ロード バランサーに関するこのエラーは予期されます。このデモではRDゲートウェイ サービスのロード バランシングは行いません。RDゲートウェイ サーバーは1つだけです。[OK]、[Apply]をもう一度クリックするだけで、ステータスが[OK]と表示されます。[SSL 証明書] タブでは、RD ゲートウェイ サーバーの証明書構成を表示して変更したり、必要に応じて新しい自己署名証明書を作成したりすることもできます。ただし、これらはすべてコネクション ブローカーで設定済みなので、[OK]をクリックしてプロパティ画面を終了します。RDゲートウェイ マネージャーのメイン画面に戻り、サーバーを展開してから[ポリシー]を展開します。
このコンテキストでは、次に示すように、2 種類のポリシーがあります: 「接続承認ポリシー」では、この RDS ゲートウェイ サーバーへの接続を許可するユーザーを指定できますが、「リソース承認ポリシー」では、承認されたユーザーがアクセスできるサーバーまたはコンピューターを指定できます。簡単に言うと、1 つのポリシーは誰がアクセスできるかを示し、もう 1 つはユーザーが何にアクセスできるかに関するポリシーです。[Connection Authorization Policies]を右クリックし、[Create New Policy]、[Wizard]の順にクリックします。ポリシーは個別に作成することもできますが、ここでは、同じウィザードでリモートデスクトップ接続承認ポリシーとリモートデスクトップリソース承認ポリシーの両方を作成し、[次へ]をクリックするという推奨オプションに従います。RD CAPの名前を入力し、[次へ]をクリックし、[グループの追加]をクリックして、接続を許可するユーザーを含むグループの名前を入力します。このデモでは[Domain Users]と入力し、[Next]をクリックします。[Device Redirection]と[Session Timeout]の手順では、両方の画面と[Summary]画面で[Next]をクリックしてデフォルトのままにし、RDリソース承認ポリシーに進みます。名前を入力し、[次へ]をクリックします。
[User Groups]セクションはデフォルトのままにして、[Next]をクリックします。ここでも、この [ネットワーク リソース] 画面で、この RDS 展開のセッション ホスト サーバーのコンピューター アカウントを含む Active Directory グループがある場合は、指定できます。ただし、このデモでは、[ユーザーに任意のネットワークリソースまたはコンピューターへの接続を許可する]オプションを選択し、[次へ]をクリックします。RDSセッション ホスト通信へのインターネット ゲートウェイのポート3389をデフォルトのままにして、[Next]をクリックします。概要画面で[Finish]をクリックし、[Close]をクリックします。したがって、この時点で、この RDS ゲートウェイ サーバーをファイアウォールの外側に配置し、インターネット ユーザーに面する準備が整いました。自宅またはリモート オフィスの場所からインターネット経由で RDS セッション ホストに接続しようとするユーザーは、最初にこの RDS ゲートウェイ サーバーを経由する必要があります。
ここでは、RD ゲートウェイ サーバーとは完全に別のリンクを介してインターネットに接続されているこのクライアント コンピューターで、リモート ユーザーがリモート デスクトップ接続アプリで接続を設定する方法を示します。まず、RDセッションホストの名前を入力しますが、このセッションホストはインターネットに接続されていないので、[オプションの表示]ボタン、[詳細設定]タブ、[どこからでも接続]セクションをクリックします。「設定」をクリックします。[これらの RD ゲートウェイ サーバー設定を使用する] ラジオ ボタンをクリックし、RDS ゲートウェイのパブリック DNS 名を入力します。
これが機能するためには、当然ながら、RDSゲートウェイ マシンに割り当てられているパブリックIPアドレスでこのパブリックDNS名が解決されなければなりません。これは、使用中のパブリックDNSサービスの設定で構成する必要があります。また、[ローカル アドレスの RD ゲートウェイをバイパスする] をオフにし、[リモート コンピューターの RD ゲートウェイ資格情報を使用する] をオンにします。次に、「OK」と「接続」をクリックします。ドメインのユーザー名とパスワードを入力すると、接続が成功したことがわかります。クライアント マシンには証明書を何もインストールする必要がありませんでした。
メッセージは表示されず、クライアントが接続したいマシンを信頼することについての警告もありませんでした。これは、使用している証明書が信頼できる公的証明機関からのものであるためです。RD ゲートウェイ マネージャーの RDS ゲートウェイ マシンに戻り、[監視] で接続の詳細を確認できます。また、ターミナル サービス ゲートウェイの操作ログのイベント ビューアーには、手順を文書化した一連のイベントが表示されます。イベント 312 は、クライアント コンピューターから開始された接続を示し、イベント 200 は、使用された資格情報が接続承認ポリシーを満たしていることを示します。イベント 300 は、リソース承認ポリシーも満たされたためアクセスが承認されたことを示し、最後にイベント 302 は、接続が成功し、接続プロトコルが HTTP であることを示します。
これは、クライアントと RDS Gateway 間のトラフィックが、安全な通信に暗号化を使用する HTTPS 経由で発生するためです。RDS Gateway マシンがファイアウォールまたはネット デバイスの背後にある場合、許可する必要があるポートは 443 のみです。これは、このデモで使用したこのルーター デバイスで実際に行ったことです。ポート 443 を RDS ゲートウェイ マシンにポート転送するように構成されています。ここまでは、RDS ゲートウェイ サーバーを標準のリモート デスクトップ サービスの展開に統合して、自宅または公共のインターネットの場所から安全に暗号化されたアクセスを可能にする方法のデモでした。
お役に立てば幸いですし、ご視聴ありがとうございました。
