Advanced Server AccessのAD-Joined向けゲートウェイを構成する

チームは、利用できるサーバーを検出してRDP(リモートデスクトッププロトコル)接続をActive Directory(AD)ドメインに転送するようにAdvanced Server Accessゲートウェイを構成できます。

ネットワークとゲートウェイの構成により、ADドメイン内のサーバーへの直接接続を制限することをお勧めします。これにより、ネットワークのセキュリティを損なうことなく、Advanced Server Accessを認証や監査などに利用できます。ネットワークとゲートウェイの構成が必要になる場合があります。サーバー検出とRDP接続には個別のゲートウェイを使用することをお勧めします。

要件

このタスクを開始する

  1. 認証証明書を作成します。Advanced Server Accessのゲートウェイに証明書を追加します
  2. 証明書をゲートウェイに移動します。
  3. ゲートウェイのLDAPオプションを構成します。「LDAPオプション」をご覧ください。
  4. ゲートウェイのRDPオプションを構成します。「RDPオプション」をご覧ください。
  5. 任意のターゲットADドメインのDNS名解決を確認します。考えられるオプション:
    • クラウドDNS転送ルールを作成します。
    • ADドメインコントローラーをDNSサーバーとしてresolv.confまたはresolvconfに追加します。ゲートウェイとDNSサーバーの間でポート53が開いている必要があります。
      1. ターミナルから次のコマンドを実行してresolvconfをインストールします:sudo apt install resolvconf
      2. 次のコマンドを実行してresolvconfサービスを有効化します:sudo systemctl enable --now resolvconf.service
      3. ドメインコントローラーのネームサーバーのIPアドレスを/etc/resolvconf/resolv.conf.d/headファイルに追加します。
      4. 次のコマンドを実行してresolvconfのサブスクライバーを更新します: sudo resolvconf -u
  6. クライアントがネットワーク経由でゲートウェイにアクセスできることを確認します。「接続オプション」をご覧ください。
  7. ゲートウェイ経由のプロキシ接続を許可するようにネットワークを構成します。考えられるオプション:
    • RDPトラフィック(ポート3389)を既知の静的IPを持つゲートウェイホストのみに制限するファイアウォールルールを作成します。
    • ターゲットサーバーをプライベートネットワークに追加し、インバウンドアクセスをAdvanced Server Accessのゲートウェイのみに制限します。