[運用]
Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編)

4.接続要求ポリシーの修正と接続確認

マイクロソフト株式会社
IT Pro エバンジェリスト
安納 順一
2009/06/25
Page1 Page2 Page3 Page4

接続要求ポリシーの修正

 先に作成した接続要求ポリシーでは、接続してきたユーザーの資格情報を確認しないように設定したため、このままではネットワーク・ポリシーが適用されない。ネットワーク・ポリシーを適用するには、次の手順で接続要求ポリシーの設定を変更する。

  • [サーバー マネージャー]−[役割]−[ネットワーク ポリシーとアクセス サービス]−[NPS (ローカル)]−[ポリシー]−[接続要求ポリシー]を選ぶ
  • 右ペインのポリシー一覧から、作成した接続要求ポリシーを右クリックして[プロパティ]を選ぶ
  • [設定]タブを選んでから[認証]をクリックし、[このサーバーで要求を認証する]を選ぶ(画面20)
画面20 接続要求ポリシーの設定を変更する
ネットワーク・ポリシーを適用するには、作成した接続要求ポリシーの[認証]の設定を変更する必要がある。
まず、これを選ぶ。
これを選ぶ。
[資格情報を確認せずにユーザーを受け入れる]が選択されているはずだが、あらためてこれを選ぶ。

 以上で、すべての設定が完了した。

リモート・デスクトップ接続クライアントからの接続確認

 ここまでの設定により、Active Directoryドメインの「情報システム部」に所属するメンバーにはターミナル・サービスへのアクセスが可能となったはずだ。

 そこで実際にクライアントから接続を試してみよう。リモート・デスクトップ接続クライアントを起動し、[接続]ボタンをクリックして、TSゲートウェイに対するアカウントとして情報システム部グループのメンバーを指定してみよう。設定に問題がなければ、リモート・デスクトップ画面が起動するはずだ。

 このとき、NPSのセキュリティ・ログに報告された監査ログの例を以下に記す。[アカウント名]や[ネットワーク ポリシー名]などから、CONTOSOドメインのuser01でログオンし、「ターミナルサービスゲートウェイ用ネットワーク ポリシー」という名前のネットワーク・ポリシーが適用されたことが分かる。

ネットワーク ポリシー サーバーがユーザーにアクセスを許可しました。

ユーザー:
 セキュリティ ID:   CONTOSO\user01
 アカウント名:   CONTOSO\user01
 アカウント ドメイン:   CONTOSO
 完全修飾アカウント名: contoso.co.jp/Users/user01

クライアント コンピュータ:
 セキュリティ ID:   NULL SID
 アカウント名:   Vista-demo01
 完全修飾アカウント名: -
 OS バージョン:   -
 被呼端末 ID:  UserAuthType:PW
 起呼端末 ID:  -

NAS:
 NAS IPv4 アドレス:  -
 NAS IPv6 アドレス:  -
 NAS ID:   -
 NAS ポートの種類:   仮想
 NAS ポート:   -

RADIUS クライアント:
 クライアントのフレンドリ名:  TSGW01
 クライアント IP アドレス:   192.168.120.4

認証の詳細:
 プロキシ ポリシー名:  ターミナルサーバーゲートウェイを介したターミナルサービスへの接続
 ネットワーク ポリシー名:  ターミナルサービスゲートウェイ用ネットワークポリシー
 認証プロバイダ:  Windows
 認証サーバー:  nps01.contoso.co.jp
 認証の種類:  非認証
 EAP の種類:   -
 アカウントのセッション ID:  -

検疫情報:
 結果:    フル アクセス
 セッション ID:   -
ログオンおよびネットワーク・ポリシーの適用に成功したときのNPS監査ログの例

 一方で、アクセスが拒否された場合には、画面21のようなエラーがクライアントに表示される。

画面21 アクセス拒否時にクライアント側で表示されるエラー・メッセージの例

 同時に以下のような監査ログがNPSのセキュリティ・ログに出力される。条件に合致したネットワーク・ポリシーが見つからなかったため、アクセスが拒否されていることが分かる。

ネットワーク ポリシー サーバーがユーザーのアクセスを拒否しました。

詳細については、ネットワーク ポリシー サーバーの管理者に問い合わせてください。

ユーザー:
 セキュリティ ID:   CONTOSO\junichia
 アカウント名:   CONTOSO\junichia
 アカウント ドメイン:   CONTOSO
 完全修飾アカウント名: CONTOSO\junichia

クライアント コンピュータ:
 セキュリティ ID:   NULL SID
 アカウント名:   Vista-demo01
 完全修飾アカウント名: -
 OS バージョン:   -
 被呼端末 ID:  UserAuthType:PW
 起呼端末 ID:  -

NAS:
 NAS IPv4 アドレス:  -
 NAS IPv6 アドレス:  -
 NAS ID:   -
 NAS ポートの種類:   仮想
 NAS ポート:   -

RADIUS クライアント:
 クライアントのフレンドリ名:  TSGW01
 クライアント IP アドレス:   192.168.120.4

認証の詳細:
 プロキシ ポリシー名:  ターミナルサーバーゲートウェイを介したターミナルサービスへの接続
 ネットワーク ポリシー名:  -
 認証プロバイダ:  Windows
 認証サーバー:  nps01.contoso.co.jp
 認証の種類:  非認証
 EAP の種類:   -
 アカウントのセッション ID:  -
 理由コード:   48
 理由:    接続試行はどのネットワーク ポリシーにも一致しませんでした。
ネットワーク・ポリシー不一致による接続失敗時のNPS監査ログの例

 以上でターミナル・サービス・ゲートウェイの実践構築編は終了となるが、今回はNAPを使用した検疫機能については触れなかった。NAPを使用したターミナル・サーバ・シナリオについてはマイクロソフトのTechNetサイトで詳しい手順書が公開されている。ぜひとも参考にしていただきたい。

 また、英語のドキュメントだが、以下のページではターミナル・サービスのスケーラビリティに関して、マイクロソフト社内の事例を基にした解説が掲載されている。こちらも併せて参考にしていただければ幸いだ。End of Article

 

 INDEX
  [運用]
  Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(前編)
    1.ネットワークとサーバの構成パターン
    2.TSゲートウェイのインストール
    3.TSゲートウェイの環境設定(1)
    4.TSゲートウェイの環境設定(2)
    5.クライアントの設定とTSゲートウェイ経由の接続
 
  Windows Server 2008ターミナル・サービス・ゲートウェイ実践構築入門(後編)
    1.中央のNPSを加えたTSゲートウェイの構成
    2.中央のNPSの環境設定
    3.ネットワーク・ポリシーの作成
  4.接続要求ポリシーの修正と接続確認

 運用


Windows Server Insider フォーラム 新着記事
@ITメールマガジン 新着情報やスタッフのコラムがメールで届きます(無料)

注目のテーマ

Windows Server Insider 記事ランキング

本日 月間