マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。

目次

概要

以下、

  • リモート デスクトップ = RD
  • ターミナル サービス = TS

と略す。

「RDサービス」とは、「RDセッション ホスト」上に仮想的に構成された「Windowsデスクトップ」 を、
クライアントPCから利用して、サーバ上のアプリケーションや管理ツールなどを実行するための(周辺機能を含めた)機能群の総称である。

用語

#
1ターミナルサービスRDサービス
2ターミナル サーバRDセッション ホスト
3TSライセンスRDライセンス
4TSゲートウェイRDゲートウェイ
5TSセッション ブローカRD接続ブローカ
6TS WebアクセスRD Webアクセス
7TSマネージャRDサービス マネージャ
8TS構成RDセッション ホストの構成
9TSゲートウェイ マネージャRDゲートウェイ マネージャ
10TSライセンス マネージャRDライセンス サーバー
11TS RemoteAppマネージャRemoteAppマネージャ

機能

中核機能

拡張機能

表示に関する機能、セキュリティに関する機能

周辺機能

解決できること

アプリ配布・管理コストの低減

操作性の面でメリットの大きい、リッチクライアント アプリケーションは、
各端末への配布・管理が必要であったが、集中管理が可能になる。

アプリ互換性検証コストの低減

クライアントPCへのアプリケーション配布が不要であるため、
クライアントPCの管理と、環境の異なるクライアントPC毎、
クライアント アプリケーションの互換性検証が不要になる。

遠隔地からの接続

  • 在宅時など、遠隔地からも「RD接続」で業務アプリケーションを使用可能であるが、
    従来、これにはセキュアなネットワーク インフラを構築する必要があった。
  • しかし、「RDゲートウェイ」 によって、
    ネットワーク インフラを構築せずに「RD接続」することが可能になった。
  • また、システムを遠隔地から使用する要件の解としては、
    • Webアプリケーションが主流であるが、
      Webアプリケーションに高い操作性を実装するためには、生産性を犠牲にする必要がある。
    • 選択肢には3層C/S方式などもあり得るが、
      これも2層C/S方式と比べれば、複雑で生産性は低くなる。
  • しかし、「RDゲートウェイ」を使用すれば、
    2層C/S方式のリッチクライアント アプリケーションを、そのまま、
    遠隔地に配信できるため、高い操作性・生産性の両立が可能である。

データ保護

シンクライアントを使用して「RDセッション ホスト」に接続することにより、
ローカルにデータを保存できなくなるため、ローカルHDDやノートPCの
破損・盗難によるデータ損失・漏洩の防止に役立つ。

※ サーバ側でのバックアップ運用は、正しくなされている前提とする。

性能改善

  • 「RDサービス」による2層C/Sアプリケーションの3層化は、
    「ネットワーク トラフィック」の観点から、性能改善の可能性がある。
  • 例えば、クライアント側のネットワーク品質が低い場合、「RDサービス」の導入によって、
    システムを2層構成(クライアント → DB)から3層構成(クライアント → AP ⇒ DB)へ
    変更することによって、DBとの通信処理のオーバヘッドが軽減でき、システム全体として性能改善となる。

RDセッション ホスト

以下が、「RDサービス」の中核機能である「RDセッション ホスト」の機能概要である。

  • 「RDサービス」の中核機能を提供する「RDセッション ホスト」は、
    クライアントPCからリモート デスクトップ接続(以下、「RD接続」と略す)により、
    マウスやキーボードなどの入力データを受け取り、画面情報を返す。
RDセッション ホスト
  • これにより、クライアントPCから、「RDセッション ホスト」上で実行される
    Windowsデスクトップ、アプリケーションの表示・操作が可能になる。
  • この機能は、管理用の「RD接続」でも利用されているが、「RDセッション ホスト」は、管理用ではなく、
    マルチ ユーザGUI OSの機能により、複数のユーザへ、複数のRDセッションを提供する
    (GUIデスクトップマルチ セッション環境下で利用できるようにする)ことを目的としている。

