Windows Server 2008では、リモートアクセス手段として、ネットワークの回線を接続する、いわゆるリモートアクセスVPN(Virtual Private Network)に加え、リモートデスクトップサービス(ターミナルサービス)専用のリモートアクセス手段がある。

それがリモートデスクトップゲートウェイ(RDゲートウェイ)だ。これはWindows Server 2008 R2における名称で、その前のWindows Server 2008ではターミナルサービスゲートウェイ(TSゲートウェイ)という名称だった。中身は基本的に同じである。Windows Server 2008と同R2で名称が異なるが、いちいち併記すると冗長なので、以後はRD/TSゲートウェイと表記する。

ゲートウェイ機能の概要と想定環境

例えば、社内で完全にシンクライアント化している環境であれば、「まずVPN接続して、それからリモートデスクトップクライアントを接続する」という2段階の手間を踏まなくても、いきなりリモートデスクトップ接続が可能だ。サーバをリモートデスクトップによって管理している場合も同様である。

RD/TSゲートウェイは、トンネリングを行うPPTP(Point to Point Tunneling Protocol)やIPsec(IP security)といったVPNプロトコルと違って、IPマスカレードによるアドレス変換の影響を受けない利点もある。これは、ターミナルサービス/リモートデスクトップサービスが利用するRDP(Remote Desktop Protocol)のパケットを、SSLでカプセル化してやり取りすることで実現しているためだ。つまり、これはSSL VPN機能の一種とも言える。

その代わり、RD/TSゲートウェイ機能を利用する際は、サーバ証明書に関する設定作業が必要だ。SSLで暗号化を行うため、サーバ証明書が必要になるのだ。サーバ証明書のインストールが必要になるのは、LANとインターネットの境界に設置して外部からの着信を受け付ける、RD/TSゲートウェイ用のサーバである。

LAN内部でターミナルサービス/リモートデスクトップサービスを動作させるサーバには証明書が不要だ。そのサーバ証明書は、Active Directory証明書サービス、自己発行する証明書のどちらでも利用可能。ただし、いずれにしても公的な証明力がある認証局が発行するものではないので、内輪限りの「オレオレ証明書」ということになる。

なお、インターネットを介してRD/TSゲートウェイを利用するには、接続先となるゲートウェイを指定する必要があるため、DNSサーバも必要になる。固定IPアドレスを取得してIPアドレスで直接指定する方法ならDNSサーバは必須ではないが、使い勝手が良くない。

RD/TSゲートウェイの準備

RD/TSゲートウェイとなるサーバで必要な作業は、以下の通りである。

(1)Active Directory証明書サービスの導入
(2)サーバ証明書の発行
(3)サーバ証明書の配置替え(ログオン中のユーザーに対応する証明書ストアから、ローカルコンピュータの証明書ストアに移動)
(4)RD/TSゲートウェイの役割追加

(1)は本連載の第65回~68回で、(2)と(3)は本連載の76~77回で、それぞれ解説しているのでそちらを参照していただきたい。RRAS(Routing and Remote Access Service)を使用しない点が異なるが、それ以外はSSTP(Secure Socket Tunneling Protocol)用のVPNゲートウェイを構成する時と同じ要領でできる。

なお、RD/TSゲートウェイ自体にも専用のサーバ証明書を自己生成する機能があり、それで代用することもできる。これも「オレオレ証明書」になる点は同じである。この方法をとる場合、(1)~(3)のステップは省略できる。

いずれにしても「オレオレ証明書」を使用する限り、クライアントPCにCA(Certificate Authority)証明書の追加が必要になるのは同じだ。その操作手順はSSTP利用時と同じである。

証明書サービスの立ち上げと所要の準備作業が終わったら、以下の手順でRD/TSゲートウェイの役割を追加する。

(1)[サーバーマネージャ]で役割の追加を指示する。

(2)ウィザード2画面目で[リモートデスクトップサービス]あるいは[ターミナルサービス]のチェックをオンにして続行する。

(3)役割サービスの選択画面で、[RDゲートウェイ]あるいは[TSゲートウェイ]のチェックをオンにする。すると、自動的にIIS関連の役割追加を求めてくるため、指示にしたがって一緒に追加する。

(4)-1続いて、RD/TSゲートウェイがSSL暗号化を行う際に必要となる証明書の選択を行う。本稿では自家運用する証明書サービスを使う想定にしており、既述のようにサーバ証明書の取得とインストールを先行させる想定である。その場合、[SSL暗号化の既存の証明書を選択する](既定値)を選択して、その下にある一覧で導入済みのサーバ証明書を選択する。

(4)-2証明書サービスを稼働させずに、この画面で[SSL暗号化用の自己署名証明書を作成する]を選択して、TSゲートウェイ用に証明書を1つ用意することもできる。

SSL VPN用のサーバ証明書は、事前に用意した証明書サービスでサーバ証明書を用意する方法に加えて、上の画面にあるように、RD/TSゲートウェイ自身で自己署名証明書を作成する方法でも対応可能

(5)続いて、RD/TSゲートウェイの承認ポリシーを作成する。これは既定値の[今すぐ作成する]を選択して続行する。

(6)続いて、ターミナルサーバにRD/TSゲートウェイ経由で接続できるセキュリティグループを指定する。既定値ではAdministratorsグループだけが一覧に載っているが、[追加]をクリックすると表示するユーザー検索ダイアログで、必要に応じて追加することができる。

RD/TSゲートウェイ経由で接続できるセキュリティグループを指定する。既定値ではAdministratorsだけだが、追加も可能

(7)続いて、RD CAPあるいはTS CAP(CAP : Connection Authorization Policy)の名前と、認証方法を指定する。既定値ではパスワード認証だけが有効になっているが、スマートカードを使用することもできる。いずれもチェックボックスをオンにした方法が有効になる。

(8)既定値では[ユーザーが次のグループのコンピュータにのみ接続できるようにする]となっており、特定のターミナルサーバにだけ接続できる。それを変更するのが、次のRD RAPあるいはTS RAP(RAP : Resource Authorization Policy)の設定画面だ。ここでは、名前に加えて、RD/TSゲートウェイ経由で接続できるターミナルサーバの範囲を指定する。対象を指定する場合、接続を許可したいターミナルサーバだけを集めたグループを用意する。[ユーザーがネットワーク上の任意のコンピュータに接続できるようにする]を選択すると、任意のサーバに接続できる。

RAPの名前と、接続先の制限に関する設定を行う

(9)次の画面で、役割サービス[ネットワークポリシーとアクセスサービス]の追加を求めてくる。必要なチェックボックスは自動的にオンになっているので、このまま続行する。

(10)続いて、IISの役割サービスを選択する画面になる。これも、そのまま続行する。

(11)ウィザード最終画面で[インストール]をクリックして、役割の追加を行う。

以上の操作で、RD/TSゲートウェイを組み込むことができる。