[運用]
Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(前編)
3.TSゲートウェイの環境設定(1)
マイクロソフト株式会社
IT Pro エバンジェリスト
安納 順一
2009/05/13 |
 |
|
これでTSゲートウェイのインストールが完了したので、次に環境設定を行う。
TSゲートウェイ・マネージャの起動
TSゲートウェイの環境設定には、TSゲートウェイ・マネージャを使用する。TSゲートウェイをインストールすると、サーバ・マネージャの[役割]−[ターミナル サービス]や管理ツールの[ターミナル サービス]に[TS ゲートウェイ マネージャ]が追加されるはずだ。もし追加されなかった場合には、以下の手順で起動する必要がある。
- [ファイル名を指定して実行]から[MMC]を起動
- MMCの[ファイル]−[スナップインの追加と削除]を選択
- [スナップインの追加と削除]画面で[TS ゲートウェイ マネージャ]を選択して[追加]をクリック
これでTSゲートウェイ・マネージャが起動し、次の画面が表示されるはずだ。
 |
| TSゲートウェイ・マネージャ |
| TSゲートウェイの各種設定に利用する管理ツール。サーバ・マネージャには組み込まれていないため、手動でスナップインをMMCに追加して利用する。 |
TS CAP(接続承認ポリシー)の作成
ここでは、システム・グループ(System Group)、経理グループ(Keiri Group)および人事グループ(HR Group)にTSゲートウェイへの接続を許可するものとして設定する。
TSゲートウェイ・マネージャの左ペインを展開し、[TS ゲートウェイ マネージャ]−[<サーバ名>]−[ポリシー]配下の[接続承認ポリシー]を右クリックして[新規ポリシーの作成]−[ウィザード]を選択する。これで承認ポリシー作成のウィザードが起動する。
最初の[TS ゲートウェイの承認ポリシーの作成]画面では、[TS CAP のみ作成する]を選択して[次へ]ボタンをクリックする。
 |
| [TS ゲートウェイの承認ポリシーの作成]画面 |
| これから作成するTSゲートウェイ用の承認ポリシーの種類を指定する。 |
|
 |
これを選択する。 |
|
[TS ゲートウェイの TS CAP の作成]画面ではTS CAPの名前を入力する。ここでは「接続承認ポリシー1」と入力し[次へ]ボタンをクリックする。
 |
| [TS ゲートウェイの TS CAP の作成]画面 |
| 作成するTS CAPの名前を指定する。 |
次の[TS ゲートウェイの TS CAP の作成]−[要件]画面ではTSゲートウェイに接続するユーザーの認証方法と、接続を許可するユーザー・グループを選択する。ユーザー・グループの指定は必須であり、コンピュータ・グループ(クライアント指定用)の指定はオプションとなっている。今回の構成ではTSゲートウェイがドメインに参加していないため、コンピュータ・グループは選択できない。ここでは、認証方法として[パスワード]を、接続を許可するユーザー・グループとしては先に作成した3つのグループ(System Group/HR Group/Keiri Group)を指定した。
 |
| [TS ゲートウェイの TS CAP の作成]−[要件]画面 |
| TS CAP利用時の認証方式や対象のユーザー・グループなどを設定する。 |
|
|
スマートカードを使用していなければこちらをチェックする。 |
|
 |
追加したユーザー・グループの一覧が表示される。 |
|
 |
ユーザー・グループを追加するには、これをクリックする。 |
|
 |
TSゲートウェイがドメインに参加している場合、これをクリックしてクライアントを束ねるコンピュータ・グループを追加できる。ここではドメイン不参加のため指定できない。 |
|
次の[TS ゲートウェイの TS CAP の作成]−[デバイス リダイレクト]画面ではクライアント・デバイスをターミナル・サービスのセッションに接続するリダイレクション機能の可否を指定できる。ここでは[スマートカードを除くすべてのクライアント デバイスのリダイレクトを無効にする]を選択しているが、これによって完全にリダイレクションを禁止できるわけではないことに注意していただきたい。この設定はリモート・デスクトップ接続クライアント(mstsc.exe)を使用している場合にのみ有効となるが、その利用者が自ら設定を変更できるため、強固なセキュリティとしては使用できない。
 |
| [TS ゲートウェイの TS CAP の作成]−[デバイス リダイレクト]画面 |
