windows se rver 2008 の概要 - dellw タ発行 micro indow ーミ : 2007 年 11 soft corporat s...

W

タ

発行

Micro

Window

ターミ

: 2007 年 11

osoft Corporat

ws Se

ミナル

月 26 日

tion

erver

ルサー

2008

ービス

の概

ス

概要

免責事項

このパッケージの内容は、情報提供とトレーニングのみを目的として、何等保証もない現状有姿

のままで提供されるものであり、マイクロソフトは、商品性、特定目的に対する適合性、および

権利侵害の不存在、その他について、明示であると黙示であるとを問わず、一切の保証をするも

のではありません。このパッケージに含まれる情報およびソフトウェアは技術上の問題および市

場の状況に応じて変更が必要になることがあるため、MICROSOFT CORPORATION ("MICROSOFT®") およびその供給元は、将来予告なしにそれらを変更することがあります。

使用条件 Microsoft Corporation © 2007 Microsoft Corporation.All rights reserved.

このトレーニングパッケージの内容には所有権のある情報が含まれ、上記免責事項およびこの

パッケージに含まれるドキュメントに記載された目的にのみ使用されます。このパッケージに含

まれるテキストまたはソフトウェアのいかなる部分も、Microsoft の文書による、明示的な許可

を得ない限り、写真複写、記録、または情報記憶および検索システムへの複写を含む、電気的手

段、機械的手段、およびその他のいかなる形式または方法によっても、複製、転用することを禁

じます。

使用許諾を受け、著作権で保護された資料の使用に関する詳細については、「マイクロソフトの著作物の使用許諾と商標ガイドライン」Web ページ (http://www.microsoft.com/japan/mscorp/legal/permission/default.mspx) を参照してください。

商標 Microsoft®、Internet Explorer、および Windows® は、米国 Microsoft Corporation の米国および

その他の国における登録商標または商標です。

記載されている会社名、製品名には、各社の商標のものもあります。

Windows Server 2008 の概要

ターミナルサービス

目次

概要 ............................................................................................................................................ 1

ターミナルサービスについて ............................................................................................... 3

ターミナルサービスの新機能 ........................................................................................................ 5

ターミナルサービスのベストプラクティス ............................................................................... 6

アプリケーションのインストール ................................................................................................. 8

ターミナルサーバーのセキュリティ ................................................................................. 12

ユーザーアカウント制御 (UAC) ................................................................................................... 12

ファイルとレジストリの仮想化 ................................................................................................... 13

ネットワークレベル認証 .............................................................................................................. 18

セキュリティ層 .............................................................................................................................. 20

暗号化 .............................................................................................................................................. 21

ターミナルサーバーの認証と暗号化のグループポリシー ........................................................ 24

RDP ポートの変更 ........................................................................................................................... 25

ログオンバナーの指定 ................................................................................................................. 27

管理用リモートデスクトップの有効化 ............................................................................. 28

ターミナルサービスの役割および役割サービス ............................................................. 30

ターミナルサービスの役割サービス .......................................................................................... 30

ターミナルサーバーのインストールオプション ..................................................................... 31

ターミナルサーバーのインストールのトラブルシューティング .......................................... 32

ターミナルサーバーのアドバタイズ .......................................................................................... 33

ターミナルサービスのアーキテクチャ ........................................................................................ 34

ターミナルサーバーのスタートアッププロセス ..................................................................... 34

ターミナルサーバーのサービス .................................................................................................. 36

ターミナルサーバーのバイナリ .................................................................................................. 37

管理 .......................................................................................................................................... 39

ターミナルサービスマネージャ ................................................................................................. 39

ターミナルサービスの構成 ......................................................................................................... 41

ターミナルサービスのコマンドラインツール ........................................................................ 42

ターミナルサービスグループポリシー .................................................................................... 44

ターミナルサーバーのユーザー構成に関するグループポリシー ......................................... 49

ターミナルサービスのユーザーアカウントのプロパティ ..................................................... 51

Active Directory サービスインターフェイス (ADSI) .................................................................... 54

ターミナルサービス WMI プロバイダ ........................................................................................ 55

ターミナルサービスのショートカットキー ............................................................................. 58

ターミナルサーバーの RemoteApp .................................................................................... 59

ターミナルサービス RemoteApp の紹介 ....................................................................................... 60

RemoteApp をサポートするためのサーバーの構成 ..................................................................... 62

TS Web Access Computers セキュリティグループへの追加 ......................................................... 62

TS Web アクセスのデータソースの構成 .................................................................................... 63

RemoteApp の一覧へのプログラムの追加 .................................................................................. 64

グローバルな展開の設定の構成 .................................................................................................. 65

RemoteApp で使用するプログラムの展開 ..................................................................................... 71

リモートプログラムの実行 ......................................................................................................... 71

ターミナルサーバー Web アクセス ................................................................................... 72

ターミナルサービス Web アクセス ............................................................................................... 73

TS Web アクセスのインストール ................................................................................................. 73

サーバーの要件 .............................................................................................................................. 74

TS Web アクセスの役割サービスのインストール ..................................................................... 75

TS Web アクセスと Web パーツ ...................................................................................................... 77

リモートアシスタンス ......................................................................................................... 78

Windows Server 2008 のリモートアシスタンス機能 .................................................................... 79

リモートアシスタンスの使用 ........................................................................................................ 80

操作のモード .................................................................................................................................. 80

操作状態 .......................................................................................................................................... 82

リモートアシスタンスのレジストリキー ................................................................................. 85

トラブルシューティング ................................................................................................................. 88

リモートアシスタンスのログ ..................................................................................................... 88

ターミナルサーバーゲートウェイ .................................................................................... 89

概要 ..................................................................................................................................................... 90

ターミナルサービスゲートウェイの利点 ................................................................................. 90

構成 ..................................................................................................................................................... 93

ターミナルサービスゲートウェイサーバーを構成する場合の前提条件 ............................ 93

役割、役割サービス、および機能の依存関係 .......................................................................... 94

ターミナルサービスゲートウェイサーバーの構成手順 .......................................................... 95

ターミナルサービスゲートウェイの役割サービスのインストール ..................................... 95

ターミナルサービスゲートウェイサーバーの証明書の取得 ................................................ 99

ターミナルサービスゲートウェイサーバーの証明書の構成 .............................................. 103

ターミナルサービスゲートウェイサーバーの TS CAP の作成 ............................................. 105

TS RAP の作成とユーザーがターミナルサービスゲートウェイサーバー経由で接続できるコンピュータの指定 ..................................................................... 108

ターミナルサービスゲートウェイの大同時接続数の制限 (オプション) ........................ 110

機能の監視 .................................................................................................................................... 111

グループポリシーによるターミナルサーバーゲートウェイの管理 ..................................... 113

トラブルシューティング ............................................................................................................... 114

名前解決の問題 ............................................................................................................................ 114

ターミナルサービスゲートウェイのアクティブな接続が TS ゲートウェイマネージャに正しく表示されない ............................................................................................. 114

ターミナルサービスゲートウェイの役割サービスとターミナルサーバーの役割サービスを同じコンピュータにインストールした場合、TS RAP をコンピュータグループに関連付けられない ..................................................................................................... 115

TS ゲートウェイマネージャで HTTPS‐HTTP ブリッジを有効または無効にしても、

AllowAnonymous レジストリキーが作成または更新されない .............................................. 116

他のサーバーの役割がインストールされているとターミナルサービスゲートウェイの役割サービスが動作しない ............................................................................... 118

ログに記録するターミナルサービスゲートウェイイベントを指定する .......................... 118

参考資料 ........................................................................................................................................... 122

表

表 1 : レジストリの仮想化フラグ ...................................................................................................... 17

表 2 : RDP セキュリティ層 .................................................................................................................. 20

表 3 : RDP 暗号化レベル ...................................................................................................................... 22

表 4 : TS インストールのログファイル ............................................................................................ 32

表 5 : ターミナルサーバーのシステムサービス ............................................................................ 36

表 6 : ターミナルサーバーのコンポーネント ................................................................................. 37

表 7 : ターミナルサービスのコマンドラインツール ................................................................... 42

表 8 : 使用できないコマンドラインユーティリティ .................................................................... 44

表 9 : ターミナルサーバーの接続に関するコンピュータグループポリシー設定 .................... 45

表 10 : ターミナルサーバーのデバイスとリソースのリダイレクトに関するコンピュータグループポリシー設定 ............................................................................................. 45

表 11 : ターミナルサーバーのライセンスに関するコンピュータグループポリシー設定 ...... 46

表 12 : ターミナルサーバーのプリンタのリダイレクトに関するコンピュータグループポリシー設定 .............................................................................................. 46

表 13 : ターミナルサーバーのプロファイルに関するコンピュータグループポリシー設定 .............................................................................................. 46

表 14 : ターミナルサーバーのリモートセッション環境に関するコンピュータグループポリシー設定 .............................................................................................. 47

表 15 : ターミナルサーバーのセキュリティに関するコンピュータグループポリシー設定 .............................................................................................. 47

表 16 : ターミナルサーバーのセッションの制限時間に関するコンピュータグループポリシー設定 .............................................................................................. 48

表 17 : ターミナルサーバーの一時フォルダに関するコンピュータグループポリシー設定 .............................................................................................. 48

表 18 : ターミナルサーバーの TS セッションブローカに関するコンピュータグループポリシー設定 .............................................................................................. 48

表 19 : リモートデスクトップ接続のクライアントに関するユーザーグループポリシー設定 ...................................................................................................... 49

表 20 : ターミナルサーバーの接続に関するユーザーグループポリシー設定 ......................... 49

表 21 : ターミナルサーバーのデバイスとリソースのリダイレクトに関するユーザーグループポリシー設定 ...................................................................................................... 49

表 22 : ターミナルサーバーのプリンタのリダイレクトに関するユーザーグループポリシー設定 ...................................................................................................... 50

表 23 : ターミナルサーバーのリモートセッション環境に関するユーザーグループポリシー設定 ...................................................................................................... 50

表 24 : ターミナルサーバーのセッションの時間制限に関するユーザーグループポリシー設定 ...................................................................................................... 50

表 25 : TS ゲートウェイに関するユーザーグループポリシー設定 ............................................. 51

表 26 : ターミナルサービス WMI のリファレンス ......................................................................... 56

表 27 : ターミナルサービスのショートカットキー ...................................................................... 58

表 28 : リモートアシスタンスのユーザーレジストリキー ......................................................... 85

表 29 : リモートアシスタンスのコンピュータレジストリキー ................................................. 86

表 30 : 適切または不適切な表示 ...................................................................................................... 115

表 31 : ターミナルサービスゲートウェイのイベントの種類 .................................................... 119

図

図 1 : RDP セッション ............................................................................................................................ 3

図 2 : [ターミナルサーバーへのアプリケーションのインストール] オプション ........................ 9

図 3 : タスクマネージャの仮想化の状態 ......................................................................................... 18

図 4 : [RDP‐Tcp のプロパティ] ‐ [セキュリティ層] ............................................................................ 21

図 5 : RDP 接続のプロパティ ‐ [暗号化のレベル] ............................................................................. 23

図 6 : RemoteApp の展開設定 .............................................................................................................. 26

図 7 : リモートデスクトップの構成の設定 ..................................................................................... 28

図 8 : ターミナルサービスマネージャコンソール ....................................................................... 40

図 9 : ターミナルサービスの構成コンソール ................................................................................. 42

図 10 : Shutdown.exe のダイアログ .................................................................................................... 44

図 11 : ターミナルサービスのユーザープロパティ ...................................................................... 52

図 12 : [RemoteApp の展開設定] ‐ [ターミナルサービス] ............................................................... 66

図 13 : [RemoteApp の展開設定] ‐ [TS ゲートウェイ] ....................................................................... 68

図 14 : [RemoteApp の展開設定] ‐ [デジタル署名] ............................................................................ 70

図 15 : ターミナルサーバー Web アクセス ...................................................................................... 73

図 16 : TS Web アクセス用の ActiveX コントロールが不適切であることを説明する画面 ......... 74


1 Microsoft Corporation © 2007 Microsoft Corporation. All rights reserved.

概要このモジュールでは、Windows Server 2008 の新しいターミナルサービス機能に

ついて、その機能、操作、およびアーキテクチャを中心に説明します。

開始する前に

このモジュールを開始するための前提条件を次に示します。

■ Windows Server 2003 のターミナルサービスについて精通している。

■ Windows Server 2003 のターミナルサービスのデバイスとプリンタのリダイ

レクトについて精通している。

■ Windows Server 2008 のサーバーマネージャについて精通している。

■ リモートデスクトップ接続 5.x クライアントのオプションと動作について精

通している。

学習内容

このモジュールを完了すると、次のことができるようになります。

■ Windows Server 2008 の新しいターミナルサービス機能について説明する。

■ ターミナルサービスおよび Windows Server 2008 の関連する役割サービスを

インストールおよび管理する。

■ ターミナルサービス構成 MMC またはグループポリシーを使用してターミナ

ルサービスを構成する。

■ リモートデスクトップ接続 6.x クライアントの新機能について説明する。

■ Windows Server 2008 ターミナルサーバーをセキュリティで保護するための

ベストプラクティスについて説明する。

■ ターミナルサーバーをセキュリティで保護するためのグループポリシー設

定キーについて説明する。

■ 仮想チャネルについて精通していることを示し、Windows Server 2008 のリ

ダイレクション機能において VC がどのような重要な役割を果たすかを説明

する。

■ Windows Server 2008 で使用されるプリンタのリダイレクトのプロセスにつ

いて、ドライバ名の割り当てと Easy Print の詳細を含めて説明する。


2 © 2007 Microsoft Corporation. All rights reserved. Microsoft Corporation

■ さまざまなリモートデスクトップクライアントについて説明する。

■ リモートデスクトップ Web 接続を構成して、ドライブ、ポート、およびプ

リンタをリダイレクトする。

■ WMI および ADSI によって提供される、ターミナルサービスを構成するため

の機能について説明する。

■ ターミナルサービスの管理および管理ツールの変更点と強化点について説

明する。

■ リモートアプリケーション機能を使用してアプリケーションをデスクトッ

プに発行する。

■ リモートアプリケーション機能を使用して、アプリケーションを "TS Web" という名前の新しい Web ポータルに発行する。

■ リモートアプリケーション発行のアーキテクチャについて説明する。

■ TS Web のアーキテクチャについて説明する。

■ セッションブローカの構成のプロセスについて説明する。

■ セッションブローカの問題のトラブルシューティング方法の概要について

説明する。

■ リモートアシスタンスの新しいアーキテクチャについて説明する。

■ ターミナルサービスゲートウェイの機能コンポーネントについて説明する。

ター

Micro

タ

図 1 :

