SE の雑記

<[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 1

もう少しリモートデスクトップについて考えてみたいと思います。
ちなみにリモートデスクトップについていろいろと考えていますが、使いましょうと奨めているわけではありませんので。。。

自宅にサーバーを設置すると下図のような環境になると思います。
四角で囲んであるものを一つの機械として書いてみました。
# 赤線が外部 / 青線が内部の接続になります。
??? 書いてある IP アドレスは適当ですので私の実際の環境とは一致していません。
??? WAN 側 IP は実在するものを書くと使用されている方にご迷惑かと思い形式上あり得ない [999.0.0.1] としています。

[一般的な家庭のネットワーク]

それぞれにファイアウォール (F/W) 機能が付いていると思います。
ブロードバンドルーターはそれほど買い換えたことがないので一般的な構成がわからないのですが大抵の製品には DHCP が
ついているんでしょうね。
少し調べてみたらダイナミック DNS 機能を持つルーターもあるみたいですね。
# ネットワーク系は苦手なのでどうにもここら辺の知識が薄いです…。
??? 図の内容も含めて本投稿に誤りがありましたらご指摘いただけるととても助かります。

リモートデスクトップで接続をする場合にはそれぞれのファイアウォールで例外をどのようにするか考える必要があります。

今回はクライアント PC の F/W では発信制限はしていないものとして考えてみようと思います。
そのためクライアント PC については特に考慮していません。

[Web サーバーについて考える]

Web サーバーでリモートデスクトップを有効にすると以下のダイアログが表示されて Web サーバー側の F/W が解放されます。

Windows ファイアウォールを実施に確認してみると例外設定で [リモートデスクトップ] が許可されているのが確認できます。

クライアント PC からリモートデスクトップで接続が可能になります。

コマンドプロンプトで [netstat ?an] を実行すると以下のような出力結果が得られます。

C:UsersAdministrator>netstat -an アクティブな接続 ? プロトコル? ローカル アドレス????????? 外部アドレス??????? 状態 ? ～ 省略 ～ ? TCP??? 0.0.0.0:3389?????????? 0.0.0.0:0????????????? LISTENING ? TCP??? [::]:3389??????????????? [::]:0?????????????????? LISTENING ? ～ 省略 ～

リモートデスクトップの既定のポートは [3389] になります。
IP v4 と IP v6 の両方でリッスン状態になっているのが確認できますね。

[C:WINDOWSSystem32driversetcservices] にも記載されているように 3389 のポートは予約済みポートとして定義されています。
?
一般的に公開されているポートでリモートデスクトップを実行するのは不安ですよね…。

また 0.0.0.0 でリッスンしているということは有効な全 IP アドレスで応答待ちしていることになります。
割り当てている IP が一つでしたらよいと思いますがネットワークカードを複数使っている場合は全 NIC でリモートデスクトップの
応答を受けるのも不安が残ります。

これは後で変更する必要がありそうですね～。変更方法は別途まとめたいと思います。

[ルーター側について考える]

ルーター側はプロバイダから割り当てられる可変 IP / 固定 IP 化やダイナミック DNS や独自 DNS の取得といったことも考える
必要があると思いますがそれは Web サーバーの公開方法で考えたいと思います。
# IIS 7.0 虎の巻でも書かれている内容ですね。

ひとまず、リモートデスクトップに絞って考えてみようかと。

ルーターにも F/W 機能がありますのでこの設定を変更する必要があります。
私が自宅で使っているルーターの機種は伏せておきたいので画像を付けた具体的な手順の提示は控えさせていただきますが、
以下のような設定が必要かと思います。

1. ファイアウォールの設定
   ルーターの初期状態では外部からのアクセスが制限されていると思います。
   サーバー側の設定では青線の部分を制御していますので、ルーター側で赤線の部分のアクセスを許可する必要があります。
   全アクセスを許可するのは大変危険ですのでやめたほうが良いです。
   ポート番号指定でアクセス許可の設定ができると思いますのでリモートデスクトップのポートのみを許可するのが良いかと。

   ルーターによっては送信元や宛先も絞れると思いますので、送信元が固定的なのであればこれも絞り込んだほうが
   セキュアになってよいと思います。
   # いろいろなところから可変 IP で接続すると思いますので送信元を絞り込めないのが現実だと思いますが。

   今回の図の場合では、[172.0.0.10] の ポート [3389] に対してのアクセスを許可する設定が必要ですね。
   ルーターによっては IP マスカレードを設定すると自動的にアクセスを許可するものもあるようですので、
   [2.] の設定だけでよいかもしれないですね。
   こちらについては使用しているルーターの機能を確認するひつようがあります。

