RD Gatewayの構築方法と接続方法
最近はテレワークを導入している企業も増えていて、家だったりコワーキングスペースだったりカフェだったり会社以外の場所で仕事ができる環境が世の中的に整い始めてきていると感じています。
ただITエンジニアの場合、案件で利用する環境がクラウドで、クラウド側で接続を許可しているグローバルIPを絞っているから会社の開発端末からしか環境にアクセスできなく、結局会社に行かざるを得ない。。。そんな悩みを抱えてる方も少なくないかと思います。
そもそも、なぜ会社のPCから外部へRDPできないのか
その原因というのも、セキュリティーの観点から社員が利用するPC(OA端末)からは外部へRDP接続(ポート3389)をブロックしているのが一般的だからなのです。
案件を進める上ではどうしてもクラウド環境への接続が必要なので、社内の環境に接続できない開発端末用の環境を作り、開発端末からだけはRDP接続(ポート3389)を許可しているのがよくあるパターンかと思います。
じゃ、やっぱり会社に行かざるを得ないとなってしまいますが
WindowsServerの標準機能の「Remote Desktop Gateway」を利用すれば、通常Webサイトとかで利用するHTTPSの443ポートを利用してRDP接続が行えるようになります。
今回は、RD Gateway の構築方法をご紹介します。
RD Gatewayの構築
概要
RD Gateway 側で必要な設定は下記です。
- RD接続承認ポリシー(RD CAP : RD Connection Authorization Policy)
- RDリソース認証ポリシー(RD RAP : RD Resource Authorization Policy)
- 自己証明書の作成/エクスポート
RD CAPの端末の認証方式の設定を行い、RD RAPで接続先のサーバとユーザの設定を行います。
Gatawayと名前にある通り、本来はRD Gatewaya を経由して他のサーバへRDPするという機能なのですが、今回はRD GatewayサーバからRD Gatewayサーバ(自分自身)にRDPする設定を紹介します。
RD Gateway の設定
RD Gateway 側の設定です。基本的にポチポチしていけば設定できます。
RD Gatewayのインストール
サーバマネジャーを起動する。
役割と機能の追加をクリックする。
次へをクリックする。
次へをクリックする。
次へをクリックする。
リモートデスクトプサービスを選択して次へをクリックする。
次へをクリックする。
次へをクリックする。
リモートデスクトップゲートウェイを選択する。
機能の追加をクリックする。
次へをクリックする。
次へをクリックする。
次へをクリックする。
次へをクリックする。
インストールをクリックする。
完了をクリックする。
RD Gatewayの設定
続いて、RD Gatewayの設定です。
ゲートウェイマネジャーを開く。
新しい承認ポリシーの作成をクリックする。
次へをクリックする。
RD CAP名を入力して次へをクリックする。
※任意の名前で大丈夫です
グループの追加をクリックする。
グループを入力してOKをクリックする。
※指定するグループは、RD Gatewayサーバへアクセスを許可するグループを指定
次へをクリックする。
次へをクリックする。
次へをクリックする。
次へをクリックする。
RD RAP名を入力して次へをクリックする。
※任意の名前で大丈夫です
次へをクリックする。
ユーザーによる任意のネットワークリソース(コンピューター)への接続を許可するを選択し、次へをクリックする。
次へをクリックする。
完了をクリックする。
閉じるをクリックする。
自己証明書の作成
続いて、HTTPSでアクセスに必要となる自己証明書を作成します。
ゲートウェイマネジャを開き、証明書のプロパティの表示または変更をクリックする。
証明書の作成とインポートをクリックする。
証明書の名前を入力しOKをクリックする。
※証明書の名前は、RD Gatewayサーバへアクセスする際のグローバルIPか、ドメイン名にしてください。
ここを間違えると、RD GatewayでRDP接続できません。
OKをクリックする。
適用をクリックする。
証明書がインストールされたことを確認しOKをクリックする。
※自己証明書の有効期間はデフォルトだと6ヶ月なので、半年以上利用する場合は更新を忘れにしましょう。
RD Gatewayの起動
リモートデスクトップサービスをクリックする。
サーバーを選択し、サービスの開始をクリックする。
作成した証明書のエクスポート
ファイル名を指定して実行を開く。certlm.msc入力しOKをクリックする。
次へをクリックする。
個人>証明書を開き、作成した証明書のエクスポートをクリックする。
次へをクリックする。
次へをクリックする。
ファイル名を入力し、次へをクリックする。
※任意のファイル名で大丈夫です
完了をクリックする。
OKをクリックする。
端末の設定
証明書のインポート
ここからはRD Gatewayへアクセスする端末側の設定となります。
RD Gatewayサーバでエクスポートした証明書を端末に持ってきてください。
サーバから持ってきた証明書をダブルクリックする。
証明書のインストールをクリックする。
次へをクリックする。
証明書をすべて次のストアに配置するを選択し、参照をクリックする。
信頼されたルート証明機関を選択し、OKをクリックする。
次へをクリックする。
完了をクリックする。
はいをクリックする。
※自己証明書なので、警告がでますが問題ありません
OKをクリックする。
OKをクリックする。
これで、設定系はすべて完了です。
クライアント端末からの接続方法
ファイル名を指定して実行を開く。mstscと入力しOKをクリックする。
詳細設定を選択し設定をクリックする。
下記を設定し、OKクリックする。
- RDゲートウェイサーバー設定を使用するをチェック
- サーバ名を入力
- ローカルアドレスにはRDゲートウェイサーバーを使用しないのチェックを外す
※入力するサーバ名はRD GatewayサーバのグローバルIPかドメイン名(証明書作成時に指定したものと同じにしてください)
全般を選択し、下記を入力し接続をクリックする。
- コンピュータ
- ユーザ名
※ここで入力する情報は、RD GatewayサーバからRDP接続するサーバの情報です。
今回は、RD Gatewayサーバにログインを想定しているので、RD GatewayサーバのローカルIPとユーザ名を入力します。
RD Gateway サーバへアクセスする際のアカウントを入力しOKをクリックする。
※ドメインを指定しないと認証が通らなかったので、例ではlocalhostとしました。
RD GatewyaからRD Gatewayサーバ自身にRDPする際のアカウント情報を入力しOKをクリックする。
はまりやすいポイントは太字や赤字にしたので、参考にしてみてください。