トップ回答者
特定のIPアドレスのみ、リモートデスクトップ接続を許可する設定について

質問
-
server 2008の場合の資料は拝見しました。
https://social.technet.microsoft.com/Forums/windowsserver/ja-JP/41835e02-9c69-4806-b8f9-56add49e9127/12522125141254012488124871247312463124881248312503122882535123
今回、Server2016を導入しており、各所PCからリモートデスクトップ接続は動作確認済です。
ただ、ライセンス数の問題もあり、物理的に特定のIPアドレスからの接続のみ許可したいと考えています。
セキュリティが強化されたファイアウォールの設定画面から、リモートデスクトップ接続・・・の項目を見ると、たくさん項目があります。server のバージョンが上がったからと思いますが、どの項目に対してIPの設定をすればよいかわかりません。
リモートデスクトップ ユーザーモード(TCP受信)だけ設定すれば良い等の情報がありましたら、ご教示ください。
回答
-
リモートデスクトップ接続を許可する事で有効になる、リモートデスクトップ接続用の既定の受信規則としては以下の3つですので、以下の規則すべてにリモートIPアドレスのスコープ設定を施せば良いと思います。
リモート デスクトップ - ユーザー モード (UDP 受信)
リモート デスクトップ - ユーザー モード (TCP 受信)
リモート デスクトップ - シャドウ (TCP 受信)
- 回答の候補に設定 Hebikuzure aka Murachi AkiraMVP 2019年3月16日 14:26
- 回答としてマーク まつん 2019年3月18日 2:35
すべての返信
-
リモートデスクトップ接続を許可する事で有効になる、リモートデスクトップ接続用の既定の受信規則としては以下の3つですので、以下の規則すべてにリモートIPアドレスのスコープ設定を施せば良いと思います。
リモート デスクトップ - ユーザー モード (UDP 受信)
リモート デスクトップ - ユーザー モード (TCP 受信)
リモート デスクトップ - シャドウ (TCP 受信)
- 回答の候補に設定 Hebikuzure aka Murachi AkiraMVP 2019年3月16日 14:26
- 回答としてマーク まつん 2019年3月18日 2:35
-
早速の情報ありがとうございます。
サーバ(192.168.1.1),クライント(192.168.10.1)とし、クライアント側でリモートデスクトップ接続を起動する想定です。
環境としてはADを導入しており、システムのプロパティ→リモートデスクトップで、このコンピュータへのリモート接続を許可する、で、ユーザー選択(S)からあるグループのみを設定しています。
今回ご教示いただいた3項目についても、それぞれ指定のIP(192.168.10.1)を登録し、サーバ再起動を実施しましたが、登録外のPCから、あるグループの者だとまだログインできます。
ファイアウォールの詳細設定が負けてしまうのでしょうか?(システムのプロパティからの設定が勝つ?)
一度システムのプロパティ側のリモート接続を無効にすると、どこからも入れない状態になります。(あたり前ですが)
その他、何か情報がありましたらおしらせください。
-
Enginner480907様から情報いただいた作業で黄色の鍵マークになるよう作業をしましたが、状況は変わりませんでした。
うちの環境を情報として出していなかったですね。すみません。
server 2016で、クライアントPCは8.1です。また、OSの細かいVerなども(パッチ適用状況)でも左右されそうですね。
申し訳ありませんでした。
>「セキュリティが強化されたファイアウォール」だけの設定だけでなく、「Windowsファイアウォール」の設定も必要になります。
で記載されて部分ですが、もともと全て緑の盾マークになっていました。
今回の試行錯誤で、私の方でとった方法としては、「リモートデスクトップ」系の3項目だけではなく、「リモートデスクトップ サービス」と非常に名前の似た項目も近くに3項目ありましたので、そちらも同様の設定を追加しました。(同じ3セットがありました)
そうすると、スコープ以外の端末を弾くことができました。
皆様ありがとうございました。