AWS での RD Gatewayクイックスタートリファ

レンスデプロイガイド

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

AWS での RD Gateway: クイックスタートリファレンスデプロイガイドCopyright © 2018 Amazon Web Services, Inc. and/or its affiliates. All rights reserved.

Amazon's trademarks and trade dress may not be used in connection with any product or service that is not Amazon's, in any mannerthat is likely to cause confusion among customers, or in any manner that disparages or discredits Amazon. All other trademarks notowned by Amazon are the property of their respective owners, who may or may not be affiliated with, connected to, or sponsored byAmazon.

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

Table of Contentsホーム ............................................................................................................................................... 1

クイックスタートについて ........................................................................................................... 2概要 .................................................................................................................................................. 3

AWS での RD Gateway ............................................................................................................... 3コストとライセンス .................................................................................................................... 3AWS サービス ........................................................................................................................... 4

アーキテクチャ .................................................................................................................................. 5アーキテクチャ上の考慮事項 ........................................................................................................ 5

初期リモート管理のアーキテクチャ ....................................................................................... 5SSL 証明書 ........................................................................................................................ 7接続およびリソース権限付与ポリシー .................................................................................... 8

ベストプラクティス .................................................................................................................... 8最小権限の原則 .................................................................................................................. 8VPC 設定 .......................................................................................................................... 9ネットワーク ACL .............................................................................................................. 9セキュリティグループ ....................................................................................................... 10

AWS での RD Gateway アーキテクチャ ........................................................................................ 3デプロイオプション .......................................................................................................................... 15デプロイ手順 .................................................................................................................................... 16

ステップ 1. アカウントを準備する .............................................................................................. 16ステップ 2. クイックスタートを起動する ..................................................................................... 19ステップ 3. デプロイ後のタスクを実行する .................................................................................. 26

ルート証明書のインストール .............................................................................................. 26リモートデスクトップ接続の設定 ........................................................................................ 27

トラブルシューティング .................................................................................................................... 30その他のリソース .............................................................................................................................. 31付録 A: RDCMan .............................................................................................................................. 32付録 B: RD Gateway の手動設定 ......................................................................................................... 33

RD Gateway のインストール ...................................................................................................... 33自己署名証明書の実装 ............................................................................................................... 33接続およびリソース権限付与ポリシーの設定 ................................................................................. 35

フィードバック ................................................................................................................................. 38ドキュメントの改訂 .......................................................................................................................... 39

.............................................................................................................................................. 39

iii

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

AWS クラウドでの Remote DesktopGateway: クイックスタートリファレンスデプロイ

デプロイガイド

Santiago Cardenas - AWS クイックスタートリファレンスチーム、ソリューションアーキテクト

2014 年 4 月  (最終更新日 (p. 39):2017 年 6 月)

このクイックスタートリファレンスデプロイガイドには、Remote Desktop Gateway (RD Gateway) をアマゾン ウェブ サービス (AWS) クラウドにデプロイするために必要なアーキテクチャ上の考慮事項と設定手順が含まれます。リモート管理用のリモートデスクトッププロトコル (RDP) を使用して Windows ベースのインスタンスに安全にアクセスするためのベストプラクティスについて説明します。クイックスタートには自動化 AWS CloudFormation テンプレートが含まれます。このテンプレートはデプロイに活用したり、AWS アカウントに直接起動したりできます。

このガイドは、AWS クラウドで、Windows ベースの Amazon Elastic Compute Cloud (Amazon EC2) インスタンスへのインターネット経由でのセキュアなリモート管理アクセスが必要なワークロードを実行している組織を対象としています。このガイドを読むことで、IT インフラストラクチャ担当者は、AWS で RDGateway インフラストラクチャを設計してデプロイする方法をよく理解できます。

以下のリンクは参考情報です。クイックスタートを起動する前に、アーキテクチャ、設定、ネットワークセキュリティなどの、このガイドで説明されている考慮事項を確認してください。

• AWS アカウントがあり、RD Gateway と AWS サービスにすでに精通している場合は、クイックスタートを起動して、RD Gateway を AWS アカウントの新しい VPC にデプロイできます。デプロイには約 30 分かかります。AWS または RD Gateway を初めて使用する場合、または既存の VPC に RDGateway をデプロイする場合は、実装の詳細を確認し、このガイドにある「手順 (p. 16)」に従ってください。

 

 • 新しい VPC へのデプロイを自動化するテンプレートの内容を見る場合は、テンプレートを表示できま

す。テンプレートは、起動中にカスタマイズしたり、他のプロジェクト用にダウンロードして拡張したりできます。

 

1

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

クイックスタートについて

Note

クイックスタートリファレンスデプロイを実行する際は、AWS サービスの利用料金を負担する必要があります。クイックスタートを使用しても追加コストは発生しません。コストの見積もりについては、このクイックスタートで使用する各 AWS サービスの料金表ページを参照してください。

クイックスタートについてクイックスタートは、AWS クラウドでの主要なワークロード用の自動化リファレンスデプロイです。各クイックスタートでは、セキュリティと可用性に関する AWS ベストプラクティスに沿って、AWS で特定のワークロードをデプロイするために必要な AWS のコンピューティング、ネットワーク、ストレージ、その他のサービスを起動、設定、実行します。

2

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

AWS での RD Gateway

概要AWS での リモートデスクトップゲートウェイ

AWS には、信頼性の高いセキュアなクラウドインフラストラクチャに Microsoft Windows ベースのワークロードをデプロイするための包括的なサービスとツールが用意されています。RD Gateway では、HTTPSでの RDP を使用して、インターネット上のリモートユーザーと Microsoft Windows ベースの EC2 インスタンスとの間にセキュアな暗号化接続が確立されます。そのために、仮想プライベートネットワーク(VPN) 接続を設定する必要はありません。これにより、管理者向けのリモート管理ソリューションを提供すると同時に、Windows ベースのインスタンスに対する攻撃対象領域を削減することができます。

このクイックスタートによって RD Gateway インフラストラクチャが自動的に AWS クラウドに一からデプロイされて設定されるため、HTTPS 経由の RDP を使用して Windows ベースの Amazon EC2 フリートを安全に管理できます。クイックスタートに付属の AWS CloudFormation テンプレートを使用して、AWSアカウントの新しいまたは既存の VPC に、すべて設定済みの RD Gateway インフラストラクチャをデプロイできます。独自の実装の開始点として AWS CloudFormation テンプレートを使用することもできます。

AWS は、Microsoft Active Directory、Microsoft SharePoint、Microsoft Exchange、Microsoft SQL Serverなどの一般的な Microsoft ワークロードを AWS にデプロイするためのソリューションを提供する、一連の クイックスタートも公開しています。これらのクイックスタートには、このガイドで説明しているRD Gateway のデプロイとアーキテクチャが含まれます。それらのクイックスタート使用して、追加のMicrosoft ワークロードと共に RD Gateway をデプロイできます。たとえば、Active Directory ドメインサービスと RD Gateway を含む自動デプロイについては、「Active Directory ドメインサービス用の AWSクイックスタート」を参照してください。

