Secure Gateway のトンネリングポリシー
トンネリングポリシーを使用して、RD セッションホストのグループを特定の RAS Secure Gateway または RAS Secure Gateway IP アドレスに割り当てることで、接続を負荷分散することができます。
トンネリングポリシーを構成するには、[ファーム] > <サイト> > [Secure Gateway] に移動し、右ペインの [トンネリングポリシー] タブをクリックします。
<デフォルト> ポリシーは、事前構成済みのルールであり、常に最後のルールになります。これにより、未構成のすべての Secure Gateway IP アドレスが検出され、ファーム内のすべてのサーバー間でセッション負荷が分散されます。<デフォルト> ポリシーを構成するには、<デフォルト> ポリシーを右クリックし、コンテキストメニューで [プロパティ] をクリックします。
新しいトンネリングポリシーの追加
新しいポリシーを追加するには、次の手順を実行します。
- [タスク] > [追加] をクリックします。
- Secure Gateway の IP アドレスを選択します。
- その Secure Gateway に接続しているユーザーをどの RD セッションホスト(複数可)に転送するかを指定します。[なし](転送なし)を選択する場合は、下の「RDP アクセスの制限」セクションをお読みください。
トンネリングポリシーの管理
既存のトンネリングポリシーを変更するには、そのトンネリングポリシーを右クリックし、コンテキストメニューで [プロパティ] を選択します。
RDP アクセスの制限
トンネリングポリシーを使用して RAS Secure Gateway ポート経由の RDP アクセスを制限できます。そのためには、[トンネリングポリシー] タブの下部にある [なし] オプションを選択します(Parallels RAS の新規インストール時のデフォルト設定です)。これにより、ネイティブ MSTSC がそのポート(デフォルトポートは 80)経由でゲートウェイにアクセスするのを制限できます。結果として、MSTSC を使用して <IP アドレス>:80 へのアクセスを試行しても、拒否されます。Parallels Client からの RDP 接続についても同様です。
RDP アクセスを制限する、いくつかの理由があります。最初の理由は、ユーザーの RAS ファームへの接続を RDP ではなく Parallels RAS 接続のみに制限したい場合です。第 2 の理由は、DDoS 攻撃を防止するためです。
DDoS 攻撃が発生中であることを示す一般的な兆候の 1 つは、特に理由もなくユーザーが RAS ファームにログインできなくなることです。これが発生した場合、Controller.log ファイル(RAS Connection Broker サーバー内の C:\ProgramData\Parallels\RASLogs にあります)を見ると、次のようなメッセージでいっぱいになっています。
- [I 06/0000003E] Mon May 22 10:37:00 2018 - Native RDP LB Connection from Public IP x.x.x.x, Private IP xxx.xxx.xx.xx, on Secure Gateway xxx.xxx.xx.xx, Using Default Rule
- [I 06/00000372] Mon May 22 10:37:00 2018 - CLIENT_IDLESERVER_REPLY UserName hello@DOMAIN, ClientName , AppName , PeerIP xxx.xxx.xx.xx, Secure GatewayIP xxx.xx.x.xx, Server , Direct , desktop 0
- [I 05/0000000E] Mon May 22 10:37:00 2018 - Maximum amount of sessions reached.
- [I 06/00000034] Mon May 22 10:37:00 2018 - Resource LB User 'hello' No Servers Available!
- [W 06/00000002] Mon May 22 10:37:00 2018 - Request for "" by User hello, Client , Address xxx.xxx.xx.xx, was not served error code 14.
これらのメッセージは、RDP ポートに対する DDoS 攻撃が進行中であることを示します。Secure Gateway のトンネリングポリシーによって RDP アクセスを制限することで、この状況の発生を防止できます。