【都市封鎖に備える】 オフィスにあるデスクトップに自宅からリモートアクセスして業務継続する方法 【完結・RDP編】

2020.04.05

それでは、前回起動した EC2 インスタンスで実際に RRAS の設定を行います。

まず、インスタンスをオンプレミスの AD ドメインへ参加させます。あらかじめ、nslookup コマンドを使ってインスタンスからオンプレミスの DNS サーバーへ到達できることを確かめておきましょう。

オンプレミスの DNS サーバーへ到達できることが確認できたら、ネットワークアダプターのプロパティから DNS サーバーの設定を変更します。

コンピューターをドメインへ参加させるには、PowerShell から Add-Computer コマンドレットを実行します。-Credential オプションを入力しないと失敗しますから、注意しましょう。

Add-Computer -Credential (Get-Credential) -Restart

インスタンスからドメインへ参加できたら、あらかじめ取得しておいたサーバー証明書をインストールします。なお、自己署名の証明書を使用した場合、その証明書をすべてのクライアントへ配布する必要が生じることからお勧めしません。サーバー証明書は、ローカル コンピューター証明書ストアにインストールします。

次に、以下の PowerShell コマンドレットで必要な役割をインストールします。なお、イメージのコマンドレットは必要な役割が1つ欠けています! 注意してください。

Install-WindowsFeature DirectAccess-VPN,Routing -IncludeManagementTools

必要な役割がインストールできたら、念のためインスタンスを再起動しましょう。再起動が終わったら、管理ツールからルーティングとリモートアクセスを開きます。

表示されたコンピューター名を右クリックし、ルーティングとリモート アクセスの構成と有効化を選択します。

以下のようなウィザードが表示されたら、次へで進みます。

«構成» のページでは、カスタム構成を選択します。

次のページでは、VPN アクセス、NAT と LAN ルーティングを選択します。

完了を選択し、サービスの開始を促すダイアログが表示されたら «サービスの開始» を選択します。

サービスが開始できたら、もう一度コンピューター名を右クリックしてプロパティを選択します。

表示されたダイアログのセキュリティタブへ移動し、«SSL 証明書のバインド» セクションからあらかじめインストールしておいたサーバ証明書を選択します。以下のイメージでは自己署名の証明書を選んでおり、悪い例です! きちんと、実際にサーバーへ接続する際に使用する DNS 名に対して有効な正規の証明書を使用しましょう。

次に、IPv4タブへ移動して «IPv4 アドレスの割り当て» セクションから静的アドレスプールを使う を選択、追加を選択します。

«新しい IPv4 アドレスの範囲» では、クライアントへ割り当てる IP アドレスのレンジを指定します。よくわからない場合は、以下の要領で指定しましょう。OKを2度クリックして «ルーティングとリモートアクセス» へ戻ります。

サーバー名 --> IPv4 --> NAT を選択し、メニューバーの «操作» から新しいインターフェイスを選択します。

«Network Address Translation (NAT) の新しいインターフェイス» ダイアログでは、イーサネットアダプタが選択されていることを確かめて «OK» を選択します。

«ネットワークアドレス変換のプロパティ» では、インターネットに接続されるパブリック インターフェイス、それからこのインターフェイスで NAT を有効にするを選択します。OK を選択してダイアログを閉じ、元の画面 «ルーティングとリモート アクセス» も閉じておきましょう。

以上でサーバーの準備は完了です。ドメインユーザーからのダイヤルイン接続を許可するため、ユーザーオブジェクトのプロパティを開いて «ダイヤルイン» タブの «リモート アクセス許可» からアクセスを許可しておきましょう。

繋いでみる

今回は、AD ドメインへ参加していない Windows 10 のマシンから接続してみたいと思います。«設定» アプリの «ネットワークとインターネット» から «VPN» を選択し、VPN 接続を追加するを選択します。

«VPN 接続を追加» では、以下の要領で EC2 インスタンスへの SSTP 接続を作成します。«ユーザー名» と «パスワード» の欄にはドメインユーザーのクレデンシャルを入力します。

SSTP 接続が作成できたら、接続を選択しましょう。«接続済み» と表示されたら成功です! お疲れ様でした。

早速、オンプレミスのデスクトップ PC へ接続してみます。

繋がりました! これで、自宅や外出先から会社のデスクトップ PC で仕事ができるようになりました。

オプション

Windows マシンだけでなく Mac や iOS デバイスからもオンプレミスのリソースへアクセスしたい場合、IKEv2とよばれるプロトコルを有効にする必要があります。これは、SSTP が Windows のみで利用可能なプロトコルであるためです。

実は、ここまでの手順で構成した EC2 インスタンスは既に IKEv2 の接続要求を受け付ける状態になっています。このため、Mac や iOS デバイスから接続を行えるようにしたい場合はセキュリティグループに必要なルールを追加するだけで使えるようになります。以下の要領で、udp/500 のルールと udp/4500 のルールを追加します。

実際に Mac から接続する手順をご紹介します。«システム環境設定» から «ネットワーク» を選択し、左下の+ (追加) ボタンをクリックします。表示されたダイアログでは、以下の要領でIKEv2を選択しましょう。

IKEv2 接続が追加されたら、以下の要領で «サーバアドレス» と «リモートID» の欄にサーバーの DNS 名を入力します。続いて認証設定...を選択しましょう。

«認証設定» のダイアログでは、AD ドメインのクレデンシャルを入力します。«OK» で元の画面に戻ったら、右下の適用をクリックして設定した内容を反映させておきましょう。

設定が反映できたら、接続を選択して IKEv2 セッションを確立します。 以下のように接続済みと表示されたら成功です!

Windows マシンから利用する場合と同様に、接続先のコンピューター名でリモートデスクトップ接続が行えます。

よくある質問

接続できません。どのようにしたらよいですか?

SSTP 接続や IKEv2 接続自体が開始できない場合、EC2 インスタンスにインストールしたサーバ証明書が不正であるケースがほとんどです。証明書の Common Name、それから Subject Alternative Name の DNS Name の両方に、接続に使用する DNS 名が入っていることを確かめましょう。

インターネットからの接続を受け付けるサーバーからドメインへ参加するのは心配です。どのようにしたらよいですか?

認証サービスとして、Network Policy Server の役割をドメインコントローラー、もしくは別の EC2 インスタンスにインストールして使用しましょう。この場合、RRAS をインストールしたインスタンスを AD ドメインへ参加させる必要はありません。

AD ドメインは運用していません。このソリューションは使えますか?

はい、使えます。ただし、デスクトップ PC への接続時に使用するクレデンシャルと、SSTP 接続時に使用するクレデンシャルを共通にすることはできません。作成した EC2 インスタンスにそのまま上記の手順で RRAS の役割をインストールし、ローカルユーザーとして必要なユーザーを追加したうえで SSTP の接続時に使用しましょう。