AWS クラウドでの RD Gateway の実装は上級者向けのトピックです。Microsoft の以下のドキュメントを参照することをお勧めします。

• Windows Server 2012 R2 または 2008 R2• RDP を使用したリモート Windows 管理

このガイドでは、RD Gateway インフラストラクチャを計画して AWS クラウドにデプロイするときに慎重な検討が必要なインフラストラクチャの設定に関するトピックを取り上げています。一般的な WindowsServer のインストールタスクやソフトウェア設定タスクは取り上げません。ソフトウェアの設定とベストプラクティスに関する一般的な情報については、Microsoft 製品のドキュメントを参照してください。

コストとライセンスこのクイックスタートリファレンスデプロイの実行中に使用した AWS サービスのコストは、お客様が負担します。クイックスタートを使用しても追加コストは発生しません。

このクイックスタートの AWS CloudFormation テンプレートには、カスタマイズ可能な設定パラメータが含まれます。インスタンスタイプなど、これらの設定のいくつかはデプロイのコストに影響を与えます。コストの見積もりについては、使用する各 AWS サービスの料金表ページを参照してください。価格は変更されることがあります。

このクイックスタートは、Microsoft Windows Server 2012 R2 用の Amazon マシンイメージ (AMI) を起動し、Windows Server オペレーティングシステムのライセンスを含みます。AMI はオペレーティングシステムの最新のサービスパックで定期的に更新されるため、アップグレードをインストールする必要はありま

3

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

AWS サービス

せん。Windows Server AMI には、クライアントアクセスライセンス (CAL) が必要なく、2 つの MicrosoftRemote Desktop Services ライセンスが含まれます。詳細については、「AWS での Microsoft ライセンス」を参照してください。

AWS のサービスこのクイックスタートで使用される AWS の主要コンポーネントには、次の AWS サービスが含まれます(AWS を初めて使用する場合は、AWS ドキュメントの「開始方法」セクションを参照)。

• AWS CloudFormation – AWS CloudFormation は、関連する AWS リソースのコレクションを容易に作成および管理し、整った予測可能な方法でプロビジョニングおよび更新できるようにします。テンプレートを使用して、必要なすべての AWS リソース (EC2 インスタンスなど) を定義します。リソースを個別に作成、設計して、それぞれの依存関係を考える必要はありません。AWS CloudFormation がすべてを処理します。

• Amazon EC2 – Amazon Elastic Compute Cloud (Amazon EC2) サービスは、様々なオペレーティングシステムで仮想マシンインスタンスを起動できるようにします。既存の Amazon マシンイメージ (AMI) から選択することも、独自の仮想マシンイメージをインポートすることもできます。

• Amazon VPC - Amazon Virtual Private Cloud (Amazon VPC) サービスは、AWS クラウドの隔離されたプライベートな部分をプロビジョンし、定義した仮想ネットワークで AWS サービスや他のリソースを起動できるようにします。独自の IP アドレス範囲の選択、サブネットの作成、ルートテーブル、ネットワークゲートウェイの設定など、仮想ネットワーク環境全体をお客様がコントロールできます。

• NAT ゲートウェイ - NAT ゲートウェイは、NAT ゲートウェイリソースを制御する AWS マネージドサービスです。NAT ゲートウェイは、一種のネットワークアドレス変換 (NAT) デバイスであり、プライベートサブネット内のインスタンスがインターネットまたは他の AWS サービスに接続するのを許可したり、インターネットがそれらのインスタンスに接続するのを禁止したりします。

• IAM - AWS Identity and Access Management (IAM) を使用すると、AWS のサービスおよびリソースに対するお客様のユーザーのアクセスを安全に制御できます。IAM を使用することにより、ユーザー、アクセスキーなどの認証情報、およびユーザーがアクセスできる AWS リソースを制御するアクセス権限を集中管理できます。

4

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

アーキテクチャ上の考慮事項

アーキテクチャ

アーキテクチャ上の考慮事項このセクションでは、RD Gateway をクラウドに実装、設定するための一般的な考慮事項について説明して、RD Gateway のクイックスタートアーキテクチャに関する背景情報を提供します。

初期リモート管理のアーキテクチャ初期の RD Gateway 設定では、パブリックサブネット内のサーバーに、管理者の送信元 IP アドレスまたはサブネットからの TCP ポート 3389 を許可するインバウンドセキュリティグループルールが必要です。プライベートサブネットで RD Gateway の背後にある Windows インスタンスは、隔離された独自の階層に配置する必要があります。たとえば、プライベートサブネット内のウェブサーバーインスタンスのグループは、それぞれの独自のウェブ層セキュリティグループに関連付けることができます。このセキュリティグループには、RD Gateway からの TCP ポート 3389 経由の接続を許可するインバウンドルールが必要です。

このアーキテクチャを使用すると、管理者は RD Gateway への従来の RDP 接続を使用してローカルサーバーを設定できます。RD Gateway はジャンプボックスとしても使用できます。つまり、RD Gateway のデスクトップへの RDP 接続が確立されると、管理者は新しい RDP クライアントセッションを開始して、プライベートサブネット内のインスタンスへの接続を開始できます (図 1 を参照)。

5

AWS での RD Gateway クイックスタートリファレンスデプロイガイド初期リモート管理のアーキテクチャ

図 1: 初期リモート管理のアーキテクチャ

このアーキテクチャは初期の管理には適していますが、長期の管理にはお勧めしません。接続をさらに保護し、プライベートサブネット内のサーバーの管理に必要な RDP セッションの数を減らすには、TCPポート 443 を許可するようにインバウンドルールを変更した後、RD Gateway サービスをインストールして、SSL 証明書、接続および権限付与ポリシーを設定する必要があります。

クイックスタートは、管理者の IP アドレスからの標準 TCP ポート 3389 経由の接続を設定します。「デプロイ後の手順 (p. 26)」に従って、図 2 に示しているように、TCP ポート 443 を許可する 1 つのインバウンドルールを使用するように、RD Gateway のセキュリティグループを変更する必要があります。この変更により、Transport Layer Security (TLS) で暗号化された RDP 接続を TCP ポート 443 上のゲートウェイから、TCP ポート 3389 上のプライベートサブネット内の 1 つ以上の Windows ベースのインスタ

6

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

SSL 証明書

ンスに直接プロキシできます。この設定により、接続のセキュリティが強化される同時に、RD Gatewayのデスクトップに対して RDP セッションを開始する必要がなくなります。

図 2: RD Gateway 管理アクセスのアーキテクチャ

SSL 証明書RD Gateway ロールは、TLS (Transport Layer Security) を使用して、管理者とゲートウェイサーバーとの間のインターネット通信を暗号化します。TLS をサポートするには、各 RD Gateway に有効な X.509 SSL証明書をインストールする必要があります。証明書は、以下のさまざまな方法で取得できます。

• Microsoft Enterprise Certificate Authority (CA) などの独自の PKI インフラストラクチャ• Verisign または Digicert などのパブリック CA によって発行された証明書

7

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

接続およびリソース権限付与ポリシー

• 自己署名証明書

小規模なテスト環境では、自己署名証明書を実装することは、すばやく稼働状態に移行するのに役立つ簡単なプロセスです。このクイックスタートによって RD Gateway の自己署名証明書が自動的に生成されます。RD Gateway を手動で設定する場合は、「付録 B (p. 33)」の手順に従って自己署名証明書を実装します。