ミナルサービ

osoft Corporat

ーミナターミナル

アクセスが

リソースへ

ように、こ

れにより、

からリモー

管理する方

ターミナル

スクトップ

Server Ediタは、ター

Windows ア

ターミナル

イスコン

ビットマッ

ザーのキー

次に、サー

面情報を更

サーバーの

使用されま

ログオンし

セッション

トセッシ

Windows のセッショ

: RDP セッシ

ビス

tion

ナルサルサービス

が提供され

へのアクセ

これらの操

クライア

ートクライ

方法が提供

ルサービス

プへのリモ

ition で初め

ーミナルアプリケー

ルサービス

ポーネント

ップ情報の

ーストロー

ーバーがそ

更新します

のポート 3ます。

した各ユー

ンはターミ

ションとは

セッション

ョンを自分

ョン

サービステクノロ

れ、アプリケ

セスなどをサ

操作を複数の

ントのプラ

イアントに

供されます。

スは、"シン

ートアク

めて導入さ

エミュレ

ーションにア

スは、デス

トのみを、

の形式でク

ークとマウス

のメッセー

す。このクラ

389 を介し

ーザーには、

ナルサー

は独立してい

ン管理機能

分専用のパー

ビスにロジを使用す

ケーション

サーバーのユーザー

ラットフォ

Windows

ンクライア

セスを実現

されました。

レータとし

アクセスで

クトップの

帯域幅をあ

ライアント

ス操作の情

ージを処理

ライアント

して、リモ

それぞれ

ービスによ

います。タ

能が用意され

ーソナル

© 2007

についすると、W

ンの実行、フ

コンソール

ーが同時に実

ームにはほ

ベースのプ

ント" ソフ

現するため

。これによ

て動作し

できます。

の状態を表

あまり必要

トに転送し

情報をター

理し、その内

ト/サーバー

ートデス

れのセッショ

って透過的

ターミナル

れているの

コンピュー

Microsoft Cor

いて Windows サファイルの

ルから直接

実行できる

ほとんど関

プログラム

トウェアを

に、Windoより、クライ

、リモー

表示するユー

要としない

します。ク

ミナルサ内容に従っ

ー通信では

クトッププ

ョンのみが

的に管理さ

ルサービス

ので、ユー

ータとして

rporation. All

サーバーへの

の保存、ネッ

接実行する場

ようになり

関係なく、単

ムを効率的に

を介した Wows NT 4.0イアントコトコンピ

ーザーイン

GDI イベン

ライアント

ーバーに転

てクライア

、既定でタ

プロトコル

が表示されま

れ、他のク

スには仮想

ザーは基本

扱うことが

rights reserve

のリモート

ットワーク

場合と同じ

ります。こ

単一の場所

に配布して

Windows デ0 Terminalコンピュー

ピュータの

ンターフェ

ントおよび

トは、ユー

転送します

アントの画

ターミナル

ル (RDP) が

ます。この

クライアン

想化された

本的に、そ

ができます

3 ed.

ト

じ

こ

所

て

デ

l ー

の

ェ

び

ー

す。

画

ルが

の

ン

たそ

す。



Windows Server 2008 のターミナルサービス

ターミナルサービスは、Windows Server 2008 のサーバーの役割としてインス

トールできます。基本的なターミナルサーバーの役割サービスに加えて、次の

ターミナルサービスの役割サービスを使用して、ターミナルサービスの機能を

強化できます。

■ ターミナルサーバーライセンス

■ ターミナルサーバーセッションブローカ

■ ターミナルサーバーゲートウェイ

■ ターミナルサーバー Web アクセス

Windows Server 2008 のターミナルサービスは、Windows Server 2003 のターミ

ナルサービスを基盤として構築されています。ターミナルサービスで使用でき

るユーザーエクスペリエンスと管理オプションの両方をさらに強化するために、

いくつかの新機能が導入されています。

Windows Server 2008 ターミナルサーバーには、Windows Server 2008 オペレー

ティングシステムクライアントのライセンス方法とは別に、アプリケーションモードでターミナルサーバーにアクセスするクライアントにライセンスするた

めの独自の方法が導入されています。クライアントは、ターミナルサーバーに

ログオンする前に、ターミナルサービスライセンスサーバーから発行された有

効なライセンスまたは一時ライセンスを受け取る必要があります。

既定では、ターミナルサービスクライアントプログラムであるリモートデスク

トップ接続 (RDC) 6.1 が Windows Server 2008 にインストールされ、Windows Vista (Service Pack 1)、Windows XP、および Windows Server 2003 でダウンロー

ドして使用できます。

管理用リモートデスクトップ

Windows Server 2008 の管理用リモートデスクトップでは、リモートデスク

トッププロトコル (RDP) 6.x の機能セットがサポートされます。管理用リモートデスクトップは、Windows Server 2008 をインストールするときに既定でインス

トールされますが、有効にはなりません。これを有効にすると、リモートデス

クトップ接続を使用する 2 つの管理セッションがリモートからサーバーに同時に

ログオンできるようになり、ライセンスサーバーは必要ありません。



重要

Windows Server 2003 の管理用リモートデスクトップとは異なり、Windows Server 2008 では、コンソールセッションも管理用リモートデスクトップ接続の数としてカウントされま

す。Windows Server 2008 サーバーにアクティブなコンソールセッションが 1 つある場合、使

用できる追加の管理用リモートデスクトップは 1 つだけになります。管理用リモートデスク

トップの接続数が制限に達しているときに、ユーザーが Windows Server 2008 ターミナルサー

バーにログオンしようとすると、他のユーザーの 1 つの接続を (ログオフではなく) 切断でき

るダイアログボックスが表示されます。

リモートアシスタンス

Windows Server 2008 のリモートアシスタンス機能は、ターミナルサービステクノロジを利用して、ユーザーが他のユーザーのデスクトップセッションを表

示または制御できるようにします。ユーザーは、技術担当者を招待して自分のコ

ンピュータへの接続を許可し、デスクトップを表示させることができます。ユー

ザーの許可があれば、技術担当者がユーザーのコンピュータを制御してサポート

を提供することもできます。また、技術担当者は、ユーザーから事前の要請を受

けなくても、リモートアシスタンスの提供を申し出ることができます。ユー

ザーは、サポートの提供を受け入れるか拒否するかを決定できます。

注

ターミナルサービスの詳細については、次の場所を参照してください。

http://www.microsoft.com/japan/technet/windowsserver/2003/technologies/terminal/default.mspx

ターミナルサービスの新機能 Windows Server 2008 のターミナルサービスには、次の新機能があります。

■ ターミナルサービスリモートアプリケーション (RemoteApp) : ユーザーの

デスクトップ上で、ローカルアプリケーションと共にターミナルサーバーベースのアプリケーションを実行できます。リモートアプリケーションは、

ローカルアプリケーションと同じようにユーザーに表示されます。

■ ターミナルサービスゲートウェイ : HTTPS を経由した RDP を使用して、ター

ミナルサーバーと共有デスクトップへのセキュリティで保護されたアクセス

を提供することにより、VPN インフラストラクチャを用意しなくても、企業

のファイアウォールを越えてターミナルサービスの範囲を拡張できます。



■ ターミナルサービス Web アクセス : リモートアプリケーションに Web ベー

スのソリューションを提供します。管理者はリモートアプリケーションを

簡単に発行できるようになり、ユーザーはリモートアプリケーションを簡

単に見つけて実行できるようになります。

■ ターミナルサービスセッションブローカ : Windows Server 2003 のターミナ

ルサービスのセッションディレクトリ機能がセッションブローカという名

前に変更され、接続されているセッション数に基づいた基本的なサーバーファーム負荷分散を実現するように機能強化されました。

■ シングルサインオン : ドメインアカウントを持つユーザーは、1 回認証を受

けることで、再び証明書を要求されることなくリモートサーバーにアクセ

スできます。

■ ターミナルサービス Easy Print : クライアントプリンタのリダイレクトを簡

単に管理できる、汎用のプリンタドライバです。Windows Server 2003 に用

意されていたターミナルサービスフォールバックドライバは、Easy Print に置き換えられます。

■ ライセンスの機能強化 : Longhorn Server のターミナルサービスライセンス

には、ユーザーごとの追跡とレポート、ライセンスの手動失効、より正確な

診断、WMI プロバイダのサポートなど、ライセンスを確実に展開および管

理できる新機能が用意されています。

ターミナルサービスのベストプラクティス企業のターミナルサーバー実装に対して、次のベストプラクティスを実行する

ことをお勧めします。

ターミナルサービスと他のサーバーサービスの分離

ターミナルサービスは、ドメインコントローラにインストールしたり、大量の

リソースを消費する Exchange や SQL Server などのアプリケーションを既に実行

しているサーバーにインストールしたりするのではなく、スタンドアロンサー

バーにインストールします。ドメインコントローラまたはビジー状態のアプリ

ケーションサーバーにターミナルサービスをインストールすると、これらの

サーバータスクに追加のメモリ、ディスク、プロセッサ、およびネットワークリソースが必要になり、サーバーのパフォーマンスが低下する可能性があります。



ライセンスサーバーのバックアップ

ターミナルサービスのライセンスデータを定期的にバックアップして、ハード

ウェアまたはソフトウェアの障害による不慮の損失からデータを保護することを

お勧めします。これにより、なんらかの理由でハードディスクの元のデータに

アクセスできなくなった場合に、アーカイブされたコピーからライセンスデー

タを復元できます。さらに安全を確保するには、冗長ライセンスサーバーの使

用をお勧めします。

冗長ライセンスサーバー

ライセンスサーバーが 1 台だけの環境で障害が発生した場合、以前にライセン

スされたクライアントは、そのライセンスの有効期限が切れていない限り接続で

きます。ただし、ライセンスのないクライアントは、ターミナルサーバーに接

続できなくなります。ライセンスサーバーをオンラインに戻す時間を確保する

ために、冗長ライセンスサーバーの使用をお勧めします。

冗長性を実現するには、ドメイン内に 2 つのライセンスサーバーをインストー

ルします。プライマリサーバーはクライアントアクセスライセンス (CAL) 付き

でインストールし、セカンダリサーバーは CAL なしでインストールします。こ

れにより、ライセンスサーバーのいずれかに障害が発生した場合に、冗長期間

を用意することができます。

ライセンスのない 2 台目のライセンスサーバーを追加することで、ライセンス

のないクライアントは、このサーバーに接続して一時ライセンスを取得できるよ

うになります。以前にライセンスされたクライアントは、ライセンスの有効期限

が切れていない限り接続できます。クライアントは有効期限が切れる 7 日前にラ

イセンスの更新を行うので、この構成により、プライマリライセンスサーバー

の機能が停止しても、7 日間は正常に動作できます。

高い可用性を備えたターミナルサーバーライセンスサーバーを構成する適切な

方法は、少なくとも 2 台のターミナルサーバーライセンスサーバーにライト

ウェイトディレクトリアクセスプロトコル (LDAP) をインストールし、それぞ

れがターミナルサービス CAL を利用できるようにすることです。次に、各サー

バーが、自身を次のディレクトリに関するエンタープライズライセンスサー

バーとして Active Directory にアドバタイズします。

//CN=TSEnterpriseLicenseServer,CN=site name,CN=sites,CN=configurationcontainer



環境内で負荷分散を実現するには、各ターミナルサーバーライセンスサーバー

の半分に CAL を導入する必要があります。ターミナルサービスライセンスサー

バーに有効な CAL がない場合、そのターミナルサービスライセンスサーバーは

有効な CAL を持つ他のターミナルサービスライセンスサーバーを参照してライ

センスの発行を試みます。

注

ターミナルサービスライセンスサーバーの詳細については、次の場所を参照してく

ださい。http://download.microsoft.com/download/6/6/8/668b964f‐f126‐4a96‐88db‐25d842a7113f/termservlicensing.doc

アプリケーションのインストールここでは、ターミナルサーバーで使用するアプリケーションをインストールする

場合に推奨される、いくつかのベストプラクティスについて説明します。

ターミナルサーバーへのアプリケーションのインストール

まずターミナルサービスのサーバーの役割をインストールしてから、ターミナ

ルサービスのユーザーが使用するアプリケーションをインストールします。プ

ログラムをインストールした後でターミナルサービスの役割をインストールす

ると、既存のプログラムの一部が複数ユーザーの環境で正しく機能しなくなるこ

とがあります。ほとんどの場合、これらの問題は、影響を受けるプログラムをア

ンインストールして再インストールすることで解決されます。

複数ユーザーの環境で正しく機能するようにアプリケーションをインストールす

るには、ターミナルサーバーをインストールモードに切り替えてから、アプリ

ケーションをサーバーにインストールする必要があります。このインストールモードでは、複数ユーザーの環境で使用できるようにアプリケーションが正しく

インストールされます。

次のいずれかの方法を使用すると、ターミナルサーバーがインストールモード

になります。

■ コントロールパネルの [プログラム] にある [ターミナルサーバーへのアプリ

ケーションのインストール] ツールを使用する。このツールにより、アプリ

ケーションをインストールするウィザードが表示されます。このオプション

は、基本のターミナルサーバーの役割サービスがインストールされている

場合にのみ使用できます。ターミナルサーバーにアプリケーションをイン

ストールする場合は、この方法を推奨します。アプリケーションのインス

トールが完了すると、[ターミナルサーバーへのアプリケーションのインス

トール] ツールは、自動的にターミナルサーバーを自動的に実行モードに設

定します。

ター

Micro

リキ

HKEY

この

HKEY

図 2 :

ミナルサービ

osoft Corporat

■ コマン

インス

プリケ

用して

アプリ

現在の

参考

インス

キーに HKEY_

Y_LOCAL_MA

の情報は、ユ

Y_CURRENT_

: [ターミナル

ビス

tion

ンドプロン

ストールモケーション

て (またはサ

リケーショ

のモードを確

トールモー

_CURRENT_U

ACHINE¥SOF

ユーザーが

_USER に反映

ルサーバーへ

ンプトで Chモードに設

をインスト

サーバーを

ンを使用し

確認できま

ードでアプリ

USER の情報

FTWARE¥Mic

がターミナ

映されます。

へのアプリケー

hange user設定し、アプ

トールした後

を再起動し

します。Chます。

リケーション

報が書き込ま

crosoft¥Wind

ナルサーバ

。

ーションのイ

© 2007

r /install コプリケーシ

後、Changて) サーバ

ange user

ンをインスト

まれます。

dows NT¥Cu

バーにログ

インストール

Microsoft Cor

コマンドを

ションをイ

ge user /exバーを実行

r /query コ

トールすると

urrentVersion

オンすると

ル] オプション

rporation. All

を使用してサ

ンストール

xecute コマ

行モードに戻

マンドを使

と、初に次

n¥Terminal S

ときに、各

ン

rights reserve

サーバーを

ルする。ア

マンドを使

戻してから

使用すると

次のレジス

Server¥Insta

各ユーザーの

9 ed.

