![[PukiWiki]](image/pukiwiki.png "[PukiWiki]")
「[[マイクロソフト系技術情報 Wiki>http://techinfoofmicrosofttech.osscons.jp/]]」は、「[[Open棟梁Project>https://github.com/OpenTouryoProject/]]」,「[[OSSコンソーシアム .NET開発基盤部会>https://www.osscons.jp/dotNetDevelopmentInfrastructure/]]」によって運営されています。 -戻る --[[仮想化アーキテクチャ]] --[[Windows OSの基礎的トピック]] * 目次 [#m8449836] #contents *概要 [#b5d1abdc] 以下、 -リモート デスクトップ = RD -ターミナル サービス = TS と略す。 「RDサービス」とは、「[[RDセッション ホスト>#p667dc57]]」上に仮想的に構成された「Windows[[デスクトップ]]」 を、~ クライアントPCから利用して、サーバ上のアプリケーションや管理ツールなどを実行するための(周辺機能を含めた)機能群の総称である。 **用語 [#r54a10b3] |#|旧|新|h |1|ターミナルサービス|RDサービス| |2|ターミナル サーバ|[[RDセッション ホスト>#p667dc57]]| |3|TSライセンス|RDライセンス| |4|TSゲートウェイ|RDゲートウェイ| |5|TSセッション ブローカ|RD接続ブローカ| |6|TS Webアクセス|RD Webアクセス| |7|TSマネージャ|RDサービス マネージャ| |8|TS構成|RDセッション ホストの構成| |9|TSゲートウェイ マネージャ|RDゲートウェイ マネージャ| |10|TSライセンス マネージャ|RDライセンス サーバー| |11|TS RemoteAppマネージャ|RemoteAppマネージャ| **機能 [#z9abccbf] ***中核機能 [#xd4364c3] -[[RDセッション ホスト>#p667dc57]] ***[[拡張機能>#l120dff4]] [#j9ed4970] 表示に関する機能、セキュリティに関する機能 -[[他OSからのRDサービスの利用>#vcfab923]] -[[セキュリティ関連機能>#red1c26d]] --[[RD接続のセキュリティ設定>#u3369403]] --[[グループ・ポリシーを使用したセキュリティ設定>#scb672c6]] ***[[周辺機能>#mf7927d5]] [#kcaf0161] -[[RDライセンス>#te28648b]] -[[RDゲートウェイ>#pdb16506]] -[[RD Webアクセス>#i2cda295]] -[[RD接続ブローカ>#p1f43461]] **解決できること [#j442133e] ***アプリ配布・管理コストの低減 [#z4da8779] 操作性の面でメリットの大きい、リッチクライアント アプリケーションは、~ 各端末への配布・管理が必要であったが、集中管理が可能になる。 ***アプリ互換性検証コストの低減 [#t47b4dcb] クライアントPCへのアプリケーション配布が不要であるため、~ クライアントPCの管理と、環境の異なるクライアントPC毎、~ クライアント アプリケーションの互換性検証が不要になる。 ***遠隔地からの接続 [#h329cec1] -在宅時など、遠隔地からも「[[RD接続>#i1fbec97]]」で業務アプリケーションを使用可能であるが、~ 従来、これにはセキュアなネットワーク インフラを構築する必要があった。 -しかし、「[[RDゲートウェイ>#pdb16506]]」 によって、~ ネットワーク インフラを構築せずに「[[RD接続>#i1fbec97]]」することが可能になった。 -また、システムを遠隔地から使用する要件の解としては、 --Webアプリケーションが主流であるが、~ Webアプリケーションに高い操作性を実装するためには、生産性を犠牲にする必要がある。 --選択肢には3層C/S方式などもあり得るが、~ これも2層C/S方式と比べれば、複雑で生産性は低くなる。 -しかし、「[[RDゲートウェイ>#pdb16506]]」を使用すれば、~ 2層C/S方式のリッチクライアント アプリケーションを、そのまま、~ 遠隔地に配信できるため、高い操作性・生産性の両立が可能である。 ***データ保護 [#v80d16f5] シンクライアントを使用して「[[RDセッション ホスト>#p667dc57]]」に接続することにより、~ ローカルにデータを保存できなくなるため、ローカルHDDやノートPCの~ 破損・盗難によるデータ損失・漏洩の防止に役立つ。 ※ サーバ側でのバックアップ運用は、正しくなされている前提とする。 ***性能改善 [#rd0f97f5] -「RDサービス」による2層C/Sアプリケーションの3層化は、~ 「ネットワーク トラフィック」の観点から、性能改善の可能性がある。 -例えば、クライアント側のネットワーク品質が低い場合、「RDサービス」の導入によって、~ システムを2層構成(クライアント → DB)から3層構成(クライアント → AP ⇒ DB)へ~ 変更することによって、DBとの通信処理のオーバヘッドが軽減でき、システム全体として性能改善となる。 *RDセッション ホスト [#p667dc57] 以下が、「RDサービス」の中核機能である「RDセッション ホスト」の機能概要である。 -「RDサービス」の中核機能を提供する「RDセッション ホスト」は、~ クライアントPCからリモート デスクトップ接続(以下、「[[RD接続>#i1fbec97]]」と略す)により、~ マウスやキーボードなどの入力データを受け取り、画面情報を返す。~ #ref(RDService.png,left,nowrap,RDセッション ホスト) -これにより、クライアントPCから、「RDセッション ホスト」上で実行される~ Windows[[デスクトップ]]、アプリケーションの表示・操作が可能になる。 -この機能は、管理用の「[[RD接続>#i1fbec97]]」でも利用されているが、「RDセッション ホスト」は、管理用ではなく、~ マルチ ユーザGUI OSの機能により、複数のユーザへ、複数のRD[[セッション>(ログオン)セッション]]を提供する~ (GUI[[デスクトップ]]を[[マルチ セッション>(ログオン)セッション]]環境下で利用できるようにする)ことを目的としている。 **インストール [#y8ea70a5] インストール中に以下を設定する。 ***[[ネットワーク レベル認証>#u3369403]] [#rb6d58ef] ***ライセンス モード [#m0209163] -インストール時に、[後で構成]オプション ボタンを選択できる。 -「ライセンス モード」を構成するまで120日の猶予期間がある。 ***アプリケーションのインストール [#r5173598] [[マルチ セッション>(ログオン)セッション]]環境下で使用するアプリケーションのインストール **その他の機能 [#o1787bee] ***クライアント リソースのリダイレクト [#e1f16476] -下記のような、クライアントPCのローカル リソースを、~ 「[[RDセッション ホスト>#p667dc57]]」側にリダイレクトする機能 --クリップボード --ドライブ --オーディオ --プリンタ --LPT ポート --COM ポート --サポートされているプラグ アンド プレイ デバイス --, etc. -これにより、例えば、クライアントPCのローカル ディスク ドライブをリダイレクトして、~ リモート デスクトップ内のエクスプローラ、アプリケーションからローカル リソースを読み書き可能である。 -サーバ側にプリンタ ドライバが不要であり、以下の問題を解決できる。 --PLC、PS などの「ページ記述言語」との非互換性の問題 --サーバでサポートされないプリンタ(コンシューマ用、x64版未対応など)の問題 --クライアントPCのプリンタ(+ 印刷設定)を利用できない問題 ***[[ADDS>ドメイン サービス (AD DS)]]機能の利用 [#md6d6e17] -利用可能な機能 --[[ADDS>ドメイン サービス (AD DS)]]の機能を利用可能 --[[グループ・ポリシー]]で「RDサービス」の管理・設定が可能 -利用者のプロファイルの設定 --共有フォルダの、利用者の権限として、 ---「共有アクセス許可」は「フル コントロール」、 ---「NTFSアクセス許可」は「変更」に設定しておく。 --なお、共有名の末尾を「$」としておくと、隠し共有フォルダとなるので、~ 必要に応じて、共有名の末尾に「$」を付与しておくと良い。 --RD 移動ユーザー プロファイルの設定 ---「RDサービス」のユーザのユーザ プロファイルを変更できる。 ---ユーザ プロファイル(環境変数:USERPROFILE)に共有フォルダへのパスを指定 ---ログオフ時に、サーバの共有フォルダにセーブされ、 ---ログオン時にサーバの共有フォルダからロードされる。 --「RDサービス」のホーム ディレクトリの設定 ---「RDサービス」のユーザのホーム ディレクトリのみ変更できる。 ---ホーム ディレクトリ(環境変数:HOMEPATH)に~ 共有フォルダへのパスを指定し、適当なドライブ文字を割当てる。 --フォルダ リダイレクトの設定~ ---(RD)移動ユーザ プロファイルと併用し、ログオン・ログオフのNW負荷を軽減する。 ---(「フォルダ リダイレクト」は、「RDサービス」専用の機能ではない) -その他 --[[前述のRemoteApp>#v25ad049]]のMSIファイルの配布。 --[[クライアント リソースのリダイレクト>#e1f16476]] --RDP圧縮の有効化 ***RemoteApp [#v25ad049] *拡張機能 [#l120dff4] **他OSからのRDサービスの利用 [#vcfab923] 古いWindows、Mac OS Xでも、~ 対応するRDクライアントを追加インストールすることで、~ 「RDサービス」を利用できる。 **セキュリティ関連機能 [#red1c26d] ***[[RD接続>#i1fbec97]]のセキュリティ設定 [#u3369403] [RDP-Tcpプロパティ]ダイアログから行う。 -サーバ認証と暗号化レベル --セキュリティ層 |#|セキュリティ層|説明|h |1|SSL(TLS1.0)|サーバ認証、送信データの暗号化にSSLが使用される。| |2|ネゴシエート(既定)|クライアントがサポートしている最も安全な層が使用される。&br;サポートできる環境の場合は、SSLが使用される。&br;SSLをサポートできない環境の場合は、RDPセキュリティ層が使用される。| |3|RDPセキュリティ層|通信に、ネイティブなRDP暗号化が使用される。&br;RDPセキュリティ層を選択した場合、&br;「[[ネットワーク レベル認証>#u3369403]]」は使用できない。| --暗号化レベル |#|暗号化レベル|説明|h |1|FIPS準拠|連邦情報処理規格(FIPS)140-1で確認された暗号化方式を使用して、送信データを暗号化する。&br;このレベルの暗号化をサポートしていないRDクライアントは接続できない。| |2|高|128bitの暗号化を使用して、送信データを暗号化する。&br;このレベルの暗号化をサポートしていないRDクライアントは接続できない。&br;このレベルは、128bitのRDクライアントのみの環境で、&br;「ターミナル サーバ」が動作している場合に使用する。| |3|クライアント互換(既定)|送信データは、RDクライアントがサポートしている最高のキーの強度で暗号化される。&br;このレベルの暗号化は、古いRDクライアントが混在している環境で&br;「[[RDセッション ホスト>#p667dc57]]」が動作している場合に使用する。| |4|低|56bitの暗号化を使用して、クライアントからサーバに送信されるデータを暗号化する。&br;サーバからクライアントに送信されるデータは暗号化されない。| --ネットワーク レベル認証(NLA)~ CredSSPセキュリティ サポート プロバイダにより提供される、新しい認証方法 ---「[[RD接続>#i1fbec97]]」でログオン画面を表示させずにユーザ認証を完了させることができる。 ---これには、正しいサーバ証明書と、FQDN名を使用し、NLAに対応したRDクライアントが必要。 -ログオン設定 --RDPファイルにログオン情報を同梱することも可能であるが、~ この場合も、都度パスワードの入力を求めるように指定できる。 --SSOを構成すれば、各クライアント端末にADのユーザ アカウントでログオンした後、~ 再ログオンせずに「[[RDセッション ホスト>#p667dc57]]」にアクセスできるようになる(以下はその要件)。 |#|要件1|要件2|h |1|>|RDサービス」は、次の要件を満たしている必要がある。| |1-1||クライアントと「[[RDセッション ホスト>#p667dc57]]」が、同じドメインに参加している。| |1-2||VistaベースのPC以降から「[[RDセッション ホスト>#p667dc57]]」への「[[RD接続>#i1fbec97]]」に限定する。&br;(なお、サポートされるクライアントOSは、Vista SP1以降になる )| |1-3||ログオンに使用するADのユーザ アカウントに、クライアントPCと、&br;「[[RDセッション ホスト>#p667dc57]]」の両方にログオンするための適切な権限が付与されている。| |2|>|上記の要件を満たした状態で、「ターミナル サーバ」に以下の設定を行う。| |2-1||「サーバ認証と暗号化レベル」で「セキュリティ層」を「ネゴシエート」または、「SSL(TLS1.0)」に設定する。| |2-2||「ログオン設定」で、都度パスワードの入力を求めるように指定しない。| |2-3||次項の[[SSOに必要な、認証の委任>#scb672c6]]を設定する。| -RDUグループとアクセス許可~ Remote Desktop Users(以下、RDUグループと略す)という~ ビルトイン グループがあり、以下のアクセス許可を持つ。 |#|アクセス許可セット|アクセス許可|h |1|フル コントロール|情報の照会、ログオン、接続| |~|~|情報の設定、リモート制御、ログオフ| |~|~|メッセージ、接続、切断、仮想チャネル| |2|ユーザ アクセス|情報の照会、ログオン、接続| |3|ゲスト アクセス|ログオン| -[[クライアント リソースのリダイレクト>#e1f16476]]の無効化(有効化) ***[[グループ・ポリシー]]を使用したセキュリティ設定 [#scb672c6] -認証・承認の方法 --サーバ認証と暗号化レベル --SSOに必要な、認証の委任 -ログオンの許可・拒否 --ローカルへのログオン --「RDサービス」へのログオン --[[クライアント リソースのリダイレクト>#e1f16476]]の無効化(有効化) --セッションの時間制限 *周辺機能 [#mf7927d5] **[[RDライセンス>リモート デスクトップ ライセンス]] [#te28648b] **[[RDゲートウェイ>リモート デスクトップ ゲートウェイ]] [#pdb16506] **[[RD Webアクセス>リモート デスクトップ Webアクセス]] [#i2cda295] **[[RD接続ブローカ>リモート デスクトップ接続ブローカー]] [#p1f43461] *補足 [#wc629db8] **RD接続 [#i1fbec97] 「[[RDセッション ホスト>#p667dc57]]」へは、[[RDP]]を使用して、「RD接続」する。 ***接続モード [#a2d62a81] 一般的に、「RD接続」には以下の2つの接続モードがある。 -管理用RDモード: --管理用途 --実行可能な同時リモート接続は 2 つまで。~ ([[RDS-CAL>CAL#k3432216]]は不要であるため、購入する必要は無い。) --以下は構成不可能 ---ライセンス設定 ---RD 接続ブローカーの設定 ---ユーザー ログオン モード -RDセッション ホスト モード~ マルチ ユーザへ、RDセッションを提供 ***注意 [#k1625ad8] -管理用RDモードには、[[利用可能なセッション数>(ログオン)セッション#ba89e1c7]]がある。 -「[[ネットワーク レベル認証>#u3369403]]」が必要な「[[RDセッション ホスト>#p667dc57]]」に「RD接続」する場合、~ 「[[RDセッション ホスト>#p667dc57]]」をFQDN名で指定しないで、~ IPアドレスやNetBIOS名で指定すると、認証エラーになることがある。 -これは、FQDN名とサーバ証明書のサブジェクトが比較されているためである。~ このため、上記に該当する場合は、正しいFQDN名を入力する必要がある。 **コラム [#d749dc24] -もともとシングル ユーザ環境のクライアントPCから出発したWindowsでは、~ UNIXの「telnetを使用してリモートからログインし、システムを利用する」~ というような使い方は、一般的ではなかった。~ --Windows 9x、Meまでマルチ ユーザ機能を持っていなかった。 --また、Windows NTも、マルチ ユーザGUI OSとしては作られていなかった。 -このような中、Windows NTのGUIを[[マルチ セッション>(ログオン)セッション]]環境下で利用できるようにした~ 「Windows NT Server 4.0, Terminal Server Edition」という単体製品が登場し、~ Windows 2000 Server、Windows Server 2003、2008へのバージョンアップで~ 機能拡張されて、現在の「リモートデスクトップサービス」に至っている。 *参考 [#z9cfb631] -Windows Server 2008の基礎知識:~ 第8回 ターミナル・サービスによるクライアントの仮想化(前編) (1/3) - @IT~ http://www.atmarkit.co.jp/ait/articles/0802/07/n -Windows ServerでRDS(Remote Desktop Service)を構築する手順 | Minory~ https://minory.org/windows-rds.html -リモートデスクトップサービス(RDS)2019を展開する方法~ https://www.veeam.com/blog/jp/deploy-remote-desktop-services-2019.html -リモート デスクトップ サービス環境で使用するポートについて | Microsoft Japan Windows Technology Support Blog~ https://jpwinsup.github.io/blog/2022/03/24/RemoteDesktopService/RDS/ports-used-in-remote-desktop-service-environment/ ---- Tags: [[:Windows]], [[:仮想化]]