ただし、ゲートウェイとの接続を確立する必要のあるさまざまな管理デバイスが多数ある場合は、公開証明書を使用することをお勧めします。

RDP クライアントが RD Gateway とのセキュアな接続を確立するには、証明書と DNS の以下の要件を満たす必要があります。

• ゲートウェイにインストールされる証明書の発行元 CA は、RDP クライアントによって信頼される必要があります。たとえば、ルート CA 証明書をクライアントマシンの信頼されたルート証明機関ストアにインストールする必要があります。

• ゲートウェイにインストールされた証明書で使用されるサブジェクト名は、クライアントがサーバーに接続するために使用する DNS 名と一致する必要があります。たとえば、rdgw1.example.com です。

• クライアントは、ホスト名 (rdgw1.example.com など) を RD Gateway の Elastic IP アドレスに解決できる必要があります。これには、DNS にホスト (A) レコードが必要です。

SSL 証明書を取得するために適切な CA を選択するときは、さまざまな考慮事項があります。たとえば、公開証明書が最適なのは、ゲートウェイに接続する必要のある大部分のクライアントデバイスがその発行元 CA を広く信頼するためです。一方、独自の PKI インフラストラクチャを利用して、組織に含まれるマシンのみがその発行元 CA を信頼するようにすることもできます。

接続およびリソース権限付与ポリシーユーザーは、RD Gateway インスタンスに接続するために、特定の要件を満たす必要があります。

• 接続権限付与ポリシー - リモートデスクトップ接続権限付与ポリシー (RD CAP) では、RD Gateway インスタンスへの接続を許可するユーザーを指定できます。たとえば、ドメインから Domain Admins などのユーザーグループを選択できます。

• リソース権限付与ポリシー - リモートデスクトップリソース権限付与ポリシー (RD RAP) では、リモートユーザーからの RD Gateway インスタンス経由の接続を許可する組織内の Windows ベースのインスタンスを指定できます。たとえば、管理者からの RD Gateway 経由の接続を許可する特定のドメイン参加済みコンピュータを選択できます。

クイックスタートは、接続およびリソース権限付与ポリシーを自動的に設定します。これらのポリシーを手動で設定する方法については、「付録 B (p. 35)」を参照してください。

ベストプラクティス最小権限の原則環境へのリモート管理アクセスを考慮する場合は、最小権限の原則に従うことが重要です。この原則は、ユーザーが各自の職務を遂行するために必要最小限のアクセス権限を持つことを指します。これは、環境のアタックサーフェスを減らし、悪用されにくくするのに役立ちます。アタックサーフェスは、環境の悪用可能な一連の脆弱性として定義でき、システムの継続的な運用にかかわるネットワーク、ソフトウェア、ユーザーを含みます。

8

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

VPC 設定

最小権限の原則に従って、一連の最小限のポートをネットワークに公開し、EC2 インスタンスにアクセスするソースネットワークまたは IP アドレスを制限することで、アタックサーフェスを減らすことをお勧めします。

Microsoft プラットフォームに備わっている機能に加えて、サブネット、セキュリティグループ、信頼されたイングレス CIDR ブロックなど、AWS には最小権限の原則を実装するのに役立つ機能がいくつかあります。

VPC 設定Amazon VPC は、AWS クラウドの隔離されたプライベートな部分をプロビジョンし、定義した仮想ネットワークで AWS リソースを起動できるようにします。Amazon VPC では、従来のオンプレミスのネットワークに非常によく似た仮想ネットワークトポロジを定義できます。独自の IP アドレス範囲の選択、サブネットの作成、ルートテーブル、ネットワークゲートウェイの設定など、仮想ネットワーク環境全体をお客様がコントロールできます。

AWS クラウドに Windows ベースのアーキテクチャをデプロイする場合は、以下の要件をサポートするVPC 設定をお勧めします。

• 重要なワークロードは、高可用性実現のために最低 2 つのアベイラビリティーゾーンに配置される。• インスタンスは個別の階層に配置する。たとえば、Microsoft SharePoint デプロイでは、ウェブサー

バー、アプリケーションサーバー、データベースサーバー、ドメインコントローラーを個別の階層に配置する必要があります。これらのグループ間のトラフィックは、最小権限の原則に従うように制御できます。

• 内部アプリケーションサーバーなどのインターネット接続以外のサーバーは、インターネットからこれらのインスタンスへの直接アクセスを回避するためにプライベートサブネットに配置される。

• RD Gateway は、リモート管理のために各アベイラビリティーゾーンのパブリックサブネットにデプロイされる。リバースプロキシサーバーなどのその他のコンポーネントも、必要に応じてこれらのパブリックサブネットに配置できます。

このクイックスタートは、図 5 (p. 12) に示しているように、ベストプラクティスをサポートしています。このリファレンスで使用されている Amazon VPC の設計の詳細については、「Amazon VPC を使用したモジュール式のスケーラブルな仮想ネットワークアーキテクチャを構築するためのクイックスタート」を参照してください。

ネットワークアクセスコントロールリストネットワークアクセスコントロールリスト (ACL) は、トラフィックのステートレスなフィルタリングのために VPC の任意のネットワークサブネットにアタッチできる一連のアクセス権限です。ネットワークACL は、インバウンドまたはアウトバウンドのトラフィックに使用でき、CIDR ブロックまたは個々のIP アドレスをブラックリストに追加する効果的な方法を提供します。これらの ACL は、IP プロトコル、サービスポート、送信元/送信先 IP アドレスに基づいてトラフィックを許可または拒否するための順序付けされたルールを含めることができます。図 3 に、VPC サブネットのデフォルト ACL 設定を示しています。この設定はクイックスタートアーキテクチャのサブネットで使用されます。

9

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

セキュリティグループ

図 3: VPC サブネットのデフォルトのネットワーク ACL 設定

デフォルトのネットワーク ACL 設定を維持するか、より詳しいルールでロックダウンし、ネットワークレベルのサブネット間のトラフィックを制限するかを選択できます。たとえば、一連の特定の IP アドレスからの TCP ポート 3389 でのインバウンド管理トラフィックを許可するルールを設定できます。いずれの場合も、RD Gateway に接続するユーザーからのアクセス、および EC2 インスタンスの階層化グループ間のアクセスを許可するセキュリティグループルールを実装する必要があります。

セキュリティグループすべての EC2 インスタンスは、1 つ以上のセキュリティグループに属する必要があります。セキュリティグループにより、開いているポートを制御してアプリケーション層を隔離するためのポリシーを設定できます。VPC では、すべてのインスタンスがステートフルなファイアウォールの背後で実行され、デフォルトですべてのポートが閉じられます。セキュリティグループには、そのファイアウォールのインバウンドポートとアウトバウンドポートを開くためのルールが含まれます。セキュリティグループはインスタンスレベルのファイアウォールとして機能しますが、複数のインスタンスに関連付けて環境内のアプリケーション層をそれぞれ隔離することもできます。たとえば、すべてのウェブサーバーのセキュリティグループを作成し、TCP ポート 3389 上のトラフィックのうち、RD Gateway サーバーを含むセキュリティグループのメンバーからのトラフィックのみを許可します。この例を図 4 に示しています。

