TS ゲートウェイの ISA Server シナリオを構成する

更新日: 2009年1月

適用対象: Windows Server 2008

TS ゲートウェイと共に Internet Security and Acceleration (ISA) Server 2004 または ISA Server 2006 を 使用し、ISA Server が SSL ブリッジ デバイスとして機能するように構成することによって、TS ゲートウェイ サーバーのセキュリティを強化できます。SSL ブリッジを使用すると、ISA Server によって SSL セッションを終端し、パケットを検査し、SSL セッションを再確立することができます。ISA Server は、着信 SSL トラフィックの暗号化を解除し、トラフィックをステートフルに検査して悪意のあるコードがないか確認した後、既知の悪用例と同じような特徴を示す疑わしいパケットを含んでいる接続をブロックします。これにより、セキュリティが向上します。また、ISA Server は、HTTP のステートフルなフィルタリングも実行します。これにより、HTTP アプリケーションの詳細な内容を検査できます。

内部ネットワーク リソースに対するリモート接続のセキュリティを強化するために、ISA Server と TS ゲートウェイ サーバーを併用できる 3 つのシナリオを次に示します。

  • ISA Server を SSL ブリッジ デバイス (Web プロキシ) として使用する。このシナリオでは、ISA Server は境界ネットワークでホストされ、ターミナル サービス クライアントと TS ゲートウェイ サーバー間の SSL ブリッジとして機能します。TS ゲートウェイ サーバーは社内ネットワークまたはプライベート ネットワークでホストされます。

    このシナリオは、次のセクションの図に示されています。

  • ISA Server をファイアウォール兼 SSL ブリッジ デバイスとして使用する。このシナリオでは、ISA Server は、ポート フィルタリング、パケット フィルタリング、SSL ブリッジを実行するファイアウォールとして機能します。TS ゲートウェイ サーバーは、ISA Server が外部ファイアウォールとして配置されるか内部ファイアウォールとして配置されるかに応じて、社内ネットワークまたはプライベート ネットワークでホストされるか、境界ネットワークでホストされます。

  • ISA Server を、ポート フィルタリングを実行するファイアウォールとして使用する (サーバー公開)。このシナリオでは、ISA Server はパケット フィルタリングを実行する外部ファイアウォールとして機能し、ポート 443 経由のトラフィックだけを許可します。TS ゲートウェイ サーバーは境界ネットワークでホストされます。

noteメモ
このセットアップ ガイドの手順では、1 番目のシナリオ (ISA Server を SSL ブリッジ デバイス (Web プロキシ) として使用する) に関してのみ、詳細な構成情報を提供します。それ以外の 2 つのシナリオも内部ネットワーク リソースに対するリモート接続のセキュリティ強化を目的としていますが、これらのシナリオは TS ゲートウェイと共に ISA Server を使用するための代替方法として紹介します。

TS ゲートウェイ の ISA Server シナリオに対応したテスト済みシステム構成

Microsoft では、次のシステム構成を使用して TS ゲートウェイ の ISA Server シナリオをテストしました。

 

コンピュータ 必要な構成

TS ゲートウェイ サーバー (TSGSERVER)
  • Windows Server 2008。Windows Server 2003 Service Pack 1 (SP1) または Windows Server 2008 からのアップグレード版のインストールも使用できます。詳細については、Windows Server 2008 のインストールに関するページ (http://go.microsoft.com/fwlink/?LinkId=104824) (英語の可能性あり) で、サポートされるアップグレード パスに関するトピックを参照してください。

ISA Server (ISASERVER)
  • Windows Server 2003 および ISA Server 2004 Service Pack 3 (SP3)。

    または

  • Windows Server 2003 および ISA Server 2006。

ターミナル サービス クライアント (TSCLIENT)
  • Windows Vista SP1 または Windows XP SP3 Beta または Windows XP SP3 リリース候補 (RC)。

  • 。Windows XP Service Pack 2 (SP2) からのアップグレード版のインストールも使用できます。

  • Windows XP SP2 およびターミナル サービス クライアント、リモート デスクトップ接続 (RDC) 6.0。RDC 6.0 をダウンロードするには、Microsoft サポート技術情報の文書番号 925876 の記事 (http://go.microsoft.com/fwlink/?LinkId=79373) を参照してください。

