Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
Loading...
RAS Secure Gateway を構成するには、次の操作を実行します。
RAS Console で、[ファーム] > <サイト> > [Secure Gateway] に移動します。
右ペインで、Secure Gateway を右クリックして、[プロパティ] をクリックします。
[RAS Secure Gateway プロパティ] ダイアログが開きます。
RAS Secure Gateway のプロパティを構成する方法については、こちらを参照してください。
[一般] タブの [パブリックアドレス] フィールドには、Secure Gateway のパブリック FQDN または IP アドレスを指定します。この設定は、クライアントの接続をリダイレクトするために優先ルーティング機能で使用されます。「優先ルーティングを構成」を参照してください。
RAS Secure Gateway の [プロパティ] ダイアログには複数のタブがあり、それぞれに固有のオプションが含まれています。[プロパティ] タブ以外のタブにはすべて、[デフォルト設定を継承する] という共通のオプションがあります。このオプションを選択すると、そのタブの全フィールドがグレイアウトし、サイトのデフォルト値が設定内容として継承されます。Secure Gateway のサイトのデフォルト値を表示する(必要な場合は変更する)には、上述のタブすべてにある [サイトのデフォルト値] リンクをクリックします。リンクによって、[サイトのデフォルトプロパティ] ダイアログが開きます。[タスク] > [サイトのデフォルト値] をクリックすると、 [ファーム] > [サイト] > [Secure Gateway] タブで、このダイアログも開きます。
続くセクションでは、それぞれのタブと、Secure Gateway の [プロパティ] ダイアログで使用できるオプションについて説明します。
RAS Secure Gateway は、「通常モードおよび転送モード」で動作します。希望のモードと関連する設定を構成するには、[RAS Secure Gateway プロパティ] ダイアログの [モード] タブをクリックします。
サイトのデフォルト値を使用
サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。詳細については、「サイトのデフォルト値(ゲートウェイ)」を参照してください。
通常モードの設定
通常モードを設定するには、[ゲートウェイモード] ドロップダウンリストで [通常] を選択します。
[HTTP サーバーにリクエストを転送] オプションを使用すると、RAS Secure Gateway(HTML5 トラフィック、Wyse、および URL スキームを処理するゲートウェイ)に属していないリクエストを転送できます。複数のサーバーを指定するには、それらをセミコロンで区切ります。必要な場合、IPv6 アドレスを使用して HTTP サーバーを指定できます。リクエスト元のブラウザーと同じ IP バージョンが HTTP サーバーでサポートされていることが必要です。
[推奨 Connection Broker] ドロップダウンリストでは、Secure Gateway が接続する必要がある RAS Connection Broker を指定できます。これは、サイトコンポーネントが、WAN で通信する複数の物理的な場所に設置されているときに役立ちます。より適切な Connection Broker を指定することによりネットワークトラフィックを減らすことができます。ゲートウェイで自動的に Connection Broker が選択されるようにするには、[自動] オプションを選択します。
転送モードの設定
転送モードを設定するには、[ゲートウェイモード] ドロップダウンリストで [転送] を選択します。
[RAS Secure Gateway の転送] フィールドで、1 つ以上の転送 Secure Gateway を指定(または選択)します。
注: 転送モードでは、IPv6 を待機する Secure Gateway にデータを転送できます。転送 Secure Gateway は、同じ IP バージョンを使用するように構成することをお勧めします。
Secure Gateway の受信クライアント接続用の IP アドレスは、[一般] タブの [RAS Secure Gateway プロパティ] ダイアログで指定します。RAS Secure Gateway は IPv4 と IPv6 の両方を認識します。デフォルトでは、IPv4 が使用されます。
次の IP オプションを指定できます。
次の IP バージョンを使用: 使用する IP バージョンを選択します。
IP: 1 つ以上の IP アドレスをセミコロンで区切って指定するか、[解決] をクリックして IP アドレスを自動解決します。それらのアドレスを Secure Gateway サーバーで使用できます。クライアント接続で使用する IP アドレスを指定する場合は、[IP にバインド] セクションを使用します(下記参照)。