10

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

セキュリティグループ

図 4: RD Gateway 管理アクセス用のセキュリティグループ

インターネットからのインバウンド接続は、RD Gateway への TCP ポート 443 でのみ許可されています。RD Gateway は、Elastic IP アドレスが割り当てられており、インターネットに直接アクセスできます。残りの Windows インスタンスはプライベートサブネットにデプロイされ、プライベート IP アドレスのみが割り当てられています。セキュリティグループルールにより、RD Gateway のみが、プライベートサブネット内のインスタンスの TCP ポート 3389 に対して、リモート管理用のインバウンド接続を開始できます。

このアーキテクチャでは、RD Gateway への RDP 接続は HTTPS により確立され、標準 RDP TCP ポート3389 上のバックエンドインスタンスにプロキシされます。この設定により、お客様は Windows ベースのインスタンスのアタックサーフェスを減らせると同時に、管理者は 1 つのゲートウェイを介してすべてのインスタンスへの接続を確立できるようになります。

11

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

AWS での RD Gateway アーキテクチャ

すべての Windows ベースのインスタンスへのリモート管理アクセスを 1 つの RD Gateway により許可することはできますが、冗長性を確保するために各アベイラビリティーゾーンにゲートウェイを配置することをお勧めします。クイックスタートは、図 5 に示しているように、このベストプラクティスを実装しています。

AWS での RD Gateway アーキテクチャこのクイックスタートをデフォルトパラメータで新しい VPC にデプロイすると、以下の RD Gateway 環境が AWS クラウドに構築されます。

12

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

AWS での RD Gateway アーキテクチャ

13

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

AWS での RD Gateway アーキテクチャ

図 5: AWS での RD Gateway のクイックスタートアーキテクチャ

クイックスタートは以下を設定します。

• 2 つのアベイラビリティーゾーンにまたがる高可用性アーキテクチャ。*• AWS のベストプラクティスに従ってパブリックおよびプライベートサブネットで設定された

VPC。AWS で独自の仮想ネットワークを提供するために使用されます。*• インターネットへのアクセスを許可するインターネットゲートウェイ。RD Gateway インスタンスに

よってトラフィックの送受信に使用されます。*• プライベートサブネット内のリソースへのアウトバウンドインターネットアクセスを許可するマネージ

ドネットワークアドレス変換 (NAT) ゲートウェイ。*• 各パブリックサブネットで Auto Scaling グループ内に最大 4 つの RD Gateway インスタンス。プライ

ベートサブネット内のインスタンスへのセキュアなリモートアクセスを許可するために使用されます。各インスタンスには Elastic IP アドレスが割り当てられているため、インターネットから直接アクセスできます。

• RD Gateway ロールをホストする Windows ベースのインスタンスのセキュリティグループ。管理者のIP アドレスからの TPC ポート 3389 を許可するイングレスルールが使用されます。デプロイ後、図 5に示しているように、このセキュリティグループのイングレスルールを変更して、代わりに TCP ポート443 経由の管理アクセスを許可するように設定しています。

• プライベートサブネット内のインスタンス用の空のアプリケーション層。追加の階層が必要な場合は、独自の CIDR 範囲を割り当てて追加のプライベートサブネットを作成できます。

* クイックスタートを既存の VPC にデプロイするテンプレートは、アスタリスクでマークされたタスクをスキップし、既存の VPC 設定を求めます。

クイックスタートは、SSL 自己署名証明書もインストールし、RD CAP および RD RAP ポリシーも設定します。

14

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

デプロイメントオプションこのクイックスタートには、3 つのデプロイオプションがあります。

• RD Gateway を新しい VPC にデプロイする (エンドツーエンドデプロイ)。このオプションでは、VPC、サブネット、NAT ゲートウェイ、セキュリティグループ、その他のインフラストラクチャコンポーネントで構成される新しい AWS 環境を構築し、この新しい VPC に RD Gateway をデプロイします。

• スタンドアロン RD Gateway を既存の VPC にデプロイする。このオプションでは、既存の AWS インフラストラクチャでスタンドアロン RD Gateway インスタンスをプロビジョンします。

• ドメイン参加済み RD Gateway を既存の VPC にデプロイする。このオプションは、既存の VPC でドメイン参加済み RD Gateway インスタンスを提供し、この設定をカスタマイズするためのいくつかの追加パラメータを提供するという点を除いて、2 番目のオプションに似ています。

クイックスタートには、これらの 3 つのオプション用に個別のテンプレートが用意されています。デプロイ手順の後半で説明しているように、CIDR ブロック、インスタンスタイプ、RD Gateway 設定などの追加設定を定義することもできます。

15

AWS での RD Gateway クイックスタートリファレンスデプロイガイドステップ 1. アカウントを準備する

デプロイ手順RD Gateway アーキテクチャを AWS に デプロイする手順は、以下のステップで構成されます。詳細な手順については、各ステップのリンクをクリックしてください。

• ステップ 1. AWS アカウントを準備する (p. 16)

AWS アカウントにサインアップし、リージョンを選択し、キーペアを作成したら、必要に応じてアカウント制限の引き上げをリクエストします。

• ステップ 2. クイックスタートを起動する (p. 19)

AWS アカウントに AWS CloudFormation テンプレートを起動し、パラメータ値を指定して、スタックを作成します。クイックスタートには、エンドツーエンドのデプロイと既存の VPC へのデプロイ用に個別のテンプレートが用意されています。

• ステップ 3. デプロイ後のタスクを実行する (p. 26)

AWS 環境の設定を完了し、ルート証明書をインストールして、リモートデスクトップ接続クライアントを設定します。

ステップ 1. AWS アカウントを準備する1. AWS アカウントがまだない場合は、https://aws.amazon.com で画面上の指示に従って作成します。

サインアップ手順の一環として、通話呼び出しを受け取り、電話のキーパッドを用いて PIN を入力することが求められます。

2. ナビゲーションバーのリージョンセレクターを使用して、AWS に RD Gateway をデプロイする AWSリージョンを選択します。詳細については、「リージョンとアベイラビリティーゾーン」を参照してください。リージョンは、独立した地理的領域に分散して存在します。各リージョンには、互いに隔離されているが低レイテンシーのリンクで接続された少なくとも 2 つのアベイラビリティーゾーンが含まれます。

16

AWS での RD Gateway クイックスタートリファレンスデプロイガイドステップ 1. アカウントを準備する

図 6: AWS リージョンの選択

データセンターや社内ネットワークに最も近いリージョンを選択して、AWS で実行されているシステム間、および企業ネットワーク上のシステムとユーザー間のネットワークレイテンシーを削減するためにリージョンを選択することを検討します。

3. 任意のリージョンでキーペアを作成します。これを行うには、Amazon EC2 コンソールのナビゲーションペインで [Key Pairs]、[Create Key Pair] を選択し、名前を入力して [Create] を選択します。

