前回は、リモートデスクトップゲートウェイ(RDゲートウェイ)またはターミナルサービスゲートウェイ(TSゲートウェイ)のうち、着信を受け付けるゲートウェイとなるサーバで必要となる作業について解説した。今回は、クライアントPCで必要となる作業と、接続の手順について解説する。
CA証明書のインストール
前回にも述べたように、本稿におけるRD/TSゲートウェイの構成では証明書サービス、あるいは自己署名証明書によって「オレオレ証明書」を作成する方法を用いている。そのため、クライアントPCには「オレオレ証明書」に対応するCA(Certificate Authority)証明書がない。
そこで、接続操作に取りかかる前にCA証明書の入手とインストールを行う。実は、SSTP(Secure Socket Tunneling Protocol)を使用する際に、VPNクライアントを構成するための作業と同じ要領である。改めて、手順についてまとめておこう。
(1)証明書サービスが動作しているコンピュータで、CA証明書をエクスポートする。RD/TSゲートウェイの自己署名証明書を使用している場合、RD/TSゲートウェイになっているサーバからエクスポートする。
(2)いずれの場合も、[証明書]管理ツールを使用する。初期状態では登録されていないので、MMC.EXEを単独で起動してスナップインを追加する必要があるが、その際に[このスナップインで管理する証明書]は[コンピュータアカウント]を選択する。
(3)(2)で用意した[証明書]管理ツールを使って、左側のツリー画面で[証明書 (ローカルコンピュータ)]-[個人]-[証明書]を選択する。
(4)その状態で、[操作]-[すべてのタスク]-[エクスポート]、あるいは右クリックして[すべてのタスク]-[エクスポート]を選択することでエクスポートが可能だ。このとき必要になるのはCA証明書(すなわち公開鍵)なので、秘密キーのエクスポートは必要ない。
(5)エクスポートしたCA証明書をクライアントPCにインポートする。こちらでも同様に、[このスナップインで管理する証明書]として[コンピュータアカウント]を指定する方法で[証明書]スナップインを組み込んだMMC.EXEが必要になる。
(6)インポートの際に、インポート先となる証明書ストアに注意する必要がある。クライアント側でもサーバ側と同様に、CA証明書を[証明書(ローカルコンピュータ)]-[信頼されたルート証明機関]-[証明書]に置く必要があるからだ。
(7)そのため、[証明書]管理ツールでは、左側のツリー画面で[証明書(ローカルコンピュータ)]-[信頼されたルート証明機関]-[証明書]を選択した状態で、[操作]-[すべてのタスク]-[インポート]、あるいは右クリックして[すべてのタスク]-[インポート]を選択する必要がある。
(8)インポート完了後に、左側のツリー画面で[証明書 (ローカルコンピュータ)]-[信頼されたルート証明機関]-[証明書]を選択して、CA証明書が画面中央に現れているかどうかを確認する。
接続時の設定・操作手順
RD/TSゲートウェイ経由の接続でも、クライアント側で[リモートデスクトップ接続]を利用して接続する点は同じである。ただし、RD/TSゲートウェイの設定が必要になる点と、クライアント証明書のインストールが必要になる点が異なる。
[スタート]メニュー以下から[リモートデスクトップ接続]を起動して接続先を指定する際に、[全般]タブでは以下のように設定する。
コンピュータ : 接続先となるLAN内部のサーバ(RD/TSゲートウェイではない点に注意)のコンピュータ名、あるいはIPアドレスを指定する
ユーザー名 : 接続先となるLAN内部のサーバ上にあるローカルアカウント、あるいはLAN側で使用しているActive Directoryのドメインアカウント名を指定する
さらに[詳細設定]タブに移動して、[設定]をクリックする。続いて表示するダイアログで、以下の変更を行う。
既定値の[自動的にRDゲートウェイサーバー設定を検出する]または[自動的にTSゲートウェイサーバー設定を検出する]を、[これらのRDゲートウェイ サーバー設定を使用する]あるいは[これらのTSゲートウェイ サーバー設定を使用する]に変更する
その下の[サーバー名]に、RD/TSゲートウェイのインターネット側で使用しているホスト名、あるいはIPアドレスを指定する
設定を行ったら、[OK]をクリックしてダイアログを閉じる。
これで、RD/TSゲートウェイを利用した接続が可能になる。[接続]をクリックすると表示する認証画面で、ユーザー名とパスワードを入力して接続する。Active Directoryのドメインアカウントで認証するときには、ユーザー名を「<ドメイン名>\<ユーザー名>」形式で指定する。
このとき、ダイアログ上部には接続先に関する情報を、パスワード欄の下にはドメイン名に関する情報を表示しているので、間違いがないことを確認すると確実だ。
接続に成功すると、LAN内部からの接続と同様にしてターミナルサービスが稼働を開始する。ログオフ操作を行うと終了するのは、LAN内部から接続した場合と同様である。