本記事ではAWS上でRDゲートウェイサーバーを構築する方法を紹介します。RDゲートウェイサーバーを構築することでプライベートサブネットのEC2インスタンスに簡単に、安全に接続することができます。
構成図
今回構築する構成図は以下になります。
RDゲートウェイサーバーとは
RDゲートウェイサーバー(Remote Desktop Gateway Server)は、インターネット経由でプライベートネットワーク内のコンピュータへのリモートデスクトップ接続をセキュアに提供する役割を持つサーバーソフトウェアです。RDゲートウェイは、Microsoft Remote Desktop Servicesの一部として提供されています。このサーバーを使用することで、企業は社外から社内のデスクトップやアプリケーションへ安全にアクセスできるリモートアクセスソリューションを実装できます。
実際に構築する
RDゲートウェイサーバEC2インスタンス作成
EC2 > インスタンスの画面に遷移し、「インスタンスを起動」をクリックします。
以下の画面に遷移したら、名前にRDゲートウェイサーバーであることがわかりやすい名前とWindows ServerのAMIを選択します。今回は、「WindowsServer 2022 Base」を使用します。
インスタンスタイプは無料枠の範囲の「t2.micro」を使用します。
ネットワーク設定では、使用したいVPCとサブネットを選択します。
今回は、ElasticIPをしようするので、パブリックIPの自動割り当てで「無効化」を選択します。
セキュリティグループはRDゲートウェイサーバを利用したいIPアドレスのrdp接続とhttps接続を許可します。
https接続を許可する理由はRDゲートウェイサーバーを経由の接続では、RDゲートウェイサーバーまではhttps通信を行うからです。
ストレージは以下のデフォルトを使用します。
Elastic IPアドレス割り当て
RDゲートウェイサーバーを作成するにあたって、静的なパブリックアドレスが必要となるのでElastic IPアドレスを取得します。
EC2 > ネットワーク&セキュリティ > Elastic IP から「Elastic IP アドレスを割り当てる」をクリックします。
使用したいリージョンを選択して「AmazonのIPv4アドレスプール」を選択して、「割り当て」をクリックします。
正常に割り当てができたら、IPアドレスを選択して、「アクション」>「Elastic IP アドレスの関連付け」をクリックします。
「リソースタイプ」で「インスタンス」を選択します。
「インスタンス」で先ほど作成したRDゲートウェイサーバーのインスタンスIDを指定します。
「プライベートIPアドレス」で先ほど作成したRDゲートウェイサーバーのプライベートIPアドレスを指定します。
選択できたら、「関連付ける」をクリックしてElastic IP アドレスを関連付けます。
RDゲートウェイサーバーインストール
それではRDゲートウェイサーバーの設定を行っていきます。
まず、作成したインスタンスにRDP接続を行ってください。その後、WindowsServerの日本語化を行ってください。
日本語化が完了したら、まずはRDP用のユーザを作成します。詳しいユーザーの作成方法については以下の記事を参考にしてください。
以下のような設定でユーザーを作成します。
RDゲートウェイ用のユーザーのパスワードを定期的に変更するのは面倒なのでパスワードを無期限にするにチェックを入れることをお勧めします。
サーバーマネージャーを開きます。
役割と機能の追加をクリックします。
「次へ」をクリックする。
「役割ベースまたは機能ベースのインストール」を選択して「次へ」をクリックする。
「サーバープールからサーバーを選択」を選択して、作成したRDゲートウェイサーバーを選択して「杉へ」をクリックする。
「Remote Desktop Services」を選択して「次へ」をクリックする。
デフォルトでチェックが入っているので、「次へ」をクリックする。
「次へ」をクリックする。
「Remote Desktop Gateway」を選択する。
選択すると以下の画面に遷移するので、「管理ツールを含める」にチェックを入れ、「機能の追加」をクリックする。
「Remote Desktop Gateway」にチェックが入っていることを確認し、「次へ」をクリックする。
「次へ」をクリックする。
「次へ」をクリックする。
デフォルトのまま「次へ」をクリックする。
デフォルトのまま「インストール」をクリックする。
インストールが正常に完了していることを確認して、「閉じる」をクリックする。
RDゲートウェイサーバー設定
「サーバーマネージャー」を開き「ツール」> 「Remote Desktop Services」 > 「リモートデスクトップゲートウェイマネージャー」をクリックします。
