Windows 10でリモートレジストリを介してRDPを有効にする方法
この技術記事では、Windowsレジストリを介してRDPをローカルおよびリモートの両方で構成する方法について説明します。また、PowerShellの代替手段、ファイアウォールの設定、およびセキュリティに関する考慮事項についても説明します。
他の言語でサイトを表示しますか?
TSPLUSブログ
リモートデスクトップゲートウェイ(RDゲートウェイ)の設定は、VPNに依存せずにリモートデスクトップ接続を保護する最も効果的な方法の一つです。このガイドでは、Windows Server上でRDPゲートウェイを設定する方法を説明し、インストール、構成、テスト、管理のための明確な手順を示し、TSplus Remote Accessがどのようにより簡単でコスト効果の高い代替手段を提供できるかを強調しています。
IT管理者は、従業員に内部デスクトップやアプリケーションへの信頼性が高く安全なアクセスを提供する必要があります。従来、これはポート3389でRDPを公開するか、VPNに依存することで実現されていました。どちらのアプローチも複雑さと潜在的なセキュリティリスクをもたらします。MicrosoftのRemote Desktop Gateway(RD Gateway)は、ポート443でHTTPSを通じてRemote Desktop接続をトンネリングすることでこれを解決します。この記事では、Windows Server上でのRD Gatewayのセットアッププロセスを説明し、TSplus Remote Accessがどのようにすべての規模の組織にとってより簡単でスケーラブルな代替手段を提供するかについて議論します。
リモートデスクトップゲートウェイ(RDゲートウェイ)は、RDPトラフィックをポート443のHTTPSを通じてトンネリングすることにより、インターネット経由で内部リソースへの安全なリモート接続を可能にするWindows Serverの役割です。これは、SSLを使用してブルートフォース攻撃から保護します。 TLS暗号化 接続認証ポリシー(CAP)およびリソース認証ポリシー(RAP)を通じて厳格なアクセスルールを適用し、管理者に接続できるユーザーとアクセスできる内容に対する詳細な制御を提供します。
RD Gatewayの最大の利点の1つは、HTTPSに依存していることで、通常RDPトラフィックをブロックするネットワークを通じてユーザーが接続できるようにすることです。SSL証明書との統合により、暗号化されたセッションが確保され、管理者はユーザーの役割、デバイスのコンプライアンス、または時間帯に基づいてアクセスを制限するためにCAPとRAPを構成できます。
VPNはリモートアクセスを提供する一般的な方法ですが、しばしばより複雑な設定が必要であり、必要以上にネットワークの広範な部分を露出させる可能性があります。それに対して、RD GatewayはRDPセッションのセキュリティに特化しています。ネットワーク全体へのアクセスを許可するのではなく、承認されたデスクトップとアプリケーションへのみアクセスを許可します。この狭い範囲は攻撃面を減少させ、厳格なガバナンス要件のある業界でのコンプライアンスを簡素化するのに役立ちます。
RD Gatewayを設定する前に、サーバーがActive Directoryドメインに参加しており、Remote Desktop ServicesロールがインストールされたWindows Server 2016以降を実行していることを確認してください。構成を完了するには管理者権限が必要です。また、有効な必要があります。 SSL証明書 信頼できるCAからの接続を保護し、適切に構成されたDNSレコードにより、外部ホスト名がサーバーのパブリックIPに解決されるようにします。これらの要素が整っていない場合、ゲートウェイは正しく機能しません。
インストールは、次のいずれかの方法で実行できます。
サーバーマネージャー
GUIまたはPowerShell。サーバーマネージャーを使用して、管理者は役割と機能の追加ウィザードを通じてリモートデスクトップゲートウェイの役割を追加します。このプロセスでは、IISなどの必要なコンポーネントが自動的にインストールされます。自動化や迅速な展開のために、PowerShellは実用的なオプションです。コマンドを実行します。
Install-WindowsFeature RDS-Gateway -IncludeAllSubFeature -Restart
役割をインストールし、必要に応じてサーバーを再起動します。
インストールが完了したら、管理者は次のもので確認できます。
Get-WindowsFeature RDS-Gateway
機能のインストール状態を表示します。
SSL証明書をインポートし、RD Gatewayサーバーにバインドして、すべてのRDPトラフィックをHTTPS経由で暗号化する必要があります。管理者はRD Gateway Managerを開き、SSL証明書タブに移動し、.pfxファイルをインポートします。信頼できるCAからの証明書を使用することで、クライアントの信頼問題を回避できます。
テスト環境を運営している組織では、自己署名証明書で十分な場合がありますが、本番環境では公開証明書が推奨されます。これにより、組織外から接続するユーザーが警告や接続のブロックに直面することがありません。