IP にバインド: クライアント接続で Secure Gateway が待機する IP アドレス(複数の場合もあり)を指定するには、このセクションを使用します。特定のアドレスを指定できます。または、<All available addresses> を指定して、[IP] フィールドに指定されたすべての IP を使用することもできます。
次の…システムバッファを削除: これらのフィールド(各 IP バージョンに 1 つ)を使用すると、この Secure Gateway と Parallels Client 間の接続で高遅延が発生した場合(インターネットなど)に、トラフィックが最適化されます。このオプションによりトラフィックが最適化され、Parallels Client 側の操作性が向上します。特定のアドレスまたは利用できるすべてのアドレスを選択できます。または、選択しないこともできます。このオプションは、外部ソケットのパフォーマンスにマッチさせるために内部ソケットを遅延させます。内部ネットワークが速く、外部ネットワークが遅い場合、RDP が速い内部ソケットを検出し、大量のデータを送信します。問題は、データを Secure Gateway からクライアントに十分な速度で送信できず、ユーザーエクスペリエンスが悪化することです。このオプションを有効にすると、データのやり取りが最適化されます。
Parallels ユーザーポータルは、RAS Secure Gateway に組み込まれた機能です。この機能を使用すると、ユーザーは Parallels Web Client を使用して Parallels RAS に接続し、ウェブブラウザーから公開リソースを開くことができます。このクライアントは、プラットフォーム別の Parallels Client に似ていますが、ユーザーのコンピューターやデバイスにソフトウェアを追加でインストールしておく必要がありません。必要なのは HTML5 対応のウェブブラウザーだけです。
このセクションでは、Parallels RAS Console でユーザーポータルを構成する方法について説明します。使用方法の詳細については、「Parallels Web Client とユーザーポータル」の章を参照してください。
注: Web Client とユーザーポータルを使用するには、RAS Secure Gateway で SSL を有効にする必要があります。クライアントを有効にする場合は、[SSL/TLS] タブまたはネットワークロードバランサーで SSL が有効になっていることを確認してください。[ユーザーポータル] タブは、ゲートウェイモードが”通常”に設定されている場合にのみ使用できます。詳細については、「ゲートウェイモードと転送設定」を参照してください。
ユーザーポータルを構成するには、[RAS Secure Gateway プロパティ] ダイアログで [ユーザーポータル] タブをクリックしてから、続くセクションに記載のオプションを設定します。
Web Client の URL の構成方法と、ウェブブラウザーからクライアントにアクセスする方法については、「ウェブリクエストのロードバランス」を参照してください。
[ネットワーク] タブは、RAS Secure Gateway のネットワークオプションの構成に使用します。
サイトのデフォルト値を使用
サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。詳細については、「サイトのデフォルト値(ゲートウェイ)」を参照してください。
ネットワークの構成
デフォルトでは、RAS Secure Gateway は TCP ポート 80 と 443 上で待機し、すべての Parallels RAS トラフィックをトンネリングします。ポートを変更するには、[RAS Secure Gateway ポート] 入力フィールドで新しいポートを指定します。
負荷分散された基本的なデスクトップセッションを必要とするクライアントでは、RDP ポート 3389 が使用されます。このポート上の接続では、公開済みのリソースはサポートされません。ゲートウェイの RDP ポートを変更するには、[RDP ポート] オプションを選択して、新しいポートを指定します。自分でポートを設定する場合、そのポート番号が標準の [RD セッションホストポート] 設定と重複していないことを確認してください
注: RDP ポートを変更した場合、ユーザーはリモートデスクトップクライアント内の接続文字列にポート番号を追加する必要があります(例: IP アドレス:ポート)。
**RAS Secure Gateway のアドレスをブロードキャストします。**このオプションを使用して、Secure Gateway アドレスのブロードキャストを有効にすることができます。これにより、Parallels Client でプライマリゲートウェイを自動的に見つけることができます。このオプションは、デフォルトで有効になっています。
RDP UDP データトンネリングを有効化: Windows デバイスで UDP トンネリングを有効にするには、このオプションを選択します(デフォルト)。UDP トンネルを無効にするには、このオプションをオフにします。