2. NAT の設定 (ルーターによっては IP マスカレードで設定できるかも)
   上の図では WAN 側の IP アドレスは一つですが、その先には複数のコンピュータが接続されています。
   インターネットから [999.0.0.1] の IP アドレスでルーターにアクセスがあった場合、それをどのコンピュータに
   振ればよいのか判断することができません。

   リモートデスクトップで 999.0.0.1 に接続しようとした場合は、172.0.0.10 に接続されるようにしたいですよね。

   このような場合に使用するのがネットワークアドレス変換 (Network Address Translation : NAT) になります。

   NAT を使用すると 999.0.0.1 にアクセスがあった場合　172.0.0.10 に要求を渡すという制御ができるようになります。
   ポート単位に要求を渡す先を変更するものを IP マスカレードといいます。
   # NAT は要求があったポートと同一のポートを渡します。

   これにより

   – 999.0.0.1 の ポート 80 に対してのアクセスは 172.0.0.1 のポート 80
   – 999.0.0.1 の ポート 81 に対してのアクセスは 172.0.0.2 のポート 80

   といった制御ができるようになります。
   # NAT の場合は 999.0.0.1 に対してのアクセスは 172.0.0.1 という設定になります。

   量販店で購入できるルーターは IP マスカレードの設定ができるものが大半みたいですね。
   # IP マスカレードができることを NAT と書いているのものもあるようですね。

これらの設定をするとルーター側のリモートデスクトップを使用可能にする設定ができます。
IP マスカレードを使用してインターネット側のリモートデスクトップのポートを隠ぺいするのもよいかもしれないですね。

[設定例]

– 999.0.0.1:3389 → 172.0.0.1:56000
# インターネット側の 3389 のポートアクセスをリモートデスクトップとは違うポートにリダイレクト
– 999.00.0.1:56000 → 172.0.0.1:3389
# インターネット側の 56000 のポートアクセスを 3389 にリダイレクト

リモートデスクトップのポートはデフォルトの 3389 から変更することができます。
NIC を複数接続している場合は特定の NIC で応答を待つこともできます。

次はこの 2 点の設定をまとめてみたいと思います。

>[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 3

<[Web サーバー立ち上げ体験日記]ライセンス認証

立ち上げたサーバーのリモート管理として [リモートデスクトップ] は欲しいところです。

リモートデスクトップを使用するためには [コンピュータ] の [プロパティ] の [リモートの設定] から設定します。

?

デフォルトでは [このコンピュータへの接続を許可しない] になっています。

これを
– [リモートデスクトップを実行しているコンピュータからの接続を許可する]
– [ネットワーク レベル認証でリモート デスクトップを実行しているコンピュータからのみ接続を許可する]
のどちらかに変更するとリモートデスクトップで接続ができるようになります。

[ネットワーク レベル認証でリモート デスクトップを実行しているコンピュータからのみ接続を許可する] のほうがセキュリティレベルが高くなりますので推奨はこちらです。

ただし、Remote Desktop Connection (RDC) 6.0 以降で接続する必要があります。
Windows Vista の場合はデフォルトが RDC 6.0 になっていますが Windows XP を使用している場合は SP3 を適用する必要があります。
SP3 を適用する状態では ネットワーク レベル 認証 (NLA) が有効になっていませんので、手動で設定しないといけません。

Microsoft の以下の KB で細かい内容については解説されていますので詳細を知りたい方はこちらをご参照ください。
ターミナル サービスのリモート デスクトップ接続 6.1 クライアントの説明の更新します。
Windows XP Service Pack 3 で資格情報のセキュリティ サービス プロバイダ (CredSSP) の説明

リモートデスクトップ (mstsc.exe) を起動して左上のアイコンを右クリックして [バージョン情報] を開くと NLA に対応しているか確認することができます。
?

以下は、Windows Vista SP なしのリモートデスクトップのバージョン情報になります。
[ネットワーク レベル認証はサポートされています。] と表示されているのが確認できますね。

?
こちらは Windows XP SP3 のリモートデスクトップのバージョンになります。
リモート デスクトップ プロトコルは 6.1 になっていますが、[ネットワーク レベル認証はサポートされていません。] となっていますね。

この状態でサーバー側を NLA を使用できるクライアントのみ接続できる設定にしていると XP では以下のエラーが発生します。

XP からリモートで管理したい場合はこの状態では困りますよね…。

SP3 をインストールしていれば機能としてサポートしていますのでセキュリティレベルを低くする必要はありません。
XP 側の設定を変更することによって NLA を使用して接続できません。
# SP3 より前を使用している場合はセキュリティレベルを低くするしかありません。

[設定方法]

1. ファイル名を指定して実行で [regedit.exe] を実行します。
2. [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlLsa] の [Security Packages] を開きます。
   
