「マイクロソフト系技術情報 Wiki」は、「Open棟梁Project」,「OSSコンソーシアム .NET開発基盤部会」によって運営されています。
目次 †
概要 †
以下、
- リモート デスクトップ = RD
- ターミナル サービス = TS
と略す。
「RDサービス」とは、「RDセッション ホスト」上に仮想的に構成された「Windowsデスクトップ」 を、
クライアントPCから利用して、サーバ上のアプリケーションや管理ツールなどを実行するための(周辺機能を含めた)機能群の総称である。
用語 †
| # | 旧 | 新 |
| 1 | ターミナルサービス | RDサービス |
| 2 | ターミナル サーバ | RDセッション ホスト |
| 3 | TSライセンス | RDライセンス |
| 4 | TSゲートウェイ | RDゲートウェイ |
| 5 | TSセッション ブローカ | RD接続ブローカ |
| 6 | TS Webアクセス | RD Webアクセス |
| 7 | TSマネージャ | RDサービス マネージャ |
| 8 | TS構成 | RDセッション ホストの構成 |
| 9 | TSゲートウェイ マネージャ | RDゲートウェイ マネージャ |
| 10 | TSライセンス マネージャ | RDライセンス マネージャ |
| 11 | TS RemoteAppマネージャ | RemoteAppマネージャ |
機能 †
中核機能 †
拡張機能? †
表示に関する機能、セキュリティに関する機能
- 他OSからのRDサービスの利用
- デスクトップ エクスペリエンス
- セキュリティ関連機能
- RD接続のセキュリティ設定
- GPを使用したセキュリティ設定
周辺機能? †
解決できること †
アプリケーション配布・管理コストの低減 †
操作性の面でメリットの大きい、リッチクライアント アプリケーションは、
各端末への配布・管理が必要であったが、集中管理が可能になる。
アプリケーション互換性検証コストの低減 †
クライアントPCへのアプリケーション配布が不要であるため、
クライアントPCの管理と、環境の異なるクライアントPC毎、
クライアント アプリケーションの互換性検証が不要になる。
遠隔地からの接続 †
- 在宅時など、遠隔地からも「RD接続」で業務アプリケーションを使用可能であるが、
従来、これにはセキュアなネットワーク インフラを構築する必要があった。
- また、システムを遠隔地から使用する要件の解としては、
- Webアプリケーションが主流であるが、
Webアプリケーションに高い操作性を実装するためには、生産性を犠牲にする必要がある。
- 選択肢には3層C/S方式などもあり得るが、
これも2層C/S方式と比べれば、複雑で生産性は低くなる。
- しかし、「RDゲートウェイ」を使用すれば、
2層C/S方式のリッチクライアント アプリケーションを、そのまま、
遠隔地に配信できるため、高い操作性・生産性の両立が可能である。
データ保護 †
シンクライアントを使用して「RDセッション ホスト」に接続することにより、
ローカルにデータを保存できなくなるため、ローカルHDDやノートPCの
破損・盗難によるデータ損失・漏洩の防止に役立つ。
※ サーバ側でのバックアップ運用は、正しくなされている前提とする。
性能改善 †
- 「RDサービス」による2層C/Sアプリケーションの3層化は、
「ネットワーク トラフィック」の観点から、性能改善の可能性がある。
- 例えば、クライアント側のネットワーク品質が低い場合、「RDサービス」の導入によって、
システムを2層構成(クライアント → DB)から3層構成(クライアント → AP ⇒ DB)へ
変更することによって、DBとの通信処理のオーバヘッドが軽減でき、システム全体として性能改善となる。
RDセッション ホスト †
以下が、「RDサービス」の中核機能である「RDセッション ホスト」の機能概要である。
- 「RDサービス」の中核機能を提供する「RDセッション ホスト」は、
クライアントPCからリモート デスクトップ接続(以下、「RD接続」と略す)により、
マウスやキーボードなどの入力データを受け取り、画面情報を返す。
- これにより、クライアントPCから、「RDセッション ホスト」上で実行される
Windowsデスクトップ、アプリケーションの表示・操作が可能になる。
- この機能は、管理用の「RD接続」でも利用されているが、「RDセッション ホスト」は、管理用ではなく、
マルチ ユーザGUI OSの機能により、複数のユーザへ、複数のRDセッションを提供する
(GUIデスクトップをマルチ セッション環境下で利用できるようにする)ことを目的としている。
