「Webアプリケーションプロキシ」はマルチデバイス環境におけるリモートアクセスの“要”：vNextに備えよ！ 次期Windows Serverのココに注目（24）（2/2 ページ）

[山市良，テクニカルライター]

リモートデスクトップサービスの公開、新旧プロキシでの違い

　アプリケーションの公開設定では、追加設定が必要な特殊なケースについて、以下のドキュメントで具体的に説明されています。

• Publishing Applications with SharePoint, Exchange and RDG［英語］（Microsoft TechNet）

　「リモートデスクトップサービスの公開」は、現在のWebアプリケーションプロキシでも可能です。では、どこが新しくなるのかというと、リモートデスクトップサービスの外部向けサービスである「リモートデスクトップ（RD）Webアクセス」と「リモートデスクトップ（RD）ゲートウェイ」の両方を、AD FS事前認証に基づいてセキュアに公開できることです。

　現在のWebアプリケーションプロキシの場合、RD WebアクセスはAD FS事前認証で、RDゲートウェイはパススルーで公開することができます。RD WebアクセスからRDゲートウェイを経由した社内へのリモートデスクトップ接続は、RD Webアクセスのフォーム認証の資格情報で最終ホストまでSSOとなります。しかし、RDゲートウェイはパススルーで公開されているため、RD Webアクセスを経由しないRDゲートウェイへのアクセスができてしまうという問題があります。

　新しいWebアプリケーションプロキシは、RD WebアクセスとRDゲートウェイの両方をAD FS事前認証で公開することができ、RDゲートウェイを経由したリモートデスクトップ接続をRD Webアクセスのフォーム認証で認証されたものだけに限定できます。RDゲートウェイへの直接アクセスは、AD FS事前認証およびRD Webアクセスのフォーム認証が行われていないためブロックされます。

　実は、Windows Server 2012 R2のWebアプリケーションプロキシでも、修正プログラム（Windows Server 2012 R2向けの2014年11月の更新ロールアップに含まれる）の適用で、同様の公開方法が使用できるようになっています。これまでは具体的な手順が示されていませんでしたが、前出のドキュメント（Publishing Applications with SharePoint, Exchange and RDG）の公開でようやく構成できるようになりました（図1）。

図1　新しいWebアプリケーションプロキシによる、RD WebアクセスおよびRDゲートウェイの公開

　ここで具体的な手順を説明することはしませんが、次の四つの構成が重要なポイントになります。

［1］一度のAD FS事前認証でRD WebアクセスとRDゲートウェイ両方のHTTPSアクセスをAD FSで事前認証済みとするために、AD FSに要求対応アプリケーションとしてRD Webアクセスの証明書利用者信頼（Relying Party Trusts）を登録する

［2］RD WebアクセスとRDゲートウェイを、同じ証明書利用者信頼を用いて公開する

［3］RD Webアクセスでアイコンをクリックしたときに呼び出されるActiveXコントロールに対し、RD Webアクセスのフォーム認証のクッキー情報を渡せるように、RD Webアクセスの公開設定でWebアプリケーションプロキシの「HttpOnly」機能を無効化する（「Set-WebApplicationProxyApplication -DisableHttpOnlyCookieProtection:$true」コマンドレットを使用）

［4］RD接続ブローカーサーバーにおいて、セッションコレクションでカスタムRDPプロパティにRD Webアクセスの事前認証を必須とするように構成する

　実際に、新しいRD Webアプリケーションプロキシで公開したRD WebアクセスおよびRDゲートウェイに、インターネット上のクライアントからアクセスしてみました。

　Webブラウザーで「https://＜RD WebアクセスのFQDN＞/RDWeb」にアクセスすると、AD FS事前認証のためのフォーム認証ページにリダイレクトされます（画面4）。

画面4　「https://＜RD WebアクセスのFQDN＞/RDWeb」にアクセスすると、AD FSの認証ページにリダイレクトされる

　AD FS事前認証をパスすると、今度はRD Webアクセスの通常のポータルが表示されるので、こちらにも同じ資格情報を入力してサインインします。残念ながら、AD FS事前認証に基づいて、SSOでRD Webアクセスの認証をパスするということはできません（画面5）。AD FS事前認証は、RD Webアクセスのポータル、および後でRDゲートウェイにアクセスするために使用されています。

画面5　AD FS事前認証をパスすると、RD Webアクセスのサ インインページが表示される。ここで、2回目のサインインを行う

　RD Webアクセスのポータルへのサインインが完了すると、企業内で公開設定されているデスクトップコレクションやRemoteAppプログラムのアイコンをクリックして、RDゲートウェイ経由での接続を開始できます。

　RDゲートウェイおよび最終ホストに対する接続は、RD Webアクセスが備えるSSO機能で行われるため、あらためて資格情報の入力を求められることはありません（画面6）。また、RD Webアクセスを使用せずに、RDゲートウェイのURLに直接アクセスした場合は、AD FS事前認証とRD Webアクセス事前認証の制約により、ブロックされます。

画面6　RD Webアクセスにサインイン後は、SSOで最終ホストにRDゲートウェイ経由でアクセスできる

　リモートデスクトップサービスの公開で、AD FS事前認証とRD Webアクセスのポータルのフォーム認証の、2回の認証が必要なのは、回避することはできないようです。

