実践!ターミナル・サービス 第3回 ソリューション編:NLB環境で使う,VPN環境で使う  続き


△ 図をクリックすると拡大されます
図15●システム部の一部のクライアントPCからデータ・センターのサーバーへVPNでアクセスできるような状況

自宅から社内のマシンにリモート・デスクトップ接続する
 前半では大規模システムでターミナル・サービスを利用するケースを紹介した。後半では1人のユーザーがターミナル・サービスを利用するときに直面する活用例として,管理のために社外にあるパソコンから社内の特定のマシンへリモート・デスクトップ接続をするケースを紹介しよう。

 ここでちょっと複雑だが,1つの例を挙げてみよう。あなたは社外のデータ・センターにあるサーバーを管理している。社内とデータ・センターはVPN(仮想プライベート・ネットワーク,Virtual Private Network)で接続されており,このデータ・センターへは,あなたの自席にあるマシンを含めた社内の特定のマシンからしかアクセスできないように構成されている(図15)。普段は自席にあるWindows XPマシンからリモート・デスクトップ接続でサーバーを管理している。


△ 図をクリックすると拡大されます
図16●社外のPCからいったんVPNとリモート・デスクトップ接続で社内の自席PCにアクセスし,さらにそこからデータ・センターのサーバーにVPNでアクセスする

 あなたがオフィスを離れているとき,緊急でデータ・センターにあるサーバーのメンテナンスを依頼されたら,どのように作業を行えばよいだろうか。データ・センターへはオフィス内の特定のマシンからしかアクセスできないので,出先からは直接データ・センターには接続できない。

 そのような場合,自席のマシンにリモート・デスクトップ接続すればよいのだ。出先からいったん社内ネットワークにアクセスして,自席のマシンにリモート・デスクトップ接続でログオンする。さらに,2重に橋を架けるように,社内の自席マシンからデータ・センターにあるサーバーにリモート・デスクトップ接続すれば,いつものようにサーバーの管理ができるというわけだ(図16)。

 クライアントが社外にある場合でも,リモート・デスクトップ接続を有効にする設定は,これまで解説してきた設定方法と変わらない。ここでは社外のマシンと自席のマシンをつなぐVPN接続に必要なVPNサーバーの構成方法と,出先で使用するコンピュータのVPN接続の設定をみてみよう。

VPN接続にはVPNサーバーを立てる必要がある
 ここでVPNについて簡単に説明しておこう。VPNとは,インターネットという公共のネット内に仮想的なネットワークを構築して,インターネット上の拠点同士を,あたかも専用線で接続しているかのようにみせる技術の総称である。インターネットをそのまま利用して拠点間を接続すると,途中でデータを傍受される危険性があるが,VPNではデータを暗号化して送信するので,安全なデータ通信ができる。VPNは専用線に比べてコストが安いこともあり,最近では広く利用されている。途中でインターネットを経由するターミナル・サービスの利用法では,VPNを使うのがお勧めである。

 VPNを行うためにはVPNサーバーとVPNクライアントが必要になる。様々なソフトウエア,ハードウエア・ベンダーからVPN製品が販売されているが,Windows Server 2003の標準機能でもVPNサーバーを構成できる。また,Windows XPはVPNクライアントの機能を持っているので,標準機能のみで利用できる。

 まず,Windows Server 2003でVPNサーバーを構成してみよう。Windows Server 2003でVPNサーバーを構成するには,NIC(ネットワーク・インターフェース・カード)を2枚組み込む。1枚のNICをVPNクライアントとの通信用(VPN用)に,もう1枚のNICを社内ネットワークへの接続用(ターミナル・サーバーへの接続用)に使用する。事前にこれら2枚のNICを組み込んでおく。


△ 図をクリックすると拡大されます
図17●[ルーティングとリモートアクセス]でサーバーを右クリックして現れたメニューから[ルーティングとリモートアクセスの構成と有効化]を選択する