デバイスマネージャーポート: デバイスマネージャーカテゴリーから Windows デバイスの管理を有効にするには、このオプションを選択します。このオプションは、デフォルトで有効になっています。
**RDP DOS アタックフィルターを有効にする:**このオプションを選択すると、同一 IP アドレスからの一連の未完了セッションが拒否されます。たとえば、Parallels Client が各セッションで複数の連続したセッションを開始し、ユーザーからの資格情報の提供を待っている場合、Parallels RAS はこれ以上の試行を拒否します。このオプションは、デフォルトで有効になっています。
RAS Secure Gateway は、デフォルトで有効になっています。Secure Gateway を有効化/無効化するには、[RAS Secure Gateway プロパティ] ダイアログの [一般] タブで [サイト内の RAS Secure Gateway を有効化] オプションを選択/クリアします。
RAS Secure Gateway を構成して、SSL 暗号化を使用するには、発生する可能性のあるトラップやセキュリティの問題を回避するために SSL サーバーの構成方法に注意する必要があります。具体的には、次の SSL コンポーネントをレーティングし、構成が適切であるかどうかを特定する必要があります。
有効で信頼できる証明書。
プロトコル、鍵の交換、暗号がサポートされている必要があります。
SSL について特定の知識がない場合、査定を行うのは困難かもしれません。Qualys SSL Labs の SSL Server Test の使用をお勧めするのはそのためです。これは、公衆インターネットで SSL ウェブサーバーの構成の分析を実行する無料のオンラインサービスです。RAS Secure Gateway でテストを実行するには、公衆インターネットにそれを一時的に移動する必要が生じる場合があります。
テストは次の URL で実行できます。https://www.ssllabs.com/ssltest/
次の URL で、査定に使用されるメソッドについて説明している Qualys SSL Labs の資料を参照できます。https://github.com/ssllabs/research/wiki/SSL-Server-Rating-Guide
[クライアント] セクションでは、Web Client の起動方法やその他の設定を指定できます。
以下を使用してセッションを起動: ユーザーがユーザーポータルのウェブページからリソースを開くときに、ウェブブラウザー内でリソースを開くことも、ユーザーのコンピューターにインストールされているプラットフォーム専用の Parallels Client(Parallels Client for Windows など)でリソースを開くことも可能です。このオプションで、どちらのクライアントを使用するかを指定します。ユーザーポータルに比べ、プラットフォーム専用の Parallels Client は機能がさらに豊富で、全体的なユーザーエクスペリエンスにも優れています。次のいずれかを選択します。
ブラウザーのみ: ユーザーは Parallels Web Client のみを使用してリモートアプリケーションとデスクトップを実行できます。ユーザーにプラットフォーム固有の Parallels Client をインストールさせたくない場合は、このオプションを使用します。
Parallels Client のみ: ユーザーは Parallels Client のみを使用してリモートアプリケーションとデスクトップを実行できます。ユーザーが Parallels Web Client を使用して Parallels RAS に接続すると、リモートアプリケーションとデスクトップを起動する前に、プラットフォーム固有の Parallels Client をインストールするように求められます。メッセージが表示され、Parallels Client インストーラーをダウンロードするためのリンクがユーザーに表示されます。ユーザーが Parallels Client をインストールした後も、Parallels Web Client でリモートアプリケーションまたはデスクトップを選択できますが、それらは代わりに Parallels Client で開かれます。
Parallels Client をブラウザーにフォールバック: Parallels Client とブラウザー(HTML5)の両方を使用して、リモートアプリケーションとデスクトップを起動できます。Parallels Client が主要な方法になります。何かの理由で公開済みのリソースを Parallels Client では起動できない場合、バックアップ方法として Parallels Web Client が使用されます。Parallels Client でリソースを開くことができなかった場合、ユーザーに通知され、代わりにブラウザーで開くことができます。
(ブラウザーおよび Parallels Cient にフォールバックおよび Parallels Client のみ)また、[構成] ボタンをクリックして Parallels Client の検出を設定することもできます。