インストール †
インストール中に以下を設定する。
ネットワーク レベル認証 †
ライセンス モード †
- インストール時に、[後で構成]オプション ボタンを選択できる。
- 「ライセンス モード」を構成するまで120日の猶予期間がある。
アプリケーションのインストール †
マルチ セッション環境下で使用するアプリケーションのインストール
その他の機能 †
クライアント リソースのリダイレクト †
- クライアントPCのローカル リソース
(ディスク・ドライブ 、プリンタ、オーディオ・デバイス 、シリアル・ポート)を、
「RDセッション ホスト」側にリダイレクトする機能である。
- これにより、例えば、クライアントPCのローカル ディスク ドライブをリダイレクトして、
リモート デスクトップ内のエクスプローラ、アプリケーションからローカル リソースを読み書き可能である。
- サーバ側にプリンタ ドライバが不要であり、以下の問題を解決できる。
- PLC、PS などの「ページ記述言語」との非互換性の問題
- サーバでサポートされないプリンタ(コンシューマ用、x64版未対応など)の問題
- クライアントPCのプリンタ(+ 印刷設定)を利用できない問題
アプリケーション配信に特化した機能で、
RemoteAppマネージャよりRemoteAppプログラムを配信・実行する。
- ファイルを作成して配布する。
- RDP ファイル(*.rdp)を作成し、各クライアントPCに配布する。
各クライアントは、配布されたRDP ファイルをダブルクリックしRemoteAppプログラムを起動する。
- Windowsインストーラ パッケージ ファイル(*.msi)(以下、MSIファイルと略す)を作成し、各クライアントPCに配布する。
各クライアントは、配布されたMSIファイルをインストールし、RemoteAppプログラムを起動する。
MSIファイルについては、ADの「ソフトウェア配布機能」を使用した配布も可能である。
- RemoteAppプログラムをRD Webアクセスに登録し、それを使用しRemoteAppプログラムを起動することもできる。
- 実行
- Citrix MetaFrame?(現Citrix XenApp?) のように「RDセッション ホスト上のプログラム」のウィンドウのみをクライアントPC上で表示できる。
- このため、「RDセッション ホスト上のプログラム」がクライアントPC上で実行されているかのように見せることができる。
- 利用者のプロファイルの設定
- 共有フォルダの、利用者の権限として、
- 「共有アクセス許可」は「フル コントロール」、
- 「NTFSアクセス許可」は「変更」に設定しておく。
- なお、共有名の末尾を「$」としておくと、隠し共有フォルダとなるので、
必要に応じて、共有名の末尾に「$」を付与しておくと良い。
- RD 移動ユーザー プロファイルの設定
- 「RDサービス」のユーザのユーザ プロファイルを変更できる。
- ユーザ プロファイル(環境変数:USERPROFILE)に共有フォルダへのパスを指定
- ログオフ時に、サーバの共有フォルダにセーブされ、
- ログオン時にサーバの共有フォルダからロードされる。
- 「RDサービス」のホーム ディレクトリの設定
- 「RDサービス」のユーザのホーム ディレクトリのみ変更できる。
- ホーム ディレクトリ(環境変数:HOMEPATH)に
共有フォルダへのパスを指定し、適当なドライブ文字を割当てる。
- フォルダ リダイレクトの設定
- (RD)移動ユーザ プロファイルと併用し、ログオン・ログオフのNW負荷を軽減する。
- (「フォルダ リダイレクト」は、「RDサービス」専用の機能ではない)
拡張機能 †
他OSからのRDサービスの利用 †
古いWindows、Mac OS Xでも、
対応するRDクライアントを追加インストールすることで、
「RDサービス」を利用できる。
セキュリティ関連機能 †
RD接続のセキュリティ設定 †
[RDP-Tcpプロパティ]ダイアログから行う。
- 認証設定
- セキュリティ層
| # | セキュリティ層 | 説明 |
| 1 | SSL(TLS1.0) | サーバ認証、送信データの暗号化にSSLが使用される。 |
| 2 | ネゴシエート(既定) | クライアントがサポートしている最も安全な層が使用される。サポートできる環境の場合は、SSLが使用される。SSLをサポートできない環境の場合は、RDPセキュリティ層が使用される。 |
| 3 | RDPセキュリティ層 | 通信に、ネイティブなRDP暗号化が使用される。
RDPセキュリティ層を選択した場合、