図 7: キーペアの作成

Amazon EC2 はパブリックキー暗号を使用して、ログイン情報の暗号化と復号を行います。インスタンスにログインするには、キーペアを作成する必要があります。Windows インスタンスでは、キーペアを使用して Amazon EC2 コンソールから管理者パスワードを取得し、『Amazon EC2 ユーザーガイド』で説明しているようにリモートデスクトッププロトコル (RDP) を使用してログインします。

4. 必要に応じて、Amazon EC2 t2.large インスタンスタイプを求めて、サービス制限の引き上げをリクエストします。これを行うには、AWS サポートセンターで、[Create Case]、[Service LimitIncrease]、[EC2 instances] の順に選択し、上限緩和フォームのフィールドに入力します。現在のデフォルト制限は 20 インスタンスです。

このインスタンスタイプを使用する既存のデプロイがすでに存在し、このリファレンスデプロイでデフォルトの制限を超えている可能性がある場合は、制限の引き上げをリクエストする必要があります。新しいサービスの上限が有効になるには、数日かかる場合があります。詳細については、Amazon EC2 ユーザーガイドを参照してください。

17

AWS での RD Gateway クイックスタートリファレンスデプロイガイドステップ 1. アカウントを準備する

図 8: サービス制限の引き上げリクエスト

18

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

ステップ 2. クイックスタートを起動するNote

このクイックスタートリファレンスデプロイの実行中に使用した AWS サービスのコストは、お客様が負担します。このクイックスタートを使用しても追加コストは発生しません。詳細については、このクイックスタートで使用する各 AWS サービスの料金表ページを参照してください。

1. 以下のいずれかのオプションを選択して、AWS アカウントに AWS CloudFormation テンプレートを起動します。オプションの選択については、このガイドの「デプロイオプション (p. 15)」を参照してください。

オプション 1

RD Gateway を AWS 上の新しい VPC にデプロイする

オプション 2

RD Gateway を既存の VPC にデプロイする - スタンドアロン

オプション 3

RD Gateway を既存の VPC にデプロイする - ドメイン参加済み

Important

RD Gateway を既存の VPC にデプロイする場合は (オプション 2 または 3)、VPC でデータベースインスタンス用の 2 つのプライベートサブネットが異なるアベイラビリティーゾーンにあることを確認します。これらのサブネットでは、インスタンスがインターネットに公開されずにパッケージやソフトウェアをダウンロードできるように、ルートテーブルに NATゲートウェイまたは NAT インスタンスが必要です。また、Amazon VPC ドキュメントで説明しているように、DHCP オプションでドメイン名オプションを設定する必要があります。クイックスタートを起動すると、VPC 設定を求められます。RD Gateway インスタンスをドメインに参加させる場合は (オプション 3)、VPC に設定された DHCP オプションでドメイン名として Active Directory ドメインが指定され、VPC のドメインネームサーバーとして Active Directory ドメインコントローラーが指定されていることを確認します。これにより、RD Gateway インスタンスは DNS 経由で参加させるドメインを見つけることができます。

各デプロイの完了には約 30 分かかります。2. ナビゲーションバーの右上隅に表示されているリージョンを確認し、必要に応じて変更します。テン

プレートはデフォルトで米国東部 (オハイオ) リージョンで起動されます。3. [Select Template] ページで、テンプレート URL のデフォルト設定をそのままにし、[Next] を選択しま

す。4. [Specify Details] ページで、必要に応じてスタック名を変更します。テンプレートのパラメータを確認

します。入力が必須のパラメータの値を指定します。他のすべてのパラメータのデフォルト設定を確認し、必要に応じてカスタマイズします。パラメータの確認とカスタマイズが終了したら、[Next] を選択します。

以下の表では、パラメータをカテゴリ別に示し、3 つのデプロイオプションについて個別に説明しています。

• RD Gateway を新しい VPC にデプロイする場合のパラメータ (p. 20)• RD Gateway を既存の VPC にデプロイする場合のパラメータ (スタンドアロン) (p. 22)• RD Gateway を既存の VPC にデプロイする場合のパラメータ (ドメイン参加済み) (p. 25)

19

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

オプション 1: RD Gateway を新しい VPC にデプロイする場合のパラメータ

テンプレートを表示

VPC ネットワーク設定:

パラメータラベル パラメータ名 デフォルト値 説明

アベイラビリティーゾーン

利用可能ゾーン 入入入入 VPC でサブネットに使用するアベイラビリティーゾーンのリスト。クイックスタートでは、リストから 2 つのアベイラビリティーゾーンを使用し、指定した論理的順序が保持されます。

VPC CIDR VPCCIDR 10.0.0.0/16 作成する VPC の CIDRブロック。

Private Subnet 1 CIDR PrivateSubnet1CIDR 10.0.0.0/19 アベイラビリティーゾーン 1 にあるプライベートサブネットのCIDR ブロック.

Private Subnet 2 CIDR PrivateSubnet2CIDR 10.0.32.0/19 アベイラビリティーゾーン 2 にあるプライベートサブネットのCIDR ブロック.

Public Subnet 1 CIDR PublicSubnet1CIDR 10.0.128.0/20 アベイラビリティーゾーン 1 にあるパブリック (DMZ) サブネットの CIDR ブロック。

Public Subnet 2 CIDR PublicSubnet2CIDR 10.0.144.0/20 アベイラビリティーゾーン 2 にあるパブリック (DMZ) サブネットの CIDR ブロック。

Allowed RemoteDesktop GatewayExternal Access CIDR

RDGWCIDR 入入入入 RD Gateway インスタンスへのアクセスが許可されている CIDR IP範囲。この値を信頼された IP 範囲に設定することをお勧めします。たとえば、自社のネットワークにのみソフトウェアへのアクセスを許可できます。

Amazon EC2 設定:

20

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

パラメータラベル パラメータ名 デフォルト値 説明

Key Pair Name KeyPairName 入入入入 パブリック/プライベートキーペアを指定することで、起動後にインスタンスに安全に接続できます。AWS アカウントを作成した際に、指定したリージョンで作成したキーペアです

Remote DesktopGateway InstanceType

RDGWInstanceType t2.large RD Gateway インスタンスの EC2 インスタンスタイプ。

Microsoft Remote Desktop Gateway 設定:

パラメータラベル パラメータ名 デフォルト値 説明

Number of RDGWHosts

NumberOfRDGWHosts 1 作成する RD ゲートウェイインスタンスの数。1 ～ 4 インスタンスを選択できます。

Admin User Name AdminUser StackAdmin 新しいローカル管理者アカウントのユーザー名。

Admin Password AdminPassword 入入入入 新しい管理者アカウントのパスワード。これは、8 文字以上の複雑なパスワードであることが必要です。

Domain DNS Name DomainDNSName example.com フォレストルートドメインの完全修飾ドメイン名 (FQDN)。

AWS クイックスタート設定:

21

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

パラメータラベル パラメータ名 デフォルト値 説明

Quick Start S3 BucketName

QSS3BucketName quickstart-reference クイックスタートのテンプレートとスクリプトがインストールされる S3 バケット。クイックスタートをカスタマイズまたは拡張して独自に使用する場合は、クイックスタートアセットのコピー用に作成した S3 バケットの名前をこのパラメータで指定します。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、先頭または末尾にハイフンは使用しないでください。