次のステップは、ユーザーアクセスを制御するポリシーを定義することです。接続認証ポリシーは、ゲートウェイを通じて接続を許可されるユーザーまたはグループを指定します。パスワード、スマートカード、またはその両方などの認証方法を強制することができます。デバイスのリダイレクションも、セキュリティの状況に応じて許可または制限される場合があります。
リソース認証ポリシーは、ユーザーがアクセスできる内部サーバーやデスクトップを定義します。管理者は、IPアドレス、ホスト名、またはActive Directoryオブジェクトによってリソースをグループ化できます。このユーザーとリソースポリシーの分離により、正確な制御が可能になり、不正アクセスのリスクが軽減されます。
テストは、構成が期待通りに機能することを保証します。Windowsクライアントでは、リモートデスクトップ接続クライアント(mstsc)を使用できます。詳細設定の下で、ユーザーはRDゲートウェイサーバーの外部ホスト名を指定します。資格情報を提供した後、接続はシームレスに確立されるべきです。
管理者はコマンドラインテストを実行することもできます。
mstsc /v:
RD Gateway Manager内のログを監視することで、認証とリソースの承認が設定通りに機能しているかを確認するのに役立ちます。
RD Gatewayが使用するため
ポート 443
管理者はファイアウォールでHTTPSトラフィックの受信を許可する必要があります。NATデバイスの背後にある組織では、ポートフォワーディングがポート443のリクエストをRD Gatewayサーバーに向ける必要があります。外部ホスト名(例えば、正しいDNSレコードが設定されている必要があります。
rdgateway.company.com
) 正しいパブリックIPに解決されます。これらの設定により、企業ネットワーク外のユーザーがRD Gatewayに問題なくアクセスできるようになります。
継続的な監視は、安全な環境を維持するために重要です。RDゲートウェイマネージャーは、アクティブなセッション、セッションの持続時間、失敗したログイン試行を表示する組み込みの監視ツールを提供します。ログを定期的に確認することで、潜在的なブルートフォース攻撃や誤設定を特定するのに役立ちます。監視を中央集約型のログプラットフォームと統合することで、さらに深い可視性とアラート機能を提供できます。
RD Gatewayは強力なツールですが、設定や運用中にいくつかの一般的な問題が発生する可能性があります。 SSL証明書の問題 頻繁に発生し、特に自己署名証明書が本番環境で使用される場合にそうなります。公的に信頼された証明書を使用することで、これらの頭痛を最小限に抑えることができます。
別の一般的な問題は、DNSの誤設定に関係しています。外部ホスト名が正しく解決されない場合、ユーザーは接続に失敗します。内部および外部のDNSレコードが正確であることを確認することが重要です。ファイアウォールの誤設定もトラフィックをブロックする可能性があるため、管理者はトラブルシューティングの際にポートフォワーディングとファイアウォールルールを再確認する必要があります。
最後に、CAPおよびRAPポリシーは慎重に調整する必要があります。ユーザーがCAPによって認可されているがRAPによってアクセスが与えられていない場合、接続は拒否されます。ポリシーの順序と範囲を見直すことで、そのようなアクセスの問題を迅速に解決できます。
RD GatewayはHTTPS経由でRDPを公開するための安全な方法を提供しますが、特に中小企業にとっては展開と管理が複雑になることがあります。ここで TSplus リモートアクセス 簡素化され、コスト効果の高いソリューションとして登場します。
TSplus Remote Accessは、CAPやRAP、SSLバインディングを手動で設定する必要を排除します。代わりに、ユーザーがブラウザを通じてデスクトップやアプリケーションに直接接続できるシンプルなウェブベースのポータルを提供します。HTML5サポートにより、追加のクライアントソフトウェアは必要ありません。これにより、タブレットやスマートフォンを含む任意のデバイスでリモートアクセスが可能になります。
展開の容易さに加えて、 TSplus リモートアクセス Windows Server RDSインフラストラクチャを実装および維持するよりもはるかに手頃です。組織は、アプリケーションの公開、安全なウェブアクセス、マルチユーザーサポートなどの機能を、すべて単一のプラットフォーム内で利用できます。セキュリティ、パフォーマンス、シンプルさのバランスを求めるITチームにとって、私たちのソリューションは従来のRDPゲートウェイ展開に対する優れた代替手段です。
リモートデスクトップゲートウェイの設定は、組織がRDPトラフィックを保護し、ポート3389を公開したりVPNに依存することなく暗号化されたアクセスを提供するのに役立ちます。しかし、証明書、CAP、RAP、およびファイアウォールルールの管理の複雑さは、小規模なチームにとってRDゲートウェイを難しくする可能性があります。TSplus Remote Accessは、より少ない障害で同じ安全な接続を提供する簡素化された手頃なアプローチを提供します。RDゲートウェイを展開するか、TSplusを選択するかにかかわらず、目標は同じです:現代の労働力をサポートするために、信頼性が高く、安全で効率的なリモートアクセスを可能にすることです。
50万社以上に信頼されています