リモート デスクトップ ゲートウェイとは

リモート デスクトップ ゲートウェイ (RD ゲートウェイ) は、承認されたリモート ユーザーが、リモート デスクトップ接続 (RDC) クライアントを実行できる任意のインターネット接続デバイスから、企業内部のネットワークやプライベート ネットワーク上のリソースに接続できるようにする役割サービスです。ネットワーク リソースには、リモート デスクトップ セッション ホスト (RD セッション ホスト) サーバー、RemoteApp プログラムを実行している RD セッション ホスト サーバー、またはリモート デスクトップが有効になっているコンピューターを指定できます。

RD ゲートウェイでは、HTTPS を経由したリモート デスクトップ プロトコル (RDP) を使用して、インターネット上のリモート ユーザーと、ユーザーの業務用アプリケーションが実行される内部ネットワーク リソースとの間で、セキュリティで保護され暗号化された接続が確立されます。

リモート デスクトップ ゲートウェイを使用する理由

RD ゲートウェイには次のような多くの利点があります。

  • RD ゲートウェイでは、リモート ユーザーは暗号化された接続を使用して、インターネット経由で企業内部のネットワーク リソースに接続できます。仮想プライベート ネットワーク (VPN) 接続を構成する必要はありません。

  • RD ゲートウェイが提供する包括的なセキュリティ構成モデルにより、個々の内部ネットワーク リソースに対するアクセスを制御できます。RD ゲートウェイでは、リモート ユーザーにすべての内部ネットワーク リソースへのアクセスを許可するのではなく、ポイント ツー ポイントの RDP 接続を実現できます。

  • RD ゲートウェイによって、ほとんどのリモート ユーザーが、プライベート ネットワークのファイアウォール内でホストされている企業内部のネットワーク リソースや、ネットワーク アドレス変換器 (NAT) 越しにホストされているネットワーク リソースに接続できるようになります。RD ゲートウェイを利用することで、このシナリオで使用する RD ゲートウェイ サーバーやクライアントについて特別な構成を行う必要がなくなります。

    このリリースよりも前の Windows Server では、セキュリティ上の理由により、リモート ユーザーがファイアウォールや NAT を越えて内部ネットワーク リソースに接続することはできませんでした。これは、RDP 接続に使用されるポート 3389 は、通常、セキュリティ保護の目的でブロックされるためです。RD ゲートウェイでは、RDP トラフィックは HTTP Secure Sockets Layer/Transport Layer Security (SSL/TLS) トンネルを使用して、ポート 443 に転送されます。ポート 443 はインターネット接続を受け入れるためにほとんどの企業で開かれています。このネットワーク設計を利用したことで、RD ゲートウェイでは複数段のファイアウォールを越えるリモート アクセス接続も可能になっています。

  • リモート デスクトップ ゲートウェイ マネージャーを使用すると、承認ポリシーを構成して、リモート ユーザーが内部ネットワーク リソースに接続するために満たす必要がある条件を定義できます。たとえば、次の条件を指定できます。

    • 内部ネットワーク リソースに接続できるユーザー (つまり、接続を許可されるユーザー グループ)。

    • ユーザーが接続を許可されるネットワーク リソース (コンピューター グループ)。

    • クライアント コンピューターが Active Directory セキュリティ グループのメンバーである必要があるかどうか。

    • デバイスのリダイレクトを許可するかどうか。

    • クライアントがスマート カード認証またはパスワード認証を使用する必要があるかどうか。または、いずれかの認証方法を使用できるかどうか。

  • ネットワーク アクセス保護 (NAP) を使用するように RD ゲートウェイ サーバーおよびリモート デスクトップ サービス クライアントを構成すると、セキュリティをいっそう強化できます。NAP は正常性ポリシーの作成、強制、および修復を行うテクノロジであり、Windows Server® 2008 R2、Windows Server® 2008、Windows® 7、Windows Vista®、および Windows® XP Service Pack 3 に組み込まれています。システム管理者は NAP を使用して、ソフトウェア要件、セキュリティ更新要件、コンピューターの構成要件などの設定を含む正常性要件を強制的に適用できます。

    RD ゲートウェイによって NAP が強制される場合、Windows Server 2008 R2 または Windows Server 2008 を実行しているコンピューターを NAP クライアントとして使用することはできません。RD ゲートウェイによって NAP が強制される場合に NAP クライアントとして使用できるのは、Windows 7、Windows Vista、または Windows XP SP3 を実行しているコンピューターのみです。

    RD ゲートウェイ サーバーに接続するリモート デスクトップ サービス クライアントに NAP を使って正常性ポリシーを適用するように RD ゲートウェイを構成する方法の詳細については、Windows Server 2008 R2 TechCenter のリモート デスクトップ サービスに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=140433) を参照してください。

  • RD ゲートウェイ サーバーを Microsoft Internet Security and Acceleration (ISA) Server と組み合わせて使用すると、セキュリティをさらに強化できます。このシナリオでは、境界ネットワーク内ではなくプライベート ネットワーク内で RD ゲートウェイ サーバーをホストし、境界ネットワーク内で ISA Server をホストできます。リモート デスクトップ サービス クライアントと ISA Server との間の Secure Sockets Layer (SSL) 接続は、インターネットに面する ISA Server で終端できます。

    RD ゲートウェイ サーバーのシナリオで SSL 終端デバイスとして ISA Server を構成する方法の詳細については、Windows Server 2008 R2 TechCenter のリモート デスクトップ サービスに関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=140433) を参照してください。

  • リモート デスクトップ ゲートウェイ マネージャーは、RD ゲートウェイ サーバーの状態とイベントの監視に役立つツールを備えています。リモート デスクトップ ゲートウェイ マネージャーを使用すると、監査目的で監視するイベント (RD ゲートウェイ サーバーに対する接続試行の失敗など) を指定できます。


目次