リモートデスクトッププロトコル(RDP)は、Windowsシステム管理者がWindowsServerシステムをリモートで管理するために使用するMicrosoft独自のリモートアクセスプロトコルです。RDPを、たとえばWindowsPowerShellまたはSecureShell(SSH)リモーティングと区別するのは、図1に示すように、完全なグラフィカルデスクトップの存在です。
デフォルトでは、RDPサーバーコンポーネントはデフォルトでTCPポート3389で着信接続をリッスンしますが、これはセキュリティ上の理由から管理者が変更できます。
確かに、Microsoftの現在の推進力は、管理者がRDPへの依存を減らし、代わりに(a)WindowsServerをServerCoreまたはNanoモードで展開することです。(b)RDPの代わりにWindowsPowerShellコマンドラインリモート管理を採用します。
このアドバイスに対するマイクロソフトの正当性は2つあります。
GUIレイヤーは不要なシステムリソースを消費します
GUIレイヤーは、サーバーの攻撃対象領域を広げます
とにかく、多くの管理者はRDPベースのリモート管理に慣れており、新しくリリースされたWindowsServer2016オペレーティングシステムでもそうしようとしています。Server 2016でRDPを有効にする方法を学びましょう(tl; dr:プロセスはWindows Server 2012 R2と同じです)。
サーバーマネージャー
図2に示すように、サーバーマネージャーコンソールを開き、ローカルサーバーノードに移動して、[リモートデスクトップ]ハイパーリンクをクリックします。
リモートデスクトップハイパーリンクは、システムコントロールパネル項目からのシステムプロパティシートへのショートカットです。[このコンピューターへのリモート接続を許可する]を選択し、オプションで[ネットワークレベル認証を使用してリモートDestkopを実行しているコンピューターからの接続のみを許可する]を有効にします(推奨)。
ネットワークレベル認証(NLA)は、サーバーによってグラフィカルセッションが確立される前に認証を行うことを要求することにより、サービス拒否(DoS)攻撃からWindowsServerを保護します。NLAは、サーバーシステムリソースも節約します。
Windows PowerShell
下位レベルの観点からは、着信RDP接続は、2つのレジストリ値とWindowsファイアウォールルールを介してサーバー上で有効になります。
管理対象のWindowsPowerShellセッションを開き、次のコマンドを実行します。この最初の値はfDenyTSConnections値を作成し、それを0(オフ)に設定します。ターミナルサービス(TS)接続を拒否したくないので、これは理にかなっています。
New-ItemProperty -Path’HKLM:SystemCurrentControlSetControlTerminal Server’ -Name’fDenyTSConnections’ -Value 0 -PropertyType dword -Force
次のコマンドは、UserAuthentication(ネットワーク層認証)値を作成して有効にします。NLAは良い考えであり、サーバーでデフォルトで有効にすることを検討する必要があります。
New-ItemProperty -Path’HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp’ -Name’UserAuthentication’ -Value 1 -PropertyType dword -Force
次のコマンドは、事前定義された「リモートデスクトップ」Windowsファイアウォールルールを有効にします。次に、Get-NetFirewallRule PowerShellコマンドレットを呼び出して、図3に示すように確認できます
。Enable-NetFirewallRule-DisplayGroup’リモートデスクトップ’
グループポリシー
すべてのインフラストラクチャサーバーでRDPの動作を標準化する可能性があります。したがって、この目標を達成するためにグループポリシーを使用します。
まず、RDPサーバー設定を共有する必要があるサーバーを対象とする新しいグループポリシーオブジェクト(GPO)を作成、リンク、およびスコープします。
次に、次のグループポリシーパスに移動し、新しい制限付きグループエントリを追加します(図4を参照)。
コンピューターの構成ポリシーWindowsの設定セキュリティの設定制限付きグループ
サーバーの組み込みのリモートデスクトップユーザーグループのメンバーシップをカスタマイズできます。このグループのメンバーは、サーバーへのRDPセッションを確立できます。ローカルのAdministratorsグループ(さらには、Domain Adminsグローバルグループ)には、ActiveDirectoryでこの特権が自動的に付与されることに注意してください。
次の3つのグループポリシー設定が適用されます。
Windowsファイアウォールの着信RDP例外
RDPセッションを確立するためのユーザー権利
NLAが必要
コンピューターの構成管理用テンプレートネットワークネットワーク接続WindowsファイアウォールドメインプロファイルWindowsファイアウォール:インバウンドリモートデスクトップの例外を許可する
コンピューターの構成管理用テンプレートWindowsコンポーネントリモートデスクトップサービスリモートデスクトップセッションHostConnectionsユーザーがリモートデスクトップサービスを使用してリモート接続できるようにする
コンピューターの構成管理用テンプレートWindowsコンポーネントリモートデスクトップサービスリモートデスクトップセッションHostSecurityNLAを使用したリモート接続のユーザー認証が必要
クライアント接続の作成
WindowsクライアントとWindowsServerの両方に、リモートデスクトップ接続と呼ばれるMicrosoftRDPクライアントが含まれています。このツールを呼び出す私のお気に入りの方法は次のとおりです。
WINDOWS KEY+Rを押します
mstsc(「Microsoftターミナルサービスクライアント」の略)と入力します
ENTERを押します
図5に、リモートデスクトップ接続のユーザーインターフェイスを示します。
RDPクライアントの優れている点は、ほぼすべてのデスクトップまたはモバイルオペレーティングシステムで利用できることです。代表的なリストは次のとおりです。
Android:Microsoftリモートデスクトップ
iOS:Microsoft Remote Desktop
Linux:rdesktop
macOS:Microsoftリモートデスクトップ
Windows Phone:Microsoftリモートデスクトップ
Windows Serverは、一度に2つの同時RDPセッションのみをサポートすることに注意してください。それ以上が必要な場合は、リモートデスクトップサービス(RDS)セッションホストサーバーの役割をインストールし、Microsoftから追加のRDS接続ライセンスを購入する必要があります。
最終的な考え
以前のバージョンのWindowsServerでRDPを構成したことがある場合は、WindowsServer2016がまったく同じように動作することがわかります。ただし、Microsoftが「違反を想定する」セキュリティ体制とそれに伴う「ペットではなく群れを管理する」という哲学を採用することは、オンオフRDPではなくコマンドライン自動化に重点が置かれていることを意味します。 GUIセッション。
WindowsServer2016の10の最高の新機能
Windows 10 for IT Pros:チュートリアル、ヒント、コツ
ITプロフェッショナル向けのトップ6Windows10アプリ