初めに
冒頭ですが、この記事の位置付けは、次のシリーズ記事の1つです。
プライベート・サブネット内の OCI Compute に接続

本記事は、Microsoft リモート・デスクトップ・ゲートウェイ (RDG) を介して Oracle Cloud Infrastruture (OCI) 上の Windows インスタンスに接続する方法を紹介します。

メリット
✅ リモート・デスクトップ・ゲートウェイ・サービスは Windows サーバの標準機能であり、踏み台サーバに簡単にインストールできる。踏み台を経由すれば、プライベート・サブネット内のWindowsインスタンスに接続できる。
✅ HTTPS (443 ポート)を経由するので、パブリック・サブネットにTCP 3389 ポートを開くのは不要。
✅ SSHポート転送の方法 (OCI Bastionなど) と比較して、SSHセッションのタイムアウトを心配せず、長時間の接続ができる。

デメリット

踏み台サーバの作成・設定は必要。
クライアント側からの初期セッションを立てる時間はやや長い。 (約1分間)

ステップ

1. 事前準備
2. リモート・デスクトップ・ゲートウェイをインストール (踏み台)
3. 承認ポリシーの作成 (踏み台)
4. SSL証明書の作成 (踏み台)
5. SSL証明書のエクスポート (踏み台)
6. SSL証明書のインポート (クライアント)
7. 接続テスト (クライアント/踏み台)
トラブル・シューティング

1. 事前準備

関連する OCI リソース

タイプ	項目	値	コメント
VCN	CIDR	10.0.0.0/16
パブリック・サブネット	CIDR	10.0.0.0/24	踏み台サーバ
プライベート・サブネット	CIDR	10.0.1.0/24	接続先サーバ
インターネット・ゲートウェイ			ルート表に追加する
セキュリティ・リスト (パブリック・サブネット用)	Ingress	XX.XX.XX.XX/32, TCP 443	接続元の IP アドレスを指定する
		XX.XX.XX.XX/32, TCP 3389	最初にこれを追加する必要がある。RDG 経由で接続先のインスタンスに正常に接続したら、削除してもOK。
	Egress	0.0.0.0/0, 全てのプロトコル
セキュリティ・リスト (プライベート・サブネット用)	Ingress	10.0.0.0/24, TCP All	踏み台からのアクセスを許可
	Egress	0.0.0.0/0, 全てのプロトコル
ルート表 (パブリック・サブネット用)	ルール	ターゲット: インターネット・ゲートウェイ宛先: 0.0.0.0/0
Compute インスタンス	踏み台サーバ	Windows サーバ 2022
	接続先サーバ	Windows サーバ 2022	プライベート IP: 10.0.1.167

2. リモート・デスクトップ・ゲートウェイをインストール (踏み台)

踏み台サーバに RDP ログインし、PowerShell コマンドを実行して RDG をインストールします。

コマンド：Install-WindowsFeature RDS-Gateway -IncludeAllSubFeature -IncludeManagementTools

3. 承認ポリシーの作成 (踏み台)

サーバー・マネージャー → ツール → Remote Desktop Services → "リモートデスクトップゲートウェイマネージャー"

RD ゲートウェイマネージャー → ポリシー (右クリック) → 新しいポリシーの作成

デフォルトの「RD CAP と RD RAP を作成する (推奨)」を選択し, 「次へ」をクリックします。

RD CAP の名前を入力し、「次へ」をクリックします。

「グループの追加」ボタンをクリックして、RD CAP に関連付けられるグループを追加します。

グループ名を入力し、「名前の確認」をクリックします。有効なグループ名を確認した後、OK をクリックして画面を閉じます。

「次へ」をクリックして続行します。

デフォルトのままで、「次へ」をクリックして続行します。

タイムアウトを設定したくない場合、デフォルトのままで、「次へ」をクリックして続行します。

「次へ」をクリックします。

RD RAP の名前を入力し、「次へ」をクリックします。

同じグループを使用してもよいので、そのままで「次へ」をクリックします。

「ユーザーによる任意のネットワークリソース (コンピューター) への接続を許可する」を選択し、「次へ」をクリックします。

「ポート 3389 への接続のみを許可する」はデフォルトでチェックされています。「次へ」をクリックして続行します。

「完了」をクリックします。

ポリシーの作成を確認し、「閉じる」をクリックします。

4. SSL証明書の作成 (踏み台)

RD ゲートウェイマネージャー → サーバー名をクリック → "証明書のプロパティを表示または変更"

このテストには自己署名証明書を使用します。「証明書の作成とインポート」をクリックして続行します。

デフォルトの証明書の名前は、サーバー名と同じです。踏み台サーバーのパブリック IP またはパブリック DNS 名に変更します。 (このテストにはパブリック IP を使用します。)

デフォルトのサーバー名を使用する場合、接続セッションを立てる時、問題-3が発生する可能性がありますので、ご注意ください。

作成後、次のようなメッセージが表示されます。

「適用」をクリックします。

証明書が踏み台サーバーにインストールされていることを確認し、OK をクリックして終了します。

5. SSL証明書のエクスポート (踏み台)

検索ボックスにcertlm.mscと入力し、管理コンソールを起動します。

個人 → 証明書 → 証明書を選択 → すべてのタスク -> エクスポート

「次へ」をクリックします。

デフォルトのままで、「次へ」をクリックします。

デフォルトのままで、「次へ」をクリックします。

ファイル名を入力し、「次へ」をクリックして続行します。

「完了」をクリックすると、次のような成功メッセージが表示されます。OK をクリックして終了します。

踏み台サーバーからローカルクライアントに証明書をコピーします。

6. SSL証明書のインポート (クライアント)

ローカルクライアントに保存されている証明書ファイルWin2022-RDG.cerをダブルクリックしたら、以下の画面が表示されます。「証明書のインストール」ボタンをクリックします。

「現在のユーザー」は、デフォルトでチェックされています。「次へ」をクリックして続行します。

「証明書をすべての次のストアに配置する」を選択し、「参照」ボタンをクリックします。

「信頼されたルート証明機関」を選択し、OK をクリックします。それ以外のストアを選択した場合、接続セッションを立てる時、問題-4が発生する可能性がありますので、ご注意ください。

「次へ」をクリックして続行します。

「完了」をクリックします。

次のような警告メッセージが表示されたら、「はい」をクリックして続行します。

「OK」をクリックしてウィザードを終了します。

7. 接続テスト (クライアント/踏み台)

RD ゲートウェイサービスを起動 (踏み台)

次のように、サービスを起動します。起動後の状態は「停止」から「実行中」に変わったことを確認します。

サーバー・マネージャー → リモートデスクトップサービス → サーバー → サービス

ユーザをグループに追加 (踏み台)

RD CAP/RAP に関連付けられているグループにログイン・ユーザーを追加することを忘れないでください。このテストでは、デフォルトの opc ユーザーでログインします。

接続を開始 (クライアント)

ローカルクライアントから「リモートデスクトップ接続」を起動します。「詳細設定」タブに切り替え、「設定」ボタンをクリックします。

「次の RD ゲートウェイサーバー設定を使用する」を選択し、踏み台のパブリック IP またはパブリック DNS 名を入力します。「ローカルアドレスには RD ゲートウェイサーバーを使用しない」のチェックを外し、OK をクリックします。