RDP over HTTPSでサーバにアクセスしてみた!(その2 設定編)


こんにちはー
BIGLOBEクラウドホスティングゆるキャラ技術担当の ふう ですー(^*・ェ・人^)

RDP over HTTPSを使ってクラウドホスティング上のサーバへアクセスしてみる実験の続きです。

本記事は3回連載です。
RDP over HTTPSでサーバにアクセスしてみた!(その1 インストール編)
RDP over HTTPSでサーバにアクセスしてみた!(その2 設定編) 【本記事】
RDP over HTTPSでサーバにアクセスしてみた!(その3 アクセス編)

Linux編はこちらです。
プロキシ経由でサーバにアクセスしてみる(SSH Over HTTP)

●承認ポリシーってなぁに?●
前回RDゲートウェイサーバの役割インストールを行いました。
今回はRDゲートウェイに承認ポリシーを設定していきます。
RDゲートウェイでは次の2種類の承認ポリシーを使ってアクセスを制御します。

・RD CAP(接続承認ポリシー)
どのアカウントからのアクセスを許可するかのポリシー

・RD RAP(リソース承認ポリシー)
誰がどのリソース(サーバ)へアクセスするかのポリシー

RDPoverHTTPS_I

今回はこの承認ポリシーをRDゲートウェイサーバに設定したいと思います。
あ、承認ポリシーの設定はAdministrator権限を持つアカウントで実施してくださいね!

●前回のおさらい●
環境としては上の図の社内ネットワーク(犬がいるところ)の中から実験しています。

今回利用しているサーバはこちらです。
・RDゲートウェイサーバ
サーバ名:RDGateway
OS:Windows Server 2008 R2 SE(64bit)

・RDP over HTTPで接続したいサーバ(以下 接続先サーバ)
サーバ名:TestServer
OS:Windows Server 2008 R2 SE(64bit)
※接続先サーバにはRDゲートウェイサーバ自身を指定することもできます。

合言葉は「作業は自己責任」でお願いしますね!(^`・ェ・´^)ゝキリッ
※本手順による社内ネットワークから社外サーバへの接続の是非についてはお客様の社内ネットワーク担当者様へご確認ください。
※本手順はBIGLOBEクラウドホスティング提供・サポート範囲外の内容となりますので参考情報としてご覧ください。

●RD CAP(接続承認ポリシー)を作ろう!●
RD CAP(接続承認ポリシー)の作成をしてみます。
これは誰からのアクセスを許可するかのポリシーです。今回はあらかじめ次の設定でRDゲートウェイサーバ(RDGateway)に作成しておいたdogユーザでのアクセスを許可してみます。
ユーザ名:dog
所属するユーザグループ:
・Remote Desktop Users(リモートデスクトップ接続を行うための権限付グループ)
・RDGW Users(今回の実験用に新規作成したグループ)

サーバ・マネージャの[役割]-[リモートデスクトップ サービス]に[RD ゲートウェイ マネージャ]が追加されています。ここからRDゲートウェイ・マネージャを起動します。
こんな感じの画面が出れば成功です。
policy02

RDゲートウェイマネージャの左ペインを展開し、[RD ゲートウェイ マネージャ]-[<サーバ名>(今回はRDGATEWAY)]-[ポリシー]配下の[接続承認ポリシー]を右クリックし、[新規ポリシーの作成]-[ウィザード]を選択。
これで接続承認ポリシー作成のウィザードが起動します。
policy03

[RD ゲートウェイの承認ポリシーの作成]画面:[RD CAP のみ作成する]を選択して[次へ]ボタンをクリック
policy04

[RD ゲートウェイの RD CAP の作成]画面:RD CAPの名前を入力し、[次へ]ボタンをクリック
ここでは「RDGW Users用 RD CAPその1」と入力しました。

policy05-3

[RD ゲートウェイの RD CAP の作成]-[要件]画面:RDゲートウェイに接続するユーザーの認証方法と、接続を許可するユーザー・グループを選択
ここでは、認証方法として[パスワード]を、接続を許可するユーザー・グループとしてはdogユーザが属している[RDGATEWAY\RDGW Users]を指定しました。
policy06-3

[RD ゲートウェイの RD CAP の作成]-[デバイス リダイレクト]画面:クライアント・デバイスを接続先サーバからアクセスさせるかを選択
ここでは[すべてのクライアントデバイスについてデバイスリダイレクトを有効にする]を選択しました。
policy08

残りの画面は全部デフォルトのまま次へ進んじゃってOKです!

●RD RAP(リソース承認ポリシー)を作ろう!●
次にRD RAP(リソース承認ポリシー)の作成します。
こっちは誰がどのリソース(サーバ)へアクセスするかのポリシーです。

RD RAPはユーザー・グループと、アクセスできるコンピュータグループをセットで指定します。
ちなみに1度の設定で1組しか登録できないので、組み合わせの数だけ作ってくださいねー
今回はRDGW Usersグループと接続先サーバ(TestServer)のアクセス許可を設定します。

RDゲートウェイ・マネージャの左ペインから[リソース承認ポリシー]を右クリックし、[新規ポリシーの作成]-[ウィザード]を選択します。
policy15

[RD ゲートウェイの承認ポリシーの作成]画面:[RD RAP のみ作成する]を選択して[次へ]ボタンをクリック
policy17

[RD ゲートウェイの RD RAP を作成]画面:RD RAPの名前を指定
ここでは「RDGW Users用 RD RAPその1」を指定しました。
policy18-4

[ユーザー グループ]画面:接続先サーバへのアクセスを許可するユーザー・グループを指定
ここでは[RDGATEWAY\RDGW Users]を指定しました。
policy07-2

[コンピュータ グループ]画面:[ユーザー グループ]画面で指定したユーザー・グループに対して、アクセスを許可する接続先サーバのグループを指定し、[次へ]ボタンをクリック
ここでは[RD ゲートウェイで管理される既存のコンピュータ グループを選択するか、または新しいコンピュータ グループを作成する]を選択しました。
policy20

[コンピュータ グループ]-[RD ゲートウェイで管理されるグループ]画面:ユーザー・グループにアクセスを許可するコンピュータ・グループと、そのコンピュータ・グループに所属させる接続先サーバのコンピュータ名またはIPアドレスを指定
ここでは新たに作成するコンピュータ・グループ名を「Sample Group」、グループに所属させる接続先サーバ(TestServer)はプライベートIPアドレスを使って指定しました。
policy21

[許可されたポート]画面:ターミナル・サービスのポート番号を指定
接続先サーバ側で変更していなければデフォルトのポート3389番のままでOKです。
policy22

残りの画面は全部デフォルトのまま次へ進んでOKです!
これでポリシーが設定できましたー!(^`・ェ・´^)b

次回はクライアントの設定をして、実際にサーバにアクセスしてみたいと思いますー(^*・ェ・人^)
ではではまた次回~!

お問い合わせ

BIGLOBEクラウドホスティングのお問い合わせは、BIGLOBE法人コンタクトセンターへお電話ください。

phone
otoiawase

カテゴリー: 技術情報 タグ: , , パーマリンク