[運用]
|
 |
|
|
|
TSゲートウェイを構築する前には、ネットワークとサーバの構成を設計する必要がある。TSゲートウェイを使用するには、その設置場所や役割分担によって、およそ次の3つの構成パターンが考えられる。
- パターン1: TSゲートウェイをDMZに設置し、アクセス制御はTSゲートウェイで行う
- パターン2: TSゲートウェイをDMZに設置し、アクセス制御は中央のNPS(ネットワーク・ポリシー・サーバ)で行う
- パターン3: TSゲートウェイをプライベート・ネットワークに設置して社内ドメインに参加させるとともに、DMZにSSLリバース・プロキシを設置する
パターン1: TSゲートウェイをDMZに設置し、アクセス制御はTSゲートウェイで行う
この構成パターン(図1)は、おそらく最も標準的な設置方法だろう。TSゲートウェイは、クライアントからインターネット経由で届くSSL(HTTPS)でカプセル化されたパケットを受け取り、RDP(Remote Desktop Protocol)に変換してターミナル・サービスに中継する。そのため、TSゲートウェイをDMZに設置した場合には、ファイアウォールにて、[インターネット]→[DMZ]方向にHTTPS(TCPポート443番)を、[DMZ]→[プライベート]にRDP(デフォルトでTCPポート3389番)をそれぞれ通すように設定する必要がある。プライベート・ネットワークにはドメイン・コントローラも存在するが、この構成では[DMZ]→[プライベート]方向にドメイン・コントローラとの通信に必要なポートを公開する必要はない。
 |
| 図1 TSゲートウェイの構成パターン1 |
| この構成パターンでは、TSゲートウェイをDMZに配置して、アクセス制御もTSゲートウェイが担当する。最も標準的な構成といえる。 |
この構成パターンの特徴は、TSゲートウェイが社内ドメインに参加していない点にある。これにより、万一TSゲートウェイが侵入者に乗っ取られても、分離している社内ドメインへの侵入は防ぎやすく、社内ドメインの安全性を高められる。その一方で、ドメインのユーザー・アカウントやコンピュータ・アカウントといった情報が利用できないことから、管理者と利用者の手間が増えることになる。
「安全で使いやすいリモート接続を実現するTSゲートウェイ」で解説しているとおり、TSゲートウェイにはTS CAP(接続承認ポリシー)とTS RAP(リソース承認ポリシー)という2種類のアクセス制御用承認ポリシーが用意されている。前者はTSゲートウェイにアクセス可能なユーザー/コンピュータを、また後者はTSゲートウェイ経由で接続するターミナル・サーバとユーザーをそれぞれ制限する。この承認ポリシーの設定は両方とも必須となっている。承認ポリシーを使用することで、クライアントからのパケットがターミナル・サービスに到達する前にユーザーとリソースに対してフィルタをかけて、安全性を高められる。
しかし、TSゲートウェイがドメインに参加していない場合には、ドメインのユーザーやコンピュータをフィルタの条件として使用できない。そのため、フィルタの要素となるユーザー(ユーザー・グループ)およびコンピュータ(コンピュータ・グループ)は、すべてTSゲートウェイ・サーバにローカルで作成しておく必要がある。TSゲートウェイを使用するユーザーが大量に存在する場合、管理者にとってこの作業は大きな手間になるだろう。
また、インターネット経由で接続するユーザーも、TSゲートウェイで認証を受け、さらにプライベート・ネットワーク内のターミナル・サービスに接続する際にも別途認証を受ける必要があるため、手間が増えることになる。
パターン2: TSゲートウェイをDMZに設置し、アクセス制御は中央のNPS(ネットワーク・ポリシー・サーバ)で行う
この構成パターン(図2)はパターン1とネットワーク構造は同じだが、TS CAP(接続承認ポリシー)によるアクセス制御を中央のNPS(ネットワーク・ポリシー・サーバ)で行っている点が異なる。パターン1でもNPSは使用するが、TSゲートウェイ内に配置する。Windows Server 2008にはNAP(ネットワーク・アクセス・ポリシー)と呼ばれる役割が実装されており、ネットワークに接続するコンピュータのアクセス制御を集中的に管理できる。このNAPの中核的なコンポーネントがNPSである。NAPに関する詳しい解説は、以下の記事を参照していただきたい。
- 社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは(前編)(Windows Server 2008の基礎知識)
- 社内ネットワークの安全を保つネットワーク・アクセス保護NAPとは(後編)(Windows Server 2008の基礎知識)
 |
| 図2 TSゲートウェイの構成パターン2 |
| TSゲートウェイをDMZに配置するのはパターン1と同じだが、TS CAPによるアクセス制御を中央のNPS(ネットワーク・ポリシー・サーバ)が担当する点が異なる。アクセス制御にかかわるユーザーやコンピュータを一元管理できるメリットがある。 |
