Windows内部

サーバーエージェントをインストールしてサーバーを登録すると、サーバーエージェントは、関連プロジェクトの一部であるアドバンストサーバーアクセスの全ユーザーのローカルサーバーアカウントを作成します。Windowsでは、接続がアクティブにならない限り、これらのアカウントは無効になっています。

Windowsでは、RDP（リモートデスクトッププロトコル）接続のプロキシは、関連するアクセスブローカープロセスが行います。ポート4421を使ってサーバーへのRDP接続を正常に行うには、このプロセスが必要です。詳しくは、「アクセスブローカーのオプション」をご覧ください。

サーバー構成

Windowsでは、アドバンストサーバーアクセスのサーバーエージェントはLocalSystemアカウントで実行されます。構成ファイルを手動で作成することで、アドバンストサーバーアクセス のサーバーエージェントを制御できます。Windowsでは、このファイルを次の場所に手動で作成する必要があります：C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\sftd.yaml 詳しくは、「アドバンストサーバーアクセスのサーバーエージェントを構成する」をご覧ください。

接続および認証

WindowsサーバーへのRDP接続を開くと、アドバンストサーバーアクセスのクライアントは、アドバンストサーバーアクセス、任意の要塞またはゲートウェイ、サーバーで稼働しているアクセスブローカーサービスに関連するいくつかのアクションを実行します。

1. クライアントはアドバンストサーバーアクセスと通信して短時間のみ有効な資格情報を受け取ります。ネットワークトポロジーによっては、クライアントは中間の要塞またはゲートウェイサーバーを通る暗号化されたトンネルを構築する場合があります。
2. クライアントは、サーバーで稼働しているアクセスブローカープロセスに接続し、短時間のみ有効な証明書を使って認証します。
3. クライアントは、アドバンストサーバーアクセスから供給される情報と照合して、ホスト証明書を認証します。これは、中間者攻撃からの防御に役立ちます。
4. クライアントはサーバー上の関連アカウントへのアクセスを要求します。サーバー上で、アクセスブローカーはアカウントを有効にするための要求をサーバーエージェントに送信します。
5. クライアントは、アクセスブローカーを介してプロキシされたRDP接続をネゴシエートします。
6. クライアントはクライアントデバイス上のランダムポートのTCPサーバーを開始します。通信は、アクセスブローカーを経由して、サーバーで稼働しているRDPサービスにプロキシされます。
7. RDPクライアントはローカルTCPポートに接続し、サーバー上のRDPサービスに転送されます。

RDPクライアントは自動的にユーザーとして認証します。

サーバー接続

RDP接続は、rdpコマンド（sft rdp <server-name> ）を使って開くことができます。1つ以上の要塞をトラバースする必要があるときは、--via arguments: sft rdp --via <first.bastion> --via <second.bastion> <server>を含めることができます。詳しくは、「Advanced Server Accessのクライアントを使用する」をご覧ください。

パス

アドバンストサーバーアクセスのサーバーエージェントのインストールに関する情報は、AppData\Local\フォルダに保存されます。

• ステートディレクトリ：C:\Windows\System32\config\systemprofile\AppData\Local\scaleft
• 構成ファイル：C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\sftd.yaml
  注：構成ファイルは手動で作成する必要があります。
• ログディレクトリ：C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\Logs
  注：ログファイルは5MBごとにローテーションされ、最新のログファイル10個のみが保存されます。
• 登録トークン：C:\Windows\System32\config\systemprofile\AppData\Local\scaleft\enrollment.token