none
インターネットからRemoteappを利用したいが、RDゲートウェイをドメインに参加しない環境では繋がらない。

    質問

  • インターネット経由でRemotappを使用したいため、2台のサーバを準備(2008R2)し、
    以下の構成で試してみました。

    サーバ1 :セッションホスト、RDWEBアクセス (remoteappマネージャ)   社内ドメイン
    サーバ2 :RDゲートウェイ   社内ドメインに参加せず(DMZに置くイメージ)

    この状態で、社外からRDゲートウェイ経由でリモートデスクトップ接続は動作する事が確認できたの
    ですが、Remoteappが動作できませんでした。
    (社内からであればRDWEBアクセス経由でRemoteappの起動確認も出来ています)

    実際にはRemoteappは社外からWEBアクセス経由で利用したかったので、サーバ2にWEBアクセスを
    追加してみたものの、サーバ1のremotoappソースと接続が出来ませんでした。
    (TS WEB Access Computersセキュリティグループにコンピュータが登録できないエラーあり)

    サーバ1のドメインにサーバ2のコンピュータは参加していないので、これ以上は手が打てないのかとは
    思ったのですが、RDゲートウェイをDMZに設置したまま(ドメイン参加せず)、社内のドメインにRemoteapp
    接続はできないでしょうか。

     

    2010年7月30日 7:37

回答

  • その後の連絡となります。

    ドメイン内にセッションホスト、WEBアクセス、RDゲートウェイを1台で構築するのではなく、
    2台に分割。

    1.セッションホスト
    2.WEBアクセス、RDゲートウェイ

    上記構成でTMG2010経由で外部からSSLにてWEBアクセスランチャーから、RemoteAppを
    起動させる事ができました。

    この結果を見ると、TMG経由でSSLにてRDゲートウェイにてアクセスした際に、
    WEBアクセスとセッションホストが同一サーバの場合は、RDPに接続が可能だと誤認してしまい、
    続けてRDPで利用しようとしているのかもしれません?

    以下の仕様が原因なのでしょうか?
    http://technet.microsoft.com/ja-jp/ts_5mins01.aspx

    逆に2台のサーバに分割することで、RDP接続ができないという認識をする事で、その後もSSLで
    通信をするのかもしれないとも思われましたが、正確な原因が解りませんでした。
    (この状態で再度1台に変更して、本当に動作できるのか確認した方が良いのですが、現在は時間が無いため未実施です)

    取り急ぎお世話になりましたので、結果のみを記載しておきます。

    • 回答としてマーク Sato.H 2010年9月9日 2:31
    2010年9月9日 2:31

すべての返信

  • Sato.H さん、こんにちは。
    フォーラムオペレーターの三沢健二です。

    RD Web アクセス サーバーと RD セッション ホスト サーバーが異なるサーバー上に展開されている場合には、RD Web アクセス サーバーのコンピューター アカウントを RD セッション ホスト サーバー上の TS Web Access Computers セキュリティ グループに追加する必要がありますので、AD ドメインへの参加が必須になると思われます。

    - 参考情報
    TS Web アクセス コンピューター セキュリティ グループの内容を設定する
    http://technet.microsoft.com/ja-jp/library/cc771623.aspx


    RD ゲートウェイ サーバーについても、設定によっては AD ドメインへの参加が必要になる場合があるようです。

    - 参考情報
    リモート デスクトップ ゲートウェイをインストールするための前提条件
    http://technet.microsoft.com/ja-jp/library/cc731933.aspx

    --- 抜粋 ---
    RD ゲートウェイ サーバーに接続できるのは Active Directory セキュリティ グループのメンバーとなっているクライアント コンピューターのユーザーのみであるという RD ゲートウェイ承認ポリシーを構成している場合は、RD ゲートウェイ サーバーが Active Directory ドメインのメンバーでもある必要があります。
    ------------


    下記の資料を見ますと、RD ゲートウェイ サーバーと RD Web アクセス サーバーを DMZ に配置する事は可能と思われますが、Sato.H さんが想定されている内容では AD ドメイン不参加で構成する事は難しい状況と思われます。

    - 参考情報
    インターネットからのアクセスを許可するようにリモート デスクトップ Web アクセス サーバーを構成する
    http://technet.microsoft.com/ja-jp/library/cc770330.aspx

    --- 抜粋 ---
    ユーザーがインターネットから RD Web アクセス サーバーにアクセスするのを許可するために、RD ゲートウェイを展開することもできます。推奨される構成は、RD ゲートウェイ サーバーと RD Web アクセス サーバーを境界ネットワークに配置し、RemoteApp プログラムをホストする リモート デスクトップ セッション ホスト (RD セッション ホスト) サーバーを内部ファイアウォールの内側に配置することです。
    ------------


    なお、ご質問の意図からずれてしまいますが、RD ゲートウェイ サーバーを DMZ ではなく、ISA Server などと組み合わせて社内ネットワーク内に配置する構成もできるようですので、参考までにご紹介させていただきますね。

    - 参考情報
    リモート デスクトップ ゲートウェイの概要
    http://technet.microsoft.com/ja-jp/library/cc731150.aspx

    TS ゲートウェイの ISA Server シナリオを構成する
    http://technet.microsoft.com/ja-jp/library/cc731353(WS.10).aspx
    (R2 の情報ではないですが参考になると思います)


    - その他参考情報
    Remote Desktop Services
    http://technet.microsoft.com/ja-jp/library/cc770412.aspx

    リモート デスクトップ Web 接続の動作を構成する
    http://technet.microsoft.com/ja-jp/library/cc731465(WS.10).aspx

