# Secure Gateway のトンネリングポリシー トンネリングポリシーを使用して、RD セッションホストのグループを特定の RAS Secure Gateway または RAS Secure Gateway IP アドレスに割り当てることで、接続を負荷分散することができます。 トンネリングポリシーを構成するには、**\[ファーム]** > <サイト> > **\[Secure Gateway]** に移動し、右ペインの **\[トンネリングポリシー]** タブをクリックします。 **<デフォルト>** ポリシーは、事前構成済みのルールであり、常に最後のルールになります。これにより、未構成のすべての Secure Gateway IP アドレスが検出され、ファーム内のすべてのサーバー間でセッション負荷が分散されます。**<デフォルト>** ポリシーを構成するには、<デフォルト> ポリシーを右クリックし、コンテキストメニューで **\[プロパティ]** をクリックします。 **新しいトンネリングポリシーの追加** 新しいポリシーを追加するには、次の手順を実行します。 1. **\[タスク]** > **\[追加]** をクリックします。 2. Secure Gateway の IP アドレスを選択します。 3. その Secure Gateway に接続しているユーザーをどの RD セッションホスト(複数可)に転送するかを指定します。**\[なし]**(転送なし)を選択する場合は、下の\*\*「RDP アクセスの制限」\*\*セクションをお読みください。 **トンネリングポリシーの管理** 既存のトンネリングポリシーを変更するには、そのトンネリングポリシーを右クリックし、コンテキストメニューで **\[プロパティ]** を選択します。 **RDP アクセスの制限** トンネリングポリシーを使用して RAS Secure Gateway ポート経由の RDP アクセスを制限できます。そのためには、**\[トンネリングポリシー]** タブの下部にある **\[なし]** オプションを選択します(Parallels RAS の新規インストール時のデフォルト設定です)。これにより、ネイティブ MSTSC がそのポート(デフォルトポートは 80)経由でゲートウェイにアクセスするのを制限できます。結果として、MSTSC を使用して \:80 へのアクセスを試行しても、拒否されます。Parallels Client からの RDP 接続についても同様です。 RDP アクセスを制限する、いくつかの理由があります。最初の理由は、ユーザーの RAS ファームへの接続を RDP ではなく Parallels RAS 接続のみに制限したい場合です。第 2 の理由は、\_DDoS 攻撃を防止する\_ためです。 DDoS 攻撃が発生中であることを示す一般的な兆候の 1 つは、特に理由もなくユーザーが RAS ファームにログインできなくなることです。これが発生した場合、Controller.log ファイル(RAS Connection Broker サーバー内の C:\ProgramData\Parallels\RASLogs にあります)を見ると、次のようなメッセージでいっぱいになっています。 * \[I 06/0000003E] Mon May 22 10:37:00 2018 - Native RDP LB Connection from Public IP x.x.x.x, Private IP xxx.xxx.xx.xx, on Secure Gateway xxx.xxx.xx.xx, Using Default Rule * \[I 06/00000372] Mon May 22 10:37:00 2018 - CLIENT\_IDLESERVER\_REPLY UserName hello\@DOMAIN, ClientName , AppName , PeerIP xxx.xxx.xx.xx, Secure GatewayIP xxx.xx.x.xx, Server , Direct , desktop 0 * \[I 05/0000000E] Mon May 22 10:37:00 2018 - Maximum amount of sessions reached. * \[I 06/00000034] Mon May 22 10:37:00 2018 - Resource LB User 'hello' No Servers Available! * \[W 06/00000002] Mon May 22 10:37:00 2018 - Request for "" by User hello, Client , Address xxx.xxx.xx.xx, was not served error code 14. これらのメッセージは、RDP ポートに対する DDoS 攻撃が進行中であることを示します。Secure Gateway のトンネリングポリシーによって RDP アクセスを制限することで、この状況の発生を防止できます。