を

ア

使

ら、

、

ト

ll

の



互換性スクリプト

アプリケーションによっては、ターミナルサーバーで正常に実行できるように

するために、多少の設定変更が必要になることがあります。ターミナルサー

バーで使用するプログラムをインストールする前に、アプリケーション互換性ス

クリプトがないかどうかを確認してください。現在のほとんどのアプリケーショ

ンは、複数ユーザーの環境における互換性がテストされています。Windows Server 2008 の次のフォルダには、Windows Server 2003 で使用できたものと同

じ基本的なスクリプトも含まれています。

%systemroot%¥Application Compatibility Scripts¥Install

注

Application Compatibility Scripts フォルダは、ターミナルサーバーの役割サービスをイ

ンストールすると作成されます。Windows Server 2008 に用意されているアプリケーション互

換性スクリプトの詳細については、次のファイルを参照してください。

http://download.microsoft.com/download/5/f/9/5f9573a3‐121e‐400a‐8d34‐ce6d4382098e/Scripts.doc

その他の考慮事項

関連するアプリケーションや、他のローカルアプリケーションと依存関係を持

つアプリケーションは、同じターミナルサーバーにインストールします。たと

えば、Microsoft Office は、別々のターミナルサーバーに個別の Office プログラ

ムをインストールするのではなく、同じターミナルサーバーにスイートとして

インストールする必要があります。これにより、プログラムに対して必要となる

インストール、管理、およびサービスのオーバーヘッドが削減されます。

次の状況では、別々のターミナルサーバーに個別のアプリケーションをインス

トールすることを検討する必要があります。

■ アプリケーションに、他のプログラムに影響を与える可能性のある互換性の

問題がある。

■ アプリケーションユーザーの数がサーバーの処理能力を超える。

■ アプリケーションがリソース (CPU やメモリなど) を集中的に使用するため、

複数のインスタンスを同時に実行するとパフォーマンスに悪影響が出る。



アプリケーションの製造元への問い合わせ

ターミナルサーバーで複数のユーザーのアプリケーションが正しく機能するこ

とを確認するには、アプリケーションの製造元に問い合わせる方法が適です。

アプリケーションの製造元では、複数ユーザーの環境でアプリケーションを正し

く機能させるために、修正プログラムや互換性スクリプトを提供していることが

あります。



ターミナルサーバーのセキュリティ信頼できるコンピューティングでは、設計段階でのセキュリティの確保、出荷時

のセキュリティの確保、および展開時のセキュリティの確保という 3 つの信条を

掲げています。Windows Server 2008 では、以前のバージョンの Windows に比

べてより高い安全性が確保されます。

セキュリティを優先の課題として Windows Server 2008 コードを開発するため

に、膨大な労力が費やされました。各コンポーネントの担当者が、構築プロセス

の不可欠の作業として、自分のコンポーネントの完全なセキュリティ評価を実施

しました。さらに Windows Server 2008 では、製品レベルでの追加のセキュリ

ティ評価も実施され、製品のリリース前にセキュリティに対する脅威が除去され

ています。

以前の製品では、インストールされた機能は既定で有効になりました。

Windows Server 2008 では、"出荷時のセキュリティの確保" の指針により、既定

でサーバーをロックダウンし、管理者が組織のニーズに基づいてセキュリティ

を構成できるようにすることが目標となりました。

企業内へのターミナルサービスの展開を考慮するときには、ユーザーがターミ

ナルサービスを使用してリモートにログオンできること自体がセキュリティ上

の問題となることを理解する必要があります。リモート接続は、必要な場合にの

み有効にする必要があります。

ここでは、ターミナルサービスのセキュリティについて説明します。

ユーザーアカウント制御 (UAC) Windows Vista で初めて導入されたユーザーアカウント制御 (UAC) は、Windows Server 2008 のすべてのバージョンでも同じように実装されています。UAC には

分割トークンの概念が導入され、ローカル Administrators グループのメンバを含

むすべてのユーザーが、低い権限のユーザートークンを既定で使用するように

なりました。高い特権が必要なアクションを実行する場合は、そのアクションを

完了するための管理者資格情報の入力を求めるメッセージがユーザーに表示され

ます。管理者資格情報を入力すると、ユーザーのトークンが管理者レベルに昇格

され、特権が設定されたアクションを実行できるようになります。昇格された

トークンは、昇格が必要な特定のアクションが完了すると無効になります。ほと

んどの場合、管理者特権が必要なアクションには盾アイコンが表示され、そのア

クションには昇格が必要であることが示されます。



UAC では、大多数のユーザーの生産性を維持しながら標準ユーザーと管理ユー

ザーの機能を分けることで、Windows Server 2008 のセキュリティが大幅に強化

されています。システムの整合性を損なう可能性のあるアクションは、実行する

前に特定の管理者の了解が必要になりました。UAC には、ユーザーの切り替え、

ログオフ、または [実行するアカウント名] を使用することなく、管理者特権が

必要なアクションを実行できる機能も用意されています。UAC は、Windows Server 2008 のすべてのバージョンで既定で有効になり、ターミナルサービスの

役割を追加しても有効のままになります。

重要

ユーザーアカウント制御は、Windows Server 2008 の Server Core では使用できません。

ビルトイン Administrator アカウントとローカル Administrators グループ

Windows Server 2008 では、ビルトイン Administrator アカウントとローカル Administrators グループが、Windows Vista と同じように区別されます。ビルト

イン Administrator ユーザーアカウントでは、完全な管理者権限を持つアクセストークンが常に使用されます。UAC の分割トークン機能は、ビルトイン Administrator アカウントには適用されません。

重要

UAC のユーザーエクスペリエンスは、セキュリティポリシーマネージャ MMC ス

ナップイン (secpol.msc) を使用するか、グループポリシーを使用することで構成できま

す。これらの構成オプションを使用すると、標準ユーザー、ローカル管理者、またはそ

の両方に表示されるプロンプトおよびダイアログボックスの動作を指定できます。

ファイルとレジストリの仮想化 Windows Vista で導入されたファイルとレジストリの仮想化機能は、Windows Server 2008 でも不可欠な機能です。Windows Vista より前のバージョンでは、

多くのユーザーがワークステーションでローカル管理者を指定していました。これらのユーザーによって起動されたアプリケーションでは、システムファイ

ルやレジストリキーの読み書きを自由に行うことができました。標準ユーザー

がこれらのアプリケーションを実行した場合、十分なアクセス権限がないため実

行に失敗します。ファイルとレジストリの仮想化機能は、System32 フォルダや HKEY_LOCAL_MACHINE レジストリハイブへの書き込みなど、コンピュータ全体

に適用される書き込みをユーザー別の場所にリダイレクトすることで、既存ソフ

トウェアのアプリケーション互換性を向上するように設計されています。



企業環境では、ユーザーに管理者レベルのアクセス権限を与えると、ローカルコンピュータとネットワーク環境の両方にセキュリティ上の問題が生じることが

わかっています。そのため、現在の多くの基幹業務アプリケーションは、完全な

管理者特権は不要となるように設計されています。UAC 準拠についてアプリ

ケーションをテストする必要がありますが、管理者は、UAC が有効な Windows Server 2008 を実行するときに、大多数のアプリケーションを置き換える必要は

ありません。

Windows Server 2008 には、UAC に準拠しないアプリケーションや、管理者しか

アクセスできない場所にアクセスする必要のあるアプリケーションのために、

ファイルとレジストリを仮想化する機能が用意されています。仮想化は、UAC に準拠しないアプリケーションに Windows Server 2008 との互換性を持たせるた

めに役立ちます。非準拠のアプリケーションが Program Files などの保護された

ディレクトリに書き込みを試みると、Windows Server 2008 はコピーオンライ

ト手法を使用して、変更対象のリソースの "仮想化" されたビューをアプリケー

ション用に用意し、そのビューにアプリケーションをリダイレクトします。仮想

化されたコピーは、ユーザーのプロファイルの下に保持されます。その結果、非

準拠のアプリケーションの実行時には、仮想化されたファイルの独自のコピーが

ユーザーごとに用意されます。

仮想化テクノロジによって、非準拠のアプリケーションがエラーもなく失敗した

り、不明確な形で失敗したりすることはなくなります。さらに、Program Files ディレクトリツリーの下のよく使用される実行可能ファイルやデータファイル

が、マルウェアによって上書きされるのを防ぐこともできます。マルウェアは、

実行可能ファイルやデータファイルの個人用コピーを上書きすることになりま

す。このコピーは、ユーザーのコンテキストからそのマルウェアしかアクセスで

きないファイルです。この保護機能により、ユーザーに表示されるバージョンは、

仮想化され、変更が加えられていないバージョンのままになります。また、UAC では、保護された領域に書き込むアプリケーションをログに記録する機能が既定

で有効になります。

アプリケーション開発者と管理者は、新しい製品の開発と従来のアプリケーショ

ンの Windows Server 2008 への移行において、仮想化がどのように影響するかを

理解することが重要です。また、この形式の仮想化は、暫定的なアプリケーショ

ン互換テクノロジであることも理解しておく必要があります。マイクロソフトは、

UAC 互換のアプリケーションが増えてきたときに、将来のバージョンの Windows オペレーティングシステムから仮想化を削除する予定です。したがって、ファ

イルまたはレジストリを仮想化するシステムの動作に依存しないアプリケーショ

ンを作成することが重要です。



ほとんどのアプリケーションタスクは、ファイルとレジストリの仮想化機能を

使用して正しく動作します。この仮想化は、従来のアプリケーションの大多数を

正しく実行できますが、長期的なソリューションではなく短期的な修正手段と見

なす必要があります。アプリケーション開発者は、ファイルとレジストリの仮想

化に依存して互換性を維持するのではなく、できる限り速やかに UAC 準拠のア

プリケーションに変更する必要があります。

仮想化は、以下に対してのみ有効になります。

■ 32 ビット会話型プロセス

■ HKEY_LOCAL_MACHINE¥Software 内のレジストリキー

■ 管理者が書き込み可能なファイル、フォルダ、およびレジストリキー

仮想化は、以下に対しては無効になります。

■ 64 ビットプロセス

■ 非会話型プロセス (サービスなど)

■ ユーザーを偽装するプロセス

■ カーネルモードの呼び出し元 (ドライバなど)

■ マニフェストに RequestedExecutionLevel のある実行可能ファイル

仮想化と移動に関しては、次のような制限があります。

■ 仮想化ファイル、フォルダ、およびレジストリキーは移動されない

■ 移動しないグローバルオブジェクトに対してのみ適用可能

参考

UAC およびファイルとレジストリの仮想化の詳細については、次の場所を参照してく

ださい。

http://msdn2.microsoft.com/en‐us/library/bb530410.aspx (英語)

ファイルの仮想化の場所

従来のプロセスでは、次のファイルシステムの場所が仮想化されます。

%ProgramFiles% %ProgramData% %SystemRoot%



ただし、上の場所にある特定のサブフォルダのいくつかは、仮想化の対象から除

外されます。

仮想化されたディレクトリに対する従来のプロセスによる変更は、ユーザーの仮

想ルートディレクトリにリダイレクトされます。

%userprofile%¥appdata¥local¥virtualstore

たとえば、仮想化されたプロセスで次のファイルが作成されるとします。

C:¥Windows¥Application.ini

実際に作成されるファイルは次のようになります。

%userprofile%¥AppData¥Local¥VirtualStore¥Windows¥Application.ini

このパスの Local というコンポーネントは、アカウントが移動プロファイルを持っ

ていても、仮想化されたファイルはユーザーの他のプロファイルと共に移動しな

いことを示します。

イベントログには、ファイルの仮想化に関する情報が含まれます。Windows Server 2008 のファイル仮想化操作のイベントログは、次のイベントビューアチャネルにあります。

アプリケーションとサービスログ¥Microsoft¥Windows¥UACFileVirtualization

このログには、ファイルの仮想化操作が成功したかどうかを通知するイベントと、

仮想化されたファイルおよび仮想化を要求したプロセスに関する情報が格納され

ます。

レジストリの仮想化の場所

レジストリの仮想化は、次の例外を除き、HKEY_LOCAL_MACHINE¥Software 内部のキーに対してのみ適用されます。

HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Windows HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Windows NT HKEY_LOCAL_MACHINE¥Software¥Classes

仮想化されるレジストリキーは、従来のアプリケーションでよく変更される

キーのうち、互換性や相互運用性に関する問題が発生しないものだけです。

仮想化されたキーの変更は、ユーザーの仮想ルートレジストリキーにリダイレ

クトされます。

HKEY_CLASSES_ROOT¥VirtualStore HKEY_CURRENT_USER¥Software¥Classes¥VirtualStore HKEY_USERS¥<SID>¥Software¥Classes¥VirtualStore



キーまたは設定が仮想化されると、キーの正確なレプリカとその値が上の仮想化

の場所に作成されます。

ファイルシステムに対して Windows が行う、仮想化された場所の固定リストを

維持する方法とは異なり、キーの仮想化の状態は、そのキー自体にフラグ REG_ KEY_DONT_VIRTUALIZE として格納されます。Reg.exe ユーティリティを使用す

ると、このフラグと、仮想化に関連する他の 2 つのフラグ (REG_KEY_ DONT_SILENT_FAIL および REG_KEY_ RECURSE_FLAG) を確認できます。次に例

を示します。

C:¥>reg flags "HKLM¥Software¥Microsoft¥Windows NT" HKEY_LOCAL_MACHINE¥Software¥Microsoft¥Windows NT REG_KEY_DONT_VIRTUALIZE:SET REG_KEY_DONT_SILENT_FAIL:CLEAR REG_KEY_RECURSE_FLAG:SET

表 1 : レジストリの仮想化フラグ

フラグ機能

REG_ KEY_DONT_VIRTUALIZE 設定されている場合、仮想化は行われません。

REG_KEY_ DONT_SILENT_FAIL REG_ KEY_DONT_VIRTUALIZE が設定されている場合にのみ使用

され、呼び出し元が使用する RegOpenXX 関数に依存します。

設定されていない場合、キーの操作を実行しようとしてアク

セスが拒否されたプロセスには、プロセスが要求したアクセ

ス権の代わりに、そのキーに対してユーザーが持っているア

クセス権が与えられます。

設定されている場合、ユーザーのアクセスレベルに関係な

く、アクセスが拒否されたことがプロセスに通知されます。

REG_KEY_ RECURSE_FLAG 設定されている場合、新しいサブキーは、既定の仮想化フラ

グの代わりに親のフラグを継承します。

参考

レジストリの仮想化の詳細については、次の場所を参照してください。

http://msdn2.microsoft.com/en‐us/library/bb530198.aspx (英語)

タスクマネージャの [プロセス] ページに [仮想化] 列を追加すると、プロセスの仮想

化の状態を表示できます。ほとんどの Windows コンポーネントでは、マニフェスト

が存在するために仮想化が無効になっているか、管理者権限で実行されているために

仮想化が許可されていません。

Windows S

18 © 2007 Mi

図 3 : タス

重

W想化の各

ス許可の

ネッ

ター

接続

す。

ます

ネッ

面を

のあ

きる

次の

Server 2008 の

icrosoft Corpo

スクマネージ

重要

Windows Ser各機能では、

の互換性] オプ

トワー

ーミナルサ続するときの

この初期段

す。

ットワークを表示する前

あるユーザー

る、セキュ

の利点があ

の概要

oration. All rig

ジャの仮想化の

rver 2008 の以前のター

プションは不

クレベ

サーバーのセ

の接続プロ

段階のユー

レベル認証

前にユーザ

ーや悪意の

リティが強

ります。

ghts reserved.

