著:クロスファンクショングループ ITエンジニアリング室 プラットフォーム推進部 杵島 正和 16-0305
今回も引き続きTS ゲートウェイの可能性を探ってみる。今回はTS ゲートウェイの負荷分散(冗長化)である。
TS ゲートウェイの負荷分散(冗長化)
TS ゲートウェイは、負荷分散されることを想定した作りになっており、ファーム化することができる。TS ゲートウェイでは、クライアントセッションとして受信トラフィックと送信トラフィックの2接続が使用される。これは一般的な負荷分散の仕組みを利用した場合に、受信と送信が異なるTS ゲートウェイサーバに接続されることを防ぐロジックである。負荷分散自体はTS ゲートウェイの機能では実現できないため、別途、負荷分散装置をTS ゲートウェイサーバの前に導入するか、Windows上でネットワーク負荷分散を有効にしておくなどの処置が必要である。
検証環境
図1:検証環境論理構成図
さて、概念が理解できたところで、早速環境を構築し検証を進めてみよう。今回は比較的単純な図1のような環境を構築する。 今回の検証シナリオでは、TS ゲートウェイのサーバにNICを2枚装着し、社内と社外の両方にアクセスできる環境を構築する。さらにTS ゲートウェイ上でネットワーク負荷分散機能を有効に設定し、TS ゲートウェイサービスをファームとして構成した。なお、TS ゲートウェイでファームを構成するには、必ずTS ゲートウェイサーバがドメインに参加している必要がある。
ファームの設定
図2:この画面から登録する
TS ゲートウェイファームは、管理ツールのTS ゲートウェイマネージャからサーバのプロパティを開き、「サーバーファーム」タブで設定を行う(図2、図3)。設定自体は単純で、TS ゲートウェイサーバのIPアドレスもしくはFQDNを入力し「追加」をクリックするだけである。ちなみにこの操作は、「すべて」のTS ゲートウェイサーバ上で行わなければならないので注意が必要である。
正しく登録されると「状態」が 「OK」と表示され、認識されたことがわかる
設定の流れの概略は、このような感じである。設定が完了すればクライアントPCでリモートデスクトップ接続を起動し、詳細設定でTS ゲートウェイのアドレス(NLBによる仮想アドレス)を指定し、ターミナルサーバに接続することでTS ゲートウェイに接続可能である。
TS ゲートウェイのまとめ
TS ゲートウェイを利用するにあたり、これまでの結果を踏まえて構成を考えてみる。 TS ゲートウェイを単体で構成するだけであれば、特に考慮する必要もないかもしれない。しかし、実環境を想定すると、負荷分散構成(冗長化)、NAP連携、あるいはTS ゲートウェイで厳密なポリシーを構成するというような場合などは、どうしてもWindowsドメインに参加している必要がある。企業ネットワークでのTS ゲートウェイの配置としては、公開用Webサーバと同様にDMZに置くべきと思うのだが、すべての機能を利用すると考えた場合には、ドメインへの参加が必要であり、DMZ上のサーバがドメイン参加しているという状態を考えると、少々セキュリティ的に厳しい部分が出てしまうことは否めない感がある。ネットワーク設計に関しては、企業によりいろいろなパターンやポリシーがあるため、何が正解とはいえないが、セキュリティを確保しつつターミナルサービスによるリモートアクセスを有効にすることを考えると、ISA Serverのような製品を導入し、TS ゲートウェイは社内に配置するのが良いのかもしれない。 TS ゲートウェイは専用機器を必要とせず、手軽に社内ネットワークに接続できる便利な機能であるが、RDP6.0が必須であったり、NAPを利用する場合にはクライアント側の設定を変更する必要があったりと、いくつかの制限があるのも事実である。前述のTS ゲートウェイの配置も含め、前提条件が整う環境ならば、とても役に立つ機能と言えるだろう。
(PDF/3.3MB)