Client を検出します。Parallels RAS がプラットフォーム固有の Parallels Client を検出しようとするタイミングを選択します。
サインイン時に自動で: Parallels RAS はプラットフォーム固有の Parallels Client を即時に検出しようとします。
ユーザープロンプトで手動で: Parallels RAS で、プラットフォーム固有の Parallels Client を検出するかどうかを選択するプロンプトが表示されます。
Client 検出タイムアウト: Parallels RAS がプラットフォーム固有の Parallels Client の検出を試行する期間です。
ユーザーが起動方法を選択することを許可: このオプションを選択すると、ブラウザーまたは Parallels Client でリモートアプリケーションを開くかどうかを選択できます。このオプションは、[以下を使用してセッションを起動:] オプション(上記)が [Parallels Client でのブラウザーへのフォールバック] に設定されている場合(つまり両方の方法が許可されている場合)にのみ、有効にできます。
新規タブでアプリケーションを開く: 選択されている場合、ユーザーは、ウェブブラウザーの新しいタブでリモートアプリケーションを開くことができます。
以前の Windows 2000 ログイン形式を使用: レガシー(Windows 2000 以前)のログインフォーマットを有効化します。
ユーザーポータルを他のウェブページに埋め込むことを許可: これを選択すると、ユーザーポータルのウェブページを他のウェブページに埋め込むことができます。これは、クリックジャックと呼ばれる攻撃による潜在的なセキュリティ上のリスクになる可能性があることに注意してください。
ファイル転送コマンドを許可: リモートセッションでのファイル転送を有効化します。ファイル転送を有効にするには、このオプションを選択し、[構成] ボタンをクリックします。開いたダイアログで、[クライアントからサーバーのみ](クライアントからサーバーへのファイル転送のみ)、[サーバーからクライアントのみ](サーバーからクライアントへのファイル転送のみ)、[双方向](双方向のファイル転送)を選択します。詳細については、「リモートファイル転送を構成する」を参照してください。
クリップボードコマンドを許可: リモートセッションでのクリップボード操作(コピー/ペースト)を有効化します。クリップボードを有効にするには、このオプションを選択し、[構成] ボタンをクリックします。開いたダイアログで、[クライアントからサーバーのみ](クライアントからサーバーへのコピー/ペーストのみ)、[サーバーからクライアントのみ](サーバーからクライアントへのコピー/ペーストのみ)、[双方向](双方向のコピー/ペースト)を選択します。クリップボードの使用の詳細については、「リモートクリップボードの使用」を参照してください。
オリジン間リソース共有を許可: オリジン間リソース共有(CORS)を有効化します。CORS を有効にするには、このオプションを選択し、[構成] ボタンをクリックします。開いたダイアログで、リソースへのアクセスを許可する 1 つまたは複数のドメインを指定します。ドメインを指定しない場合、このオプションは自動的に無効になります。[ブラウザーのキャッシュ時間] フィールドで、エンドユーザーのブラウザーでリソースがキャッシュされる時間を指定します。
Client IP 検出サービスを使用: 選択した場合、IP 検出サービスを構成して、接続されている Parallels Web Client アプリケーションの IP アドレスの報告を行えます。クライアント IP 検出サービスを有効にするには、このオプションを選択し、[構成] ボタンをクリックします。開いたダイアログで、使用する IP 検出サービスの URL を入力します。[テスト] ボタンを押して、API が期待通りに動作することを確認できます。[テスト] ボタンをクリックすると、Connection Broker がクライアントの役割を果たし、API が呼び出されます。成功すると、Connection Broker の IP アドレスを示すウィンドウが表示されます。
[ネットワークロードバランサーへのアクセス] セクションは、Amazon Web Services(AWS)の Elastic Load Balancer(ELB)などのサードパーティー製ロードバランサーを使用する展開シナリオでの利用を意図したものです。ネットワークロードバランサー(NLB)で使用する代替ホスト名とポート番号を構成できます。TCP 通信と HTTPS 通信が実行されるホスト名およびポートを別々にしておくことが必要です。AWS ロードバランサーでは、同じポート上で 2 つの個別のプロトコルをサポートすることはないためです。
次のオプションを利用できます。
代替ホスト名を使用する: このオプションを選択し、代替ホスト名を指定します。代替ホスト名を有効化すると、プラットフォーム別の Parallels Client では RAS ファームまたはサイトへの接続にそのホスト名が使用されます。