  • Windows Server 2008。アップグレード版のインストールも使用できます。

  • Windows Server 2003 SP1 または Windows Server 2003 SP2、および RDC 6.0。

内部ネットワーク リソース (CORPORATERESOURCE)
  • Windows Vista SP1 または Windows XP SP3 Beta または Windows XP SP3 RC。

  • Windows Vista。Windows XP SP2 からのアップグレード版のインストールも使用できます。

  • Windows XP SP2。

  • Windows Server 2008。アップグレード版のインストールも使用できます。

  • Windows Server 2003 SP1 または Windows Server 2003 SP2。

ISA Server と TS ゲートウェイ サーバー間の接続を構成する

次の 2 つのうちいずれかの方法で、ISA Server と TS ゲートウェイ サーバーとの通信を構成できます。

  • HTTPS-HTTPS ブリッジ : この構成では、TS ゲートウェイ クライアントが SSL ブリッジ デバイスに対して SSL (HTTPS) 要求を開始します。最大限のセキュリティを実現するため、SSL ブリッジ デバイスは TS ゲートウェイ サーバーに対して新しい HTTPS 要求を開始します。

  • HTTPS-HTTP ブリッジ : この構成では、TS ゲートウェイ クライアントが SSL ブリッジ デバイスに対して SSL (HTTPS) 要求を開始します。SSL ブリッジ デバイスは TS ゲートウェイ サーバーに対して新しい HTTP 要求を開始します。

TS ゲートウェイの ISA Server シナリオをセットアップする

次の図は、TS ゲートウェイの ISA Server シナリオを示しています。ここでは、ISA Server が SSL ブリッジ デバイスとして使用されています。

TS ゲートウェイ用の ISA Server シナリオ
noteメモ
このセットアップ ガイドの手順では、ターミナル サービス クライアントから TS ゲートウェイ サーバーを経由するリモート アクセスをセットアップする方法を示します。この場合、クライアントからの SSL トラフィックは、最初に、SSL ブリッジとして使用される ISA Server に送信されます。このガイドでは、ISA Server 2004 または ISA Server 2006 のインストール方法については説明しません。また、図に示すファイアウォール、RemoteApp プログラムを実行するターミナル サーバー (LOB アプリケーションをホスト)、境界ネットワーク、および Active Directory インフラストラクチャの各構成方法についても説明しません。このシナリオを運用環境に実装する方法はいくつかあり、図はその一例です。

ISA Server シナリオ用に TS ゲートウェイを構成する手順

TS ゲートウェイ サーバーと ISA Server ブリッジのシナリオを構成するには、次のタスクを実行します。

 

タスク 詳細な手順 (参照先)

1. TS ゲートウェイ サーバー用の SSL 証明書をエクスポートし、ISA Server にコピーする。

TS ゲートウェイ サーバー用の SSL 証明書をエクスポートし、ISA Server にコピーする

2. TS ゲートウェイ サーバー用の SSL 証明書を ISA Server にインストールする。

TS ゲートウェイ サーバー用の SSL 証明書を ISA Server にインストールする

3. TS ゲートウェイ サーバーのルート証明書を ISA Server にコピーしてインストールする。

noteメモ
この手順が必要になるのは、自己署名証明書、またはその他の信頼されていない種類の SSL 証明書を使用する場合だけです。

TS ゲートウェイ サーバーのルート証明書を ISA Server にコピーしてインストールする

4. ISA Server に新しい Web 公開ルールを作成する。

ISA Server に新しい Web 公開ルールを作成する

5. TS ゲートウェイ サーバーで HTTPS-HTTP ブリッジを有効または無効にする。

TS ゲートウェイ サーバーで HTTPS-HTTP ブリッジを有効または無効にする

6. クライアント構成を確認し、エンドツーエンド接続をテストする。

クライアント構成を確認し、エンドツーエンド接続をテストする

1. TS ゲートウェイ サーバー用の SSL 証明書をエクスポートし、ISA Server にコピーする

証明書をエクスポートする際は必ず、秘密キーをエクスポートします。選択した証明書に対してこのオプションを使用できない場合は、ISA Server 用に新しい証明書を取得する必要があります。ISA Server の証明書の要件については、ISA Server 2004 のデジタル証明書に関するページ (http://go.microsoft.com/fwlink/?LinkId=104827) (英語の可能性あり)、および ISA Server の公開における SSL 証明書のトラブルシューティングに関するページ (http://go.microsoft.com/fwlink/?LinkId=104826) (英語の可能性あり) を参照してください。