の状態

ユーザーアーミナルサー

不要になり

ベル認証

セキュリテ

ロセスの初期

ーザー認証

証は、リモ

ザー認証を完

のあるソフ

強化された認

アクセス制御

ービス構成

ました。

証ティは、クラ

期段階にユ

の方法は、

モートデス

完了する、

トウェアか

認証方法で

御、ファイル

MMC スナ

ライアント

ユーザー認証

ネットワ

スクトップ接

新しい認証

からリモー

です。ネッ

ル仮想化、お

ップインで

トがターミナ

証を行うこ

ークレベ

接続を確立

証方法です

ートコンピ

トワーク

Microsoft Co

およびレジス

使用できた

ナルサーバ

ことで強化で

ベル認証と呼

立してログオ

す。これは、

ピュータを保

レベル認証

orporation

ストリ仮

た [アクセ

バーに

できま

呼ばれ

オン画

、悪意

保護で

証には



■ 初期に必要となるリモートコンピュータのリソースが減ります。リモートコンピュータは、以前のバージョンのように初から完全なリモートデス

クトップ接続を開始するのではなく、ユーザーを認証するまでは限られた数

のリソースしか使用しません。

■ サービス拒否攻撃の危険が少なくなり、強化されたセキュリティを提供でき

ます。

ネットワークレベル認証を使用するには、次のすべての要件を満たしている必

要があります。

■ クライアントコンピュータがリモートデスクトップ接続 6.0 以上を使用して

いること。

■ クライアントコンピュータが、新しい Credential Security Support Provider (CredSSP) プロトコルをサポートするオペレーティングシステム (Windows Vista など) を使用していること。

■ ターミナルサーバーが Windows Server 2008 を使用していること。

ターミナルサーバーは、ネットワークレベル認証を実行しているクライアント

からの接続だけをサポートするように構成できます。ターミナルサーバーの

ネットワークレベル認証の設定は、次の方法で設定できます。

■ サーバーマネージャでターミナルサーバーの役割サービスをインストール

するときに、役割の追加ウィザードの [ターミナルサーバーの認証方法の指

定] ページで設定する。

■ ターミナルサーバーの [システムのプロパティ] ダイアログボックスで [リモート] タブを使用する。

■ ターミナルサービス構成ツールを使用して、接続の [プロパティ] ダイアロ

グボックスの [全般] タブで、[ネットワークレベル認証でリモートデスク

トップを実行しているコンピュータからのみ接続を許可する] チェックボッ

クスをオンにする。

■ 後で説明する [リモート接続にネットワークレベル認証を使用したユーザー

認証を必要とする] グループポリシー設定を適用する。



前に説明したダイアログボックスで、[リモートデスクトップを実行してい

るコンピュータからの接続を許可する (セキュリティのレベルは低くなりま

す)] オプションがオフの状態で選択不可になっている場合は、ターミナルサーバーの [リモート接続にネットワークレベル認証を使用したユーザー認

証を必要とする] グループポリシー設定が有効になっています。

コンピュータで実行しているリモートデスクトップ接続のバージョンがネット

ワークレベル認証をサポートしているかどうかを確認するには、リモートデス

クトップ接続クライアントアプリケーションを起動し、[リモートデスクトップ

接続] ダイアログボックスの左上隅にあるアイコンをクリックして、[バージョン

情報] をクリックします。[バージョン情報] ダイアログボックスに "ネットワークレベル認証はサポートされています" という語句があるかどうかを調べます。

セキュリティ層既定では、ターミナルサービスセッションはネイティブのリモートデスクトッ

ププロトコル (RDP) 暗号化を使用します。ただし、RDP には、ターミナルサー

バーの ID を確認する認証は用意されていません。サーバー認証用のトランス

ポート層セキュリティ (TLS) 1.0 を使用すると、ターミナルサービスセッション

のセキュリティを強化し、ターミナルサーバー通信を暗号化できます。セキュ

リティを強化するには、ターミナルサーバーとクライアントコンピュータを TLS 用に正しく構成する必要があります。使用可能な 3 つのセキュリティ層を次

の表に示します。

表 2 : RDP セキュリティ層

セキュリティ層説明

SSL (TLS 1.0) SSL (TLS 1.0) は、サーバー認証およびサーバーとクライアントの間で転

送されるすべてのデータの暗号化に使用されます。

ネゴシエートクライアントでサポートされているも安全な層が使用されます。サ

ポートされている場合は SSL (TLS 1.0) が使用されます。クライアントで SSL (TLS 1.0) がサポートされていない場合は、RDP セキュリティ層が使

用されます。これが既定の設定です。

RDP セキュリティ層

サーバーとクライアントの間の通信には、ネイティブの RDP 暗号化が

使用されます。RDP セキュリティ層を選択した場合、ネットワークレベル認証は使用できません。



RDP で接続しているときに、SSL (TLS 1.0) を使用してクライアントとターミナルサーバー間の通信をセキュリティ保護する場合、ターミナルサーバーの認証に

証明書が必要です。ターミナルサーバーにインストール済みの証明書を選択す

るか、既定の自己署名証明書を使用できます。

図 4 : [RDP‐Tcp のプロパティ] ‐ [セキュリティ層]

暗号化ターミナルサービス接続では、クライアントとサーバー間の通信リンク上の

データを暗号化することにより、データが保護されます。暗号化は、クライアン

トとサーバー間の通信を傍受の危険性から守ります。



既定では、ターミナルサービス接続は、使用可能なも高いセキュリティレベ

ル (128 ビット) で暗号化されます。ただし、一部の古いバージョンのターミナ

ルサービスクライアントアプリケーションでは、この高レベルの暗号化はサ

ポートされません。レガシクライアントをサポートする必要がある場合は、そ

のクライアントでサポートされるも高い暗号化レベルでデータが送受信される

ように、接続の暗号化レベルを構成できます。次の表に示すように、4 つの暗号

化レベルを使用できます。

表 3 : RDP 暗号化レベル

暗号化のレベル説明

低クライアントからサーバーに送信されるデータ

は、56 ビット暗号化を使用して暗号化されま

す。サーバーからクライアントに送信される

データは暗号化されません。

クライアント互換クライアントとサーバー間の通信は、クライア

ントでサポートされるも長いキー長で暗号化

されます。クライアントが混在する環境または

レガシクライアントの環境でターミナルサー

バーを実行している場合、このレベルを使用し

ます。これは、既定の暗号化レベルです。

高クライアントとサーバー間の通信は、128 ビッ

ト暗号化を使用して暗号化されます。ターミナ

ルサーバーにアクセスするクライアントで 128 ビット暗号化がサポートされる場合、このレベ

ルを使用します。このレベルを設定すると、こ

の暗号化レベルをサポートしていないクライア

ントは接続できません。

FIPS 準拠クライアントとサーバー間のすべての通信が、

連邦情報処理標準規格 (FIPS) 暗号化アルゴリズ

ムを使用して暗号化および暗号化解除されま

す。FIPS 140‐1 (1994) および後続の FIPS 140‐2 (2001) については、米国政府の暗号化要件仕様

で説明されています。



ターミナルサービスの暗号化レベルは、次のレジストリキーの MinEncryptionLevel 値に格納されます。

HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥Terminal Server¥WinStations¥RDP‐Tcp 1 = 低 2 = クライアント互換 3 = 高 4 = FIPS

注

上の RDP‐Tcp キーの値の詳細については、次の場所にある「Terminal Services WMI Provider Reference」を参照してください。

http://msdn2.microsoft.com/en‐us/library/aa383515.aspx (英語)

図 5 : RDP 接続のプロパティ ‐ [暗号化のレベル]



ターミナルサーバーの認証と暗号化のグループポリシーターミナルサーバーの認証と暗号化を構成するには、次のグループポリシー設

定を適用します。

■ クライアント接続の暗号化レベルを設定する

■ リモート (RDP) 接続に特定のセキュリティレイヤの使用を必要とする

■ サーバー認証証明書テンプレート

■ リモート接続にネットワークレベル認証を使用したユーザー認証を必要と

する

これらのグループポリシー設定は、次のコンテナにあります。

コンピュータの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナ

ルサービス¥ターミナルサーバー¥セキュリティ

FIPS は、次のコンテナにある [システム暗号化: 暗号化、ハッシュ、署名のため

の FIPS 準拠アルゴリズムを使う] グループポリシー設定を適用することにより、

暗号化レベルとして指定できます。

コンピュータの構成¥Windows の設定¥セキュリティの設定¥ローカルポリシー¥ セキュリティオプション

参考

上のグループポリシーは、ローカルグループポリシーエディタまたはグループポリシー管理コンソール (GPMC) を使用して構成されます。これらのグループポリシー設

定は、[サーバー認証証明書テンプレート] ポリシー設定を除き、[ターミナルサービス

構成] に構成されている設定より優先されます。

また、[システム暗号化 : 暗号化、ハッシュ、署名のための FIPS 準拠アルゴリズムを使

う] グループポリシー設定は、[クライアント接続の暗号化レベルを設定する] ポリシー

設定より優先されます。



RDP ポートの変更既定では、ターミナルサービスは TCP ポート 3389 を使用します。ポート 3389 はターミナルサービスの既定のポートとしてよく知られているので、ネット

ワーク侵入者の攻撃対象になる可能性があります。企業のセキュリティ上、一般

に公開するインターフェイスに対して、ファイアウォールでポート 3389 を公開

できないようにする必要が生じる場合があります。代替策の 1 つとして、ターミ

ナルサービス接続用に 3389 以外の非標準のポートを公開し、その非標準のポー

トを使用するようにターミナルサーバーを構成する方法があります。使用する

ターミナルサービス RDP ポートは、レジストリの次の場所で変更できます。

HKEY_LOCAL_MACHINE¥System¥CurrentControlSet¥Control¥Terminal Server¥WinStations¥RDP‐Tcp 値 : Port Number 種類 : REG_DWORD データ : 3389 (10 進数) または d3d (16 進数)

ポート番号エントリは、その環境で使用されていない、別の短期用のポート (既定では 1024 ～ 4999) に変更することをお勧めします。変更した後、サービスコンソールを使用してターミナルサービスのサービスを再起動し (または、サー

バーを再起動)、netstat ao コマンドを使用して、ターミナルサービスが既定の

ポート 3389 ではなく新しいポートをリッスンしていることを確認します。

ターミナルサーバーの既定のポートを変更した後、次のようにクライアントを

変更して、新しいターミナルサーバーポート番号を使用します。

■ リモートデスクトップクライアント (mstsc.exe) : リモートデスクトップ接

続クライアント (mstsc.exe) を起動します。[コンピュータ] ボックスに、

ターミナルサーバーの名前、コロン、ポート番号の順に指定します。たとえ

ば、ポート 4500 を使用する場合は、「<servername>:4500」と入力します。

■ リモートデスクトップ Web 接続 : http://<servername>/ts を使用してリ

モートデスクトップ Web 接続をホストする Web サーバーに接続した後、

ページ上部の [リモートデスクトップ] をクリックします。[接続先] ボック

スに、ターミナルサーバーの名前、コロン、ポート番号の順に指定します。

たとえば、ポート 4500 を使用する場合は、「<servername>:4500」と入力

します。

Windows S

26 © 2007 Mi

■

図 6 : Rem

リモ

レッ

Server 2008 の

icrosoft Corpo

リモートアルを介し、

モートアプ

スナップイ

あります。

[RemoteAp

moteApp の展

モートデス

ッスンの後半

の概要

oration. All rig

アプリケー

非標準の

プリケーシ

インからア

次の図は

pp の展開設

開設定

クトップ W半で詳細に

ghts reserved.

ーション : Tターミナル

ションを構成

クセスでき

は、RemoteA設定] ページ

Web 接続と

に説明します

TS Web アク

ルサーバー

成するには

きる、カス

Appsis の Rジを示して

とリモート

す。

クセスまた

ーポート使

は、TS Remタムの RDRDP ポート

ています。

アプリケー

たはカスタム

使用してアク

moteApp マネ

DP 設定を構

トが指定され

ーションに

Microsoft Co

ムの .rdp フクセスでき

ネージャ M構成する必

れた

については、

orporation

ファイ

るリ

MMC 要が

、この



ログオンバナーの指定法的な理由から、ターミナルサーバーのログオンバナーも設定することをお勧

めします。これは、サーバーを一般利用者に公開する場合に特に重要です。これ

を設定してもサーバーのセキュリティ保護が強化されるわけではありませんが、

未承認のユーザーに対する警告として構成することをお勧めします。

ログオンバナーは、次のレジストリキーを使用して設定します。

HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows NT¥CurrentVersion¥Winlogon 値 : LegalNoticeCaption 種類 : REG_SZ 値 : LegalNoticeText 種類 : REG_SZ

たとえば、LegalNoticeCaption 値を「重要な通知:」に設定し、LegalNoticeText 値を「未承認のアクセスは許可されません」にすることができます。



管理用リモートデスクトップの有効化リモートデスクトップセッションを確立する前に、リモート接続を有効にして、

サーバーに接続するアクセス許可をユーザーに与えておく必要があります。既定

では、いったんリモートデスクトップ接続が確立されると、ローカル Administrators グループのメンバはリモートからサーバーに接続できます。

Remote Desktop Users グループに追加された管理者以外のユーザーにも、リ

モートログオンアクセス許可が与えられます。Remote Desktop Users グループ

は、Users グループのすべての権限に加え、リモートからコンピュータにログオ

ンする追加の権限を持っています。

Remote Desktop Users グループを使用して、管理用リモートデスクトップおよ

びターミナルサービスのリモート接続アクセス許可を制御することをお勧めし

ます。このグループを使用すると、ユーザーごとまたはグループごとにリモート

接続権限を構成する必要がなくなり、管理オーバーヘッドを削減できます。

サーバーマネージャコンソールを使用してリモートデスクトップ接続を有効に

するには、次の手順を実行します。

1. サーバーマネージャを開きます。

2. [サーバーの概要] ウィンドウで、[リモートデスクトップの構成] をクリッ

クします。図 7 : リモートデスクトップの構成の設定



3. 次のいずれかのオプションを選択します。

■ [リモートデスクトップを実行しているコンピュータからの接続を許可する] いずれかのリモートクライアントがリモートデスクトップ接続 5.x クラ

イアントアプリケーションを使用している場合に使用します。

■ [ネットワークレベル認証でリモートデスクトップを実行しているコン

ピュータからのみ接続を許可する] すべてのリモートクライアントがリモートデスクトップ接続 6.x クライ

アントアプリケーションを使用している場合に使用します。

4. [リモートデスクトップ] セクションの [ユーザーの選択] をクリックします。

5. [リモートデスクトップユーザー] ダイアログボックスで、[追加] をクリッ

クします。

6. サーバーへのリモートの接続を許可するユーザーを追加します。

7. ユーザーの追加が完了したら、[OK] をクリックして [リモートデスクトッ

プユーザー] ダイアログボックスを閉じ、もう一度 [OK] をクリックして [システムのプロパティ] ダイアログボックスを閉じます。

注

リモートデスクトップ機能を有効にするには、ローカル Administrators グループのメ

ンバとしてログオンしている必要があります。

ローカル Administrators グループのメンバは、リモートからサーバーに接続するために Remote Desktop Users グループに追加する必要はありません。