「ネットワーク レベル認証?」は使用できない。 |
| # | サーバ証明書 | 説明 |
| 1 | 既定の署名(既定) | OSインストール時に生成される既定のサーバ証明書 |
| 2 | 自己署名 | 証明書サービスなどを使用して自己署名したサーバ証明書 |
| 3 | TTPのCAによる署名 | Microsoftルート証明書プログラムに参加している、
信頼できる第三者機関(TTP)の認証局(CA)に発行されたサーバ証明書 |
- RDUグループとアクセス許可
Remote Desktop Users(以下、RDUグループと略す)というビルトイン グループがある。
| # | アクセス許可セット | アクセス許可 |
| 1 | フル コントロール | 情報の照会、ログオン、接続 |
| 情報の設定、リモート制御、ログオフ |
| メッセージ、接続、切断、仮想チャネル |
| 2 | ユーザ アクセス | 情報の照会、ログオン、接続 |
| 3 | ゲスト アクセス | ログオン |
GPを使用したセキュリティ設定 †
- 認証・承認の方法
- サーバ認証と暗号化レベル
- SSOに必要な、認証の委任
- ログオンの許可・拒否
- ローカルへのログオン
- 「RDサービス」へのログオン
- リダイレクトの無効化(有効化)
- セッションの時間制限
周辺機能 †
RDライセンス †
RDゲートウェイ †
管理 †
「RD接続」一覧から以下のオペレーションが可能である。
RD Webアクセス †
RD接続ブローカ †
既存のセッションに再接続 †
- このため、同一のユーザ アカウントで再度「RD接続」することで、
当該セッションの作業を続行することも可能である。
負荷分散と再接続 †
- 最もセッション数の少ない「RDセッション ホスト」に、
「RD接続」をリダイレクトするという負荷分散機能も有している
(ただし、一般的な負荷分散機能が有しているサーバ ファーム
中のノードの死活監視機能は有していないので、注意が必要)。
インストールと設定 †
- ユーザ ログオン モードによるローリング アップグレード
- RemoteApp設定の複製
- GPを使用した設定
補足 †
RD接続 †
「RDセッション ホスト」へは、RDPを使用して、「RD接続」する。
接続モード †
一般的に、「RD接続」には以下の2つの接続モードがある。
- 管理用RDモード:
- 管理用途
- 実行可能な同時リモート接続は 2 つまで。
(RDS-CALは不要であるため、購入する必要は無い。)
- 以下は構成不可能
- ライセンス設定
- RD 接続ブローカーの設定
- ユーザー ログオン モード
- RDセッション ホスト モード
マルチ ユーザへ、RDセッションを提供
注意 †
- これは、FQDN名とサーバ証明書のサブジェクトが比較されているためである。
このため、上記に該当する場合は、正しいFQDN名を入力する必要がある。
RDP †
- RDPはTCP/IPベースのプロトコルで、クライアント側のマウスやキーボードの入力データをサーバ側に伝送したり、
「RDセッション ホスト」側の画面情報(圧縮された差分情報)をクライアント側に伝送したりする。
- 「RDセッション ホスト」側でRDPが使用するリスニング ポートはTCP/IP 3389である。
これを変更する場合は、以下のHPにあるように、レジストリを修正する必要がある。
コラム †
歴史 †
- もともとシングル ユーザ環境のクライアントPCから出発したWindowsは、
Windows 9x、Meまでマルチ ユーザ機能を持っていなかったため、
UNIXの「telnetを使用してリモートからログインし、システムを利用する」
というような使い方はあまり一般的ではなかった。
- また、Windows NTも、マルチ ユーザGUI OSとしては作られていなかった。
- このような中、Windows NTのGUIをマルチ セッション環境下で利用できるようにした
「Windows NT Server 4.0, Terminal Server Edition」という単体製品が登場し、
Windows 2000 Server、Windows Server 2003、2008へのバージョンアップで
機能拡張されて、現在の「リモートデスクトップサービス」に至っている。
参考 †
ネットワーク レベル認証 †
- TechNet?
Windows Server 2008 および Windows Server 2008 R2
Tags: :Windows, :仮想化
![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