TS ゲートウェイ サーバー用の SSL 証明書をエクスポートし、それを ISA Server にコピーするには、TS ゲートウェイ サーバーで次の手順を実行します。

TS ゲートウェイ サーバー用の SSL 証明書をエクスポートし、ISA Server にコピーするには

  1. TS ゲートウェイ サーバーで、証明書スナップイン コンソールを開きます。証明書スナップイン コンソールを追加していない場合は、次の手順で追加できます。

    1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「mmc」と入力して、[OK] をクリックします。

    2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。

    3. [スナップインの追加と削除] ダイアログ ボックスの [利用できるスナップイン] の一覧で、[証明書] をクリックし、[追加] をクリックします。

    4. [証明書スナップイン] ダイアログ ボックスで、[コンピュータ アカウント] をクリックし、[次へ] をクリックします。

    5. [コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ (このコンソールを実行しているコンピュータ)] をクリックし、[完了] をクリックします。

    6. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  2. 証明書スナップイン コンソールのコンソール ツリーで、[証明書 (ローカル コンピュータ)]、[個人] の順に展開し、[証明書] をクリックします。

  3. [証明書] で、TS ゲートウェイ サーバーの証明書を選択します。証明書が複数表示され、どれを選択するかわからない場合は、それぞれの証明書のプロパティを確認して TS ゲートウェイ サーバーの要件を満たす証明書を特定します。

  4. エクスポートする TS ゲートウェイ証明書を右クリックし、[すべてのタスク] をポイントして、[エクスポート] をクリックします。

  5. [証明書のエクスポート ウィザードの開始] ページで、[次へ] をクリックします。

  6. [秘密キーのエクスポート] ページで、[はい、秘密キーをエクスポートします] をクリックし、[次へ] をクリックします。

  7. [エクスポート ファイルの形式] ページで、[Personal Information Exchange - PKCS #12 (.PFX)] が選択されていることを確認し、[証明のパスにある証明書を可能であればすべて含む] チェック ボックスをオンにして、[次へ] をクリックします。

  8. [パスワード] ページで、証明書の秘密キーを保護するためのパスワードを入力し、もう一度確認入力して、[次へ] をクリックします。

  9. [エクスポートするファイル] ページの [ファイル名] ボックスで、[参照] をクリックします。

  10. [名前を付けて保存] ダイアログ ボックスで、エクスポートする証明書の名前と、証明書のエクスポート先を指定します。必ず、ISA Server からアクセスできる場所を指定する必要があります。その後、[保存] をクリックします。

  11. [エクスポートするファイル] ページで、[次へ] をクリックします。

  12. [証明書のエクスポート ウィザードの完了] ページで、適切な証明書が指定されていること、[キーのエクスポート] が [はい] に設定されていること、および [証明のパスにあるすべての証明書を含める] が [はい] に設定されていることを確認し、[完了] をクリックします。

  13. 証明書のエクスポートが正常に完了した後、エクスポートが正常に行われたことを確認するメッセージが表示されます。[OK] をクリックします。

  14. 証明書スナップインを閉じます。

  15. 証明書を ISA Server にコピーします。

2. TS ゲートウェイ サーバー用の SSL 証明書を ISA Server にインストールする

TS ゲートウェイ サーバー用の SSL 証明書をインストールするには、ISA Server で次の手順を実行します。

TS ゲートウェイ サーバー用の SSL 証明書を ISA Server にインストールするには

  1. ISA Server で、証明書スナップイン コンソールを開きます。証明書スナップイン コンソールを追加していない場合は、次の手順で追加できます。

    1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「mmc」と入力して、[OK] をクリックします。

    2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。

    3. [スナップインの追加と削除] ダイアログ ボックスの [利用できるスナップイン] の一覧で、[証明書] をクリックし、[追加] をクリックします。

    4. [証明書スナップイン] ダイアログ ボックスで、[コンピュータ アカウント] をクリックし、[次へ] をクリックします。

    5. [コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ (このコンソールを実行しているコンピュータ)] をクリックし、[完了] をクリックします。

