「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
以下、
- リモート デスクトップ = RD
- ターミナル サービス = TS
と略す。
「RDサービス」とは、「RDセッション ホスト」上に仮想的に構成された「Windowsデスクトップ」 を、
クライアントPCから利用して、サーバ上のアプリケーションや管理ツールなどを実行するための(周辺機能を含めた)機能群の総称である。
用語 †
# | 旧 | 新 |
1 | ターミナルサービス | RDサービス |
2 | ターミナル サーバ | RDセッション ホスト |
3 | TSライセンス | RDライセンス |
4 | TSゲートウェイ | RDゲートウェイ |
5 | TSセッション ブローカ | RD接続ブローカ |
6 | TS Webアクセス | RD Webアクセス |
7 | TSマネージャ | RDサービス マネージャ |
8 | TS構成 | RDセッション ホストの構成 |
9 | TSゲートウェイ マネージャ | RDゲートウェイ マネージャ |
10 | TSライセンス マネージャ | RDライセンス サーバー |
11 | TS RemoteAppマネージャ | RemoteAppマネージャ |
機能 †
中核機能 †
表示に関する機能、セキュリティに関する機能
解決できること †
アプリ配布・管理コストの低減 †
操作性の面でメリットの大きい、リッチクライアント アプリケーションは、
各端末への配布・管理が必要であったが、集中管理が可能になる。
アプリ互換性検証コストの低減 †
クライアントPCへのアプリケーション配布が不要であるため、
クライアントPCの管理と、環境の異なるクライアントPC毎、
クライアント アプリケーションの互換性検証が不要になる。
遠隔地からの接続 †
- 在宅時など、遠隔地からも「RD接続」で業務アプリケーションを使用可能であるが、
従来、これにはセキュアなネットワーク インフラを構築する必要があった。
- また、システムを遠隔地から使用する要件の解としては、
- Webアプリケーションが主流であるが、
Webアプリケーションに高い操作性を実装するためには、生産性を犠牲にする必要がある。
- 選択肢には3層C/S方式などもあり得るが、
これも2層C/S方式と比べれば、複雑で生産性は低くなる。
- しかし、「RDゲートウェイ」を使用すれば、
2層C/S方式のリッチクライアント アプリケーションを、そのまま、
遠隔地に配信できるため、高い操作性・生産性の両立が可能である。
データ保護 †
シンクライアントを使用して「RDセッション ホスト」に接続することにより、
ローカルにデータを保存できなくなるため、ローカルHDDやノートPCの
破損・盗難によるデータ損失・漏洩の防止に役立つ。
※ サーバ側でのバックアップ運用は、正しくなされている前提とする。
性能改善 †
- 「RDサービス」による2層C/Sアプリケーションの3層化は、
「ネットワーク トラフィック」の観点から、性能改善の可能性がある。
- 例えば、クライアント側のネットワーク品質が低い場合、「RDサービス」の導入によって、
システムを2層構成(クライアント → DB)から3層構成(クライアント → AP ⇒ DB)へ
変更することによって、DBとの通信処理のオーバヘッドが軽減でき、システム全体として性能改善となる。
RDセッション ホスト †
以下が、「RDサービス」の中核機能である「RDセッション ホスト」の機能概要である。
- 「RDサービス」の中核機能を提供する「RDセッション ホスト」は、
クライアントPCからリモート デスクトップ接続(以下、「RD接続」と略す)により、
マウスやキーボードなどの入力データを受け取り、画面情報を返す。
- これにより、クライアントPCから、「RDセッション ホスト」上で実行される
Windowsデスクトップ、アプリケーションの表示・操作が可能になる。
- この機能は、管理用の「RD接続」でも利用されているが、「RDセッション ホスト」は、管理用ではなく、
マルチ ユーザGUI OSの機能により、複数のユーザへ、複数のRDセッションを提供する
(GUIデスクトップをマルチ セッション環境下で利用できるようにする)ことを目的としている。
インストール †
インストール中に以下を設定する。
ライセンス モード †
- インストール時に、[後で構成]オプション ボタンを選択できる。
- 「ライセンス モード」を構成するまで120日の猶予期間がある。
アプリケーションのインストール †
マルチ セッション環境下で使用するアプリケーションのインストール
その他の機能 †
クライアント リソースのリダイレクト †
- 下記のような、クライアントPCのローカル リソースを、
「RDセッション ホスト」側にリダイレクトする機能
- クリップボード
- ドライブ
- オーディオ
- プリンタ
- LPT ポート
- COM ポート
- サポートされているプラグ アンド プレイ デバイス
- , etc.
