[運用]
|
|
|
中央のNPSの環境設定
TSゲートウェイの設定は完了したので、次に、RADIUSサーバとなる中央のNPSの設定を行う。基本方針として、まずクライアントから接続可能にすることを優先し、セキュリティなどの細かい設定は後回しにする(「ネットワーク・ポリシーの設定」以降で説明する)。以下に手順を示す。
- 中央のNPSをインストールしたサーバに管理者でログオンし、サーバ・マネージャを起動
- [サーバー マネージャー]−[役割]−[ネットワーク ポリシーとアクセス サービス]−[NPS (ローカル)]−[RADIUSクライアントとサーバー]−[RADIUS クライアント]を右クリックして[新規 RADIUS クライアント]を選択
- [新規 RADUIS クライアント]画面が開いたら、以下のようにRADIUSクライアントすなわちTSゲートウェイの情報を入力する(画面05)
- [この RADIUS クライアントを有効にする]:チェックをオンにする
- [フレンドリ名]:RADIUSクライアントの識別名
- [アドレス]:RADIUSクライアントのIPアドレスまたはホスト名。繰り返すが、ここでいうRADIUSクライアントとは、TSゲートウェイ・サーバのことだ
- [ベンダ名]:[RADIUS Standard] を選択
- [共有シークレット]:「TSゲートウェイの設定」で指定した共有シークレット文字列を指定
- [Access-Request メッセージに Message-Authenticator 属性を必要とする]:チェックをオフにする
- [RADIUS クライアントが NAP に対応している]:チェックをオフにする。この設定は、リモート・デスクトップ接続クライアントがTSゲートウェイに接続してきた際に、クライアントがRADIUSサーバとの通信に乗せて検疫情報を送信するために使用する。今回は検疫を行わないのでチェックをオフにする
画面05 [新規 RADIUS クライアント]画面 | ||||||||||||||||||||||||
ここではRADIUSクライアントを定義するために、TSゲートウェイに関する情報を入力する。 | ||||||||||||||||||||||||
|
RADIUSクライアントの登録が完了したら、次は「接続要求ポリシー」を作成する。「接続要求ポリシー」とは、TSゲートウェイを介して送信されるリモート・デスクトップ接続クライアントからの接続要求をどこで認証するかを定義するためのものだ。以下に「接続要求ポリシー」を作成する手順を示す。
- [サーバー マネージャー]−[役割]−[ネットワーク ポリシーとアクセス サービス]−[NPS (ローカル)]−[ポリシー]−[接続要求ポリシー] を右クリックして[新規]を選択し、ウィザードを起動する
- 「新しい接続要求ポリシー名と接続の種類の指定」画面で以下を指定する(画面06)
- [ポリシー名]:作成する接続要求ポリシーの名前
- [ネットワーク アクセス サーバーの種類]:[ターミナル サーバー ゲートウェイ]を選択する。ここは[指定なし]でも問題はないが、[ターミナル サーバー ゲートウェイ]を指定することで、TSゲートウェイ以外からの接続を除外できる。中央のNPSに対して複数種類の接続が混在する場合には、このように分けた方がよいだろう
画面06 [接続要求ポリシー名と接続の種類の指定]画面 | |||||||||
|
- 「条件の指定」画面では、クライアントからのアクセスを受け入れる条件を指定できる。さまざまな条件を指定できるが、今回は細かな設定は行わず、アクセス可能な日付と時刻を設定することにする(画面07)
画面07 [条件の指定]画面 |
最も緩い条件を指定する場合には、日付と時刻の制限として「週7日、24時間」を使うとよい。 |
- 「接続要求の転送の指定」画面では、接続を要求するクライアントの認証をどこで行うかを指定できる。デフォルトではNPSローカルで行うことになるが、ほかのNPSサーバが存在する場合には、そちらに転送することも可能だ。今回は、リモート・デスクトップ接続クライアントからの接続確認を第一の目的としているため、[資格情報を確認せずにユーザーを受け入れる]を選択することにする(画面08)。ここで[このサーバーで要求を認証する]を選択した場合には、「ネットワーク ポリシー」および「正常性ポリシー」の設定が必要となる
画面08 [接続要求の転送の指定]画面 | ||||||
クライアントからの接続確認を最優先とするため、ユーザーの資格情報に関係なく接続できるようにする。 | ||||||
|
- 「設定の構成」画面では、RADIUSクライアントから送信される属性などの設定が可能だが、今回は指定しない(画面09)
画面09 [設定の構成]画面 |
今回は特に設定する項目はない。 |
