著:クロスファンクショングループ ITエンジニアリング室 プラットフォーム推進部 杵島 正和 14-0220
2月に入って突如Windows Server 2008の開発完了の連絡が届いた。だが本格的に採用が始まるにはまだまだ時間がかかるとは思う。
さて今回からはWindows Server 2008の「ターミナルサービス」について触れておきたい。Windows Server 2008では、従来よりもターミナルサービスの機能が強化されているらしい。今回はそのなかでも、ターミナルサービスゲートウェイ(TS ゲートウェイ)について試してみようと思う。
TSゲートウェイとは
ターミナルサービスのプロトコルである「Remote Desktop Protocol」をHTTPSによってトンネリングする機能である。この機能を利用することで、VPN装置を導入しなくてもリモートユーザーがインターネット経由で企業内のネットワークに接続できるようになる。クライアント側にはリモートデスクトップ接続クライアントv.6.0以上のクライアントがあれば利用できるので、クライアントに対する負担も少ない。
ターミナルサービスサーバとラインセンスサーバを用意する
TS ゲートウェイを設定する前に、実際にクライアントが接続するためのターミナルサービスの役割とターミナルサービスライセンスサービスの役割を持ったサーバを作成しておく。
TS ゲートウェイをインストール
図1:証明書の選択画面。後で選択することも可能
前述の通り、TS ゲートウェイはHTTPSの通信を行うためサーバ証明書が必要である。あらかじめ証明書を取得しておく。 TS ゲートウェイを使用するには、「サーバーマネージャー」-「役割の追加」から追加する。TS ゲートウェイを追加することでインターネットインフォメーションサービス(IIS)、ネットワークポリシーサーバ(NPS)が自動的に役割として追加される。役割の追加ウィザードを進めると、「SSL暗号化用のサーバ認証証明書の選択」画面が表示される。ここであらかじめ取得しておいた証明書を選択する。テスト用ならば自己署名証明書を使用することもできるが、運用を考えると公開された証明機関から発行された証明書を利用するのが望ましいと思われる(図1)。
図2:TS ゲートウェイを使用できるユーザーの登録はこの画面で行う
次に承認ポリシーを設定する。ここで設定できるのはTS ゲートウェイ経由での接続を許可するユーザー等である。まずは、接続できるユーザーグループから設定する。デフォルトではAdministratorsが設定されている(図2)。
図3:スマートカード認証を行う場合は、「スマートカード」を選択する
続いてターミナルサービス接続承認ポリシー(TS CAP)を作成する。ここではTS CAPの名前の入力とWindows認証方式を選択する(図3)。
図4:AD上のコンピュータグループを元にアクセスコントロールが可能
次の画面ではターミナルサービスリソース承認ポリシー(TS RAP)を設定する。ここではTS RAPの名前とアクセス可能なコンピュータを設定する(図4)。 あとはNPSとIISの設定を行い再起動すればTS ゲートウェイは構成できる。
クライアントからの接続
図5:ゲートウェイサーバ設定画面
「リモートデスクトップ接続」を起動し「詳細設定」タブから「設定」ボタンをクリックしてTS ゲートウェイの設定を確認することができる(図5)。デフォルトでは自動検出になっているが、任意のサーバにつなぐような場合は、サーバ名を指定することも可能である。TS ゲートウェイの設定が終われば「全般」タブで目的のターミナルサービスサーバを設定し接続する。ユーザー認証が通過すれば接続が完了する。 設定としては以上のような流れになる。考慮点はTS ゲートウェイにインポートする証明書の形式、あるいはTS ゲートウェイをDMZ上に配置した場合にActive Directoryに参加させずワークグループサーバとして動作させた時の社内ドメインとの連携はどうするのか、といった課題が見えてきた。 次号では、もう少し詳細を追った上で、TS ゲートウェイ上でのNAPについて触れていきたいと思う。
(PDF/3.3MB)