　RD WebアクセスのポータルでWindows統合認証を使用するように変更して、AD FS事前認証によるSSOを実現することも可能です。しかしその場合、SSOはポータルへのサインインまでしか機能しません。RD Webアクセスがもともと備えるRDゲートウェイおよび最終ホストへのSSOアクセスは、ポータルにフォーム認証でサインインすることを前提として作られているからです。

Windows Server 2016最新情報

　2015年8月20日（日本時間）に3回目のプレビューリリースとなる「Windows Server 2016 Technical Preview 3」がリリースされました。次回からは、Technical Preview 3をベースに解説します。いよいよ、Docker対応のWindows Serverコンテナーの登場です。

「vNextに備えよ！ 次期Windows Serverのココに注目」バックナンバー

• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その6）
• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その5）
• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その4）
• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その3）
• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その2）
• 「パスワードのない世界」を実現する「Windows Hello for Business」のオンプレ展開をリアルレポート（その1）
• ついに完成、Windows Server 2016 評価版をインストールしてみた
• Windows Server 2016の「サーバー管理ツール」に追加された4つの新機能
• 小規模ビジネス専用エディション、Windows Server 2016 Essentialsの機能と役割
• 管理者権限をコントロールする2つのアプローチ――必要最低限の管理（JEA）と特権アクセス管理（PAM）
• Hyper-Vホストクラスタの新機能（2）──仮想マシンの開始順序
• 速報！ Windows Server 2016の正式リリースは2016年9月末に
• Hyper-Vホストクラスタの新機能──仮想マシンのノードフェアネス
• Dockerとの相互運用性が向上したWindowsコンテナ［後編］
• Dockerとの相互運用性が向上したWindowsコンテナ［前編］
• いつでも、どこからでも使える、Windows Server 2016向けリモート管理ツール「サーバー管理ツール」
• Windows Server 2016 TP5の「サーバーの役割と機能」、TP4からの変更点まとめ
• Windows Server 2016 Technical Preview 5の評価方法と注意点
• Hyper-V上のLinux仮想マシンで新たにサポートされる機能
• 実録：Windows ServerコンテナでSQL Serverを動かしてみた
• Windows Server 2016で大きく変わるライセンスモデル
• Windows 10の「ワークプレース参加」はどうなる？［後編］
• Windows 10の「ワークプレース参加」はどうなる？［前編］
• 意外と賢くなったWindows Server 2016のWindows Defender
• パブリッククラウドでDaaSを可能にするWindows Server 2016の新機能
• 実運用への道に近づいた、新しい「Nano Server」［後編］
• 実運用への道に近づいた、新しい「Nano Server」［前編］
• 明らかになった「Hyper-Vコンテナー」の正体（2）――コンテナーホストのセットアップ方法
• 明らかになった「Hyper-Vコンテナー」の正体（1）――その仕組みと管理方法
• ついに日本語版が登場、Windows Server 2016テクニカルプレビューこれまでのまとめ
• 仮想マシンのための「仮想TPM」――仮想化ベースのセキュリティ（その2）
• 物理マシンとユーザーのための「デバイスガード」と「資格情報ガード」――仮想化ベースのセキュリティ（その1）
• “Hyper-Vの中のHyper-V”で仮想マシンを動かす
• ADドメインはもう不要？ ワークグループでクラスター作成が可能に――フェイルオーバークラスターの新機能（その3）
• 可用性をさらに高めるクォーラム監視オプション「クラウド監視」――フェイルオーバークラスターの新機能（その2）
• 短時間のノード障害に耐える仮想マシン――フェイルオーバークラスターの新機能（その1）
• WindowsコンテナーをDockerから操作するには？――あなたの知らないコンテナーの世界（その4）
• IISコンテナーの作成で理解するコンテナーのネットワーク機能――あなたの知らないコンテナーの世界（その3）
• 所要時間は1分未満！ 今すぐできるWindows Serverコンテナーの作り方――あなたの知らないコンテナーの世界（その2）
• Windows ServerのDockerサポートとは？――あなたの知らないコンテナーの世界（その1）
• 注目のDockerサポートは？ Nano Serverは？――Windows Server 2016 Technical Preview 3登場！ 新機能ピックアップ
• 「Webアプリケーションプロキシ」はマルチデバイス環境におけるリモートアクセスの“要”
• クラウド時代のセキュリティ担保にはActive Directoryフェデレーションサービスが必須となる？
• 4ステップで理解する「ストレージレプリカ」のセットアップと構成方法
• 低コストでデータの災害復旧対策を実現する新たなSDS「ストレージレプリカ」とは
• 記憶域スペースの新機能「記憶域スペースダイレクト」を理解する（後編）
• 記憶域スペースの新機能「記憶域スペースダイレクト」を理解する（前編）
• Hyper-Vホストから仮想マシンゲストの操作を可能にするPowerShell Directとは
• Windows Server 2016世代のクラウド基盤の守護者、Host Guardian Serviceとは
• 注目のNano Server、その謎に迫る――コンテナー技術との関係はいかに？

筆者紹介

山市 良（やまいち りょう）

岩手県花巻市在住。Microsoft MVP：Hyper-V（Oct 2008 - Sep 2015）。SIer、IT出版社、中堅企業のシステム管理者を経て、フリーのテクニカルライターに。マイクロソフト製品、テクノロジを中心に、IT雑誌、Webサイトへの記事の寄稿、ドキュメント作成、事例取材などを手がける。個人ブログは『山市良のえぬなんとかわーるど』。