RDP サーバのトランスペアレント ログインの設定

Windows RDP サーバのトランスペアレント ログインを実行する方法について説明します。
capam33
Windows RDP サーバのトランスペアレント ログインを実行できます。 トランスペアレント ログインでは、そのデバイスのアプリケーションを通じた二次的なアクセスを提供します。
CA Privileged Access Manager
 HTML WebSSO と同様に、管理者は、「学習モード」を使用して、ターゲット アプリケーションの関連するアクセス インターフェースを認識するように製品を学習させることができます。 この場合、製品は
CA Privileged Access Manager
 の RDP アプリケーションになります。
この機能の利点は、認証情報およびソフトウェアがターゲットの RDP サーバに保存されないことです。 アクセス クライアントまたは RDP サーバには、エージェントのインストールは不要です。 必要に応じて、これらのアプリケーションをキャッシュして、ロード時間を改善できます。
CA Privileged Access Manager
 またはターゲットデバイスで特別な設定は必要ありません。 プロビジョニングのプロセスは、必要な設定を具体的に表しています。
このトピックでは、以下の情報について説明します。
2
ターゲット デバイスのサポート
  • OS バージョン:
    Windows Server 2012、Windows Server 2016、Windows Server 2019、各 x86 および x64 バージョン
  • アプリケーション:
    VMware vSphere クライアントおよび vSphere Client コンソール、Microsoft SQL Server Management Studio、WinSCP、Dell Toad、PuTTY、Oracle SQL *Plusです。
Windows の設定
CA Privileged Access Manager
 トランスペアレント ログインのターゲットである Windows (RDP サーバ)デバイスが正常に機能するためには、以下の設定が必要です。
証明書
CA Privileged Access Manager
 で署名の証明書を使用する場合は、各 Windows ターゲット デバイス上で CA 証明書をインストールする必要があります。 信頼されたルートとして、この証明書をインポートします。
セッション記録
Internet Explorer を使用する場合にトランスペアレント ログインのアクティビティが正常に記録されるように、すべての同等の
CA Privileged Access Manager
アドレスを設定します。 たとえば、ブラウザ セキュリティ設定でのクラスタ VIP 名 と VIP アドレスです。
  1. Internet Explorer で、[
    ツール
    ]、[
    インターネット オプション
    ]を選択します。
  2. セキュリティ
    ]タブ、[
    信頼済みサイト
    ]、[
    サイト
    ]ボタンの順に選択します。
  3. 信頼済みサイト
    ]ダイアログ ボックスで、使用中の同等の各 アドレスを入力し、[追加
    CA Privileged Access Manager
    ]します。
    [閉じる]
    を選択して信頼済みサイトを終了します。
  4. [OK]
    を選択し、インターネット オプションを保存、終了します。
この設定は、完全には機能しない可能性があります。 その場合は、[
インターネット オプション
]でこの追加設定を行います。
  1. 接続
    ]タブを選択し、[
    LAN の設定
    ]を選択します。 [
    プロキシ サーバ
    ]チェック ボックスが選択されている場合は、[
    詳細
    ]ボタンをクリックします。
  2. 例外
    ]セクションにある「127.*」または同等の構成要素を削除します。
  3. [OK]
    を選択し、
    [プロキシ設定]
    を保存、終了します。
    [OK]
    を再度選択し、
    [ローカル エリア ネットワーク(LAN)の設定]
    を保存、終了し、もう一度
    [OK]
    を選択して
    [インターネット オプション]
    を保存、終了します。
前提条件
Windows Server 2012
  1. Windows Server 2012 をドメインに追加します。
    代わりに、テスト目的で、同じサーバにドメイン コントローラをインストールできます。 以下を参照してください。
    http://social.technet.microsoft.com/wiki/contents/articles/12370.step-by-step-guide-for-setting-up-a-windows-server-2012-domain-controller.aspx
  2. 以下のリンクで提供される手順を使用して、リモート デスクトップ セッション ホスト ロールをインストールします。
    https://support.microsoft.com/en-us/help/2833839/guidelines-for-installing-the-remote-desktop-session-host-role-service
  3. 以下の記事で提供される手順を使用して、RemoteApp として cmd.exe を設定します。
    http://social.technet.microsoft.com/wiki/contents/articles/10817.publishing-remoteapps-in-windows-server-2012.aspx
    セキュリティ上の理由: [
    RemoteApp プロパティ
    ]ダイアログ ボックスの[
    コマンドライン引数
    ]オプションのボタンで、[
    以下のコマンドライン引数を常に使用
    ]オプションを選択します。 以下の文字列を使用する引数を設定します。
    この文字列をコピー アンド ペーストまたは手動で入力した場合、非表示の文字またはスペースを入力していないことを確認します。 非表示の文字またはスペースがある場合、コマンドが動作しない可能性があります。
    /C title Initializing RDP session&echo Please wait...&timeout 4 /nobreak>nul&"\\tsclient\virt\xcd_run.bat"
Windows Server 2016 および Windows Server 2019
  1. Windows Server 2016 または Windows Server 2019 をドメインに追加します。
    テスト目的で、同じサーバにドメイン コントローラをインストールできます。 ガイダンスについては、以下の記事を参照してください。
    http://pc-addicts.com/setup-dhcp-role-server-2016/
  2. ガイダンスについて Microsoft のドキュメントを参照して、リモート デスクトップ環境を展開します。
    https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-deploy-infrastructure
  3. 実行するデスクトップおよびアプリケーション用のリモート デスクトップ サービス コレクションを作成します。 ガイダンスについては、以下の Microsoft ドキュメントを参照し、「RemoteApp プログラムを公開する」に移動し、この手順のステップ 4 に進みます。
    https://docs.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-create-collection
  4. 以下の手順に従って、cmd.exe を RemoteApp として公開します。
    1. [サーバー マネージャー]
      で、新しいコレクションを選択します。
    2. [RemoteApp プログラム]
      で、
      [タスク]
      -
      [RemoteApp プログラムの公開]
      を選択します。
    3. [追加]
      を選択します。
    4. ファイル選択で検索ボックスを使用し、cmd.exe の適切なインスタンスを検索して選択します。
    5. [開く]
      を選択します。
    6. [次へ]
      を選択します。
    7. [公開]
      を選択します。
    8. [RemoteApp プログラム
      ]で、
      [cmd]
      を右クリックし、
      [プロパティの編
      集]
      を選択します。
    9. [パラメータ]
      を選択します。
    10. セキュリティ上の理由により、
      [以下のコマンドライン引数を
      常に使用]
      オプションを設定し、以下の文字列を使用するように引数を設定します。
      /C title Initializing RDP session&echo Please wait...&timeout 4 /nobreak>nul&"\\tsclient\virt\xcd_run.bat
      この文字列をコピー アンド ペーストまたは手動で入力した場合、非表示の文字またはスペースを入力していないことを確認します。 非表示の文字またはスペースがある場合、コマンドが動作しない可能性があります。
    11. [OK]
      を選択します。