- これにより、例えば、クライアントPCのローカル ディスク ドライブをリダイレクトして、
リモート デスクトップ内のエクスプローラ、アプリケーションからローカル リソースを読み書き可能である。
- サーバ側にプリンタ ドライバが不要であり、以下の問題を解決できる。
- PLC、PS などの「ページ記述言語」との非互換性の問題
- サーバでサポートされないプリンタ(コンシューマ用、x64版未対応など)の問題
- クライアントPCのプリンタ(+ 印刷設定)を利用できない問題
- 利用者のプロファイルの設定
- 共有フォルダの、利用者の権限として、
- 「共有アクセス許可」は「フル コントロール」、
- 「NTFSアクセス許可」は「変更」に設定しておく。
- なお、共有名の末尾を「$」としておくと、隠し共有フォルダとなるので、
必要に応じて、共有名の末尾に「$」を付与しておくと良い。
- RD 移動ユーザー プロファイルの設定
- 「RDサービス」のユーザのユーザ プロファイルを変更できる。
- ユーザ プロファイル(環境変数:USERPROFILE)に共有フォルダへのパスを指定
- ログオフ時に、サーバの共有フォルダにセーブされ、
- ログオン時にサーバの共有フォルダからロードされる。
- 「RDサービス」のホーム ディレクトリの設定
- 「RDサービス」のユーザのホーム ディレクトリのみ変更できる。
- ホーム ディレクトリ(環境変数:HOMEPATH)に
共有フォルダへのパスを指定し、適当なドライブ文字を割当てる。
- フォルダ リダイレクトの設定
- (RD)移動ユーザ プロファイルと併用し、ログオン・ログオフのNW負荷を軽減する。
- (「フォルダ リダイレクト」は、「RDサービス」専用の機能ではない)
拡張機能 †
他OSからのRDサービスの利用 †
古いWindows、Mac OS Xでも、
対応するRDクライアントを追加インストールすることで、
「RDサービス」を利用できる。
セキュリティ関連機能 †
[RDP-Tcpプロパティ]ダイアログから行う。
- サーバ認証と暗号化レベル
- セキュリティ層
# | セキュリティ層 | 説明 |
1 | SSL(TLS1.0) | サーバ認証、送信データの暗号化にSSLが使用される。 |
2 | ネゴシエート(既定) | クライアントがサポートしている最も安全な層が使用される。 サポートできる環境の場合は、SSLが使用される。 SSLをサポートできない環境の場合は、RDPセキュリティ層が使用される。 |
3 | RDPセキュリティ層 | 通信に、ネイティブなRDP暗号化が使用される。 RDPセキュリティ層を選択した場合、 「ネットワーク レベル認証」は使用できない。 |
- 暗号化レベル
# | 暗号化レベル | 説明 |
1 | FIPS準拠 | 連邦情報処理規格(FIPS)140-1で確認された暗号化方式を使用して、送信データを暗号化する。 このレベルの暗号化をサポートしていないRDクライアントは接続できない。 |
2 | 高 | 128bitの暗号化を使用して、送信データを暗号化する。 このレベルの暗号化をサポートしていないRDクライアントは接続できない。 このレベルは、128bitのRDクライアントのみの環境で、 「ターミナル サーバ」が動作している場合に使用する。 |
3 | クライアント互換(既定) | 送信データは、RDクライアントがサポートしている最高のキーの強度で暗号化される。 このレベルの暗号化は、古いRDクライアントが混在している環境で 「RDセッション ホスト」が動作している場合に使用する。 |
4 | 低 | 56bitの暗号化を使用して、クライアントからサーバに送信されるデータを暗号化する。 サーバからクライアントに送信されるデータは暗号化されない。 |
- ネットワーク レベル認証(NLA)
CredSSPセキュリティ サポート プロバイダにより提供される、新しい認証方法