ターミナルサービスの役割および役割サービスターミナルサービスは、Windows Server 2008 のすべての SKU (Web Edition と Itanium Edition を除く) にサーバーの役割としてインストールできます。ターミ

ナルサービスの役割、関連する役割サービス、および機能は、新しいサーバーマネージャコンソールまたは ServerManagerCMD.exe コマンドライン役割管理

ツールを使用してインストールできます。

ターミナルサービスの "サービス" は、Windows Server 2008 をインストールす

ると既定で起動されますが、有効になるのは管理用リモートデスクトップだけ

です。3 人以上のユーザーにターミナルサービスを提供するには、ターミナルサービスの役割および必要なすべての役割サービスをインストールする必要があ

ります。ターミナルサービスの役割をインストールすると、ターミナルサービ

ス用に TCP ポート 3389 の入力方向のファイアウォールの例外が有効になります。

ターミナルサービスの役割サービスターミナルサービスの役割のインストール時には、次の役割サービスをインス

トールできます。

■ ターミナルサーバーターミナルサーバーは、3 人以上のユーザーにターミナルサーバーの機能

を提供するために必要です。この役割サービスをインストールする方法は、

Windows Server 2003 で [Windows コンポーネントの追加と削除] を使用して

ターミナルサーバーのオプションコンポーネントをインストールする場合

と同じです。ターミナルサーバーの役割サービスをインストールしたら、

再起動する必要があります。

■ TS ライセンス TS ライセンスは、ターミナルサーバーへの接続に必要なターミナルサービ

スクライアントアクセスライセンス (CAL) を管理します。ターミナルサー

バーの役割サービスをインストールした後、120 日以内にターミナルサー

バーライセンスサーバーの利用を開始する必要があります。この役割サー

ビスをインストールする方法は、Windows Server 2003 で [Windows コン

ポーネントの追加と削除] を使用してターミナルサーバーライセンスのオプ

ションコンポーネントをインストールする場合と同じです。TS ライセンス

役割サービスのサポートに、ターミナルサーバーの役割サービスは必要あ

りません。

■ TS セッションブローカ Windows Server 2008 では、Windows Server 2003 のターミナルサービス



セッションディレクトリ機能が強化され、セッションブローカという名前

に変更されました。ターミナルサービスセッションブローカには、セッ

ションディレクトリによるセッション再接続機能に加えて、新しいセッ

ション負荷分散機能があります。TS セッションブローカのサポートにター

ミナルサーバーの役割サービスは不要ですが、ドメインに参加している

サーバーにしかインストールできません。

■ TS ゲートウェイ TS ゲートウェイを使用すると、承認されたユーザーは、VPN 接続を使用せ

ずにインターネットで内部ネットワークのターミナルサーバーとリモートデスクトップにアクセスできます。TS ゲートウェイの役割サービスのサ

ポートに、ターミナルサーバーの役割サービスは必要ありません。

■ TS Web アクセス TS Web アクセスでは、Internet Explorer でホストされる新しい ActiveX コン

トロールを使用して、公開されているアプリケーションやターミナルサー

バーデスクトップのすべてにアクセスできます。TS Web アクセスの役割

サービスのサポートにターミナルサーバーの役割サービスは不要ですが、

TS Web アクセスは Web サーバーの役割に依存します。

ターミナルサーバーのインストールオプションサーバーマネージャコンソールを使用してターミナルサーバーの役割サービス

をインストールする場合、サーバーマネージャのウィザードで次のオプション

を指定できます。

■ [ターミナルサーバーの認証方法の指定] ページで、ネットワークレベル認

証を使用するかどうかを指定できます。

■ [ライセンスモードの指定] ページで、使用するライセンスモードとして、

[接続デバイス数]、[接続ユーザー数]、または [後で構成] を選択できます。

ライセンスサーバーが必要になるまでに、120 日の猶予期間があります。

■ [このターミナルサーバーへのアクセスが許可されたユーザーグループの選

択] ページで、Remote Desktop Users グループに追加するユーザーまたはグ

ループを追加します。



注

上のターミナルサーバーのオプションは、ターミナルサーバーの役割サービスをイ

ンストールした後で構成することもできます。ServerManagerCMD.exe コマンドラインツール

を使用してターミナルサーバーの役割サービスをインストールする場合は、インストール後

にこれらのオプションを構成する必要があります。

ターミナルサーバーのインストールのトラブルシューティング

ターミナルサーバーのインストール状況の詳細は、次のフォルダにある CBS.log ファイルに格納されます。

%systemroot%¥logs¥cbs

CBS ログファイルには、ターミナルサービスのインストールで発生した問題の

トラブルシューティングに役立つ可能性のある詳細情報が含まれています。CBS ログファイルの調査方法の詳細については、このコースのサービスに関するモ

ジュールを参照してください。

次のログファイルは、ターミナルサービスの役割サービスのインストールに関

する詳細情報を確認する場合に使用することもできます。

表 4 : TS インストールのログファイル

役割ログファイル名

ターミナルサーバー %systemroom%¥System32¥TS‐AppServer‐Setup.log

ターミナルサーバー Web アクセス

%systemroot%¥tssetup.log

%systemroot%¥tsportalsetup.log



ターミナルサーバーのアドバタイズ Windows Server 2008 では、ターミナルサーバーの役割サービスがインストール

されているサーバーだけが自身をターミナルサーバーとしてアドバタイズし、

ターミナルサービスマネージャ MMC スナップインに表示されるようになります。

ターミナルサービスベースのコンピュータがホストアナウンスのブロードキャス

トメッセージを発行する場合、そのメッセージには SV_TYPE_TERMINALSERVER ビットが設定されます。このホストアナウンスはネットワークトレースに記録

されます。このアナウンスは、サーバーが自身をターミナルサーバーとしてア

ドバタイズしていることを確認するために使用できます。リモートデスクトップ

接続クライアントなどのプログラムがターミナルサーバーのみのリストの取得を

試みるときは、サーバーの種類のパラメータとして SV_TYPE_TERMINALSERVER を指定して NetServerEnum() 関数を使用します。

参考

NetServerEnum 関数は、ドメイン内に存在する指定された種類のサーバーをすべて列

挙します。たとえば、アプリケーションは NetServerEnum を呼び出して、すべてのドメインコントローラのみ、またはすべての SQL サーバーのみを列挙できます。

ターミナルサービスベースのコンピュータのホストアナウンスにこのビットが

含まれないようにするには、ターミナルサーバーの次のレジストリキーに TSAdvertise 値を設定します。

HKLM¥System¥CurrentControlSet¥Control¥Terminal Server 値 : TSAdvertise データ型 : REG_DWORD 0 = アドバタイズを無効にする 1 = アドバタイズを有効にする



ターミナルサービスのアーキテクチャここでは、Windows Server 2008 のターミナルサービスのアーキテクチャについ

て説明します。次のようなトピックがあります。

■ スタートアッププロセス

■ ターミナルサーバーのサービス

■ ターミナルサーバーのバイナリ

ターミナルサーバーのスタートアッププロセス Windows Server 2003 と同じように、Windows Server 2008 サーバーを起動した

ときに初に起動されるユーザーモードプロセスは、セッションマネージャプロセス (smss.exe) です。ただし、Windows Server 2003 と異なり、セッションマネージャプロセスの 2 つ目のインスタンスが起動され、セッション 0 にシス

テムプロセスが構成されます。セッション 0 のセッションマネージャプロセス

は、Windows スタートアップアプリケーションプロセス (wininit.exe) と、

セッション 0 用のクライアント/サーバーランタイムサブシステムプロセス (csrss.exe) を起動した後、終了します。

セッション 0 の winint.exe は、Windows Server 2003 では winlogon.exe によっ

て実行された、スタートアップタスクを実行します。winint.exe は、サービスコントロールマネージャプロセス (services.exe)、ローカルセキュリティ機関

サブシステムプロセス (lsass.exe)、およびローカルセッションマネージャプロ

セス (lsm.exe) を起動します。

サービスコントロールマネージャは、ターミナルサービスのサービスを含め、

termsrv.dll に実装され共有ホストプロセス (svchost.exe) によってホストされ

るシステムサービスを初期化します。次に、ターミナルサービススタックドラ

イバ (termdd.sys) を読み込み、リスナスレッドを作成して TCP ポート 3389 で着信接続をリッスンします。RDP リスナスレッドはセッション要求を検出する

と、新しい RDP スタックインスタンスを作成して、新しいセッション要求を処

理します。リスナスレッドは、着信セッションを新しい RDP スタックインスタ

ンスに渡し、TCP ポート 3389 で引き続き接続の試みをリッスンします。



ユーザーがコンソールを使用するかターミナルサービスセッションを介してシ

ステムにログオンすると、初のセッションマネージャプロセスがそれ自体の

新しいインスタンスを作成して新しいセッションを構成します。新しい smss.exe プロセスは、新しいセッション用の csrss.exe プロセス、Windows ログオンプロセス (winlogon.exe)、およびセッションインスタンス別のウィンド

ウマネージャ (Win32k.sys) を起動します。winlogon.exe は、次のレジストリキーに示されたプロセス (既定では userinit.exe) を起動します。

HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows NT¥ Current Version¥Winlogon¥Userinit

userinit.exe は、次のレジストリキーに shell として定義されたプロセス (既定で

は、フルインストールの Windows Server 2008 は explorer.exe、Windows Server 2008 の Server Core インストールは cmd.exe) を起動した後、終了します。

HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥Windows NT¥ Current Version¥Winlogon¥Shell

ターミナルサーバークライアントセッションは、サーバーのドライバの 1 つを

ディスプレイ (rdpdd.dll) に使用し、もう 1 つをキーボードとマウス (rdpwd.sys) に使用します。ユーザーインターフェイス表示の呼び出しは rdpdd.dll によって

キャプチャされ、RDP プロトコルを介してクライアントに転送されます。クライ

アントのキーボードとマウスの入力は、変換のために TCP 接続を介して rdpwd.sys に転送されます。これらのドライバは、クライアントセッションに対してリ

モートサーバーとの対話機能を提供します。

参考

Windows Server 2008 より前の Windows バージョンでは、ターミナルサーバーセッ

ションの作成は、セッションマネージャプロセス (smss.exe) によって連続的に実行され

ました。1 つのセッションマネージャプロセスが、各セッションの csrss.exe プロセス

と winlogon.exe プロセスを 1 つずつ起動しました。セッションの初期化がこのように逐

次的に処理されることにより、複数のユーザーが同時にログオンするとログオンに遅延

が発生する場合がありました。

新しいセッションマネージャの設計では、セッション固有の smss.exe のインスタンス

で各セッションの winlogon.exe プロセスと csrss.exe プロセスを同時に作成することによ

り、セッションの初期化が並列に実行されます。その結果、ユーザーのターミナルサー

バーへのログオン時間が短縮されます。



ターミナルサーバーのサービス次の表は、Windows Server 2008 のターミナルサービス機能で使用されるシステ

ムサービスの一覧です。

表 5 : ターミナルサーバーのシステムサービス

サービス場所詳細

ターミナルサービス (TermServices)

%systemroot%¥system32¥svchost.exe ‐k termsvcs

%systemroot%¥system32¥termsrv.dll

すべてのターミナルサー

ビス機能およびリモートデスクトップ機能に必要

となる、中心的なターミ

ナルサーバーのサービス

です。

ターミナルサー

ビス構成 (SessionEnv)

%systemroot%¥system32¥svchost.exe ‐k netsvcs

%systemroot%¥system32¥sessenv.dll

システムコンテキストに

必要な、ターミナルサー

ビスとリモートデスク

トップに関連するすべて

の構成およびセッション

の保守を行います。


ビスゲートウェ

イ (TSGateway)

%systemroot%¥system32¥svchost.exe ‐k tsgateway

%systemroot%¥system32¥aaedge.dll

ターミナルサービスゲートウェイ機能を提供

します。


ビスセッションブローカ (Tssdis)

%systemroot%¥system32¥tssdis.exe ターミナルサービスセッ

ションブローカ機能を提

供します。


ビスユーザーモードポートリダイレクタ (UMRdpService)

%systemroot%¥system32¥svchost.exe ‐k LocalSystemNetworkRestricted

%systemroot%¥system32¥umrdp.dll

デバイスのリダイレクト

機能を提供します。



ターミナルサーバーのバイナリ次の表は、Windows Server 2008 のターミナルサービスで使用されるバイナリの

一覧です。

表 6 : ターミナルサーバーのコンポーネント

コンポーネント

説明

AACLIENT.DLL "外部からのアクセス" クライアント dll (ターミナルサービス Web アクセス)。

CREDSSP.DLL ターミナルサーバーシングルサインオンセキュリティサポートプロバイ

ダ (SSP)。

MSTSCAX.DLL ターミナルサーバー ActiveX コントロール。

MSTSC.EXE リモートデスクトップ接続アプリケーション実行可能ファイル。

RDPINIT.EXE userinit.exe によって起動され、RemoteApp の初期化に使用されます。

RDPSHELL.EXE Explorer.exe の代わりに使用される RemoteApp シェル。

RDPSND.DLL 従来のユーザーモードオーディオドライバ。

RDPWSX.DLL ユーザーモードプロトコル拡張。

接続のセットアップ、接続、切断を処理します。

RDPDR.SYS カーネルモードデバイスリダイレクタ、ドライブのリダイレクト、スマートカードのリダイレクト、プリンタのリダイレクト、ポートのリダイレクト。

RDPDD.dll ターミナルサービスディスプレイドライバ。

RDPWD.SYS ターミナルサービスセッションのマウスとキーボードのドライバ。

RDPCLIP.EXE ターミナルサービスクリップボードのリダイレクト。

TRMSRV.DLL Win32 コンテキストや CSRSS などに対する接続スタックのバインドを管理し

ます。

SVCHOST を介して、サービスとして共有サービスホストで実行されます。

%systemroot%¥system32¥svchost.exe ‐k termsvcs

%systemroot%¥system32¥termsrv.dll

TERMDD.SYS ネットワーク固有のコンポーネントにランタイムを提供し、TCP ポート 3389 で RDP クライアント接続をリッスンするターミナルサービスデバイスドラ

