[運用]
Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(前編)

1.ネットワークとサーバの構成パターン

マイクロソフト株式会社
IT Pro エバンジェリスト
安納 順一
2009/05/13

 TSゲートウェイを構築する前には、ネットワークとサーバの構成を設計する必要がある。TSゲートウェイを使用するには、その設置場所や役割分担によって、およそ次の3つの構成パターンが考えられる。

  • パターン1: TSゲートウェイをDMZに設置し、アクセス制御はTSゲートウェイで行う
  • パターン2: TSゲートウェイをDMZに設置し、アクセス制御は中央のNPS(ネットワーク・ポリシー・サーバ)で行う
  • パターン3: TSゲートウェイをプライベート・ネットワークに設置して社内ドメインに参加させるとともに、DMZにSSLリバース・プロキシを設置する

パターン1: TSゲートウェイをDMZに設置し、アクセス制御はTSゲートウェイで行う

 この構成パターン(図1)は、おそらく最も標準的な設置方法だろう。TSゲートウェイは、クライアントからインターネット経由で届くSSL(HTTPS)でカプセル化されたパケットを受け取り、RDP(Remote Desktop Protocol)に変換してターミナル・サービスに中継する。そのため、TSゲートウェイをDMZに設置した場合には、ファイアウォールにて、[インターネット]→[DMZ]方向にHTTPS(TCPポート443番)を、[DMZ]→[プライベート]にRDP(デフォルトでTCPポート3389番)をそれぞれ通すように設定する必要がある。プライベート・ネットワークにはドメイン・コントローラも存在するが、この構成では[DMZ]→[プライベート]方向にドメイン・コントローラとの通信に必要なポートを公開する必要はない。

図1 TSゲートウェイの構成パターン1
この構成パターンでは、TSゲートウェイをDMZに配置して、アクセス制御もTSゲートウェイが担当する。最も標準的な構成といえる。

 この構成パターンの特徴は、TSゲートウェイが社内ドメインに参加していない点にある。これにより、万一TSゲートウェイが侵入者に乗っ取られても、分離している社内ドメインへの侵入は防ぎやすく、社内ドメインの安全性を高められる。その一方で、ドメインのユーザー・アカウントやコンピュータ・アカウントといった情報が利用できないことから、管理者と利用者の手間が増えることになる。

 「安全で使いやすいリモート接続を実現するTSゲートウェイ」で解説しているとおり、TSゲートウェイにはTS CAP(接続承認ポリシー)とTS RAP(リソース承認ポリシー)という2種類のアクセス制御用承認ポリシーが用意されている。前者はTSゲートウェイにアクセス可能なユーザー/コンピュータを、また後者はTSゲートウェイ経由で接続するターミナル・サーバとユーザーをそれぞれ制限する。この承認ポリシーの設定は両方とも必須となっている。承認ポリシーを使用することで、クライアントからのパケットがターミナル・サービスに到達する前にユーザーとリソースに対してフィルタをかけて、安全性を高められる。

 しかし、TSゲートウェイがドメインに参加していない場合には、ドメインのユーザーやコンピュータをフィルタの条件として使用できない。そのため、フィルタの要素となるユーザー(ユーザー・グループ)およびコンピュータ(コンピュータ・グループ)は、すべてTSゲートウェイ・サーバにローカルで作成しておく必要がある。TSゲートウェイを使用するユーザーが大量に存在する場合、管理者にとってこの作業は大きな手間になるだろう。

 また、インターネット経由で接続するユーザーも、TSゲートウェイで認証を受け、さらにプライベート・ネットワーク内のターミナル・サービスに接続する際にも別途認証を受ける必要があるため、手間が増えることになる。

パターン2: TSゲートウェイをDMZに設置し、アクセス制御は中央のNPS(ネットワーク・ポリシー・サーバ)で行う

 この構成パターン(図2)はパターン1とネットワーク構造は同じだが、TS CAP(接続承認ポリシー)によるアクセス制御を中央のNPS(ネットワーク・ポリシー・サーバ)で行っている点が異なる。パターン1でもNPSは使用するが、TSゲートウェイ内に配置する。Windows Server 2008にはNAP(ネットワーク・アクセス・ポリシー)と呼ばれる役割が実装されており、ネットワークに接続するコンピュータのアクセス制御を集中的に管理できる。このNAPの中核的なコンポーネントがNPSである。NAPに関する詳しい解説は、以下の記事を参照していただきたい。