    6. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  2. 証明書スナップイン コンソールのコンソール ツリーで、[証明書 (ローカル コンピュータ)] を展開し、[個人] をクリックします。

  3. [個人] フォルダを右クリックし、[すべてのタスク] をポイントして [インポート] をクリックします。

  4. [証明書のインポート ウィザードの開始] ページで、[次へ] をクリックします。

  5. [インポートする証明書ファイル] ページの [ファイル名] ボックスで、[参照] をクリックし、TS ゲートウェイ サーバー用の SSL 証明書をコピーした場所を探します。証明書 (証明書名.pfx) を選択して [開く] をクリックし、[次へ] をクリックします。

  6. [パスワード] ページで、次の操作を行います。

    • 証明書に関連付けられた秘密キー用のパスワードを指定済みの場合は、パスワードを入力します。

    • 秘密キーをエクスポート可能にする場合は、[このキーをエクスポート可能にする] チェック ボックスをオンにします。

    • [すべての拡張プロパティを含める] チェック ボックスがオンになっていることを確認します。

  7. [次へ] をクリックします。

  8. [証明書ストア] ページで、[証明書の種類に基づいて、自動的に証明書ストアを選択する] をクリックし、[次へ] をクリックします。

  9. [証明書のインポート ウィザードの完了] ページで、適切な証明書が選択されていること、および次の証明書の設定が表示されていることを確認します。

    • 選択された証明書ストア : ウィザードで自動的に決定されます。

    • 内容 : PFX

    • ファイル名 : FilePath\<証明書名.pfx> (<証明書名> は TS ゲートウェイ サーバーの SSL 証明書の名前)

  10. [完了] をクリックします。

  11. 証明書のインポートが正常に完了した後、インポートが正常に行われたことを確認するメッセージが表示されます。[OK] をクリックします。

  12. コンソール ツリーで [証明書] を選択し、詳細ウィンドウで、ISA Server 上の証明書の一覧に適切な証明書が表示されることを確認します。証明書は、ローカル コンピュータの [個人] ストアの下に配置する必要があります。

3. TS ゲートウェイ サーバーのルート証明書を ISA Server にコピーしてインストールする

この手順が必要になるのは、次の場合だけです。

  • 自己署名証明書、またはその他の信頼されていない種類の SSL 証明書を使用する場合。

  • ISA Server に証明書をインストールした際 (前の手順を参照)、証明書チェーンをダウンロードするオプションまたは [証明書の種類に基づいて、自動的に証明書ストアを選択する] を選択しなかった場合。

TS ゲートウェイ サーバーのルート証明書を ISA Server にコピーしてインストールするには

  1. ISA Server で、証明書スナップイン コンソールを開きます。証明書スナップイン コンソールを追加していない場合は、次の手順で追加できます。

    1. [スタート] ボタン、[ファイル名を指定して実行] の順にクリックし、「mmc」と入力して、[OK] をクリックします。

    2. [ファイル] メニューの [スナップインの追加と削除] をクリックします。

    3. [スナップインの追加と削除] ダイアログ ボックスの [利用できるスナップイン] の一覧で、[証明書] をクリックし、[追加] をクリックします。

    4. [証明書スナップイン] ダイアログ ボックスで、[コンピュータ アカウント] をクリックし、[次へ] をクリックします。

    5. [コンピュータの選択] ダイアログ ボックスで、[ローカル コンピュータ (このコンソールを実行しているコンピュータ)] をクリックし、[完了] をクリックします。

    6. [スナップインの追加と削除] ダイアログ ボックスで、[OK] をクリックします。

  2. [証明書] スナップイン コンソールのコンソール ツリーで、[証明書 (ローカル コンピュータ)]、[信頼されたルート証明機関] の順に展開し、[証明書] を右クリックして [すべてのタスク] をポイントし、[インポート] をクリックします。