代替ポートを使用する: このオプションを選択し、代替ポート番号を指定します。ポート番号は、RAS ファームまたはサイトの他のコンポーネントで使用されていないことが必要です。ポート番号をデフォルトに戻すには、[デフォルト] をクリックします。代替ポートを有効化すると、プラットフォーム別の Parallels Client では RAS ファームまたはサイトへの接続にそのポートが使用されます。Web Client の RDP セッションでは引き続き標準 SSL ポート(443)で接続されることに注意してください。
注: マルチテナント環境では、代替ホストや代替ポートの使用が適切でない点に注意してください。テナントブローカー RAS Secure Gateway はテナント間で共有され、これには別の構成が必要になるためです。
さらに、Parallels Web Client で必要な HTTP/HTTPS トラフィックを処理する AWS アプリケーションロードバランサー(ALB)では、通常自動的に生成される特定の Cookie のみがサポートされています。ロードバランサーは、クライアントからのリクエストを最初に受信すると、リクエストをターゲットにルーティングし、AWSALB
という Cookie を生成します。これは、選択されたターゲットの情報をエンコードしたものです。ロードバランサーはこの Cookie を暗号化してクライアントへの応答に含めます。スティッキーセッションが有効になっている場合、ロードバランサーは同じターゲットが正しく登録され、正常な状態にあると想定し、クライアントから受信した Cookie を使用してトラフィックをそのターゲットにルーティングします。デフォルトでは、Parallels RAS は _SessionId
という名前の専用 ASP.NET Cookie を使用します。ただし、上記のスティッキーセッション用 AWS Cookie を指定して Cookie をカスタマイズすることが必要です。これは、[ウェブリクエスト] タブの [ウェブ Cookie] フィールドを使用して設定できます。この機能は Parallels RAS 17.1 以降で利用できます。
ユーザーポータルを有効化/無効化するには、[ユーザーポータルを有効化] オプションを選択/クリアします。これにより、ユーザーポータルが無効になり、ユーザーは Web Client を使用してユーザーポータルに接続できなくなります。
Secure Gateway へのユーザーアクセスを MAC アドレスに基づいて許可または拒否できます。これは、[RAS Secure Gateway のプロパティ] ダイアログの [セキュリティ] タブを使用して実行できます。
サイトのデフォルト値を使用
サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。詳細については、を参照してください。
セキュリティの構成
許可または拒否する MAC アドレスのリストを構成するには、[セキュリティ] タブで次のいずれかのオプションを選択します。
以外を許可: このリストに含まれる MAC アドレスを除き、ネットワーク上のすべてのデバイスが Secure Gateway への接続を許可されます。[タスク] > [追加] をクリックし、デバイスを選択するか、MAC アドレスを指定します。
のみを許可する: リストに含まれる MAC アドレスを持つデバイスのみが Secure Gateway への接続を許可されます。[タスク] > [追加] をクリックし、デバイスを選択するか、MAC アドレスを指定します。
Secure Gateway の MAC アドレスフィルタリングは ARP に基づいているため、フィルタリングが機能するには、クライアントとサーバーが同じネットワーク上にある必要があります。ネットワークの境界を超えて機能しません。
Wyse ThinOS を使用してアプリケーションを Parallels RAS からシンクライアントに公開するには、[Wyse] タブで [Wyse ThinOS サポートを有効化する] オプションを選択します。
注: [Wyse] タブは、ゲートウェイモードが [通常] に設定されている場合にのみ使用できます。を参照してください。
このオプションを有効にすると、RAS Secure Gateway が Wyse Broker として機能します。この Secure Gateway からブートしようとしているシンクライアントは、DHCP サーバー上で DHCP オプション 188 がこのゲートウェイの IP アドレスに設定されていることを確認する必要があります。DHCP サーバーを構成したら、[テスト] ボタンをクリックして、DHCP サーバーの設定を確認します。
ホスト名が証明書と一致しないために、RAS Secure Gateway への接続時に Wyse デバイスで SSL 警告が表示される場合、[サーバー証明書認証の警告を表示しない] オプションを選択(有効化)できます。このオプションを選択すると、Secure Gateway は、wnos.ini ファイル内の次のパラメーターを Wyse クライアントに送信します: SecurityPolicy=low TLSCheckCN=no(これにより SSL の確認が無効化)。なお、証明書に以下の項目がある場合、このオプションは必要ありません:
