Advanced Server AccessのAD-Joined向けゲートウェイを構成する

チームは、利用できるサーバーを検出してRDP（リモートデスクトッププロトコル）接続をActive Directory（AD）ドメインに転送するようにAdvanced Server Accessゲートウェイを構成できます。

ネットワークとゲートウェイの構成により、ADドメイン内のサーバーへの直接接続を制限することをお勧めします。これにより、ネットワークのセキュリティを損なうことなく、Advanced Server Accessを認証や監査などに利用できます。ネットワークとゲートウェイの構成が必要になる場合があります。サーバー検出とRDP接続には個別のゲートウェイを使用することをお勧めします。

要件

• Ubuntu 20.04、22.04、またはRHEL 8が稼働するデバイスにゲートウェイをインストールします
  「Advanced Server AccessのゲートウェイをUbuntuまたはDebianにインストールする」をご覧ください。
• ゲートウェイのバージョンを1.59.0以上に更新します。

このタスクを開始する

1. 認証証明書を作成します。Advanced Server Accessのゲートウェイに証明書を追加します。
2. 証明書をゲートウェイに移動します。
3. ゲートウェイのLDAPオプションを構成します。「LDAPオプション」をご覧ください。
4. ゲートウェイのRDPオプションを構成します。「RDPオプション」をご覧ください。
5. 任意のターゲットADドメインのDNS名解決を確認します。考えられるオプション：
   • クラウドDNS転送ルールを作成します。
   • ADドメインコントローラーをDNSサーバーとしてresolv.confまたはresolvconfに追加します。ゲートウェイとDNSサーバーの間でポート53が開いている必要があります。
     1. ターミナルから次のコマンドを実行してresolvconfをインストールします：sudo apt install resolvconf
     2. 次のコマンドを実行してresolvconfサービスを有効化します：sudo systemctl enable --now resolvconf.service
     3. ドメインコントローラーのネームサーバーのIPアドレスを/etc/resolvconf/resolv.conf.d/headファイルに追加します。
     4. 次のコマンドを実行してresolvconfのサブスクライバーを更新します： sudo resolvconf -u
6. クライアントがネットワーク経由でゲートウェイにアクセスできることを確認します。「接続オプション」をご覧ください。
7. ゲートウェイ経由のプロキシ接続を許可するようにネットワークを構成します。考えられるオプション：
   • RDPトラフィック（ポート3389）を既知の静的IPを持つゲートウェイホストのみに制限するファイアウォールルールを作成します。
   • ターゲットサーバーをプライベートネットワークに追加し、インバウンドアクセスをAdvanced Server Accessのゲートウェイのみに制限します。