インストール

インストール中に以下を設定する。

ネットワーク レベル認証

ライセンス モード

  • インストール時に、[後で構成]オプション ボタンを選択できる。
  • 「ライセンス モード」を構成するまで120日の猶予期間がある。

アプリケーションのインストール

マルチ セッション環境下で使用するアプリケーションのインストール

その他の機能

クライアント リソースのリダイレクト

  • 下記のような、クライアントPCのローカル リソースを、
    RDセッション ホスト」側にリダイレクトする機能
    • クリップボード
    • ドライブ
    • オーディオ
    • プリンタ
    • LPT ポート
    • COM ポート
    • サポートされているプラグ アンド プレイ デバイス
    • , etc.
  • これにより、例えば、クライアントPCのローカル ディスク ドライブをリダイレクトして、
    リモート デスクトップ内のエクスプローラ、アプリケーションからローカル リソースを読み書き可能である。
  • サーバ側にプリンタ ドライバが不要であり、以下の問題を解決できる。
    • PLC、PS などの「ページ記述言語」との非互換性の問題
    • サーバでサポートされないプリンタ(コンシューマ用、x64版未対応など)の問題
    • クライアントPCのプリンタ(+ 印刷設定)を利用できない問題

ADDS機能の利用

  • 利用者のプロファイルの設定
    • 共有フォルダの、利用者の権限として、
      • 「共有アクセス許可」は「フル コントロール」、
      • 「NTFSアクセス許可」は「変更」に設定しておく。
    • なお、共有名の末尾を「$」としておくと、隠し共有フォルダとなるので、
      必要に応じて、共有名の末尾に「$」を付与しておくと良い。
  • RD 移動ユーザー プロファイルの設定
    • 「RDサービス」のユーザのユーザ プロファイルを変更できる。
    • ユーザ プロファイル(環境変数:USERPROFILE)に共有フォルダへのパスを指定
    • ログオフ時に、サーバの共有フォルダにセーブされ、
    • ログオン時にサーバの共有フォルダからロードされる。
  • 「RDサービス」のホーム ディレクトリの設定
    • 「RDサービス」のユーザのホーム ディレクトリのみ変更できる。
    • ホーム ディレクトリ(環境変数:HOMEPATH)に
      共有フォルダへのパスを指定し、適当なドライブ文字を割当てる。
  • フォルダ リダイレクトの設定
    • (RD)移動ユーザ プロファイルと併用し、ログオン・ログオフのNW負荷を軽減する。
    • (「フォルダ リダイレクト」は、「RDサービス」専用の機能ではない)