CNAME が RAS Secure Gateway の FQDN に設定されている。
SAN が RAS Secure Gateway の IP アドレスに設定されている。
Secure Gateway 上の”C:\Program Files (x86)\Parallels\ApplicationServer\AppData\wnos”フォルダーにあるカスタムの wnos.ini を使用する場合、Secure Gateway が SSL 確認パラメーターを送信することはありません。ご注意ください。
ブローカーアドレスをこの Secure Gateway に設定するように DHCP オプション 188 を構成する場合は、[テスト] ボタンをクリックしてこれを確認できます
[ユーザーポータル] タブでサイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。詳細については、「サイトのデフォルト値(ゲートウェイ)」を参照してください。
Parallels RAS ユーザーと RAS Secure Gateway 間のトラフィックは暗号化できます。[SSL/TLS] タブでは、データ暗号化オプションを構成できます。
サイトのデフォルト値を使用
サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。詳細については、「サイトのデフォルト値(ゲートウェイ)」を参照してください。
HSTS を適用
HSTS セクションの [構成] ボタンによって、HTTP Strict Transport Security(HSTS)を適用できます。これは、安全な HTTPS 接続のみを使用してウェブブラウザーにウェブサーバーと通信させるメカニズムです。HSTS が RAS Secure Gateway に適用されると、すべてのウェブリクエストが HTTPS を使用するように強制されます。これは特に RAS ユーザーポータルに影響し、セキュリティ上の理由から通常は HTTPS リクエストのみを受け付けます。
[構成] ボタンをクリックすると、[HSTS 設定] ダイアログが開きます。このダイアログでは、次の内容を指定できます。
HTTP Strict Transport Security(HSTS)を適用する: Secure Gateway に対し、HSTS を有効化または無効化します。
最大期間: HSTS の最大期間を指定します。これは、ウェブブラウザーと Secure Gateway との通信に必ず HTTPS が使用されるという設定が適用される(月単位の)期間です。デフォルト値(および推奨値)は 12 か月です。設定可能な値は 4〜120 か月です。
サブドメインを含む: サブドメインを含めるかどうかを指定します(サブドメインがある場合)。
事前読み込み: HSTS の事前読み込みを有効化または無効化します。これは、SSL/TLS をサイトで適用するホストのリストがウェブブラウザーにハードコーディングされるメカニズムです。リストは Google によりコンパイルされ、Chrome、Firefox、Safari、Internet Explorer 11、Edge といったブラウザーにより使用されます。HSTS のプリロードが使用されると、ウェブブラウザーは HTTP を使用してリクエストを送信せず、常に HTTPS が使用されます。以下に重要な注意点がありますのでこちらもお読みください。
注: HSTS のプリロードを使用するには、Chrome の HSTS プリロードリストに含めるドメイン名を送信する必要があります。ドメインはリストを使用するウェブブラウザーにハードコードされます。重要: プリロードリストへ含めるアクションは簡単には取り消せません。サイト全体およびそのすべてのサブドメインで長期的に(通常 1〜2 年)HTTPS をサポートできることが確実な場合にのみ、リクエストを含めてください。
次の要件にも注意してください。
ウェブサイトに有効な SSL 証明書が存在している必要があります。「SSL サーバー構成」を参照してください。
すべてのサブドメイン(サブドメインがある場合)が SSL 証明書でカバーされている必要があります。ワイルドカード証明書を要求することを検討してください。
SSL の構成
デフォルトでは、ゲートウェイのインストール時に、自己署名証明書が RAS Secure Gateway に割り当てられます。RAS Secure Gateway ごとに専用の証明書の割り当てが必要です。また、セキュリティ警告を回避するため、クライアント側の信頼できるルート認証局に追加する必要があります。
SSL 証明書は、RAS Console の [ファーム] > [サイト] > [証明書] サブカテゴリーを使用して作成できます。作成された証明書は、RAS Secure Gateway に割り当てることができます。証明書の作成と管理については、「SSL 証明書の管理」の章を参照してください。