3. 最後の行に [tspkg] を追加し [OK] をクリックします。
   
4. [HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlSecurityProviders] の [SecurityProviders] を開きます。
   
5. 最後に [credssp.dll] を追加し [OK] をクリックします。
   # ,(カンマ) 区切りになっていますので、[, credssp.dll] と入力しています。
   
6. 変更が終わったら再起動してリモートデスクトップのバージョン情報を確認します。
   [ネットワーク レベル認証はサポートされています。] となっているのでこれで NLA で接続ができるようになります。
   Vista はこれらのレジストリ値が最初から設定されているのでデフォルトで NLA に対応しています。
   # 再起動しなくても変更されるようですが念のため
   

NLA で接続をするようになるとリモートデスクトップの接続時にサーバーのコンソール上ではなくその前に認証がされるようになります。

[NLA をサポートしていない場合]

[NLA をサポートしている場合]

まずはどのモードでリモートデスクトップを使用するかを考えてみました。
検討 / 検証しながら書いていたので読みづらい投稿になってしまいましたね～。

リモートデスクトップについてはもう少し考えてみたいと思います。

>[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 2

<[Web サーバー立ち上げ体験日記]デバイスドライバのインストール

特に特殊な操作はないのですが念のため。

インストール時にオンライン時に自動的に認証を有効にしておくと、気づいた時にはライセンス認証されていると思います。

手動でライセンス認証をする場合は以下の手順を実行します。

1. [コンピュータ] の [プロパティ] をクリックします。
   
2. [自動ライセンス認証が始まるまで～] のリンクをクリックします。
   
3. ライセンス認証が実行されます。
   

インターネットに接続されている環境であれば手動で実行する必要はないかと思いますが。

次はリモートデスクトップの設定について少し考えてみたいと思います。

>[Web サーバー立ち上げ体験日記]リモートデスクトップについて考える その 1

<[Web サーバー立ち上げ体験日記]インストール後の初期構成タスク

OS の初期構成も終わりましたので次はデバイスドライバのインストールです。
# 初期構成の前にやったほうが良かったですね。

今回は、OS のメディアからインストールをしていますのでいくつかデバイスドライバがインストールせれていません。
サーバーマネージャの
[診断] → [デバイス マネージャ]
を確認すると二つほど [ほかのデバイス] として認識されているものがあります。

これらのデバイスはデバイスドライバがインストールされていませんのでデバイスドライバを入手する必要があります。

それぞれのデバイスがどのようなものかは各デバイスのプロパティを開き、[詳細] の [ハードウェア ID] を確認します。
# [SM バス コントローラ] となっているデバイスのプロパティです。
?
[PCIVEN_8086] は Intel の PCI ベンダー ID になりますのでサーバーベンダーのホームページからこのドライバがないかを探します。
# ハードウェア ID の内容を検索サイトで調べるとどのドライバを指しているのかは手間がかからないと思います。

今回モニターしているのは ML110 G5 になりますので、以下のサイトからドライバを探します。
HP ProLiant ML110 G5 – ドライバ＆ダウンロード
OS は x64 を使用していますので、[Microsoft Windows Server 2008 x64] を使用します。

チップセットのドライバがありましたので、ダウンロードしてサーバーにインストールしてみたいと思います。

[Intel(R)] ICH9 Family SMBus Contoller ? 2930 がインストールされていますので、[SM バス コントローラ] ドライバが
インストールされていそうですね。

?
他のデバイスから [SM バス コントローラ] が消えていますのでドライバがインストールできたようです。

続いて [不明なデバイス] についてもデバイスドライバをインストールします。
こちらはハードウェア ID が [ACPIHPI0002] になっていますね。

今度は HP のホームページ上で探してみたいと思います。
検索機能がありましたので [ACPIHP0002] で検索したら ML110 用が 2 件ヒットしました。
今回の検索結果では x86 / x64 の 2 種類が検索結果としてヒットしていました。
# 今回は 2 件目の結果が x64 用でした。

?

このドライバがインストールされていないようですね。ダウンロードしてインストールしてみたいと思います。

これでデバイスはすべてインストールできました。

BIOS も新しいものが出ているようですので一緒に適用しておきたいと思います。
BIOS をバージョンアップする際は適用中に電源が切れないようにご注意ください。
# MSINFO32.exe で取得した BIOS バージョンは 2009/02/24 ですが 2009/3/12 ですので。

すでに OS インストール済みですので [オンラインROM～] を使用しています。

再起動後、バージョンアップしていることが確認できますね。

?

これでデバイスドライバの導入は終了です。
ハードウェアが一通り認識できましたので、次はライセンス認証をしたいと思います。

>[Web サーバー立ち上げ体験日記]ライセンス認証