なお、デフォルトでは既存の接続要求ポリシーとして「すべてのユーザーに Windows 認証を使用」というポリシーが登録されている。このように、接続要求ポリシーが複数存在する場合には、上から順番にチェックされ、条件が合致したところでチェックは終了する。手動で作成したポリシーは、既存のポリシーの下に追加されるため、このままではデフォルトの「すべてのユーザーに Windows 認証を使用」ポリシーが先にチェックされ、作成したポリシーがチェックされない可能性がある。そこで、ポリシーの順番を入れ替えて、手動で作成したポリシーが先にチェックされるように調整する(画面10)。ポリシーを右クリックして「上へ移動」または「下に移動」を選択すれば順番を変更できる。
画面10 サーバ・マネージャで作成済みの接続要求ポリシーを表示させたところ | ||||||
複数のポリシーが定義されている場合には上からチェックされる。優先してチェックしたいポリシーは上位に移動しておく。 | ||||||
|
以上で中央のNPSの設定は完了だ。
リモート・デスクトップ接続クライアントの設定と接続
リモート・デスクトップ接続クライアント側の設定は、前編のときから特に変更する必要はない。前編の「5.クライアントの設定とTSゲートウェイ経由の接続」で解説したとおり、以下の2点が設定されていればよい。
- TSゲートウェイ・サーバの証明書がリモート・デスクトップ接続クライアントのルート証明機関に登録されている
- リモート・デスクトップ接続クライアントに、TSゲートウェイ・サーバが登録されている
以上を確認したら、早速接続してみよう。
クライアントでリモート・デスクトップ接続クライアント(mstsc)を起動し、[接続]ボタンをクリックすると、TSゲートウェイ・サーバへの接続用アカウントの入力が求められる。このアカウントは、TSゲートウェイに接続できるものであれば何でもよい。つまり、TSゲートウェイのローカル・アカウントでもよいし、TSゲートウェイとActive Directoryが通信可能であればドメイン・アカウントを指定してもよい。認証さえ通れば、ターミナル・サービスのデスクトップ画面が表示されるはずだ。
なぜ、このようにルーズな認証が可能なのかといえば、「NPSの設定」で作成した「接続要求ポリシー」で[資格情報を確認せずにユーザーを受け入れる]を選択したからだ。この設定によって、TSゲートウェイに接続できるユーザーにフィルタがかかっていない状態になっている。
以下は、クライアントからの接続時にNPSのセキュリティ・ログに報告された監査ログだ。「アカウント名」に記されている「TSGW01\Administrator」は、筆者が用意したTSゲートウェイ「TSGW01」のローカルAdministratorでログオンしたことを表している。また、「プロキシ ポリシー名」として先ほど作成した「ターミナル サーバー ゲートウェイを介したターミナル サービスへの接続」が記録されていることから、この接続要求ポリシーが適用されていることが分かるだろう。
|
|
クライアント接続時に記録されたNPSの監査ログの例 |
次のページでは、セキュリティ・レベルを高めるために、ネットワーク・ポリシーを作成する。
INDEX | ||
[運用] | ||
Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(前編) | ||
1.ネットワークとサーバの構成パターン | ||
2.TSゲートウェイのインストール | ||
3.TSゲートウェイの環境設定(1) | ||
4.TSゲートウェイの環境設定(2) | ||
5.クライアントの設定とTSゲートウェイ経由の接続 | ||
Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編) | ||
1.中央のNPSを加えたTSゲートウェイの構成 | ||
2.中央のNPSの環境設定 | ||
3.ネットワーク・ポリシーの作成 | ||
4.接続要求ポリシーの修正と接続確認 | ||
運用 |
- Azure Web Appsの中を「コンソール」や「シェル」でのぞいてみる (2017/7/27)
AzureのWeb Appsはどのような仕組みで動いているのか、オンプレミスのWindows OSと何が違うのか、などをちょっと探訪してみよう - Azure Storage ExplorerでStorageを手軽に操作する (2017/7/24)
エクスプローラのような感覚でAzure Storageにアクセスできる無償ツール「Azure Storage Explorer」。いざというときに使えるよう、事前にセットアップしておこう - Win 10でキーボード配列が誤認識された場合の対処 (2017/7/21)
キーボード配列が異なる言語に誤認識された場合の対処方法を紹介。英語キーボードが日本語配列として認識された場合などは、正しいキー配列に設定し直そう - Azure Web AppsでWordPressをインストールしてみる (2017/7/20)
これまでのIaaSに続き、Azureの大きな特徴といえるPaaSサービス、Azure App Serviceを試してみた! まずはWordPressをインストールしてみる
|
|