Quick Start S3 KeyPrefix

QSS3KeyPrefix microsoft/rdgateway/latest/

クイックスタートアセットのコピーのフォルダをシミュレートするために使用するS3 キー名プレフィックス。クイックスタートを独自にカスタマイズまたは拡張する場合は、このプレフィックスを使用します。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができます。

オプション 2: RD Gateway を既存の VPC にデプロイする場合のパラメータ (スタンドアロン)

テンプレートを表示

ネットワーク構成:

パラメータラベル パラメータ名 デフォルト値 説明

VPC ID VPCID 入入入入 RD Gateway をデプロイする既存の VPC のID (vpc-0343606e など)。

22

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

パラメータラベル パラメータ名 デフォルト値 説明

Public Subnet 1 ID PublicSubnet1ID 入入入入 既存の VPC でのアベイラビリティーゾーン 1 のパブリックサブネットの ID (a0246dcdなど)。

Public Subnet 2 ID PublicSubnet2ID 入入入入 既存の VPC でのアベイラビリティーゾーン 2 のパブリックサブネットの ID (subnet-e3246d8e など)。

Allowed RemoteDesktop GatewayExternal Access CIDR

RDGWCIDR 入入入入 RD Gateway インスタンスへのアクセスが許可されている CIDR IP範囲。この値を信頼された IP 範囲に設定することをお勧めします。たとえば、自社のネットワークにのみソフトウェアへのアクセスを許可できます。

Amazon EC2 設定:

パラメータラベル パラメータ名 デフォルト値 説明

Key Pair Name KeyPairName 入入入入 パブリック/プライベートキーペアを指定することで、起動後にインスタンスに安全に接続できます。AWS アカウントを作成した際に、指定したリージョンで作成したキーペアです

Remote DesktopGateway InstanceType

RDGWInstanceType t2.large RD Gateway インスタンスの EC2 インスタンスタイプ。

Microsoft Remote Desktop Gateway 設定:

パラメータラベル パラメータ名 デフォルト値 説明

Number of RDGWHosts

NumberOfRDGWHosts 1 作成する RD ゲートウェイインスタンスの数。1 ～ 4 インスタンスを選択できます。

23

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

パラメータラベル パラメータ名 デフォルト値 説明

Admin User Name AdminUser StackAdmin 新しいローカル管理者アカウントのユーザー名。

Admin Password AdminPassword 入入入入 新しい管理者アカウントのパスワード。これは、8 文字以上の複雑なパスワードであることが必要です。

Domain DNS Name DomainDNSName example.com フォレストルートドメインの完全修飾ドメイン名 (FQDN)。

AWS クイックスタート設定:

パラメータラベル パラメータ名 デフォルト値 説明

Quick Start S3 BucketName

QSS3BucketName quickstart-reference クイックスタートのテンプレートとスクリプトがインストールされる S3 バケット。クイックスタートをカスタマイズまたは拡張して独自に使用する場合は、クイックスタートアセットのコピー用に作成した S3 バケットの名前をこのパラメータで指定します。バケット名には、数字、小文字、大文字、ハイフンを含めることができますが、先頭または末尾にハイフンは使用しないでください。

Quick Start S3 KeyPrefix

QSS3KeyPrefix microsoft/rdgateway/latest/

クイックスタートアセットのコピーのフォルダをシミュレートするために使用するS3 キー名プレフィックス。クイックスタートを独自にカスタマイズまたは拡張する場合は、このプレフィックスを使用します。このプレフィックスには、数字、小文字、大文字、ハイフン、スラッシュを含めることができます。

24

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

ステップ 2. クイックスタートを起動する

オプション 3: RD Gateway を既存の VPC にデプロイする場合のパラメータ (ドメイン参加済み)

テンプレートを表示

ドメイン参加済み RD Gateway デプロイのテンプレートのパラメータは、RD Gateway と ActiveDirectory の以下の設定を除き、スタンドアロンデプロイのテンプレートのものと同じです。

Microsoft Active Directory 設定:

パラメータラベル パラメータ名 デフォルト値 説明

Domain DNS Name DomainDNSName example.com フォレストルートドメインの完全修飾ドメイン名 (FQDN)。

Domain NetBIOSName

DomainNetBIOSName 例 旧バージョン WindowsユーザーのドメインのNetBIOS 名 (15 文字以内)。

Domain MemberSecurity Group ID

DomainMemberSGID 入入入入 ドメインメンバーセキュリティグループのID (sg-7f16e910 など)

Domain Admin UserName

DomainAdminUser StackAdmin ドメイン管理者のユーザー名。これはデフォルトの管理者アカウントとは異なります。

Domain AdminPassword

DomainAdminPassword 入入入入 ドメイン管理者ユーザーのパスワード. これは、8 文字以上の複雑なパスワードであることが必要です。

Microsoft Remote Desktop Gateway 設定:

パラメータラベル パラメータ名 デフォルト値 説明

Number of RDGWHosts

NumberOfRDGWHosts 1 作成する RD ゲートウェイインスタンスの数。1 ～ 4 インスタンスを選択できます。

5. [Options] ページでは、スタック内のリソースのタグ (キー値のペア) を指定し、詳細オプションを設定できます。終了したら、[Next] を選択します。

6. [Review] ページで、テンプレート設定を確認して確定します。[Capabilities] で、テンプレートによって IAM リソースが作成されることを確認するチェックボックスをオンにします。

7. [Create] を選択してスタックをデプロイします。8. スタックの状態をモニタリングします。ステータスが [CREATE_COMPLETE] になったら、デプロイ

は準備完了です。9. スタックの [Outputs] タブに表示された URL を使用して、作成されたリソースを表示します。

25

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

ステップ 3. デプロイ後のタスクを実行する

ステップ 3. デプロイ後のタスクを実行する前のセクションで 3 つのいずれかのシナリオの AWS CloudFormation テンプレートを起動してスタックを構築したら、以下の手順に従って AWS 環境の設定を完了します。

1. プライベート VPC サブネットに配置される Windows ベースのインスタンス用にセキュリティグループを作成します。RD Gateway セキュリティグループ、CIDR 範囲、または IP アドレスからの TCPポート 3389 を許可するイングレスルールを作成します。これらのグループをプライベートサブネットへの起動時にインスタンスに関連付けます。

2. 管理クライアントが RD Gateway エンドポイントの名前 (win-1a2b3c4d5e6.example.com など) を解決できることを確認します。FQDN を RD Gateway の Elastic IP またはパブリック IP アドレスにマッピングする A (ホスト) レコードを DNS に作成できます。テストの目的で、このマッピングをマシン上のローカル HOSTS ファイルに設定できます。

3. 管理クライアントを適切な構成設定で定義します。これには、各 RD Gateway サーバーからのルート証明書をクライアントマシンにインストールすることが含まれます (手順については、次のセクションを参照)。AWS CloudFormation テンプレートを使用すると、ルート証明書のデフォルトの場所は各RD Gateway サーバーの c:\servername.cer になります。

