［運用］ Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門（前編） 5．クライアントの設定とTSゲートウェイ経由の接続 マイクロソフト株式会社 IT Pro エバンジェリスト 安納 順一 2009/05/13
Page1 Page2 Page3 Page4 Page5 Page6

　前のページまででTSゲートウェイのインストールと環境設定は完了した。本ページではクライアント・コンピュータに必要な設定を行い、TSゲートウェイ経由でターミナル・サーバに接続してみる。

証明書スナップインのセットアップ

　本稿のようにSSLの暗号化用に自己署名証明書を使用している場合、クライアントにその証明書をインストールしないと、リモート・デスクトップ接続時に次のエラーが発生する。

クライアントにSSL暗号化用の証明書が未インストールの場合に発生するエラー

SSLの暗号化用に自己署名証明書を使用している場合、クライアントにも証明書をインストールしないと、リモート・デスクトップ接続クライアントからTSゲートウェイへの接続の段階で失敗してしまう。

　そこで、この自己署名証明書をクライアントにもインストールする。まずはクライアント・コンピュータで証明書を管理できるよう、次の手順で証明書スナップインをMMCに組み込む。

1. ［ファイル名を指定して実行］から［MMC］を起動
2. MMCの［ファイル］−［スナップインの追加と削除］を選択
3. ［スナップインの追加と削除］画面で［証明書］を選択して［追加］をクリック
4. ［証明書スナップイン］画面で［コンピュータ アカウント］を選択
5. ［コンピュータの選択］画面でデフォルトの「ローカル コンピュータ」を選択したまま［完了］ボタンをクリック

［証明書スナップイン］画面

MMCに証明書スナップインを組み込む途中でウィザードが起動し、この画面が表示される。ここで対象アカウントを指定する必要がある。

これを選択する。

　後は各ダイアログを閉じていけば、証明書スナップインの組み込みは完了する。

TSゲートウェイ発行の証明書のインストール

　 次に証明書スナップイン・コンソールを使って証明書をインストールする。左ペインを展開して［証明書］−［信頼されたルート証明機関］−［証明書］を右クリックし、［すべてのタスク］−［インポート］を選択する。［証明書のインポート ウィザード］が起動するので、［次へ］ボタンをクリックし、［インポートする証明書ファイル］画面でTSゲートウェイから発行された証明書ファイルを指定して［次へ］ボタンをクリックする。

［インポートする証明書ファイル］画面

インストール（インポート）する証明書ファイルのありかを指定する。

TSゲートウェイから発行された証明書ファイルを指定する。

　次の［証明書ストア］画面はデフォルトのまま［次へ］をクリックし、最後の画面で［完了］ボタンをクリックすれば証明書のインストールは完了だ。

証明書のインストール完了後の証明書スナップイン・コンソール

TSゲートウェイである「tsgw01.example.com」の証明書が組み込まれたことが分かる。

リモート・デスクトップ接続クライアントの設定

　 まず大前提として、TSゲートウェイを利用するにはリモート・デスクトップ接続クライアント（RDC） Ver. 6.0以降が必要になる。Windows XP SP2以前やWindows Server 2003ではプレインストールのRDCがVer. 5.xなので更新する必要がある。バージョンの確認方法はTIPS「リモート・デスクトップ接続クライアントのバージョンを調べる」、Ver. 6.0のインストール方法はTIPS「リモート・デスクトップ接続クライアントを新バージョンにアップグレードする」をそれぞれ参照していただきたい。

　RDCがVer. 6.0以降であることを確認したら、［ファイル名を指定して実行］から「mstsc」と入力してRDCを起動する。［詳細設定］タブの［設定］ボタンをクリックすると、［TS ゲートウェイ サーバー設定］画面が表示されるので、ここでTSゲートウェイのサーバ名を指定する。サーバ名は、先ほどインストールした証明書に記載されているサーバ名と一致する必要があるので注意しよう。ここでは「tsgw01.example.com」と指定した。

［TS ゲートウェイ サーバー設定］画面

リモート・デスクトップ接続クライアント（RDC）のTSゲートウェイ関連の設定はここに集約されている。

これを選択する。 TSゲートウェイのサーバ名を指定する。 TSゲートウェイがドメインに参加している場合、これをチェックすると、ユーザー・アカウントとパスワードを1回指定するだけでターミナル・サービスにログオンできるようになる。