TSゲートウェイが中央のNPSをTS CAPの格納庫として使用する際、TSゲートウェイとNPSとの通信にはRADIUSプロトコル(UDPポート1812番)を使用する。そのため、DMZ上のTSゲートウェイからプライベート・ネットワークのNPSに向けてUDPポート1812番を開放しておく必要がある。
この構成を使用すると、NPSがドメインに参加している場合にはTS CAPの承認ポリシーにドメインのユーザー・グループおよびコンピュータ・グループを利用できるため、利用者やコンピュータを一元管理できるというメリットがある。この構成の構築手順については後編で解説している。
パターン3: TSゲートウェイをプライベート・ネットワークに設置して社内ドメインに参加させるとともに、DMZにSSLリバース・プロキシを設置する
この構成パターン(図3)は、SSLリバース・プロキシ(外部から内部へSSL通信を中継するプロキシ)をDMZに配置し、プライベート・ネットワーク内に設置したTSゲートウェイと通信を行う。TSゲートウェイは、SSLリバース・プロキシからの通信をHTTPで受け取り可能なため、「HTTPS−HTTPS」だけでなく「HTTPS−HTTP」に対応したリバース・プロキシでも対応可能だ。多くの場合、すなわちリバース・プロキシがDMZまたはファイアウォールの一機能として存在していれば、既存のファイアウォール構成を大きく変更する必要がない。その点で最も安心感のある構成といえるだろう。
 |
| 図3 TSゲートウェイの構成パターン3 |
| パターン2と比べ、TSゲートウェイを内部のプライベート・ネットワークに配置する点が大きく異なる。TSゲートウェイと外部ネットワークとの通信には、DMZに配置したリバース・プロキシ(外部から内部へ通信を中継するプロキシ)を利用する。多くの場合、ファイアウォール構成を変更せずに済むというメリットがある。 |
この構成ではTSゲートウェイがプライベート・ネットワーク内にあるため、その内部のクライアントからもTSゲートウェイを介してターミナル・サービスに接続できる。これにより内部と外部を区別しなくて済むため、ターミナル・サービスへのアクセス制御を完全に一元管理できる。また、図3では中央のNPSを使用しているが、TSゲートウェイ自身がドメインに参加できるため、このNPSを経由せずにローカルのTS CAPを構成して、直接Active Directoryのリソースを参照することも可能だ(つまり、中央のNPSを設置せずに済む)。
構築するTSゲートウェイ環境
今回は、より少ない手間でTSゲートウェイを使えるようにするため、パターン1で構築してみる。これでもテスト環境や小規模なシステムでは十分に利用できる。
すでに解説したように、パターン1では承認ポリシーに使用するユーザー・グループはTSゲートウェイ自身で管理する必要があることに注意しよう。よって、アクセスを許可したいユーザーは、すべて事前にTSゲートウェイ・サーバに登録しておかなければならない。また、TS CAPおよびTS RAPでは「ユーザー グループ」によって承認を行うため、必要なグループのメンバーシップも事前に設定しておく必要がある。
ここでは、「System Group(システム部)」「HR Group(人事部)」「Keiri Group(経理部)」という3つのグループを事前に作成し、それぞれに各部門のユーザーを所属させているものとする。
 |
| 図4 ドメインに参加しない環境でのTS CAPとTS RAPの使用方法 |
| TSゲートウェイがドメインに参加していない場合、アクセスを許可したいユーザーをTSゲートウェイ・サーバにローカル・アカウントとして登録する必要がある。本稿では、上記の3部門のユーザー・グループおよびその所属ユーザーをいずれも事前に作成しているものとする。 |
次のページから、実際にTSゲートウェイのインストールを始める。
 |
 |
| INDEX | ||
| [運用] | ||
| Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(前編) | ||
 |
1.ネットワークとサーバの構成パターン | |
| 2.TSゲートウェイのインストール | ||
| 3.TSゲートウェイの環境設定(1) | ||
| 4.TSゲートウェイの環境設定(2) | ||
| 5.クライアントの設定とTSゲートウェイ経由の接続 | ||
| Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編) | ||
| 1.中央のNPSを加えたTSゲートウェイの構成 | ||
| 2.中央のNPSの環境設定 | ||
| 3.ネットワーク・ポリシーの作成 | ||
| 4.接続要求ポリシーの修正と接続確認 | ||
 |
||
 |
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
 |
|
|
|
|
注目のテーマ
Windows Server Insider 記事ランキング
転職/派遣情報を探す