  3. [証明書のインポート ウィザードの開始] ページで、[次へ] をクリックします。

  4. [インポートする証明書ファイル] ページの [ファイル名] ボックスで、[参照] をクリックし、TS ゲートウェイ サーバーのルート証明書の格納場所を探します。ルート証明書 (<ルート証明書名.cer>、または、秘密キーもエクスポートされている場合は <ルート証明書名.pfx>) を選択して、[開く] をクリックし、[次へ] をクリックします。

    noteメモ
    TS ゲートウェイ役割サービスのインストール中に役割の追加ウィザードを使用するか、インストール後に TS ゲートウェイ マネージャを使用して (「TS ゲートウェイの主要シナリオを構成する」の「TS ゲートウェイ用の自己署名証明書を作成する」を参照) 自己署名証明書を作成した場合は、その自己署名証明書がルート証明書にもなります。

  5. [パスワード] ページで、証明書に関連付けられた秘密キー用のパスワードを指定済みの場合はパスワードを入力します。

  6. [証明書ストア] ページで、既定のオプションである [証明書をすべて次のストアに配置する - 信頼されたルート証明機関] を受け入れ、[次へ] をクリックします。

  7. [証明書のインポート ウィザードの完了] ページで、次の証明書の設定が表示されていることを確認します。

    • ユーザーが選択した証明書ストア : 信頼されたルート証明機関

    • 内容 : 証明書 (または PFX)

    • ファイル名 : FilePath\<ルート証明書名.cer> (または <ルート証明書名.pfx>) (<ルート証明書名> は TS ゲートウェイ サーバーのルート証明書の名前)

  8. [完了] をクリックします。

  9. 証明書のインポートが正常に完了した後、インポートが正常に行われたことを確認するメッセージが表示されます。[OK] をクリックします。

  10. コンソール ツリーで [証明書] を選択し、詳細ウィンドウで、ISA Server 上の証明書の一覧に TS ゲートウェイ サーバーのルート証明書が表示されることを確認します。また、ローカル コンピュータの [信頼されたルート証明機関] ストアに証明書が表示されることを確認します。

4. ISA Server に新しい Web 公開ルールを作成する

HTTPS-HTTP ブリッジまたは HTTPS-HTTPS ブリッジが機能するように TS ゲートウェイ サーバーと ISA Server を構成するには、ISA Server に適切な Web 公開ルールを作成する必要があります。

Important重要
ISA Server の Web 公開ルールを作成する手順は、ISA Server 2004 と ISA Server 2006 のどちらを使用しているかによって異なります。使用している ISA Server のバージョンに対応した手順に従ってください。

ISA Server 2004 用の Web 公開ルールを作成する

ISA Server 2004 用の新しい Web 公開ルールを作成するには、次の手順を実行します。

ISA Server 2004 用の Web 公開ルールを作成するには

  1. ISA Server で、ISA Server の管理コンソールを開きます。ISA Server の管理コンソールを開くには、[スタート] ボタンをクリックし、[すべてのプログラム]、[Microsoft ISA Server] の順にポイントして、[ISA Server の管理] をクリックします。

  2. コンソール ツリーで、<ローカル ISA Server> を参照します。

  3. [ファイアウォール ポリシー] を右クリックして [新規作成] をポイントし、[セキュリティで保護された Web サーバー公開ルール] をクリックします。

  4. [SSL Web 公開ルール ウィザードの開始] ページで、[SSL Web 公開ルールの名前] ボックスに新しいサーバー公開ルールの名前を入力し、[次へ] をクリックします。

  5. [公開モード] ページで、[SSL ブリッジ] をクリックし、[次へ] をクリックします。

  6. [ルールの動作の選択] ページで、[許可] をクリックし、[次へ] をクリックします。

  7. [ブリッジ モード] ページで、次のいずれかの操作を行います。

    • HTTPS-HTTP ブリッジを有効にするには、[クライアント接続をセキュリティで保護する] をクリックし、[次へ] をクリックします。

    • HTTPS-HTTPS ブリッジを有効にするには、[クライアントと Web サーバーの接続をセキュリティで保護する] をクリックし、[次へ] をクリックします。

  8. [発行する Web サイトの定義] ページで、次の操作を行います。

    1. [コンピュータ名または IP アドレス] ボックスに、TS ゲートウェイ サーバーの名前を入力します。指定する名前は、このシナリオでユーザーが接続時に経由する TS ゲートウェイ サーバーの名前と一致している必要があります。また、TS ゲートウェイ サーバーにインストールされている証明書に含まれる証明書の名前 (CN) と一致している必要もあります。

