none
RDゲートウェイのリソース承認ポリシーのユーザーグループとしてドメインユーザーが選べない RRS feed

  • 質問

  • 再び安納さんが解説されているリモートデスクトップゲートウェイの構築に関して質問させてください。http://www.atmarkit.co.jp/fwin2k/operation/tsgw02/tsgw02_04.html

    この解説どおりRDゲートウェイはDMZに置いてドメインに参加していません。セントラルNPS(RADIUSサーバー)はドメインに参加しています。RDゲートウェイのRD CAPストアでセントラルNPSサーバーを選んだ場合、指定したセントラルNPSサーバーの接続承認ポリシー(RD CAP)で接続できるユーザーとしてドメインに登録されたユーザーグループを選択できます。外部ネットワークから“contoso\mskinner”で接続を試み、接続承認ポリシーで承認されることをログで確認できました。しかし、RDゲートウェイのリソース承認ポリシー(RD RAP)のユーザーグループはローカルのユーザーグループしか登録できないので、ドメイン内のユーザーグループは指定できません。このRDゲートウェイの構成パターンには、RDゲートウェイをDMZに置きセキュリティを高めながらユーザー管理をActuveDirectoryで一元化するという目的があったと思いますが、リソース承認ポリシーのユーザーグループにドメイン内のユーザーグループが選択できなきなければ、RDゲートウェイのローカルユーザーを別途管理する必要が生じます。私に勘違いがあるかもしれませんがいくら考えても解決策が思いつきません。ご教授のほど何卒よろしくお願いいたします。(字が途中から斜体になってしまい普通に戻らなくなりました。読みづらくてすみません)
    • 移動 Yuanli Guo 郭远丽 2012年10月2日 10:09 merge (移動元:Windows Server 2008 R2 全般)
    2011年2月14日 11:03

すべての返信

  • もう一年以上前のご投稿ですので、既に解決されているかと思いますが..........m(_ _)m。
    実は私も最近、RDゲートウェイを構築する機会があり、ユーザ認証/リソース承認にActive Directoryを利用したいと思い、NPSを使用した構成に挑戦してみました。

    環境は投稿を拝見致しますとnozomizuhoさんと同じように、RDゲートウェイサーバをDMZセグメントに配置し、NPSをプライベートセグメントに配置する形です。
    状況としてはnozomizuhoさんと同じようにRDゲートウェイのローカルユーザだとユーザ認証されるものの、リソース承認ポリシーはDMZ上のRDゲートウェイはドメインに参加していないため、接続が拒否されました。

    恐らく達人のエンジニアさんであれば、DMZ上のドメインに参加していないRDゲートウェイとプライベート上のドメインに参加しているNPSの構成で、ドメインユーザやリソースを使用した認証→接続できる構成にできるのかもしれませんが私にはちょっと難しく、最終的に以下のような構成にしました。

    RDゲートウェイサーバもNPSサーバもプライベート・セグメント上に配置し、ドメインに参加させました。RDゲートウェイがドメインに参加していますので、ドメインのグループやリソースを設定できます。
    DMZセグメント上にはLinuxでSquidを使用してリバース・プロキシーを立てて、インターネットからのアクセスはこのリバース・プロキシーにHTTPS(443)ポートでアクセスさせるようにし、リバース・プロキシーからプライベート・セグメントにあるRDゲートウェイにRDPセッションを転送するような環境を作りました。RDゲートウェイ・サーバでは、「SSLブリッジ」の設定をします。
    インターネット経由でアクセスするPCには、RDゲートウェイのサーバ証明書では無くこのリバース・プロキシーが動作しているサーバの証明書をインポートして接続すれば、NPS経由ドメインの認証を使用した環境が構築できます。

    2012年6月18日 12:14