イバ。



コンポーネント

説明

TDTCP.SYS 基盤となる TCP/IP ネットワークプロトコルに RDP プロトコルをパッケージ

化します。

TSDDD.DLL コンソールの接続時に使用されるターミナルサービスディスプレイドライバ。

WINLOGON.EXE ユーザーのログオンとログオフ、および特別な Windows キーの組み合わせ

である Ctrl + Alt + Del を処理します。

Windows シェル (通常は Windows エクスプローラ) を起動します。

WINSTA.DLL アイドル状態やセッションのログイン時間などのセッション関連の情報を

提供し、セッションのシャットダウンや切り替えなどのタスクをサポート

します。

WINMM.DLL Winmm.dll : メディアコントロールインターフェイス (MCI) API DLL。

Winmm.dll はマルチメディアサービスをサポートするライブラリで

す。.wave、.midi、.aux の各ファイルの初期化に使用されます。

Wtsapi32.dll Windows ターミナルサーバー SDK API。



管理ターミナルサービスの構成、ユーザー設定、接続、およびセッションを構成す

るために、次のツールおよび方法を使用できます。

• ターミナルサービスマネージャ

• ターミナルサービスの構成ツール

• ターミナルサービスのコマンドラインツール

• ターミナルサービスグループポリシー

• ターミナルサービス WMI プロバイダ

• ローカルユーザーおよびグループに対するターミナルサービス拡張

• Active Directory ユーザーとコンピュータ

さらに、グループレベル、コンピュータレベル、またはユーザーレベルで構成

されていない接続設定は、RDC クライアントアプリケーションを使用してセッ

ション単位で設定できます。

Windows 混在環境では、複数のツールを組み合わせて使用することが必要な場

合があります。たとえば、Windows Server 2008 オペレーティングシステムの構

成にはグループポリシーを使用し、以前のバージョンの Windows を実行してい

るサーバーの構成にはターミナルサービスの構成ツールを使用します。

同様に、同じコンピュータに 2 つ以上の接続が存在する場合は、各接続を別々に

構成する方が適していることがあります。この場合、グループポリシーは使用

できません。代わりに、ターミナルサービスの構成ツールを使用します。この

ツールを使用すると、接続単位でターミナルサービス設定を構成できます。

ターミナルサービスマネージャターミナルサービスマネージャ MMC スナップインを使用すると、ローカルターミナルサーバーまたはリモートターミナルサーバーで次のタスクを実行で

きます。

■ ユーザーのセッションをリモート側で制御する。

■ サーバー、セッション、ユーザー、およびプロセスに関する情報を表示する。

■ セッションに接続する、およびセッションから接続解除する。



■ セッションを監視する。

■ セッションをリセットする。

■ メッセージをユーザーに送信する。

■ ユーザーをログオフする。

■ プロセスを終了する。

Windows Server 2008 では、Windows Server 2003 のターミナルサービスマネージャに備わっていた "お気に入り" 機能が強化され、"グループ" という名前

になりました。特定のターミナルサーバーに対して 1 つのお気に入りグループ

を設定するのではなく、複数のグループを作成して、管理者の好みに基づいて

ターミナルサーバーを編成できます。ターミナルサービスマネージャコン

ソールでグループを作成し、そのグループにターミナルサーバーを手動で追加

する機能に加えて、セッションブローカファームからサーバーの一覧をイン

ポートする [TS セッションブローカからインポート] オプションも使用できます。

図 8 : ターミナルサービスマネージャコンソール

Windows Server 2003 では、ターミナルサービスマネージャは TSAdmin.exe に実装されていました。Windows Server 2008 では、ターミナルサービスマネー

ジャは MMC スナップイン (TSAdmin.msc、TSAdmin.dll) として実装されてい

ます。



ターミナルサービスの構成ターミナルサービスの構成 MMC スナップインを使用すると、一時フォルダ、セ

キュリティ、およびライセンス認証の設定に加えて、サーバーで定義されている

ターミナルサービスリスナのプロパティを構成できます。既定のターミナルサービスリスナは RDP‐Tcp という名前です。

Windows Server 2008 では、ターミナルサービスの構成 MMC スナップインは TSConfig.msc (および TSConfig.dll) に実装されています。以前には、TSCC.MSC がターミナルサービスの構成コンソールとして使用されていました。

ターミナルサービスの構成コンソールを使用すると、ローカルサーバーまたは

リモートサーバーで次のアクションを実行できます。

■ 接続に名前を付ける。

■ 接続の種類を指定する。

■ 接続トランスポートおよびトランスポートプロパティを指定する。

■ セッションの大許容数を設定する。

■ 接続を介したログオンを有効または無効にする。

■ 接続のタイムアウトを設定する。

■ 暗号化のレベルを設定する。

■ エラーが発生した接続を切断するかどうかを設定する。

■ セッションのリモート制御を有効または無効にする。

■ 自動ログオンを有効または無効にする。

■ ユーザーがログオンしたときに実行するプログラムを指定する。

■ 壁紙に関するユーザープロファイル設定を上書きする。

■ 接続のアクセス許可を設定する。

■ クライアントデバイスのマッピングおよび接続パラメータを設定する。



図 9 : ターミナルサービスの構成コンソール

ターミナルサービスのコマンドラインツール次の一覧に示すコマンドラインツールを使用すると、ユーザーの管理、セッ

ションの管理、プロセスの管理、ターミナルサーバーの管理など、ターミナルサービスの管理機能を実行できます。

表 7 : ターミナルサービスのコマンドラインツール

コマンド説明

Change ログオン、COM ポートマッピング、およびインストールモードに関する

ターミナルサーバーの設定を変更します。

Change logon クライアントセッションからターミナルサーバーへのログオンを有効または

無効にします。現在のログオンの状態を表示することもできます。

Change port COM ポートマッピングを一覧表示します。または、MS‐DOS アプリケーショ

ンとの互換性のために COM ポートマッピングを変更します。

Change user ターミナルサーバーのインストールモードを変更します。

Chglogon クライアントセッションからターミナルサーバーへのログオンを有効または

無効にします。現在のログオンの状態を表示することもできます。

Chgport COM ポートマッピングを一覧表示します。または、MS‐DOS アプリケーショ

ンとの互換性のために COM ポートマッピングを変更します。

Chguser ターミナルサーバーのインストールモードを変更します。

Flattemp フラットな一時フォルダを有効または無効にします。



コマンド説明

Logoff ターミナルサーバー上のセッションからユーザーをログオフし、サーバーか

らセッションを削除します。

Msg ターミナルサーバー上のユーザーにメッセージを送信します。

Mstsc ターミナルサーバーまたは他のリモートコンピュータへの接続を作成します。

Qappsrv ネットワーク上のすべてのターミナルサーバーの一覧を表示します。

Qprocess ターミナルサーバーで実行されているプロセスに関する情報を表示します。

Query プロセス、セッション、およびターミナルサーバーに関する情報を表示し

ます。

Query process ターミナルサーバーで実行されているプロセスに関する情報を表示します。

Query session ターミナルサーバー上のセッションに関する情報を表示します。

Query termserver

ネットワーク上のすべてのターミナルサーバーの一覧を表示します。

Query user ターミナルサーバー上のユーザーセッションに関する情報を表示します。

Quser ターミナルサーバー上のユーザーセッションに関する情報を表示します。

Qwinsta ターミナルサーバー上のセッションに関する情報を表示します。

Reset session ターミナルサーバー上のセッションをリセット (削除) できます。

Rwinsta ターミナルサーバー上のセッションをリセット (削除) できます。

Shadow ターミナルサーバー上の他のユーザーのアクティブセッションをリモートか

ら制御できます。

Tscon ターミナルサーバー上の他のセッションに接続します。

Tsdiscon ターミナルサーバーからセッションを切断します。

Tskill ターミナルサーバー上のセッションで実行されているプロセスを終了します。

Tsprof ターミナルサービスのユーザー構成情報を、あるユーザーから別のユーザー

にコピーします。



次の表のコマンドラインツールは、Windows Server 2008 のターミナルサービ

スでは使用しません。

表 8 : 使用できないコマンドラインユーティリティ

コマンド機能

tsshutdn ターミナルサービスサーバーをシャットダウンします。

register プログラムを登録して、実行時の特性付けを指定します。

cprofile ユーザーのプロファイルからユーザー固有のファイル

関連付けを削除します。

tsshutdn.exe は Windows Server 2008 には含まれていません。このため、

Windows Server 2008 ターミナルサーバーをシャットダウンまたは再起動する方

法として、Shutdown.exe を使用することが推奨されています。Windows Server 2008 ターミナルサーバーをシャットダウンまたは再起動すると、ログオンして

いるすべてのユーザーに対して、シャットダウンが進行中であること、および

ターミナルサーバーからそれらのユーザーがログオフされることを知らせる次

のダイアログボックスが表示されます。

図 10 : Shutdown.exe のダイアログ

ターミナルサービスグループポリシー以下の表は、ターミナルサービスのグループポリシー設定の一覧です。

Windows Server 2008 にターミナルサービスの役割をインストールすると、ロー

カルグループポリシーでは既定で NoActiveDesktop ポリシーが有効になります。



ターミナルサーバーのコンピュータ構成グループポリシー

コンピュータの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ターミナルサーバー¥接続

表 9 : ターミナルサーバーの接続に関するコンピュータグループポリシー設定

ターミナルサーバーの接続に関するコンピュータグループポリシー

オリジナルのクライアントからの再接続のみを許可する

一覧にないプログラムをリモートから起動できるようにする

ユーザーがターミナルサービスを使ってリモート接続することを許可する

自動再接続

キープアライブ接続間隔を構成する

コンソールセッションにログインしている管理者のログオフを拒否する

接続数を制限する

ターミナルサービスユーザーに対してリモートセッションを 1 つに制限する

ターミナルサービスユーザーセッションのリモート制御のルールを設定する

コンピュータの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ターミナルサーバー¥デバイスとリソースのリダイレクト

表 10 : ターミナルサーバーのデバイスとリソースのリダイレクトに関するコンピュータグループポリシー設定

ターミナルサーバーのデバイスとリソースのリダイレクトに関するコン

ピュータグループポリシー

オーディオのリダイレクトを許可する

タイムゾーンリダイレクトを許可する

クリップボードのリダイレクトを許可しない

COM ポートのリダイレクトを許可しない

ドライブのリダイレクトを許可しない

LPT ポートのリダイレクトを許可しない

サポートされているプラグアンドプレイデバイスのリダイレクトを許可し

ない



コンピュータの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービ

ス¥ターミナルサーバー¥ライセンス

表 11 : ターミナルサーバーのライセンスに関するコンピュータグループポリシー設定

ターミナルサーバーのライセンスに関するコンピュータグループポリシー

ターミナルサーバーに影響を及ぼす TS ライセンスの問題に関する通知を非

表示にする

ターミナルサーバーライセンスモードの設定

指定のターミナルサーバーライセンスサーバーを使用する


ス¥ターミナルサーバー¥プリンタのリダイレクト

表 12 : ターミナルサーバーのプリンタのリダイレクトに関するコンピュータグループポリシー設定

ターミナルサーバーのプリンタのリダイレクトに関するコンピュータグループポリシー

クライアントプリンタのリダイレクトを許可しない

クライアントの通常使うプリンタをセッションで通常使うプリンタに設定し

ない

既定のクライアントプリンタだけをリダイレクトする

ターミナルサーバーのフォールバックプリンタドライバの動作を指定する

ターミナルサービス Easy Print プリンタドライバを初に使う


ス¥ターミナルサーバー¥プロファイル

表 13 : ターミナルサーバーのプロファイルに関するコンピュータグループポリシー設定

ターミナルサーバーのプロファイルに関するコンピュータグループポリシー

TS 移動プロファイルのパスを指定する

TS ユーザーのホームディレクトリを設定する

ターミナルサーバー上の固定プロファイルを使用する




ス¥ターミナルサーバー¥リモートセッション環境

表 14 : ターミナルサーバーのリモートセッション環境に関するコンピュータグループポリシー設定

ターミナルサーバーのリモートセッション環境に関するコンピュータグループポリシー

接続時に常にデスクトップを表示する

リモートデスクトップ壁紙を強制的に削除する

色の解像度を制限する

[シャットダウン] ダイアログから [切断] オプションを削除する

[スタート] メニューから Windows セキュリティ項目を削除する

接続時にプログラムを起動する


ス¥ターミナルサーバー¥セキュリティ

表 15 : ターミナルサーバーのセキュリティに関するコンピュータグループポリシー設定

ターミナルサーバーのセキュリティに関するコンピュータグループポリシー

クライアントが接続するたびにパスワードを要求する

ローカルの管理者によるアクセス許可のカスタマイズを許可しない

セキュリティで保護された RPC 通信を要求する

リモート (RDP) 接続に特定のセキュリティレイヤの使用を必要とする

リモート接続に RDP 6.0 を使用したユーザー認証を必要とする

サーバー認証証明書テンプレート

クライアント接続の暗号化レベルを設定する



コンピュータの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ターミナルサーバー¥セッションの時間制限

表 16 : ターミナルサーバーのセッションの制限時間に関するコンピュータグループポリシー設定

ターミナルサーバーのセッションの制限時間に関するコンピュータグループポリシー

アクティブでアイドル状態になっているターミナルサービスセッションの

制限時間を設定する

アクティブなターミナルサービスセッションの制限時間を設定する


制限時間に達したらセッションを中止する

コンピュータの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ターミナルサーバー¥一時フォルダ

表 17 : ターミナルサーバーの一時フォルダに関するコンピュータグループポリシー設定

ターミナルサーバーの一時フォルダに関するコンピュータグループポリシー

終了時に一時フォルダを削除しない

セッションごとの一時フォルダを使用しない

コンピュータの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ターミナルサーバー¥TS セッションブローカ

表 18 : ターミナルサーバーの TS セッションブローカに関するコンピュータグループポリシー設定

ターミナルサーバーの TS セッションブローカに関するコンピュータグループポリシー

TS セッションブローカに参加する

TS セッションブローカのファーム名を構成する

TS セッションブローカの負荷分散を使用する

TS セッションブローカサーバー名を構成する

IP アドレスリダイレクトを使用する



ターミナルサーバーのユーザー構成に関するグループポリシー

ユーザーの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ リモートデスクトップ接続のクライアント

表 19 : リモートデスクトップ接続のクライアントに関するユーザーグループポリシー設定

リモートデスクトップ接続のクライアントに関するユーザーグループポリシー

有効な発行元からの .rdp ファイルと、ユーザーの既定の .rdp 設定を許可する

不明な発行元からの .rdp ファイルを許可する

パスワードの保存を許可しない

信頼済みの .rdp 発行元を表す証明書の SHA1 拇印を指定する

ユーザーの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ ターミナルサーバー¥接続

表 20 : ターミナルサーバーの接続に関するユーザーグループポリシー設定

ターミナルサーバーの接続に関するユーザーグループポリシー

ターミナルサービスユーザーセッションのリモート制御のルールを設定する

オリジナルのクライアントからの再接続のみを許可する

ユーザーの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ ターミナルサーバー¥デバイスとリソースのリダイレクト