4. RD Gateway セキュリティグループを変更します。TCP ポート 3389 経由の接続を許可するイングレスルールを削除します。管理者の IP アドレスからの TCP ポート 443 を許可する新しいイングレスルールを作成します。

5. プライベートサブネットのインスタンスが関連付けられているセキュリティグループに、RDGateway サーバーの IP アドレスからの TCP ポート 3389 経由の接続を許可するイングレスルールが含まれることを確認します。

6. 管理クライアントのリモートデスクトップ接続を設定します (このセクションの後半 (p. 27)を参照)。

ルート証明書のインストールクイックスタートは RD Gateway インテンスで自己署名証明書を実装します。デプロイ後、RD Gatewayインスタンスに接続するように RDP クライアントを設定する前に、管理クライアントにルート証明書をインストールする必要があります。ルート証明書は c:\servername.cer として自動的に保存されます。

このファイルを管理者用ワークステーションに配布してインストールするには、以下の手順に従います。

1. 管理者の認証情報を使用してコマンドプロンプトウィンドウを開きます。2. 「mmc」と入力し、Enter キーを押します。3. [Console Root] ウィンドウの [File] メニューで、[Add/Remove Snap In] を選択します。4. [Add Standalone Snap-in] ダイアログボックスで、[Certificates]、[Add] の順に選択します。5. [Certificates Snap-in] ダイアログボックスで、[Computer account]、[Next] の順に選択します。6. [Select Computer] ダイアログボックスで、[Finish] を選択します。7. [Add Standalone Snap-in] ダイアログボックスで、[Close] を選択します。8. [Add/Remove Snap-in] ダイアログボックスで、[OK] を選択します。9. [Console Root] ウィンドウで、[Certificates (Local Computer)] を展開します。10. [Certificates (Local Computer)] で、[Trusted Root Certification Authorities] を展開します。11. [Certificates] のコンテキスト (右クリック) ウィンドウを開き、[All Tasks]、[Import] の順に選択しま

す。12. ルート証明書 (RDGW1.cer など) に移動して、インストールを完了します。

26

AWS での RD Gateway クイックスタートリファレンスデプロイガイドリモートデスクトップ接続の設定

Note

AWS CloudFormation テンプレートを使用してサーバーをデプロイすると、ルート証明書は各 RDGateway に c:\servername.cer として保存されます。

リモートデスクトップ接続クライアントの設定以下の手順を使用して、管理クライアントでリモートデスクトップ接続を設定します。

1. リモートデスクトップ接続クライアントを起動します。2. コンピュータ名のフィールドに、接続する Windows インスタンスの名前または IP アドレスを入力し

ます。このインスタンスは、クライアントマシンからではなく、RD Gateway からのみ到達可能であることが必要です。

図 9: リモートデスクトップ接続クライアント3. [Show Options] を選択します。[Advanced] タブで、[Settings] を選択します。4. [Use these RD Gateway server settings] を選択します。サーバー名には、RD Gateway の FQDN を

指定します。RD Gateway と接続先のサーバーが同じドメインにある場合は、[Use My RD Gatewaycredentials for the remote computer] を選択し、[OK] をクリックします。

27

AWS での RD Gateway クイックスタートリファレンスデプロイガイドリモートデスクトップ接続の設定

図 10: リモートデスクトップ接続クライアントの詳細プロパティ

Important

RD Gateway ホストの FQDN サーバー名は、証明書および DNS レコード (またはローカルHOSTS ファイルエントリ) と一致する必要があります。一致しないと、警告が表示され、セキュアな接続が失敗することがあります。

5. 認証情報を入力し、[OK] を選択して、サーバーに接続します。図 11 に示しているように、RDGateway とターゲットサーバーに同じ一連の認証情報を提供できます。サーバーがドメイン参加済みでない場合は、2 回の認証 (RD Gateway に対して 1 回、ターゲットサーバーに対して 1 回) が必要です。

サーバーがドメイン結合されていない場合は、RD Gateway サーバーの認証情報を求められたときに、クイックスタートの起動時にステップ 2 (p. 19) で設定した [Admin User Name] および [AdminPassword] 認証情報を指定します。[Remember my credentials] チェックボックスをオンにします(オンにしないと、Windows コンピュータから接続する場合に、認証情報の入力を繰り返し求められ、リモートコンピュータの認証情報の入力をブロックされます)。

28

AWS での RD Gateway クイックスタートリファレンスデプロイガイドリモートデスクトップ接続の設定

図 11: RD Gateway とターゲットサーバーの認証情報の提供

29

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

トラブルシューティングQ. クイックスタートの起動時に CREATE_FAILED エラーが発生しました。どうすればよいですか?

A. AWS CloudFormation でスタックの作成に失敗した場合は、[Rollback on failure] を [No] に設定してテンプレートを再起動することをお勧めします。(この設定は AWS CloudFormation コンソールの [Options]ページで [Advanced] にあります)。この設定では、スタックの状態は保持され、インスタンスは実行されたままになるため、トラブルシューティングを行うことができます (%ProgramFiles%\Amazon\EC2ConfigService と C:\cfn\log のログファイルの参照が必要になります)。

重要

[Rollback on failure] を [No] に設定すると、このスタックに対して AWS 料金が発生し続けます。トラブルシューティングが完了したら、必ずスタックを削除してください。

追加情報については、AWS ウェブサイトで「AWS CloudFormation のトラブルシューティング」を参照するか、AWS クイックスタートディスカッションフォーラムでお問い合わせください。

Q. AWS CloudFormation テンプレートをデプロイしたときにサイズ制限エラーが発生しました。

A. クイックスタートテンプレートは、AWS から提供された場所または別の S3 バケットから起動することをお勧めします。コンピュータのローカルコピーまたは S3 以外の場所からテンプレートをデプロイする場合は、スタックの作成時にテンプレートサイズの制限を受けることがあります。AWS CloudFormationの制限の詳細については、AWS ドキュメントを参照してください。

30

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

その他のリソースAWS サービス

• Windows 用 Amazon EC2 ユーザーガイド• AWS CloudFormation• Amazon VPC

AWS での Microsoft ソフトウェアのデプロイ

• AWS での Microsoft プラットフォームの保護• Microsoft ライセンスモビリティ• AWS での Windows Server

AWS クイックスタート

• AWS クイックスタートのホームページ• AWS での Active Directory ドメインサービス• Amazon VPC を使用したモジュール式のスケーラブルな仮想ネットワークアーキテクチャの構築

31

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

付録 A: Remote Desktop ConnectionManager

Microsoft は、1 つのユーザーインターフェイスで複数のリモートデスクトップ接続を管理する、RemoteDesktop Connection Manager (RDCMan) という無料のユーティリティを提供しています。これは、AWSクラウドで実行されている RD Gateway インフラストラクチャを介して Amazon EC2 Windows フリートを管理するための便利なツールです。

図 12: RDCMan を使用した Windows インスタンスの管理

このツールを使用して、1 つ以上の RD Gateway を介して複数のインスタンスを管理できます。AWS クラウドで実行されているアベイラビリティーゾーンと EC2 インスタンスに対応するグループとサーバーオブジェクトを定義できます。