    TS RemoteApp 接続における TS ゲートウェイの設定について
    http://technet.microsoft.com/ja-jp/ts_5mins01.aspx


    それでは、こちらの情報が少しでもお役にたてれば幸いです。

    ______________________________________
    マイクロソフト株式会社 フォーラム オペレーター 三沢健二

    • 回答としてマーク 服部清次Moderator 2010年8月6日 7:43
    • 回答としてマークされていない Sato.H 2010年8月27日 2:07
    • 回答としてマーク Sato.H 2010年8月27日 5:39
    • 回答としてマークされていない Sato.H 2010年8月27日 6:27
    2010年8月4日 2:22
    モデレータ
  • Sato.H さん、

    こんにちは。
    フォーラム オペレーターの服部 清次です。

    弊社の三沢健二が紹介しました情報は、ご確認いただけましたでしょうか?

    Sato.H さんの現在の状況が気になるところなのですが、、、今回、
    弊社の三沢の回答が参考になるのではないかと思いましたので、勝手ながら、
    ひとまず私の方で [回答としてマーク] のチェックを付させていただきました。

    もし Sato.H さんの方でまだ疑問が残っているようでしたら、
    もちろんこのまま質問を続けていただくことも可能ですので、
    その際にはお気軽に [回答としてのマークの解除] をクリックして返信してください。

    今後とも、TechNet フォーラムをよろしくお願いします。
    それでは、また。


    __________________________________________________
    マイクロソフト株式会社 フォーラム オペレーター 服部 清次

    • 回答としてマーク Sato.H 2010年8月9日 4:50
    • 回答としてマークされていない Sato.H 2010年8月27日 5:38
    2010年8月6日 7:43
    モデレータ
  • ご連絡ありがとうございました。

    返信がつかないと思い、数日見ておりませんでした。

    三沢様の回答を頂き、非常にすっきりいたしました。

     

    ありがとうございました。

     

    2010年8月9日 4:52
  • 継続してご質問させて頂きます。

    先日教えていただいた件についてですが、その後、ISAサーバの検討をはじめ

    社内ドメイン環境にRemoteapp、RDWEBアクセス、RDゲートウェイを1台のサーバにまとめ
    てみました。

    この状態では、社内ドメイン環境から正常に稼動するのを確認しました。

    ここで、ISAサーバでは無く、TMG2010を利用し、DMZ環境にTMGを構築、なんとかSSLブリッジが
    出来たような気がしましたが、TMG経由では、TMG、RDWEBアクセス、それぞれのログイン画面はクリアし、RDWEBアクセスの画面までは表示されましたが。 その先のアプリケーションが確認できません。

    どうやら、クライアントはRDPでアプリケーションを呼び出してしまっているようですので、当然RDPではTMGを超えることが出来ない模様です。

    証明書関連はなんとかうまく動くようになったと思った矢先で、またしても行き詰まりを感じてしまいました。
    セッションホスト、RDゲートウェイ、Remoteappなどを全て1台で構築してしまうことに問題があるのかもしれないと考え、この構成は実現可能なのかを教えていただきたくご連絡差し上げました。

    よろしくお願いします。

    • 回答としてマーク Sato.H 2010年8月27日 2:18
    • 回答としてマークされていない Sato.H 2010年8月27日 5:38
    2010年8月27日 2:17
  • 補足といいますか、疑問点を記載します。 RDゲートウェイは、クライアントからSSL(over RDP)で受けたものを、RDSセッション ホストサーバ宛にRDPにして送信すると理解しています。 TMG2010(ISAサーバも同様)は、SSLをブリッジ出来るため、インターネット上の クライアントPCから、HTTPS(SSL)にて、RDWEBアクセス画面を表示させる事が 出来ます。 ただし、RDWEBアクセスに表示されているRemoteappの各アプリケーションアイコンを クリックすると、インターネット上のクライアントはSSLでは無く、RDPを送信します。 (RDゲートウェイが無い、ただのremoteapp使用時は当然RDPで送信しています) クライアントがRemoteAppのアプリケーションアイコンをクリックした時に、 RDPで通信を始めるような気がするのですが、RDゲートウェイ経由の時だけSSLで 通信をする方法があるのでしょうか。 混乱した内容を書いてしまい、申し訳ありませんがよろしくお願いします。
    2010年8月27日 7:19
  • その後の連絡となります。

    ドメイン内にセッションホスト、WEBアクセス、RDゲートウェイを1台で構築するのではなく、
    2台に分割。

    1.セッションホスト
    2.WEBアクセス、RDゲートウェイ

    上記構成でTMG2010経由で外部からSSLにてWEBアクセスランチャーから、RemoteAppを
    起動させる事ができました。

    この結果を見ると、TMG経由でSSLにてRDゲートウェイにてアクセスした際に、
    WEBアクセスとセッションホストが同一サーバの場合は、RDPに接続が可能だと誤認してしまい、
    続けてRDPで利用しようとしているのかもしれません?

    以下の仕様が原因なのでしょうか?
    http://technet.microsoft.com/ja-jp/ts_5mins01.aspx

    逆に2台のサーバに分割することで、RDP接続ができないという認識をする事で、その後もSSLで
    通信をするのかもしれないとも思われましたが、正確な原因が解りませんでした。
    (この状態で再度1台に変更して、本当に動作できるのか確認した方が良いのですが、現在は時間が無いため未実施です)

    取り急ぎお世話になりましたので、結果のみを記載しておきます。

    • 回答としてマーク Sato.H 2010年9月9日 2:31
    2010年9月9日 2:31