| デバイス・リダイレクトとは、クライアント・デバイスをターミナル・サービスのセッションに接続し、あたかもターミナル・サーバに接続されたデバイスのように利用できるようにする機能のこと。この画面では、リダイレクト可能なデバイスの種類を設定できる(完全にリダイレクションを禁止できるわけではない)。 |
|
|
これを選択する。 |
|
残るウィザード画面はデフォルト設定のまま進めて完了させる。これでTS CAPが新たに作成される。
TS CAPの微調整
ウィザードに沿って作成したポリシーは、ネットワーク・ポリシー・サーバ(NPS)の管理コンソールからも確認できる。またウィザードでは設定できなかった微調整も可能だ。
[管理ツール]−[ネットワーク ポリシー サーバー]を選択してNPSの管理コンソールを起動してみよう。
左ペインのツリーを展開し、[ポリシー]−[ネットワーク ポリシー]を選択すると、先ほど作成した「接続承認ポリシー1」が詳細ペインに表示されるはずだ。ここで、「接続承認ポリシー1」をダブルクリックしてプロパティを開いてみよう。[概要]タブではNPSの基本的な動作を制御できる。例えば、[アクセス許可]ではこのポリシーに一致した場合にアクセスを許可するのか、拒否するのかを指定できる。また、[ユーザー アカウントのダイヤルイン プロパティを無視する]をチェックすることで、ユーザーのプロパティに影響されることなく、TS CAPで完全にアクセス許可を管理できる。
 |
| 承認ポリシーのプロパティの[概要]タブ |
| この承認ポリシーの状態確認やアクセス許可、ネットワーク接続の方法などを設定できる。 |
|
|
これを選択すると、クライアントからの接続要求がこの承認ポリシーに一致した場合にアクセスを許可することになる。 |
|
|
これを選択すると、承認ポリシーに一致した場合にアクセスが拒否される。 |
|
|
これをチェックすると、ユーザーのプロパティに影響されることなく、この承認ポリシーで完全にアクセス許可を管理できるようになる。 |
|
[制約]タブではアイドル状態が継続した場合の自動切断までの間隔、セッションの最大時間、使用可能な時間帯などを設定できる。
 |
| 承認ポリシーのプロパティの[制約]タブ |
| アイドル状態が継続した場合の自動切断までの間隔や、セッションの最大時間、使用可能な時間帯などが設定可能だ。 |
SSL暗号化用の自己署名証明書の作成
前述のとおり、TSゲートウェイではクライアントとの通信にSSLを使用するため、その暗号化のために証明書が必要となる。本稿では、実験のため、既存の証明書がなくてもSSLを利用できる自己署名証明書(いわゆる「オレオレ証明書」)を使用する。
自己署名証明書を作成するには、まずTSゲートウェイ・マネージャの左ペインで「<サーバ名>」を右クリックしてプロパティを選択する。プロパティ画面が表示されたら[SSL 証明書]タブを選び、[SSL 暗号化用の自己署名証明書を作成する]を選択してから[証明書の作成]ボタンをクリックする。
 |
| TSゲートウェイのプロパティの[SSL 証明書]タブ |
| クライアントとTSゲートウェイ間のSSL通信に用いる証明書を選択する。自己署名証明書の作成も可能。 |
|
|
これを選択する。 |
|
|
これをクリックする。 |
|
[自己署名証明書の作成]画面が表示されるので、証明書の名前を指定する。このとき、指定する証明書の名前は、リモート・デスクトップ接続クライアントで設定するTSゲートウェイの名前(DNS名またはIPアドレス)に一致していなければならない。もちろん、DNS名を指定した場合は、クライアントにてそのDNS名の名前解決ができなければならない。ここでは、「tsgw01.example.com」を指定した。
 |
| [自己署名証明書の作成]画面 |
| SSLに用いる自己署名証明書を発行できる。 |
|
|
リモート・デスクトップ接続クライアントに設定するTSゲートウェイの名前(DNS名またはIPアドレス)を指定する。DNS名を指定する場合、クライアントからそのDNS名の名前解決ができなければならない。 |
|
|
作成する証明書をファイルとして保存するためのパス指定。クライアントにこのファイルをインストールする必要がある(後述)。 |
|
証明書の保存場所を指定したら[OK]をクリックして証明書を保存する。
SSL通信を行うためには、この証明書がクライアントにもインストールされている必要がある。信頼できる証明機関が発行した証明書であれば、クライアントに対して明示的に証明書をインストールする必要はない。しかし、本稿のように自己署名証明書を作成・利用する場合は、ここで作成した証明書をクライアントに明示的にインストールする必要がある(その方法は後述)。
次ページでは、引き続きTSゲートウェイの環境設定としてTS RAPなどの設定を行う。
Windows Server Insider フォーラム 新着記事