 次にVPNサーバーでは,次のような設定を行う。
(1)[管理ツール]-[ルーティングとリモートアクセス]を起動する。
(2)左ペインでサーバーを選択し,右クリックして現れたメニューから[リモートとルーティングアクセスの構成と有効化]を選択する(図17)。すると,[ルーティングとリモートアクセスサーバーのセットアップウィザード]が起動するので,[次へ]をクリックする。
(3)[構成]画面では,[リモートアクセス(ダイヤルアップまたはVPN)]を選択する。
(4)[リモートアクセス]画面では[VPN]項目を選択する。
(5)[VPN接続]画面ではVPN用のNICを選択する。
(6)[ネットワークの選択]画面では社内ネットワーク用のNICを選択する。
(7)[IPアドレスの割り当て]画面ではVPNクライアント用にIPアドレスを割り当てる方法を選択する。ここでは[指定したアドレス範囲から]を選択してみよう。
(8)[アドレス範囲の割り当て]画面で[新規]ボタンをクリックして,アドレスの範囲を入力する。
(9)[複数のリモートアクセスサーバーの管理]画面ではRADIUS(リモート・オーセンティケーション・ダイヤルイン・ユーザー・サービス)サーバーを利用するかどうかを選択する。今回は[いいえ]を選択する。


△ 図をクリックすると拡大されます
図18●ユーザーのプロパティ画面で[ダイヤルイン]タブで[アクセスを許可]項目を選択する

 これでVPNサーバーが構成された。しかし,Windows Server 2003では,既定ではダイヤルインの許可はだれにも与えられていないので,リモート・ユーザーに対して「ダイヤルインの許可」を与える必要がある。

 ダイヤルインの許可は,ユーザーのプロパティで個別に設定を行うか,「リモート・アクセス・ポリシー」を使ってあらかじめ構成をしておく。今回は接続させるユーザーの数が少ないので,ユーザーのプロパティで設定する方法を見てみよう。
(1)VPNサーバーで[Active Directoryユーザーとコンピュータ]を起動し,右ペインでアクセスを許可するユーザーを選択し,[プロパティ]画面を表示させる。
(2)プロパティ画面の[ダイヤルイン]タブで[アクセスを許可]項目を選択する(図18)。

 複数のユーザーに対してアクセスを許可したい場合は[リモートアクセスポリシーでアクセスを制御]を選択して,[リモートとルーティングアクセス]からも設定できる。


△ 図をクリックすると拡大されます
図19●VNPサーバーの設定を入力

 次にVPNサーバーへ接続するための,VPNクライアント側の設定をみてみよう。
(1)クライアント・マシン(ここでは社外にあるWindows XPマシン)の[コントロールパネル]から[ネットワーク接続]を起動する。
(2)[新しい接続ウィザード]を実行して[職場のネットワークへ接続する]を選択する。
(3)[ネットワーク接続]では[仮想プライベートネットワーク接続]を選択する。
(4)接続名の情報とVPNサーバーのアドレスを入力する(図19)。
(5)表示されるダイアログの指示に従って,接続先となるVPNサーバーの情報を入力する。

 これで外出先のマシンから社内のVPNサーバーに接続できるようになった。あとは,外出先のマシンから自席のマシンへ,リモート・デスクトップ接続ができるよう設定する。そうすれば,外出先のマシンから社内のVPNサーバーを経由して,自席のマシンにリモート・デスクトップ接続できる。


△ 図をクリックすると拡大されます
図20●ターミナル・サーバーをDMZに配置して,インターネットに公開されているアドレスを指定してリモート・デスクトップ接続を行う方法

VPNサーバーを使用しないでリモート・デスクトップ接続する
 あまりお勧めはしないが,ターミナル・サーバーをネットワーク上のDMZ(非武装地帯)に配置することで,インターネットから直接ターミナル・サーバーにアクセスして管理作業を行う方法もある。DMZとはインターネットなど外部からの接続が自由なネットワークと,社内ネットワークの間に設けられるセグメントで,一般的にはファイアウオールで保護される。この場合,管理者はインターネットに公開されているアドレスを指定してリモート・デスクトップ接続を行う(図20)。

 ターミナル・サーバーへの接続には,TCPの3389番ポートを使用する。ファイアウオールで特定のIPアドレスからのみTCPの3389番ポートへのアクセスを許可するように構成しておけば,万全ではないが不正アクセスを防げる。しかし,これらの設定が正しく行われていない場合,悪意のあるユーザーがポート・スキャンによって解放されているポートを検出し,ログオン情報を取得されてしまう危険性がある。また,IPアドレス情報を書き換えてデータを送信することも技術的には可能なので,大量のデータを送信してサービス不能状態に陥れる攻撃である「DoS(サービス拒否)攻撃」を受ける恐れもある。このため,社外からリモート・デスクトップ接続する場合はVPN接続することをお勧めする。

 * * *

 以上のように,Windows Server 2003のターミナル・サービスは,NLBなど大規模環境に対応した機能や,VPNなど安全に外部からアクセスする機能を備えている。運用方法を十分検討し,安全を確保したうえで利用してほしい。