表 21 : ターミナルサーバーのデバイスとリソースのリダイレクトに関するユーザーグループポリシー

設定

ターミナルサーバーのデバイスとリソースのリダイレクトに関するユー

ザーグループポリシー

クリップボードのリダイレクトを許可しない

タイムゾーンリダイレクトを許可する



ユーザーの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ ターミナルサーバー¥プリンタのリダイレクト

表 22 : ターミナルサーバーのプリンタのリダイレクトに関するユーザーグループポリシー設定

ターミナルサーバーのプリンタのリダイレクトに関するユーザーグループポリシー

ターミナルサービス Easy Print プリンタドライバを初に使う

既定のクライアントプリンタだけをリダイレクトする

ユーザーの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ ターミナルサーバー¥リモートセッション環境

表 23 : ターミナルサーバーのリモートセッション環境に関するユーザーグループポリシー設定

ターミナルサーバーのリモートセッション環境に関するユーザーグループポリシー

接続時にプログラムを起動する

リモートデスクトップ壁紙を強制的に削除する

接続時に常にデスクトップを表示する

ユーザーの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ ターミナルサーバー¥セッションの時間制限

表 24 : ターミナルサーバーのセッションの時間制限に関するユーザーグループポリシー設定

ターミナルサーバーのセッションの時間制限に関するユーザーグループポリシー


アクティブでアイドル状態になっているターミナルサービスセッションの

制限時間を設定する


制限時間に達したらセッションを中止する



ユーザーの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ TS ゲートウェイ

表 25 : TS ゲートウェイに関するユーザーグループポリシー設定

TS ゲートウェイに関するユーザーグループポリシー

TS ゲートウェイサーバーの認証方法を設定する

TS ゲートウェイ経由で接続を有効にする

TS ゲートウェイサーバーアドレスを設定する

ターミナルサービスのユーザーアカウントのプロパティ各ユーザーアカウントのプロパティシートには、ユーザーごとに設定できる

ターミナルサーバー固有のオプションがあります。この機能はターミナルサー

ビス MMC 拡張により提供されます。ターミナルサービス MMC 拡張は、コン

ピュータの管理、サーバーマネージャ、ローカルユーザーとグループ MMC スナップイン (lusrmgr.msc)、または Active Directory ユーザーとコンピュータ MMC スナップイン (dsa.msc) でユーザーのプロパティシートが表示されたとき、

既定で読み込まれます。ターミナルサービス拡張により、次のターミナルサー

ビス固有のタブがユーザーアカウントのプロパティシートに追加されます。

■ [リモート制御]

■ [ターミナルサービスのプロファイル]

■ [環境]

■ [セッション]

Windows S

52 © 2007 Mi

図 11 : ター

ター

を構

■

■

■

Server 2008 の

icrosoft Corpo

ーミナルサー

ーミナルサ構成できます

[リモート制

□ リモー

□ セッシ

□ リモー

[ターミナル

□ 各ユー

定する

□ ユーザ

□ ユーザ

[環境]

□ ユーザ

□ ログオ

する。

□ クライ

の概要

oration. All rig

ービスのユー

サービスの

す。

制御]

ート制御を有

ションを監視

ート制御の適

ルサービス

ーザーのター

る。

ザーのホーム

ザーのター

ザーがログオ

オン時にク

イアントの既

ghts reserved.

ーザープロパ

拡張タブを

有効または

視および制

適切なレベ

スのプロフ

ーミナルサ

ムフォルダ

ミナルサー

オンしたと

ライアント

既定のメイ

パティ

を使用する

は無効にす

制御するに

ベル (表示ま

ファイル]

サービスユ

ダへのパス

ーバーログ

ときに実行す

トのドライ

インプリン

と、ユーザ

る。

は、ユーザ

または操作

ユーザープ

を設定する

グオンを有効

するプログ

ブとプリン

ンタを選択す

ザーごとに

ザーの許可

作) を指定す

プロファイ

る。

効または無

グラムを指

ンタを接続

する。

Microsoft Co

に次のオプシ

を必要とす

する。

イルへのパス

無効にする。

定する。

続するように

orporation

ション

する。

スを設

。

に指定



■ [セッション]

□ セッションの大時間を設定する。

□ セッションの大アイドル時間を設定する。

□ 切断されたセッションをアクティブのままにしておく大時間を設定する。

□ エラーが発生した接続を切断するか、またはリセットするかを設定する。

□ 切断されたセッションの再接続に関する設定を変更する。

次のいずれかを使用することでも、これらのターミナルサービス固有のプロパ

ティの多くを構成できます。

■ ターミナルサービスの構成コンソールスナップイン

■ ターミナルサービス固有のグループポリシー設定

ターミナルサービスの構成を使用すると、ターミナルサーバーで接続ごとに設

定を構成できます。ターミナルサービスの構成を使用して、次の設定を構成で

きます。

■ リモート制御

■ 環境

■ セッション

ターミナルサービスの構成コンソールを使用して構成した設定は、ローカルユーザーとグループまたは Active Directory ユーザーとコンピュータで構成した

ユーザーアカウントプロパティよりも優先されます。

グループポリシーを使用して構成したターミナルサービス設定は、ローカルユーザーとグループスナップインまたは Active Directory ユーザーとコンピュー

タスナップイン、およびターミナルサービスの構成コンソールを使用して構成

した設定よりも優先されます。



Active Directory サービスインターフェイス (ADSI) Active Directory サービスインターフェイスエディタ (ADSI Edit) は、Active Directory ドメインサービス (AD DS) のオブジェクトおよび属性を管理するため

に使用できる、ライトウェイトディレクトリアクセスプロトコル (LDAP) エディタです。Active Directory ライトウェイトディレクトリサービスサーバーの

役割、または Active Directory ライトウェイトディレクトリサービスツールの RSAT 機能がインストールされると、ADSI Edit MMC スナップイン (adsiedit.msc) がインストールされます。ADSI Edit は、Active Directory フォレスト内のすべて

のオブジェクトおよび属性のビューを提供します。ADSI Edit を使用すると、他

の AD DS MMC スナップイン (Active Directory ユーザーとコンピュータ、Active Directory サイトとサービス、Active Directory ドメインと信頼関係、および Active Directory スキーマ) では公開されない属性の照会、表示、および編集を行

うことができます。

参考

ADSI に関する一般情報は、次の場所から入手できます。


ターミナルサービスのユーザー構成に使用できる Active Directory サービスイン

ターフェイス (ADSI) 拡張は、TSUSEREX.DLL に実装されたライブラリです。

ターミナルサービス固有のユーザープロパティの管理は、この拡張が実装して

いるメソッドを使用して実行できます。ターミナルサービスユーザーは、これ

らのメソッドを使用することで、先に説明したターミナルサービス拡張イン

ターフェイスで使用できるプロパティを構成できます。

ターミナルサービスのユーザー構成のための ADSI 拡張は、ディレクトリサービ

スデータベースに保存されているターミナルサービスユーザープロパティの検

査および操作をサポートしています。また、この拡張は、ライトウェイトディ

レクトリアクセスプロトコル (LDAP) API を介して、Active Directory に保存され

ているユーザープロパティの構成もサポートします。

ADSI は、Active Directory への簡単で強力なオブジェクト指向のインターフェイス

を提供しています。これにより、管理者は、ターミナルサービス ADSI 拡張を使

用して、ターミナルサービスの構成要件に合わせたスクリプトを作成できます。



参考

ターミナルサービス用の ADSI 拡張の使用の詳細については、次の場所を参照してく

ださい。


ターミナルサービス WMI プロバイダ Windows Management Instrumentation (WMI) は、一連の共通のインターフェイ

スによるシステムリソースの監視と制御をサポートする、Windows の管理イン

フラストラクチャです。WMI は、Windows の操作、構成、および状態について、

論理的に編成された一貫性のあるモデルを提供します。WMI は、オブジェクト

の表現、アクセス、およびインストルメント化のための統一されたアーキテク

チャを定義します。このアーキテクチャの主要な要素は、特定のオブジェクトに

対してリモート管理タスクを実行するために使用される WMI クラスの大規模な

データベースです。プロバイダは、クラスの WMI スキーマを拡張することで、

新しい種類のオブジェクトに WMI を対応させることができます。

Windows Server 2008 のターミナルサービス WMI プロバイダの目的は、WMI インターフェイスを使用してターミナルサーバーを管理できるようにすることです。

ターミナルサービス WMI プロバイダを使用すると、管理者は、ターミナルサー

バーを構成、管理、および照会するためのカスタマイズされたスクリプトを作成

できます。ターミナルサービス WMI プロバイダには、従来のターミナルサービ

スの構成ツールやコマンドラインユーティリティと同じタスクを、リモートの

スクリプト化されたアプリケーションから実行できるプロパティおよびメソッド

が含まれています。管理者は、ターミナルサービス WMI プロバイダを使用する

ことで、ターミナルサーバーをリモートからスクリプトで管理できます。

ターミナルサービスの構成 WMI プロバイダは、tscfgwmi.mof および tscfgwmi.dll に実装されています。次の表に、ターミナルサービス WMI プロバイダに関連す

るクラスの一般的な説明をまとめます。



表 26 : ターミナルサービス WMI のリファレンス

WMI クラス説明

Win32_TerminalService Win32_TerminalService クラスは、Win32_Service クラスのサブクラスで、そのプロパティとメソッドを

すべて継承します。また、Win32_TerminalService は、Win32_TerminalServiceToSetting の関連付けの Element プロパティを表します。

Win32_TSSessionDirectory Win32_TSSessionDirectorySetting の構成を定義しま

す。これには、セッションブローカストア、クラ

スタ名パラメータ、追加パラメータなどのプロパ

ティが含まれます。

Win32_TerminalServiceSetting TerminalServerSetting の構成を定義します。これに

は、ターミナルサーバーモード、ライセンス、ア

クティブデスクトップ、アクセス許可機能、一時

フォルダの削除、セッションごとの一時フォルダな

どのプロパティが含まれます。

Win32_Terminal TerminalSetting と、そのいくつかの構成設定グルー

プ (一般、ログオン、セッション、環境、リモート

制御、クライアント、ネットワークアダプタ、ア

クセス許可など) を関連付けます。

Win32_TSGeneralSetting プロトコル、トランスポート、コメント、Windows 認証と暗号化レベルなどのプロパティの構成を定義

します。

Win32_TSLogonSetting ClientLogonInfoPolicy、UserName、Domain、Password などのプロパティの構成を定義します。

Win32_TSSessionSetting 接続の制限時間ポリシー、アクティブセッショ

ン、アイドルセッション、および切断されたセッ

ションのセッション制限などのプロパティの構成を

定義します。

Win32_TSEnvironmentSetting 初期プログラムのポリシー、初期プログラムのパ

ス、開始ディレクトリ、クライアントの壁紙などの

プロパティの構成を定義します。

Win32_TSRemoteControlSetting リモート制御ポリシー、制御レベルなどのプロパ

ティの構成を定義します。

Win32_TSClientSetting 接続ポリシー、Windows プリンタマッピング、

COM ポートマッピングなどのプロパティの構成を

定義します。



WMI クラス説明

Win32_TSNetworkAdapterSetting LAN アダプタ、接続の大数などのプロパティの構

成を定義します。

Win32_TSNetworkAdapterListSetting ターミナルプロトコルおよびトランスポートに基

づいて、Win32_Terminal 用に構成できるネットワー

クアダプタの一覧を列挙します。プロパティには、

TerminalProtocol、Transport、NetworkAdapterID、Description などがあります。

Win32_TSPermissionsSetting Win32_Terminal とその構成設定 (Win32_TSAccount) の間の関連付けを表します。定義済みのアクセス許

可セットにアカウントを追加するためのプロパティ

や、既定のアクセス許可を復元するためのプロパ

ティが含まれます。

Win32_TSAccount SID、許可または拒否されたアクセス許可などのプ

ロパティの構成を定義します。

参考

ターミナルサービスの WMI クラスを網羅したオンラインの一覧は、次の場所で参照

できます。




ターミナルサービスのショートカットキー次の表は、ターミナルサービスでよく使用されるキーボードショートカットキーの組み合わせです。

表 27 : ターミナルサービスのショートカットキー

ショートカットキー説明

Alt + PageUp 左のプログラムから右のプログラムに切り替

えます。

Alt + PageDown 右のプログラムから左のプログラムに切り替

えます。

Alt + Insert プログラムを起動した順番に従って切り替え

ます。

Alt + Home [スタート] メニューを表示します。

Ctrl + Alt + Break クライアントをウィンドウモードと全画面表

示モードとの間で切り替えます。

Ctrl + Alt + End [Windows のセキュリティ] ダイアログボック

スを起動します。

Alt + Delete Windows メニューを表示します。

Ctrl + Alt + マイナス記号 (‐) クライアント内のアクティブウィンドウのス

ナップショットをターミナルサーバーのク

リップボードに配置します (ローカルコン

ピュータで PrintScreen キーを押した場合と同

様の機能を提供します)。

Ctrl + Alt + プラス記号 (+) クライアントのウィンドウ領域全体のスナッ

プショットをターミナルサーバーのクリップ

ボードに配置します (ローカルコンピュータ

で Alt + PrintScreen キーを押した場合と同様

の機能を提供します)。



ターミナルサーバーの RemoteApp ここでは、Windows Server 2008 のターミナルサービスの新しい RemoteApp 機能について説明します。

学習内容

このレッスンを完了すると、次のことができるようになります。

■ ターミナルサービス RemoteApp の機能について説明する。

■ ターミナルサービス RemoteApp のアーキテクチャについて説明する。

■ ターミナルサービスプログラムを作成して展開する。

■ グループポリシーを使用してターミナルサービス RemoteApp を管理する。

■ ターミナルサービス RemoteApp の一般的な問題についてトラブルシュー

ティングを行う。



ターミナルサービス RemoteApp の紹介 Windows Server 2008 のターミナルサービスには、新しい RemoteApp 機能が導

入されています。RemoteApp とは、ターミナルサービスを介してリモートから

アクセスされるプログラムで、ユーザーのコンピュータでローカルに実行されて

いるかのように表示されます。RemoteApp プログラムは、リモートターミナルサーバーのデスクトップセッションでユーザーに表示されるのではなく、クラ

イアントのデスクトップにシームレスに組み込まれ、専用のサイズ変更可能な

ウィンドウで実行され、タスクバーにも個別のエントリが表示されます。ユー

ザーは、RemoteApp プログラムをローカルプログラムと並行して実行できます。

ユーザーが同じターミナルサーバー上で複数の RemoteApp プログラムを実行す

ると、それらの RemoteApp プログラムは同じターミナルサービスセッションを

共有します。

ターミナルサービスセッションまたはリモートデスクトップセッションで実行

される可能性のあるプログラムは、いずれもリモートアプリケーションとして

実行できる必要があります。リモートアプリケーション機能は、新しいリモー

トデスクトップ 6.0 クライアントをサポートしているすべてのプラットフォーム

で使用できます。

選択した展開方法に応じて、ユーザーはいくつかの方法で RemoteApp プログラ

ムにアクセスできます。アクセス方法を以下に示します。

■ Windows Server 2008 の新しいターミナルサービス Web アクセス機能を使

用して、Web サイトにあるプログラムへのリンクにアクセスする。

■ 管理者が作成および配布したリモートデスクトッププロトコル (.rdp) ファ

イルをダブルクリックする。

■ デスクトップまたは [スタート] メニューで、管理者が Microsoft Windows インストーラ (.msi) パッケージを使用して作成および配布したプログラムアイ

