none
特定のIPアドレスのみ、リモートデスクトップ接続を許可する設定について RRS feed

  • 質問

  • server 2008の場合の資料は拝見しました。

    https://social.technet.microsoft.com/Forums/windowsserver/ja-JP/41835e02-9c69-4806-b8f9-56add49e9127/12522125141254012488124871247312463124881248312503122882535123

    今回、Server2016を導入しており、各所PCからリモートデスクトップ接続は動作確認済です。

    ただ、ライセンス数の問題もあり、物理的に特定のIPアドレスからの接続のみ許可したいと考えています。

    セキュリティが強化されたファイアウォールの設定画面から、リモートデスクトップ接続・・・の項目を見ると、たくさん項目があります。server のバージョンが上がったからと思いますが、どの項目に対してIPの設定をすればよいかわかりません。

    リモートデスクトップ ユーザーモード(TCP受信)だけ設定すれば良い等の情報がありましたら、ご教示ください。

    2019年3月16日 1:15

回答

  • リモートデスクトップ接続を許可する事で有効になる、リモートデスクトップ接続用の既定の受信規則としては以下の3つですので、以下の規則すべてにリモートIPアドレスのスコープ設定を施せば良いと思います。

     

    リモート デスクトップ - ユーザー モード (UDP 受信)

    リモート デスクトップ - ユーザー モード (TCP 受信)

    リモート デスクトップ - シャドウ (TCP 受信)

    

    2019年3月16日 6:00
  • Deleted
    • 回答としてマーク まつん 2019年3月19日 5:15
    2019年3月18日 13:41

すべての返信

  • リモートデスクトップ接続を許可する事で有効になる、リモートデスクトップ接続用の既定の受信規則としては以下の3つですので、以下の規則すべてにリモートIPアドレスのスコープ設定を施せば良いと思います。

     

    リモート デスクトップ - ユーザー モード (UDP 受信)

    リモート デスクトップ - ユーザー モード (TCP 受信)

    リモート デスクトップ - シャドウ (TCP 受信)

    

    2019年3月16日 6:00
  • 早速の情報ありがとうございます。

    サーバ(192.168.1.1),クライント(192.168.10.1)とし、クライアント側でリモートデスクトップ接続を起動する想定です。

    環境としてはADを導入しており、システムのプロパティ→リモートデスクトップで、このコンピュータへのリモート接続を許可する、で、ユーザー選択(S)からあるグループのみを設定しています。

    今回ご教示いただいた3項目についても、それぞれ指定のIP(192.168.10.1)を登録し、サーバ再起動を実施しましたが、登録外のPCから、あるグループの者だとまだログインできます。

    ファイアウォールの詳細設定が負けてしまうのでしょうか?(システムのプロパティからの設定が勝つ?)

    一度システムのプロパティ側のリモート接続を無効にすると、どこからも入れない状態になります。(あたり前ですが)

    その他、何か情報がありましたらおしらせください。

    2019年3月17日 0:20
  • 私の環境では、該当のリモートデスクトップ接続関連の既定の規則3つに、リモートIPアドレスのスコープを追加する事で、期待した通り設定したリモートIP以外からのリモートデスクトップ接続が拒否される様になりましたので参考まで。(Windows Server 2016 Std 環境)

     

    システムのプロパティでリモートデスクトップ接続が有効になると、これら3つの既定の規則が有効化される動作ですので、どちらが優先といった話は無いように思います。

    2019年3月17日 7:21
  • そのプレフィックス表記だと、ホスト アドレスとして 1.168.1.1 1.168.1.254 を指定している事になると思うので、1.168.1.51 からリモートデスクトップ接続が可能なのは正常な動作ではありませんか?

     

    プレフィックス表記で、ホスト名:W101 (1.168.1.50) からのみリモートデスクトップ接続を許可するのであれば、1.168.1.50/32 を指定するのが適切だと思います。

    2019年3月17日 9:57
  • Enginner480907様から情報いただいた作業で黄色の鍵マークになるよう作業をしましたが、状況は変わりませんでした。

    うちの環境を情報として出していなかったですね。すみません。
    server 2016で、クライアントPCは8.1です。また、OSの細かいVerなども(パッチ適用状況)でも左右されそうですね。
    申し訳ありませんでした。

    >「セキュリティが強化されたファイアウォール」だけの設定だけでなく、「Windowsファイアウォール」の設定も必要になります。
    で記載されて部分ですが、もともと全て緑の盾マークになっていました。

    今回の試行錯誤で、私の方でとった方法としては、「リモートデスクトップ」系の3項目だけではなく、「リモートデスクトップ サービス」と非常に名前の似た項目も近くに3項目ありましたので、そちらも同様の設定を追加しました。(同じ3セットがありました)
    そうすると、スコープ以外の端末を弾くことができました。

    皆様ありがとうございました。

    2019年3月18日 2:35