　なお、［リモート コンピュータに TS ゲートウェイの資格情報を使用する］がチェックされていると、TSゲートウェイへの接続時に使用したユーザー・アカウントとパスワードで認証された情報が、自動的にターミナル・サービスへの接続でも使用されるためシングル・ログオンが可能だ。ただし、本稿の環境ではTSゲートウェイがドメインに参加していないため、同じ認証の情報が通用しないことから、ターミナル・サービスへの接続時に再度ユーザー・アカウントとパスワードが聞かれることになる。

ターミナル・サービスへの接続手順

　 ターミナル・サービスに接続するには、RDCの［全般］タブで、［コンピュータ］に接続先のターミナル・サーバ名を指定する。ここで指定する値は、TS RAPで指定したコンピュータ名またはIPアドレスなどと一致しなければならない。ここでは、すでに設定したTS RAPに合わせてIPアドレスで指定した。

リモート・デスクトップ接続クライアントの［全般］タブ

ここでは接続先のターミナル・サーバ名を指定する（TSゲートウェイ・サーバではない）。

接続先のターミナル・サーバの名前を指定する。これはTS RAPで指定した名前（コンピュータ名またはIPアドレス、FQDNなど）と一致している必要がある。

　このまま［接続］ボタンをクリックすると、TSゲートウェイ・サーバへのログオンのためのダイアログ・ボックスが表示される。ここでTSゲートウェイへのログオンに使用するユーザー・アカウントとパスワードを入力して［OK］ボタンをクリックする。

リモート・デスクトップ接続時のTSゲートウェイに対するログオン画面

リモート・デスクトップ接続の際、最初に表示されるこのログオン画面では、TSゲートウェイへログオンするためのユーザー・アカウントとパスワードを入力する（ターミナル・サーバに対しては、この直後に指定する）。

　TSゲートウェイへの接続が完了し、TS CAPおよびTS RAPの承認を通過すると、今度はターミナル・サーバへのログオン情報を入力するためのダイアログ・ボックスが表示される。

ターミナル・サーバに対するログオン画面

TSゲートウェイへの接続で使用した資格情報でターミナル・サーバへのログオンに失敗した場合、この画面が表示される。

ターミナル・サーバにアクセス可能なユーザー・アカウントとパスワードを指定する。 ログオンに失敗していることが分かる。

　TSゲートウェイへの接続で使用した資格情報（TSGW01\User01）を使ってターミナル・サーバに接続しようとしたものの、ログオンに失敗してエラーと表示されていることが分かる（）。従って、ここでは、ターミナル・サーバにログオンできるユーザー・アカウントとパスワードをあらためて指定して［OK］ボタンをクリックすればよい。

◆

　以上で、TSゲートウェイの最も基本的な構成における構築方法と使い方について解説した。すでにお分かりのとおり、この構成による実運用には多くの問題がある。特に、ユーザーやコンピュータが増えた場合の管理、ユーザーのパスワード管理などは大きな課題だ。また、DMZという攻撃されやすい領域に設置されたTSゲートウェイ内にユーザー情報を保存することの不安もぬぐえない。その解決策としてドメインに参加するという方法も考えられるものの、攻撃時にドメインへ侵入される危険性が高まるため、実際のところは現実的ではないだろう。

　そこで後編では、冒頭で説明したパターン2の構成、すなわちプライベート・ネットワーク内にNPS（ネットワーク・ポリシー・サーバ）を設置する構成とその手順について解説する。NPSにはRADIUS認証機能が実装されており、そのユーザー・ストアとしてActive Directoryを使用できるため、前述のユーザー／コンピュータの管理の問題を解決できる。

INDEX
	[運用]
	Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門（前編）
	1．ネットワークとサーバの構成パターン
	2．TSゲートウェイのインストール
	3．TSゲートウェイの環境設定（1）
	4．TSゲートウェイの環境設定（2）
	5．クライアントの設定とTSゲートウェイ経由の接続
	Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門（後編）
	1．中央のNPSを加えたTSゲートウェイの構成
	2．中央のNPSの環境設定
	3．ネットワーク・ポリシーの作成
	4．接続要求ポリシーの修正と接続確認

運用

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）