- 「RD接続」でログオン画面を表示させずにユーザ認証を完了させることができる。
- これには、正しいサーバ証明書と、FQDN名を使用し、NLAに対応したRDクライアントが必要。
- ログオン設定
- RDPファイルにログオン情報を同梱することも可能であるが、
この場合も、都度パスワードの入力を求めるように指定できる。
- SSOを構成すれば、各クライアント端末にADのユーザ アカウントでログオンした後、
再ログオンせずに「RDセッション ホスト」にアクセスできるようになる(以下はその要件)。
# | 要件1 | 要件2 |
1 | RDサービス」は、次の要件を満たしている必要がある。 |
1-1 | | クライアントと「RDセッション ホスト」が、同じドメインに参加している。 |
1-2 | | VistaベースのPC以降から「RDセッション ホスト」への「RD接続」に限定する。 (なお、サポートされるクライアントOSは、Vista SP1以降になる ) |
1-3 | | ログオンに使用するADのユーザ アカウントに、クライアントPCと、 「RDセッション ホスト」の両方にログオンするための適切な権限が付与されている。 |
2 | 上記の要件を満たした状態で、「ターミナル サーバ」に以下の設定を行う。 |
2-1 | | 「サーバ認証と暗号化レベル」で「セキュリティ層」を「ネゴシエート」または、「SSL(TLS1.0)」に設定する。 |
2-2 | | 「ログオン設定」で、都度パスワードの入力を求めるように指定しない。 |
2-3 | | 次項のSSOに必要な、認証の委任を設定する。 |
- RDUグループとアクセス許可
Remote Desktop Users(以下、RDUグループと略す)という
ビルトイン グループがあり、以下のアクセス許可を持つ。
# | アクセス許可セット | アクセス許可 |
1 | フル コントロール | 情報の照会、ログオン、接続 |
情報の設定、リモート制御、ログオフ |
メッセージ、接続、切断、仮想チャネル |
2 | ユーザ アクセス | 情報の照会、ログオン、接続 |
3 | ゲスト アクセス | ログオン |
- 認証・承認の方法
- サーバ認証と暗号化レベル
- SSOに必要な、認証の委任
周辺機能 †
補足 †
RD接続 †
「RDセッション ホスト」へは、RDPを使用して、「RD接続」する。
接続モード †
一般的に、「RD接続」には以下の2つの接続モードがある。
- 管理用RDモード:
- 管理用途
- 実行可能な同時リモート接続は 2 つまで。
(RDS-CALは不要であるため、購入する必要は無い。)
- 以下は構成不可能
- ライセンス設定
- RD 接続ブローカーの設定
- ユーザー ログオン モード
- RDセッション ホスト モード
マルチ ユーザへ、RDセッションを提供
注意 †
- これは、FQDN名とサーバ証明書のサブジェクトが比較されているためである。
このため、上記に該当する場合は、正しいFQDN名を入力する必要がある。
コラム †
- もともとシングル ユーザ環境のクライアントPCから出発したWindowsでは、
UNIXの「telnetを使用してリモートからログインし、システムを利用する」
というような使い方は、一般的ではなかった。
- Windows 9x、Meまでマルチ ユーザ機能を持っていなかった。
- また、Windows NTも、マルチ ユーザGUI OSとしては作られていなかった。
- このような中、Windows NTのGUIをマルチ セッション環境下で利用できるようにした
「Windows NT Server 4.0, Terminal Server Edition」という単体製品が登場し、
Windows 2000 Server、Windows Server 2003、2008へのバージョンアップで
機能拡張されて、現在の「リモートデスクトップサービス」に至っている。
参考 †
Tags: :Windows, :仮想化