図2 TSゲートウェイの構成パターン2
TSゲートウェイをDMZに配置するのはパターン1と同じだが、TS CAPによるアクセス制御を中央のNPS(ネットワーク・ポリシー・サーバ)が担当する点が異なる。アクセス制御にかかわるユーザーやコンピュータを一元管理できるメリットがある。

 TSゲートウェイが中央のNPSをTS CAPの格納庫として使用する際、TSゲートウェイとNPSとの通信にはRADIUSプロトコル(UDPポート1812番)を使用する。そのため、DMZ上のTSゲートウェイからプライベート・ネットワークのNPSに向けてUDPポート1812番を開放しておく必要がある。

 この構成を使用すると、NPSがドメインに参加している場合にはTS CAPの承認ポリシーにドメインのユーザー・グループおよびコンピュータ・グループを利用できるため、利用者やコンピュータを一元管理できるというメリットがある。この構成の構築手順については後編で解説している。

パターン3: TSゲートウェイをプライベート・ネットワークに設置して社内ドメインに参加させるとともに、DMZにSSLリバース・プロキシを設置する

 この構成パターン(図3)は、SSLリバース・プロキシ(外部から内部へSSL通信を中継するプロキシ)をDMZに配置し、プライベート・ネットワーク内に設置したTSゲートウェイと通信を行う。TSゲートウェイは、SSLリバース・プロキシからの通信をHTTPで受け取り可能なため、「HTTPS−HTTPS」だけでなく「HTTPS−HTTP」に対応したリバース・プロキシでも対応可能だ。多くの場合、すなわちリバース・プロキシがDMZまたはファイアウォールの一機能として存在していれば、既存のファイアウォール構成を大きく変更する必要がない。その点で最も安心感のある構成といえるだろう。

図3 TSゲートウェイの構成パターン3
パターン2と比べ、TSゲートウェイを内部のプライベート・ネットワークに配置する点が大きく異なる。TSゲートウェイと外部ネットワークとの通信には、DMZに配置したリバース・プロキシ(外部から内部へ通信を中継するプロキシ)を利用する。多くの場合、ファイアウォール構成を変更せずに済むというメリットがある。

 この構成ではTSゲートウェイがプライベート・ネットワーク内にあるため、その内部のクライアントからもTSゲートウェイを介してターミナル・サービスに接続できる。これにより内部と外部を区別しなくて済むため、ターミナル・サービスへのアクセス制御を完全に一元管理できる。また、図3では中央のNPSを使用しているが、TSゲートウェイ自身がドメインに参加できるため、このNPSを経由せずにローカルのTS CAPを構成して、直接Active Directoryのリソースを参照することも可能だ(つまり、中央のNPSを設置せずに済む)。

構築するTSゲートウェイ環境

 今回は、より少ない手間でTSゲートウェイを使えるようにするため、パターン1で構築してみる。これでもテスト環境や小規模なシステムでは十分に利用できる。

 すでに解説したように、パターン1では承認ポリシーに使用するユーザー・グループはTSゲートウェイ自身で管理する必要があることに注意しよう。よって、アクセスを許可したいユーザーは、すべて事前にTSゲートウェイ・サーバに登録しておかなければならない。また、TS CAPおよびTS RAPでは「ユーザー グループ」によって承認を行うため、必要なグループのメンバーシップも事前に設定しておく必要がある。

 ここでは、「System Group(システム部)」「HR Group(人事部)」「Keiri Group(経理部)」という3つのグループを事前に作成し、それぞれに各部門のユーザーを所属させているものとする。

図4 ドメインに参加しない環境でのTS CAPとTS RAPの使用方法
TSゲートウェイがドメインに参加していない場合、アクセスを許可したいユーザーをTSゲートウェイ・サーバにローカル・アカウントとして登録する必要がある。本稿では、上記の3部門のユーザー・グループおよびその所属ユーザーをいずれも事前に作成しているものとする。

 次のページから、実際にTSゲートウェイのインストールを始める。


 INDEX
  [運用]
  Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(前編)
  1.ネットワークとサーバの構成パターン
    2.TSゲートウェイのインストール
    3.TSゲートウェイの環境設定(1)
    4.TSゲートウェイの環境設定(2)
    5.クライアントの設定とTSゲートウェイ経由の接続
 
  Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編)
    1.中央のNPSを加えたTSゲートウェイの構成
    2.中央のNPSの環境設定
    3.ネットワーク・ポリシーの作成
    4.接続要求ポリシーの修正と接続確認

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間