32

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

RD Gateway のインストール

付録 B: AWS での RD Gateway の手動設定

以下のセクションでは、RD Gateway の手動設定タスクに関する情報を提供しています。これらのタスクはクイックスタートテンプレートによって自動化されています。これらのタスクを手動で実行する場合は、「ベストプラクティス (p. 8)」セクションで説明している VPC アーキテクチャ (図 3 (p. 12)) を設定する必要があります。推奨される VPC 設計の詳細については、「Amazon VPC を使用したモジュール式のスケーラブルな仮想ネットワークアーキテクチャを構築するクイックスタート」を参照してください。

RD Gateway のインストールRD Gateway ロールのインストールは簡単です。管理者権限で起動した PowerShell インスタンスから以下のコマンドを使用します。

Install-WindowsFeature RDS-Gateway -IncludeManagementTools

完了すると、RD Gateway ロールと共に必要なソフトウェアと管理ツールすべてが、Windows Server2012 R2 を実行している EC2 インスタンスにインストールされます。

Windows Server 2008 R2 ベースのインストールの場合は、Microsoft のドキュメントの詳細なインストール手順に従うことをお勧めします。

自己署名証明書の実装自己署名証明書を使用する場合 (p. 7)は、すべてのクライアントデバイスにルート CA 証明書をインストールする必要があります。このガイドで自動化ソリューションとして提供されている AWS CloudFormationテンプレートは RD Gateway サービスに自己署名証明書を使用します。自動デプロイを使用しない場合は、自己署名証明書を生成するメカニズムを備えた RD Gateway 管理ツールを使用できます。

1. RD Gateway Manager を起動します。2. ローカルサーバー名のコンテキスト (右クリック) メニューを開き、[Properties] を選択します。

図 13: RD Gateway Manager の操作

33

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

自己署名証明書の実装

3. [SSL Certificate] タブで、[Create a self-signed certificate] が選択されていることを確認し、[Createand Import a Certificate] を選択します。

図 14: RD Gateway の SSL 証明書設定4. [Certificate name] に正しい完全修飾ドメイン名 (FQDN) が示されていることを確認します。ルート証

明書の場所を記録し、[OK] を選択します。

34

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

接続およびリソース権限付与ポリシーの設定

図 15: 自己署名証明書の作成5. 証明書をインストールしたら、サーバーの [Properties] ダイアログボックスを閉じて再び開き、新し

い自己署名証明書が正常にインストールされたことを確認します。

図 16: 新しい証明書を作成した後の SSL 証明書設定の表示

接続およびリソース権限付与ポリシーの設定手動デプロイ中に、RD Gateway ロールと SSL 証明書をインストールしたら、接続とリソース権限付与ポリシーを設定する準備が整いました (クイックスタートテンプレートによって自動的にこれらのテンプレートが設定されます)。

ポリシーを設定するには:

1. RD Gateway Manager を起動します。2. [Policies] ブランチのコンテキスト (右クリック) メニューを開き、[Create New Authorization Policies]

を選択します。

35

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

接続およびリソース権限付与ポリシーの設定

図 17: RD Gateway Manager の操作3. [Create New Authorization Policies] ウィザードで、[Create a RD CAP and a RD RAP

(recommended)]、[Next] の順に選択します。

図 18: 権限付与ポリシーの選択4. RD CAP のフレンドリ名を入力し、[Next] を選択します。5. [Select Requirements] 画面で、認証方法、RD Gateway への接続を許可するグループを定義し、

[Next] を選択します。

図 19: RD CAP の認証方法とグループの設定6. デバイスのリダイレクトを有効にするか無効にするかを選択してから、[Next] を選択します。7. タイムアウトと再接続の設定を指定し、[Next] を選択します。8. [RD CAP Settings Summary] 画面で、[Next] を選択します。9. RD RAP のフレンドリ名を入力し、[Next] を選択します。10. RAP に関連付けるユーザーグループを選択してから、[Next] を選択します。

36

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

接続およびリソース権限付与ポリシーの設定

図 20: RD RAP のグループメンバーシップの選択11. 管理者に RD Gateway を介した接続を許可する Windows ベースのインスタンス (ネットワークリソー

ス) を選択します。これは、特定のコンピュータを含む Active Directory 内のセキュリティグループです。以下の例では、管理者に任意のコンピュータへの接続を許可しています。[Next] を選択します。

図 21: ネットワークリソースの選択12. TCP ポート 3389 への接続を許可し、[Next] を選択します。

図 22: RDP ポートの選択13. [Finish]、[Close] の順に選択します。

37

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

フィードバックの送信GitHub リポジトリでは、このクイックスタートのテンプレートとスクリプトのダウンロード、コメントの投稿、および他のユーザーとのカスタマイズ内容の共有ができます。

38

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

ドキュメントの改訂日付 変更 場所

2017 年 6 月 RD Gateway インスタンスのAuto Scaling グループ、ElasticIP アドレスの割り当て、S3移植性の強化を追加。ActiveDirectory サーバーの IP 依存関係を削除。自動デプロイに焦点を当てるためにガイドを再編成、改訂。

ガイド全体での変更

2016 年 月 9 日 クイックスタートアセットの場所を設定する場合のパラメータを追加、デプロイ後の手順を明確化。

デプロイ手順 (p. 16)

2016年7月日 NAT ゲートウェイと更新されたVPC 設定を使用するようにテンプレートを更新、ドメイン参加済み RD Gateway インスタンスのテンプレートを追加。

デプロイ手順 (p. 16)

2015 年 9 月 コストパフォーマンスを向上させるために、RD Gateway インスタンスのデフォルトのタイプを m3.xlarge から m4.xlarge に変更。

デプロイ手順 (p. 16)

2015 年 3 月 拡張をサポートして複雑性を低減するため、基盤となる VPC 設計を最適化しました。

アーキテクチャ図 (p. 12)

2014 年 11 月 欧州 (フランクフルト) リージョンをサポートするために、NATInstanceType のデフォルトタイプを t2.small に変更。

デプロイ手順 (p. 16)

2014 年 4 月 初版発行 –

注意このデプロイガイドは、情報提供のみを目的としています。本書は、発行時点における AWS の現行製品と慣行を表したものであり、それらは予告なく変更されることがあります。お客様は本文書の情報および AWS 製品の使用について独自に評価する責任を負うものとします。これらの情報は、明示または黙示を問わずいかなる保証も伴うことなく、「現状のまま」提供されるものです。本文書内のいかなるものも、AWS、その関係者、サプライヤ、またはライセンサーからの保証、表明、契約的なコミットメント、条件や確約を意味するものではありません。お客様に対する AWS の責任は AWS 契約によって規定されています。また、本文書は、AWS とお客様との間の契約に属するものではなく、また、当該契約が本文書によって修正されることもありません。

39

AWS での RD Gateway クイックスタートリファレンスデプロイガイド

このガイドに付属のソフトウェアは Apache License バージョン 2.0 (以下 "License") の下で使用許諾されます。License に準拠する場合にのみ、このファイルを使用できます。License のコピーは、http://aws.amazon.com/apache2.0/ か、このファイルに添付されている "license" ファイルにあります。このコードは、明示的にも黙示的にも、いかなる種類の保証や条件もなく、"現状有姿" で配布されます。License の下での言語に基づくアクセス権限と制限については、License を参照してください。

40