RDゲートウェイマネージャーを開けたら、自分のコンピューター名を展開し、「ポリシー」のフォルダで右クリックをして、「新しい承認ポリシーの作成」をクリックします。
ウィザードが開けたら、「RD CAPとRD RAPを作成する」を選択し、「次へ」をクリックします。
RD CAPの名前を入力しますが、任意の名前で大丈夫です。
RDゲートウェイサーバーの利用を許可するグループを選択します。
今回は「Users」のグループに利用を許可します。
「すべてのクライアントデバイスについて」デバイスリダイレクトを有効にする」を選択し、「次へ」をクリックします。
「次へ」をクリックします。
設定を確認して、「次へ」をクリックします。
RD RAPの名前を入力しますが、任意の名前で大丈夫です。
先ほど追加したユーザーグループが追加されていることを確認して「次へ」をクリックします。
「ユーザーによる任意のネットワークリソース(コンピューター)への接続を許可する」を選択し、「次へ」をクリックします。
「ポート3389への接続のみを許可する」を選択して「次へ」をクリックします。
設定を確認して、「完了」をクリックします。
承認ポリシーが正しく作成されたことを確認して、「閉じる」をクリックします。
自分のマシン名をクリックして、「証明書のプロパティの表示または変更」をクリックします。
「SSL証明書」タブを開き「自己署名証明書を作成する」を選択し、「証明書の作成とインポート」をクリックします。
証明書の名前はRDゲートウェイサーバーのIPアドレスかFQDNを指定してください。
正しく設定しないと動作しません。
「ルート証明書を格納する」にチェックをいれて「OK」をクリックします。
「ファイル名」のパスに証明書が保存されるので、パスを控えておいてください。
「適用」をクリックして、証明書が発行されていることを確認します。
RDゲートウェイサーバーの起動
「サーバーマネージャー」を開き、「リモートデスクトップサービス」をクリックします。
画面下の、「サービス」から自分のサーバー名を右クリックして、「サービスの開始」をクリックします。
接続するサーバーの作成
RDゲートウェイサーバーを通して接続するサーバーを作成していきますが、あまり重要ではないので簡単な説明にとどめます。一番上で示した構成図になるようにインスタンスを作成してください。
SGは接続するRDPゲートウェイサーバーのプライベートIPアドレスからのRDP接続を許可するSGを設定してください。
証明書のインポート
ここからはRDゲートウェイサーバーに接続するクライアントで操作を行います。
RDゲートウェイサーバーで作成した証明書を、接続端末に移送し右クリックから「証明書のインストール」をクリックしてください。
「証明書のインストール」をクリックします。
「現在のユーザー」を選択して、「次へ」をクリックします。
「証明書をすべて次のストアに配置する」を選択して、「参照」をクリックします。
「信頼されたルート証明機関」を選択して、「OK」をクリックします。
「信頼されたルート証明機関」が選択されていることを確認して、「次へ」をクリックします。
「完了」をクリックします。
セキュリティ警告が出ますが、自己証明書のため出るもので問題がないため「はい」をクリックします。
「OK」をクリックします。
証明書がインストールされていることを確認して、「OK」をクリックします。
以上で、設定は完了です。
接続確認
RDPクライアントを開いて「オプションの表示」をクリックします。
「詳細設定」タブをクリックして「任意の場所から接続する」の「設定」をクリックします。
「次のRDゲートウェイサーバー設定を使用する」を選択し、以下の設定を入力します。
サーバー名:RDゲートウェイサーバーのIPアドレス
ログオン方法:後で選択できるようにする
ローカルアドレスにはRDゲートウェイサーバーを使用しない:チェックなし
入力が完了したら、「OK」をクリックします。
「全般」タブに戻り、以下の設定を入力後「接続」をクリックします。
コンピューター:接続先のプライベートIPアドレス
ユーザー名:Administrator(初回接続のため)
RDゲートウェイサーバーの資格情報が聞かれるので、作成したユーザーとパスワードを入力してください。(localhost\をユーザー名の前につけないと接続できないので注意すること)
接続先サーバーの資格情報が聞かれるので、「Administrator」と接続先サーバーのパスワードを入力します。
「はい」をクリックして接続をします。
接続ができたらRDゲートウェイサーバー経由の通信が確認できます。
以上でRDゲートウェイサーバーの接続が完了です!!
まとめ
今回はRDゲートウェイサーバーを構築する方法を解説しました。セキュリティやユーザーの管理の面においてもRDゲートウェイサーバーは重要なのでぜひ活用してみてください。
コメント