Secure Gateway に SSL を構成する方法:
[SSL 有効化] オプションを選択し、ポート番号を指定します(デフォルトは 443)。
[許可される SSL バージョン] ドロップダウンリストで、RAS Secure Gateway が受け付けられる SSL バージョンを選択します。
[暗号強度] フィールドで、希望する暗号強度を選択します。
[暗号] フィールドに暗号を指定します。強い暗号を使用すれば、暗号化の強度が増し、破るのに必要な労力も増大します。
[サーバー環境に応じて暗号を使用] オプションは、デフォルトで有効になっています。このオプションを無効にすることで、クライアントの環境設定を使用することができます。
[証明書] ドロップダウンリストで任意の証明書を選択します。新規証明書の作成方法とリストへの表示方法については、「SSL 証明書の管理」を参照してください。
[一致する使用方法すべて] オプションでは、構成されたすべての証明書が Secure Gateway によって使用されます。証明書を作成する場合、”ゲートウェイ”、”HALB”またはその両方を選択できる場所で”使用”プロパティを指定します。このプロパティで [ゲートウェイ] オプションが選択されていれば、Secure Gateway に使用できます。このオプションを選択していても、一致する証明書が存在しない場合には、警告が表示され、先に証明書を作成することになります。
Parallels Client の接続の暗号化
デフォルトで、暗号化される接続のタイプは、Secure Gateway とバックエンドサーバーの間の接続だけです。Parallels Client と Secure Gateway の間の接続を暗号化するには、クライアント側でも接続プロパティを構成する必要があります。これを行うには、Parallels Client で、接続プロパティを開き、接続モードを [ゲートウェイ SSL] に設定します。
Parallels Client の構成を簡素化するために、広く利用されているサードパーティの信頼できる認証局によって発行された証明書を使用することをお勧めします。なお、RAS ユーザーポータルに接続する際は、一部のウェブブラウザー(Chrome、Edge など)で Windows 証明書ストアが使用されます。
Parallels Client の構成
証明書が自己署名されている場合、またはエンタープライズ CA によって発行された証明書の場合、Parallels Client は以下のように構成する必要があります。
Base-64 でエンコードされた X.509(.CER)形式で証明書をエクスポートします。
メモ帳やワードパッドなどのテキストエディターでエクスポートした証明書を開き、内容をクリップボードにコピーします。
クライアント側で信頼できる認証局のリストを含む証明書を追加し、Parallels Client が組織の認証局から発行された証明書と SSL で接続できるようにするには、次の操作を実行します。
クライアント側のディレクトリ”C:\Program Files\Parallels\Remote Application Server Client\”に、trusted.pem
というファイルが存在している必要があります。このファイルには、共通の信頼できる認証局の証明書が含まれています。
エクスポートされた証明書の内容を貼り付けます(他の証明書のリストに添付されています)。
RDP-UDP 接続の保護
通常、Parallels Client は RAS Secure Gateway と TCP 接続経由で通信します。最近の Windows クライアントでも、UDP 接続を使用して WAN のパフォーマンスを向上することができます。UDP 接続を SSL で保護するには、DTLS を使用する必要があります。
RAS Secure Gateway で DTLS を使用するには、次の操作を実行します。
[SSL/TLS] タブで、[ポートで SSL 有効化] オプションが選択されていることを確認します。
Parallels Client は、[ゲートウェイ SSL モード] を使用するよう構成する必要があります。このオプションは、クライアント側の [接続設定] > [接続モード] ドロップダウンリストで設定できます。
上記オプションが適切に設定されると、TCP および UDP 接続が SSL 上でトンネリングされます。
注: [ウェブ] タブは、ゲートウェイモードが [通常] に設定されている場合にのみ使用できます。詳細については、「ゲートウェイモードと転送設定」を参照してください。
[ウェブ] タブでは、特定のシナリオでロードバランスに必要な設定を微調整できます。ここでウェブリクエストのリダイレクト URL とセッションの Cookie 名を指定して、クライアントとサーバー間のパーシスタンスを維持できます。
リダイレクト URL
元のウェブリクエストは、以下の 2 種類の方法のいずれかでゲートウェイに到達します。
IP アドレスまたは FQDN を使用して、リクエストがローカルネットワーク経由で直接ゲートウェイに送信される。例: https://192.168.10.10。