    2. [元のホスト ヘッダーを、上で指定したサーバーに転送する] チェック ボックスをオンにします。

    3. [パス] ボックスに、「/*」と入力します。

  9. [パブリック名の詳細] ページで、次の操作を行います。

    1. [要求の許可] で、[次に入力したドメイン名] が選択されていることを確認します。

    2. [パブリック名] ボックスに、TS ゲートウェイ サーバーの名前を入力します。指定する名前は、このシナリオでユーザーが接続時に経由する TS ゲートウェイ サーバーの名前と一致している必要があります。

    3. [パス] ボックスが空白であることを確認します。

    4. [次へ] をクリックします。

  10. 必要な場合は、新しい SSL Web リスナを作成します。パブリック名と一致する証明書に既にリスナが存在する場合、新たに SSL Web リスナを作成する必要はありません。この場合、適切な Web リスナを選択して [次へ] をクリックし、手順 11 に進みます。

    新しい SSL Web リスナを作成する必要がある場合は、次の操作を行います。

    1. [新しい Web リスナ ウィザードの開始] ページで、[Web リスナ名] ボックスに Web リスナの名前を入力し、[次へ] をクリックします。Web リスナが既に ISA Server 用に構成されている場合は、[Web リスナの選択] ページで [新規作成] をクリックして [新しい Web リスナ ウィザードの開始] ページを開き、ここから新しい Web リスナを指定します。

    2. [IP アドレス] ページの [次のネットワークからの要求をリッスン] の下で、[外部] チェック ボックスをオンにし、[次へ] をクリックします。

    3. [ポートの指定] ページで、次の操作を行います。

    4. [SSL] で、[SSL を有効にする] チェック ボックスをオンにし、[HTTP を有効にする] チェック ボックスをオフにします。

    5. [選択] をクリックし、[証明書の選択] ダイアログ ボックスで、使用する証明書をクリックします。

    6. [OK] をクリックして [証明書の選択] ダイアログ ボックスを閉じ、[次へ] をクリックします。

    7. [新しい Web リスナ ウィザードの完了] ページで、[完了] をクリックします。

  11. [Web リスナの選択] ページで、正しい Web リスナのプロパティが表示されることを確認し、[次へ] をクリックします。

  12. [ユーザー セット] ページで、[すべてのユーザー] をクリックし、[次へ] をクリックします。

  13. [新しい SSL Web 公開ルール ウィザードの完了] ページで、[完了] をクリックします。

  14. 変更内容を保存し、ISA Server のファイアウォール ポリシーを更新するには、ISA Serverの管理コンソールの詳細ウィンドウで [適用] をクリックします。

  15. 変更の適用中は進行状況バーが表示されます。適用が完了したら、[新しい構成の適用] ダイアログ ボックスで [OK] をクリックします。

ISA Server 2006 用の Web 公開ルールを作成する

ISA Server 2006 用の新しい Web 公開ルールを作成するには、次の手順を実行します。

ISA Server 2006 用の Web 公開ルールを作成するには

  1. ISA Server で、ISA Server の管理コンソールを開きます。ISA Server の管理コンソールを開くには、[スタート] ボタンをクリックし、[すべてのプログラム]、[Microsoft ISA Server] の順にポイントして、[ISA Server の管理] をクリックします。

  2. コンソール ツリーで、ISA Server を表すノードをクリックして選択します。このノードには、ISA Server を実行しているコンピュータの名前が付けられています。

  3. [ファイアウォール ポリシー] をクリックします。

  4. [タスク] タブで、[Web サイトの公開] をクリックします。

  5. [新しい Web 公開ルール ウィザードへようこそ] ページで、[Web 公開ルールの名前] ボックスに新しい公開ルールの名前を入力し、[次へ] をクリックします。

  6. [ルールの動作の選択] ページで、[許可] をクリックし、[次へ] をクリックします。

  7. [公開の種類] ページで、[1 つの Web サイトまたは負荷分散装置を公開する] が選択されていることを確認し、[次へ] をクリックします。

  8. [サーバー接続セキュリティ] ページで、[公開された Web サーバーまたはサーバー ファームへの接続に SSL を使用する] を選択し、[次へ] をクリックします。

