Windows
Windowsでアドバンストサーバーアクセスを使用するには、アドバンストサーバーアクセスのツールをサーバーにインストールし、クライアントにクライアントツールをインストールする必要があります。手順については以下をご覧ください。
アドバンストサーバーアクセスのサーバーツールがサーバーにインストールされ、サーバーが登録されると、アドバンストサーバーアクセスのエージェント(sftd
)は次の2つのことを行います。
- Linuxの場合と同様、サーバーへのアクセスを必要とするすべてのアドバンストサーバーアクセスのユーザーにローカルアカウントを作成します。Windowsの場合、これらのアカウントは最初は無効に設定されています。
- ポート4421でリッスンする追加のAccess Brokerを実行します。
Access BrokerはTLS 1.2を使用して、アドバンストサーバーアクセスのプラットフォームでのみ発行可能なクライアント証明書を用いてすべてのクライアントを認証します。
接続の確立
RDP接続を確立するために、アドバンストサーバーアクセスのクライアントは次を実行します。
- アドバンストサーバーアクセスのプラットフォームと通信して、アクセスブローカーへの認証に使用できる短時間のみ有効な資格情報を取得します。
- オプションとして、中間要塞サーバを介してSSHトンネルを確立します。いずれかの要塞が認証のためにアドバンストサーバーアクセスも使用する場合、短時間のみ有効な資格情報を透過的に取得します。
- アドバンストサーバーアクセスのブローカー(該当する場合はSSHトンネルを経由) に接続して、プラットフォームに提供された短時間のみ有効な証明書を使用して認証します。また、クライアントは、中間者攻撃(man-in-the-middle attack)から防御するために、プラットフォームの提供する証明書に対し、サーバーのホスト証明書を比べて認証します。
- クライアントはサーバー上のユーザーアカウントへのアクセスを要求します。この時点でブローカーは、エージェントがユーザーアカウントを有効にするよう要求します。
- ブローカーを介してプロキシされたRDP接続をネゴシエートします。その後、クライアントはクライアントのランダムポート上でTCPサーバーを起動でき、このポートはブローカーを介してサーバー上のRDPサービスへプロキシされます。
- クライアントは、現在クライアントがリスニングしているランダムなローカルポートを含む、接続情報の掲載されたRDP接続ファイルに書き込みます。その後、この構成でWindowsターミナル サービスのクライアントを開きます。
RDPクライアントはローカルTCPに接続し、サーバー上のRDPサービスに転送されます。RDPサーバーは確認メッセージを表示せずに、ユーザーを自動的に認証できるようになります。
ユーザーがログアウトすると、エージェントはユーザーのアカウントを自動的に無効化します。
サーバー構成
Windowsサーバーの構成は、Linuxの場合と同じ原則に従います。
登録トークンを使用してサーバーを登録するには、トークンを次の場所に書き込みます。
C:\windows\system32\config\systemprofile\AppData\Local\scaleft\enrollment.tokenまたは、AWSを使用している場合は、AWSアカウントをアドバンストサーバーアクセスのプロジェクトに関連付けることもできます。「 クラウドサーバーを展開する」をご覧ください。
アドバンストサーバーアクセスのサーバーツールのインストーラーはここから入手可能です。
アドバンストサーバーアクセスのサーバーツールは、次のuserdataスクリプトを使用してAWSに自動的にインストールすることができます。登録トークンを使用している場合は、必ず$enrollment_token
の値を置き換えてください。AWSアカウントをアドバンストサーバーアクセスのプロジェクトに関連付けている場合、登録トークンを書き込む処理を担当するスクリプトの前半を省略することができます。
<powershell>
# 登録トークンを書き込む
$enrollment_token = "ENROLLMENT TOKEN GOES HERE"
$enrollment_token_path = "C:\windows\system32\config\systemprofile\AppData\Local\scaleft\enrollment.token" New-Item -ItemType directory -Path (Split-Path $enrollment_token_path -Parent) $enrollment_token | Out-File $enrollment_token_path -Encoding "ASCII"
# アドバンストサーバーアクセスサーバーツールをインストールする
$installer_url = "https://dist.scaleft.com/server-tools/windows/latest/ScaleFT-Server-Tools-latest.msi"
$installer_path = [System.IO.Path]::ChangeExtension([System.IO.Path]::GetTempFileName(), ".msi") (New-Object System.Net.WebClient).DownloadFile($installer_url, $installer_path) msiexec.exe /qb /I $installer_path
</powershell>
サーバーに接続する
アドバンストサーバーアクセスを使用してRDPからサーバーに接続するには、次を実行します。
sft rdp <server-name>
1つまたは複数の要塞を経由する必要がある場合は、次のような--via
引数を使用します。
sft rdp --via <first.bastion> --via <second.bastion> <server>

注:Windows RDPクライアントを使用してWindowsサーバーをに接続すると、タイトルバーにループバックIPアドレスが表示されることがあります(例127.0.0.1)。
パス
-
State directory: C:\Windows\System32\config\systemprofile\AppData\Local\scaleft
-
Config file: C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\sftd.yaml
-
Log directory: C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\Logs
-
Enrollment token: C:\windows\system32\config\systemprofile\AppData\Local\scaleft\enrollment.token
関連項目
アドバンストサーバーアクセスのアドバンストサーバーアクセスのサーバーエージェントを設定して使用するを設定して使用する