RD Gatewayの構築メモ

RD Gatewayを構築する際の備忘録です。

簡単なまとめ

RD Gatewayはリモートデスクトップのプロキシサーバーです。インターネットを通じて3389ポートでRDPする方式はセキュリティ的にリスクがあります。そこでHTTPSで暗号化された443ポートの通信でRD Gatewayに接続し、3389ポートで目的のマシンにRDPする方式にできるのがRD Gatewayです。

もし多数のVMがある環境の場合、RD Gatewayが一台だと可用性に劣り、負荷も高くなるのでロードバランサーを設置してその下にRD Gatewayを設置する仕組みができます。

Internet→ロードバランサー(Global IPaddress)→いくつかのRDGW(Private IPアドレス)→VM(PrivateIPアドレス)

VMがインターネットに接続するときにプライベートIPアドレスではなくグローバルIPアドレスを追加してもいいですが、ACLなどでグローバルIPアドレス経由でRDPできないようにしておきましょう。

構築

マイクロソフト公式ドキュメントもありますのでこちらも参考に

リモート デスクトップ サービスのリモート デスクトップ ゲートウェイ ロールをデプロイする
リモート デスクトップ サービスのリモート デスクトップ ゲートウェイ ロールをデプロイする方法。

VM作成

RD GatewayにするVMを作成します。スペックは環境によりますが8GB 8コアなどがベターだとは思います。(RD Gatewayマネージャーが重いんですよね)

NICは環境に応じて追加しましょう。

RD Gatewayの機能追加

役割と機能追加でIISとRD Gatewayを追加してインストールします。

RD Gatewayマネージャーの操作

RD Gatewayがインストールできたら再起動し、RD Gatewayマネージャーを起動します。

CAP,RAPの設定

接続承認ポリシーはRD Gatewayに接続できるユーザーを指定します。基本的にActive Directoryのユーザーグループなどを追加します。

リソース承認ポリシーは接続できるコンピューターを指定できます。同じようにユーザーグループなどを設定します。特に制限がなければユーザーによる任意のネットワークリソースへの接続を許可しますを設定します。

許可するポートは3389のみとしておきます。

設定を見ればわかるのですが、認証方法がパスワードかスマートカードしかありません。NTLMは非推奨になっていきそうなのでRD Gatewayが将来的にどうなるかは不明です。

証明書の追加

SSL証明書をRD Gatewayサーバーのプロパティから追加することができます。自己証明書の作成もできますのでSSL証明書がない場合は自己証明書を作成します。自己証明書の場合はクライアント側の端末に自己証明書をインポートすることでRD Gateway経由でのRDPが可能になります。

また追加すべきメモがあれば追加します。

タイトルとURLをコピーしました