  9. [内部公開の詳細] ページで、[内部サイト名] ボックスに TS ゲートウェイ サーバーの名前を入力し、[次へ] をクリックします。

    ISA Server が TS ゲートウェイ サーバーの名前を解決できない場合は、TS ゲートウェイ サーバーの IP アドレスを入力します。代わりに、Hosts ファイルにこの情報を含めることもできます。

  10. 2 つ目の [内部公開の詳細] ページで、次の操作を行います。

    1. [パス] ボックスが空白であることを確認します。

    2. [前のページの [内部サイト名] フィールドで指定した実際のホストヘッダーの代わりに元のホスト ヘッダーを、転送する] チェック ボックスがオフになっていることを確認します。

    3. [次へ] をクリックします。

  11. [パブリック名の詳細] ページで、次の操作を行います。

    1. [要求の許可] で、[次に入力したドメイン名] が選択されていることを確認します。

    2. [パブリック名] ボックスに、TS ゲートウェイ サーバーの名前を入力します。指定する名前は、このシナリオでユーザーが接続時に経由する TS ゲートウェイ サーバーの名前と一致している必要があります。また、TS ゲートウェイ サーバーにインストールされている証明書内に含まれる、証明書の名前 (CN) または記憶域ネットワーク (SAN) と一致している必要もあります。

      noteメモ
      証明書の SAN 属性を使用する場合、TS ゲートウェイ サーバーに接続するクライアントでは、RDC 6.1 が実行されている必要があります。RDC 6.1 は、次のオペレーティング システムで使用できます。

      •Windows Server 2008

      •Windows Vista SP1

      •Windows XP SP3 Beta または Windows XP SP3 RC

      RDC 6.1 (6.0.6001) クライアントでは、リモート デスクトップ プロトコル 6.1 がサポートされています。

      RDC 6.0 は、Windows Vista で使用できます。

      RDC 6.0 ソフトウェアは、Windows Server 2003 SP1、Windows Server 2003 SP2、および Windows XP SP2 でも使用できます。これらのプラットフォームでターミナル サービスの新機能を使用するには、Microsoft サポート技術情報の文書番号 925876 の記事からインストーラ パッケージをダウンロードしてください。

    3. [パス] ボックスが空白であることを確認します。

    4. [次へ] をクリックします。

  12. 必要な場合は、新しい SSL Web リスナを作成します。パブリック名と一致する証明書に既にリスナが存在する場合、新たに SSL Web リスナを作成する必要はありません。この場合、適切な Web リスナを選択して [次へ] をクリックし、手順 13. に進みます。

    新しい SSL Web リスナを作成する必要がある場合は、次の操作を行います。

    1. [Web リスナの選択] ページで、[新規作成] をクリックします。

    2. [新しい Web リスナ ウィザードの開始] ページで、[Web リスナ名] ボックスに Web リスナの名前を入力し、[次へ] をクリックします。

    3. [クライアント接続セキュリティ] ページで、[クライアントとの SSL セキュリティ保護接続を必要とする] をクリックし、[次へ] をクリックします。

    4. [Web リスナの IP アドレス] ページで、次の操作を行います。

    5. [着信方向の Web 要求をリッスンするネットワーク] の下で、[外部] チェック ボックスをオンにします。

    6. [コンテンツを要求しているクライアントで圧縮がサポートされている場合、この Web リスナを経由してクライアントに送信されるコンテンツは圧縮されます] チェック ボックスがオンになっていることを確認します。

    7. [IP アドレスの選択] をクリックします。

    8. [外部リスナの IP 選択] ページで、次の操作を行います。

    9. [指定した IP アドレス] をクリックします。[利用できる IP アドレス ] で、適切な IP アドレスを選択して [追加] をクリックし、[OK] をクリックします。

    10. [次へ] をクリックします。

    11. [リスナの SSL 証明書] ページで、[IP アドレスごとに証明書を割り当てる] をクリックし、適切な IP アドレスを選択して [証明書の選択] をクリックします。

    12. [証明書の選択] ページの [証明書の選択] で、TS ゲートウェイ サーバーの証明書をクリックして [選択] をクリックし、[次へ] をクリックします。

    13. [認証の設定] ページで、[認証なし] をクリックし、[次へ] をクリックします。

    14. [シングル サインオンの設定] ページで、[このセットアップに SSO を使用しない] をクリックし、[次へ] をクリックします。

    15. [新しい Web リスナ ウィザードの完了] ページで、[完了] をクリックします。

    16. 2 つ目の [新しい Web リスナ ウィザードの完了] ページで、正しい Web リスナのプロパティが表示されることを確認し、[完了] をクリックします。