リクエストがファーム内でそのゲートウェイと他のゲートウェイとの負荷を分散する HALB デバイスに送信される。HALB デバイスは多くの場合インターネットに接続している(DMZ 内に位置している)ため、元のリクエスト URL 内ではその DNS 名を使用できる。たとえば、https://ras.msp.com のようになります。その後、HALB デバイスによってリクエストがゲートウェイに分配される。
ゲートウェイは、ウェブリクエストを受信すると、[ウェブ] タブで指定された URL を使用して、リダイレクトするようウェブブラウザーに返送します。
理論的には、ここにはどのような URL でも入力でき、元のウェブリクエストがその URL にリダイレクトされます。ただし、このフィールドの主要な目的はユーザーがウェブブラウザーからユーザーポータルに簡単にアクセスできるようにすることです。その仕組みを説明します。
ユーザーがロードバランサーの DNS 名をウェブブラウザーに入力します。たとえば、https://ras.msp.com のようになります。
ロードバランサーは、受信したリクエストを負荷の最も小さい RAS Secure Gateway に分配し、処理させます。
ゲートウェイは元の URL を受信し、その URL を [デフォルト URL] フィールドで指定された URL に置き換えます。以下の**「デフォルトの URL フォーマット」**サブセクションを参照してください。
置換後の URL がウェブブラウザーに返送され、ブラウザーはその URL を使ってユーザーポータルのログインページを開きます。
デフォルトの URL フォーマット
デフォルトの URL フォーマットは以下のようになっています。
https://%hostname%/userportal
変数 %hostname%
は、元のリクエストを受信したサーバーの名前に置き換えられます。この例ではロードバランサーの DNS 名になります。必要であれば、この変数を特定のホスト名や IP アドレス(このゲートウェイや別のゲートウェイなど)に置き換えることもできます。(例: https://192.168.5.5/userportal
)。この方法では、常時ウェブリクエストが指定のホストに転送され、ユーザーポータルがそこで開かれます。ホストをハードコーディングしてしまうことはあまり実用的ではありませんが、そうすることは可能です。
userportal
は定数で、ユーザーポータルログインページへのパスになります。
この例では次の URL が、ウェブブラウザーからユーザーポータルへのアクセスに使用される最終的な URL になります。
https://ras.msp.com/userportal
実際のところ、ユーザーは最初から上記 URL を使うことも可能ですが、リダイレクト機能のおかげで、URL 全体を入力しなくても、サーバーの DNS 名(またはローカルネットワーク上の FQDN/IP アドレス)を入力するだけでアクセスできます。
特定のユーザーポータルのテーマを開く
ユーザーポータルのテーマは、ユーザーのグループに合わせてユーザーポータルのデザインや操作性をカスタマイズできる機能です。テーマの詳細については、「Parallels Web Client とユーザーポータル」を参照してください。
デフォルトのウェブリクエスト URL では、デフォルトのテーマが開きます。特定のテーマを開くようにするには、URL 末尾にテーマ名を追加します。
https://%hostname%/userportal/?theme=<theme-name>
の <theme-name>
をテーマの名前に置き換えます。かっこや引用符は不要です。
ユーザーが特定のテーマを開く場合、ウェブブラウザーに入力する URL にテーマ名を含める必要があります。ただし、この場合は次のように非常にシンプルなフォーマットになります。
https://<server-name>/<theme-name>
上述のロードバランサー DNS 名を例にすると、次のような URL になります。
https://ras.msp.com/Theme-E1
詳細については、「テーマの構成」>「URL」を参照してください。
ウェブ Cookie
ウェブ Cookie フィールドは、セッションの Cookie 名の指定に使用します。RAS Web Client セッションのパーシスタンスは、通常、ユーザーの IP アドレス(ソースアドレス指定)により設定されます。ソースアドレス指定が使用できない環境では(セキュリティポリシーで許可されない場合など)、セッション Cookie を使用して、クライアントとサーバーの間のパーシスタンスを維持できます。そのためには、パーシスタンスにセッション Cookie を使用できるロードバランサーを設定する必要があります。デフォルトの Cookie 名は ASP.NET_SessionId です。Amazon Web Services(AWS)またはその他のサードパーティ製のロードバランサーを使用している場合は、専用の Cookie 名を指定する必要があるかもしれません。詳細については、「ネットワークロードバランサーのアクセス」を参照してください。