RemoteApp

拡張機能

他OSからのRDサービスの利用

古いWindows、Mac OS Xでも、
対応するRDクライアントを追加インストールすることで、
「RDサービス」を利用できる。

セキュリティ関連機能

RD接続のセキュリティ設定

[RDP-Tcpプロパティ]ダイアログから行う。

  • サーバ認証と暗号化レベル
    • セキュリティ層
      #セキュリティ層説明
      1SSL(TLS1.0)サーバ認証、送信データの暗号化にSSLが使用される。
      2ネゴシエート(既定)クライアントがサポートしている最も安全な層が使用される。
      サポートできる環境の場合は、SSLが使用される。
      SSLをサポートできない環境の場合は、RDPセキュリティ層が使用される。
      3RDPセキュリティ層通信に、ネイティブなRDP暗号化が使用される。
      RDPセキュリティ層を選択した場合、
      ネットワーク レベル認証」は使用できない。
  • 暗号化レベル
    #暗号化レベル説明
    1FIPS準拠連邦情報処理規格(FIPS)140-1で確認された暗号化方式を使用して、送信データを暗号化する。
    このレベルの暗号化をサポートしていないRDクライアントは接続できない。
    2128bitの暗号化を使用して、送信データを暗号化する。
    このレベルの暗号化をサポートしていないRDクライアントは接続できない。
    このレベルは、128bitのRDクライアントのみの環境で、
    「ターミナル サーバ」が動作している場合に使用する。
    3クライアント互換(既定)送信データは、RDクライアントがサポートしている最高のキーの強度で暗号化される。
    このレベルの暗号化は、古いRDクライアントが混在している環境で
    RDセッション ホスト」が動作している場合に使用する。
    456bitの暗号化を使用して、クライアントからサーバに送信されるデータを暗号化する。
    サーバからクライアントに送信されるデータは暗号化されない。
  • ネットワーク レベル認証(NLA)
    CredSSPセキュリティ サポート プロバイダにより提供される、新しい認証方法
    • RD接続」でログオン画面を表示させずにユーザ認証を完了させることができる。
    • これには、正しいサーバ証明書と、FQDN名を使用し、NLAに対応したRDクライアントが必要。
  • ログオン設定
    • RDPファイルにログオン情報を同梱することも可能であるが、
      この場合も、都度パスワードの入力を求めるように指定できる。
    • SSOを構成すれば、各クライアント端末にADのユーザ アカウントでログオンした後、
      再ログオンせずに「RDセッション ホスト」にアクセスできるようになる(以下はその要件)。
      #要件1要件2
      1RDサービス」は、次の要件を満たしている必要がある。
      1-1クライアントと「RDセッション ホスト」が、同じドメインに参加している。
      1-2VistaベースのPC以降から「RDセッション ホスト」への「RD接続」に限定する。
      (なお、サポートされるクライアントOSは、Vista SP1以降になる )
      1-3ログオンに使用するADのユーザ アカウントに、クライアントPCと、
      RDセッション ホスト」の両方にログオンするための適切な権限が付与されている。
      2上記の要件を満たした状態で、「ターミナル サーバ」に以下の設定を行う。
      2-1「サーバ認証と暗号化レベル」で「セキュリティ層」を「ネゴシエート」または、「SSL(TLS1.0)」に設定する。
      2-2「ログオン設定」で、都度パスワードの入力を求めるように指定しない。
      2-3次項のSSOに必要な、認証の委任を設定する。
  • RDUグループとアクセス許可
    Remote Desktop Users(以下、RDUグループと略す)という
    ビルトイン グループがあり、以下のアクセス許可を持つ。
    #アクセス許可セットアクセス許可
    1フル コントロール情報の照会、ログオン、接続
    情報の設定、リモート制御、ログオフ
    メッセージ、接続、切断、仮想チャネル
    2ユーザ アクセス情報の照会、ログオン、接続
    3ゲスト アクセスログオン

グループ・ポリシーを使用したセキュリティ設定

  • 認証・承認の方法
    • サーバ認証と暗号化レベル
    • SSOに必要な、認証の委任

周辺機能

RDライセンス

RDゲートウェイ

RD Webアクセス

RD接続ブローカ

補足

RD接続

RDセッション ホスト」へは、RDPを使用して、「RD接続」する。

接続モード

一般的に、「RD接続」には以下の2つの接続モードがある。

  • 管理用RDモード:
    • 管理用途
    • 実行可能な同時リモート接続は 2 つまで。
      RDS-CALは不要であるため、購入する必要は無い。)
  • 以下は構成不可能
    • ライセンス設定
    • RD 接続ブローカーの設定
    • ユーザー ログオン モード
  • RDセッション ホスト モード
    マルチ ユーザへ、RDセッションを提供

注意

  • これは、FQDN名とサーバ証明書のサブジェクトが比較されているためである。
    このため、上記に該当する場合は、正しいFQDN名を入力する必要がある。

コラム

  • もともとシングル ユーザ環境のクライアントPCから出発したWindowsでは、
    UNIXの「telnetを使用してリモートからログインし、システムを利用する」
    というような使い方は、一般的ではなかった。
  • Windows 9x、Meまでマルチ ユーザ機能を持っていなかった。
  • また、Windows NTも、マルチ ユーザGUI OSとしては作られていなかった。
  • このような中、Windows NTのGUIをマルチ セッション環境下で利用できるようにした
    「Windows NT Server 4.0, Terminal Server Edition」という単体製品が登場し、
    Windows 2000 Server、Windows Server 2003、2008へのバージョンアップで
    機能拡張されて、現在の「リモートデスクトップサービス」に至っている。

参考


Tags: :Windows, :仮想化


添付ファイル: fileRDService.png 233件 [詳細]

トップ   編集 凍結 差分 バックアップ 添付 複製 名前変更 リロード   新規 一覧 単語検索 最終更新   ヘルプ   最終更新のRSS
Last-modified: 2019-04-15 (月) 10:12:09 (6d)