  13. [Web リスナの選択] ページで、適切な Web リスナが選択されていることを確認し、[次へ] をクリックします。

  14. [認証の委任] ページで、[委任できません。クライアントは直接認証できません] をクリックし、[次へ] をクリックします。

  15. [ユーザー セット] ページで、[すべてのユーザー] が選択されていることを確認し、[次へ] をクリックします。

  16. [新規 Web サイト公開ルール ウィザードの完了] ページで、[完了] をクリックします。

  17. 変更内容を保存し、ISA Server のファイアウォール ポリシーを更新するには、ISA Serverの管理コンソールの詳細ウィンドウで [適用] をクリックします。

  18. 変更の適用中は進行状況バーが表示されます。適用が完了したら、[新しい構成の適用] ダイアログ ボックスで [OK] をクリックします。

5. TS ゲートウェイ サーバーで HTTPS-HTTP ブリッジを有効または無効にする

HTTPS-HTTP ブリッジを有効にするには、TS ゲートウェイ サーバーの [SSL ブリッジ] タブで、[HTTPS-HTTP ブリッジ機能を使用] チェック ボックスをオンにする必要があります。このチェック ボックスをオフにすると、HTTPS-HTTP ブリッジが無効になります。この設定をオフにしないで HTTPS-HTTPS ブリッジの使用を試みた場合、TS ゲートウェイ サーバーは機能しません。設計上、このチェック ボックスのオンとオフによって、AllowAnonymous レジストリ エントリの値が作成されるか更新されるかが決まります。

Important重要
HTTPS-HTTP ブリッジを有効にすると、TS ゲートウェイ サーバーでは統合 Windows 認証しか使用できなくなります。このシナリオで SSL ブリッジとしての ISA Server の使用を停止する場合は、TS ゲートウェイ サーバーで HTTPS-HTTP ブリッジを無効にして、ここで示した構成の変更をロールバックすることを強くお勧めします。このシナリオでの構成の変更をロールバックしないと、TS ゲートウェイではあらゆるユーザーのアクセスが許可されることになります。

6. クライアント構成を確認し、エンドツーエンド接続をテストする

ISA Server 経由で TS ゲートウェイ サーバーに接続するターミナル サービス クライアントは、ISA Server の外部ネットワーク部分に配置できます。Web パブリケーションは内部ネットワーク用に構成することもできます。こうすると、TS ゲートウェイ サーバーに単一の名前空間を使用でき、ターミナル サービス クライアントが TS ゲートウェイ サーバーに接続する前に必ず ISA Server を経由するようにできます。

一般的な展開では、TS ゲートウェイ サーバーのアドレスと ISA Server の IP アドレスは DNS で公開されます。このため、クライアントでは TS ゲートウェイ サーバーのアドレスが ISA Server に解決されます。安全な Web 公開ルールを ISA Server に作成することによって、外部ネットワークから TS ゲートウェイ サーバーへの着信要求がすべて、内部ネットワーク内に配置されている TS ゲートウェイ サーバーに転送されるようにできます。

テスト目的で、DNS にエントリを公開できない場合は、エントリをクライアントの Hosts ファイルに追加できます。このファイルにより、TS ゲートウェイ サーバーのアドレスが ISA Server の IP アドレスにマップされます。クライアントの Hosts ファイルは、%windir%\system32\drivers\etc\hosts にあります。

次に、「TS ゲートウェイの主要シナリオを構成する」の「TS ゲートウェイの主要シナリオ用にターミナル サービス クライアントを構成する手順」の説明どおりに、クライアントが TS ゲートウェイ クライアントとして正しく構成されていることを確認します。このシナリオでの接続が正常に行われていることを確認するには、「TS ゲートウェイの主要シナリオを構成する」の「TS ゲートウェイ経由でのエンドツーエンド接続が正常に機能することを確認する」の手順を実行します。

その他の参照情報

ISA Server 経由での RPC over HTTP 接続のテストとトラブルシューティングに関する情報については、次のリソースを参照してください。

タグ :


Page view tracker