コンをダブルクリックする。

■ ファイル拡張子が RemoteApp プログラムに関連付けられているファイルを

ダブルクリックする。これは、管理者が .msi パッケージを使用して構成でき

ます。



.rdp ファイルと .msi パッケージには、Windows Serer 2008 ターミナルサーバー

に接続して RemoteApp プログラムを実行するために必要な設定が含まれます。

ローカルコンピュータで RemoteApp プログラムを開いた後は、実際にはターミ

ナルサーバーで実行されているそのプログラムを、ユーザーのコンピュータで

ローカルに実行されているかのように操作できます。

重要

RemoteApp プログラムにアクセスするには、クライアントコンピュータがリモートデスクトップ接続 (RDC) 6.x を実行している必要があります。RDC 6.x は、Windows Server

2008 および Windows Vista に含まれています。



RemoteApp をサポートするためのサーバーの構成このセクションでは、Windows Server 2008 ターミナルサービスで RemoteApp プログラムをサポートする方法について説明します。

RemoteApp プログラムをユーザーに公開する前に、サーバーが RemoteApp プロ

グラムをホストできるように構成する必要があります。次の手順は必須で、事前

に完了しておく必要があります。

■ ターミナルサーバーの役割サービスをインストールする。

■ プログラムをターミナルサーバーにインストールする。

■ リモート接続の設定を確認する。

TS Web Access Computers セキュリティグループへの追加 TS Web アクセスサーバーと、RemoteApp プログラムをホストするターミナルサーバーが別々のサーバーである場合は、ターミナルサーバーの TS Web Access Computers セキュリティグループに TS Web アクセスサーバーのコン

ピュータアカウントを追加する必要があります。

このセキュリティグループに TS Web アクセスサーバーのコンピュータアカウ

ントを追加するには、次の手順に従います。

1. ターミナルサーバーで、[スタート] ボタンをクリックし、[管理ツール] をポイントして、[コンピュータの管理] をクリックします。

2. 左側のウィンドウで、[ローカルユーザーとグループ] を展開し、[グループ] をクリックします。

3. 右側のウィンドウで、[TS Web Access Computers] をダブルクリックします。

4. [TS Web Access Computers のプロパティ] ダイアログボックスで、[追加] をクリックします。

5. [ユーザー、コンピュータ、またはグループの選択] ダイアログボックスで、

[オブジェクトの種類] をクリックします。

6. [オブジェクトの種類] ダイアログボックスで、[コンピュータ] チェックボックスをオンにし、[OK] をクリックします。



7. [選択するオブジェクト名を入力してください] ボックスで、TS Web アクセ

スサーバーのコンピュータアカウントを指定し、[OK] をクリックします。

8. [OK] をクリックして [TS Web Access Computers のプロパティ] ダイアログボックスを閉じます。

TS Web アクセスのデータソースの構成 TS Web アクセスを構成することで、特定のターミナルサーバーまたはターミナ

ルサーバーファームから Web パーツに表示される RemoteApp プログラムの一

覧を作成できます。

TS Web アクセスのデータソースの指定

既定では、TS Web アクセスの RemoteApp プログラムの一覧は 1 つのターミナルサーバーから取得され、ローカルホストに示されます。そのターミナルサー

バーの RemoteApp プログラムの一覧で TS Web アクセスが有効に設定されてい

るすべての RemoteApp プログラムが、Web パーツに追加されます。

この手順を実行するには、ローカル管理者アカウント、または TS Web アクセスサーバーの TS Web アクセス管理者グループのメンバとなっているアカウントを

使用して、TS Web アクセスサーバーにログオンします。

データソースとして使用するターミナルサーバーを指定するには、次の手順に

従います。

1. TS Web アクセス Web サイトに接続します。これを行うには、次のどちらか

の方法を使用します。

■ TS Web アクセスサーバーで、[スタート] ボタンをクリックし、[管理ツー

ル] をポイントします。次に、[ターミナルサービス] をポイントし、[TS Web アクセス管理] をクリックします。

■ Internet Explorer を使用して TS Web アクセス Web サイトに接続します。既

定では、Web サイトのアドレスは次のようになります。<servername> は、

TS Web アクセスサーバーの名前です。http://<servername>/ts

2. ローカル管理者アカウント、またはローカル TS Web アクセス管理者グルー

プのメンバであるアカウントを使用して、サイトにログオンします。これらのア

カウントのいずれかを使用して既にコンピュータにログオンしている場合、資格

情報を要求するメッセージは表示されません。

3. タイトルバーの [構成] タブをクリックします。



注

[TS Web アクセス管理] オプションを使用して TS Web Access Web サイトにアクセス

すると、自動的にページに [構成] タブが表示されます。

4. [エディタ領域] の [ターミナルサーバー名] ボックスに、データソースとし

て使用するターミナルサーバーの名前を入力します。

5. [適用] をクリックして変更を適用します。

RemoteApp の一覧へのプログラムの追加 RemoteApp プログラムをユーザーが使用できるようにするには、プログラムを RemoteApp の一覧に追加する必要があります。既定では、一覧に追加されたプ

ログラムは、TS Web アクセスを介して使用できるように構成されます。

注

これらの手順は、単一のターミナルサーバーを使用して RemoteApp プログラムをホ

ストする環境のための手順です。これらの手順を実行するには、管理者のメンバ、または

ターミナルサーバーの TS Web アクセス管理者グループのメンバである必要があります。

RemoteApp の一覧にプログラムを追加するには

1. TS RemoteApp マネージャ MMC スナップインを開きます。

2. 操作ウィンドウで、[RemoteApp プログラムの追加] をクリックします。

3. [RemoteApp ウィザードの開始] ページで、[次へ] をクリックします。

4. [RemoteApp プログラムの一覧に追加するプログラムの選択] ページで、

RemoteApp の一覧に追加する各プログラムの横にあるチェックボックスを

オンにします。

5. RemoteApp プログラムのプロパティを構成するには、プログラム名をク

リックし、[プロパティ] をクリックします。必要な変更を行い、[OK] をク

リックします。次の設定を構成できます。

a. ユーザーに表示されるプログラム名。名前を変更するには、

[RemoteApp 名] ボックスに新しい名前を入力します。

b. 実行可能なプログラムファイルのパス。パスを変更するには、[場所] ボックスに新しいパスを入力するか、[参照] をクリックして .exe ファ

イルを指定します。



6. [リモートプログラムのプロパティ] の構成が終了したら、[次へ] をクリッ

クします。

7. [設定の確認] ページで、設定を確認し、[完了] をクリックします。

選択したプログラムが RemoteApp の一覧に表示されます。

グローバルな展開の設定の構成 RemoteApp の一覧のすべてのプログラムに適用されるグローバルな展開の設定

を構成できます。これらの設定は、一覧の任意の RemoteApp プログラムから作

成される .rdp ファイルまたは .msi パッケージの既定の設定として使用されます。

.rdp ファイルまたは .msi パッケージの作成時に、TS RemoteApp マネージャ MMC スナップインを使用して行った変更は、グローバルな設定よりも優先されます。

これらのグローバルな展開の設定には、次のようなものが含まれます。

■ ターミナルサーバーの設定

■ ターミナルサービスゲートウェイの設定

■ デジタル署名の設定

■ カスタムのリモートデスクトッププロトコル (RDP) の設定

ターミナルサーバー設定の構成

RemoteApp プログラムにアクセスできるようにするために、ターミナルサー

バー (またはターミナルサーバーファーム) へのユーザーの接続方法を定義する

には、ターミナルサーバーの展開設定を構成します。

一般的なターミナルサーバー設定を構成するには、次の手順に従います。

1. TS RemoteApp マネージャ MMC スナップインで、操作ウィンドウの [ターミ

ナルサーバー設定] をクリックします。

2. [ターミナルサーバー] タブの [接続の設定] で、サーバー名またはファーム

名、RDP ポート番号、およびサーバー認証設定をそのまま使用するか変更

します。

Windows S

66 © 2007 Mi

図 12 : [Re

TSW

TS W単一

スク

1.

2.

3.

Server 2008 の

icrosoft Corpo

emoteApp の展

Web アクセ

Web アクセ

一のプログラ

クトップア

TS Remot

[このター

スで使用可

[一覧にな

a. [初期

b. [初期

両方

の概要

oration. All rig

展開設定] ‐ [

セスを介

セスはフルラムではな

クセスを構

eApp マネ

ーミナルサ可能にする

ないプログラ

期接続時に

期接続時に

方を起動す

ghts reserved.

ターミナルサ

したフル

デスクト

なくコンピュ

構成するに

ージャ MM

ーバーへの

る] チェック

ラムへのア

に一覧にな

にユーザー

することを許

サービス]

ルデスクト

ップも公開

ュータデス

は、次の手

MC スナップ

のリモート

クボックス

アクセス] で

いプログラ

ーが一覧に

許可する]

トップア

開できます。

スクトップ

手順を実行

プインを開

デスクト

スをオンにし

で、次のいず

ラムの起動

あるプログ

クセスの

。このオプ

プを公開でき

行します。

開きます。

ップ接続を

します。

ずれかを選

を許可しな

グラムとな

Microsoft Co

の公開

プションに

きます。フ

を TS Web ア

選択します。

ない (推奨)

ないプログラ

orporation

より、

フルデ

アクセ

。

]

ラムの



ターミナルサービスゲートウェイ設定の構成

1. TS RemoteApp マネージャ MMC スナップインで、操作ウィンドウの [ターミ

ナルサービスゲートウェイ設定] をクリックします。

2. [ターミナルサービスゲートウェイ] タブでは、ターミナルサービスゲート

ウェイの次の動作を構成できます。

a. [自動的に TS ゲートウェイサーバー設定を検出する] : クライアントは

グループポリシー設定を使用して、ターミナルサービスゲートウェ

イへのクライアント接続の動作を決定します。

b. [次の TS ゲートウェイサーバー設定を使用する] : 次の操作を行います。

1) ターミナルサービスゲートウェイサーバーの名前およびログイ

ン方法を構成します。

2) ターミナルサービスゲートウェイサーバーとターミナルサー

バーの両方に対して、同じユーザー資格情報を使用してアクセ

スを試みるように接続を構成するには、[TS ゲートウェイとター

ミナルサーバーに同じユーザー資格情報を使用する] チェックボックスをオンにします。ただし、グループポリシー設定など

のソースに競合する資格情報が存在し、それらの資格情報が機

能しない場合は、資格情報を要求するメッセージが 2 回表示さ

れることがあります。また、接続で既定の資格情報が使用され、

それらの資格情報が機能しない場合にも、資格情報を要求する

メッセージが 2 回表示される可能性があります。

3) ターミナルサービスゲートウェイが必要かどうかをクライアン

トコンピュータが自動検出するようにするには、[ローカルアド

レスには TS ゲートウェイサーバーを使用しない] チェックボッ

クスをオンにします。このオプションをオンにすると、クライ

アントのパフォーマンスが適化されます。クライアント接続

で常にターミナルサービスゲートウェイサーバーを使用するに

は、[ローカルアドレスには TS ゲートウェイサーバーを使用し

ない] チェックボックスをオフにします。

c. [TS ゲートウェイサーバーを使用しない]



図 13 : [RemoteApp の展開設定] ‐ [TS ゲートウェイ]

重要

サーバー名は、ターミナルサービスゲートウェイサーバーの SSL 資格情報で指定し

たものと一致させる必要があります。



デジタル署名設定の構成 (オプション)

証明書は、ターミナルサーバーへの RemoteApp 接続で使用する .rdp ファイルに

署名するために使用できます。

デジタル証明書を使用すると、接続ファイルの暗号化署名によって、発行者の身元に関する明確な情報が提供されます。これにより、クライアントでは、

RemoteApp プログラムまたはリモートデスクトップ接続のソースである組織を

確認でき、接続を開始するかどうかに関する決定を、信頼できる情報に基づいて

行うことができます。これは、悪意のあるユーザーによって改ざんされた .rdp ファイルが使用されるのを防ぐために役立ちます。

ターミナルサーバー接続またはターミナルサービスゲートウェイ接続で SSL 証明書を使用している場合は、同じ証明書を使用して .rdp ファイルに署名できま

す。ただし、パブリックコンピュータまたはホームコンピュータから RemoteApp プログラムに接続するユーザーは、次のいずれかの種類の証明書を

使用する必要があります。

■ Microsoft ルート証明書プログラムメンバプログラムに参加している公的証

明機関 (CA) (http://go.microsoft.com/fwlink/?LinkID=59547 (英語)) からの証

明書。

■ エンタープライズ CA を使用する場合は、エンタープライズ CA から発行さ

れ、Microsoft ルート証明書プログラムメンバプログラムに参加している公

的 CA によって連署された証明書。

デジタル証明書の構成

デジタル証明書を構成するには、次の手順に従います。

1. TS RemoteApp マネージャ MMC スナップインで、操作ウィンドウの [デジタ

ル署名の設定] をクリックします。

2. [デジタル証明書を使用して署名する] チェックボックスをオンにします。

3. [デジタル証明書の詳細] ボックスで、[変更] をクリックします。

4. [証明書の選択] ダイアログボックスで、使用する証明書を選択し、[OK] をクリックします。



図 14 : [RemoteApp の展開設定] ‐ [デジタル署名]



RemoteApp で使用するプログラムの展開 Windows Server 2008 RemoteApp プログラムは、次の方法のいずれかを使用して

展開できます。

■ 管理者が作成および配布した .rdp ファイルをダブルクリックする。

■ 管理者が .msi ファイルを使用して作成および配布した、デスクトップまたは [スタート] メニューにあるプログラムのアイコンをダブルクリックする。

■ リモートプログラムに関連付けられている拡張子を持つファイルをダブル

クリックする。これは、管理者が .msi ファイルを使用して構成できます。

■ ターミナルサービス Web アクセスを使用して、Web サイトにあるプログラ

ムへのリンクにアクセスする。

■ エンドユーザーのローカルコンピュータに .rdp ファイルを配布するには、

Microsoft Systems Management Server などの通常のソフトウェア配布プロセ

スを使用します。

■ エンドユーザーのローカルコンピュータに .msi ファイルを配布するには、

Microsoft Systems Management Server、Active Directory グループポリシーな

どの通常のソフトウェア配布プロセスを使用します。

リモートプログラムの実行リモートプログラムが割り当てられると、そのアイコンがクライアントデスク

トップ上またはクライアントの [スタート] メニュー内に作成されます。アプリ

ケーションが [スタート] メニューに公開される場合は、[リモートプログラム] という新しいフォルダが作成され、割り当てられたすべてのリモートプログラ

ムがそのフォルダ内に表示されます。

実行中のプログラムはそのプログラム名で識別します。リモートプログラムの

場合、プログラム名の末尾に "(リモート)" というテキストが追加されます。たと

えば、"無題 ‐ ペイント (リモート)" のようになります。



ターミナルサーバー Web アクセスこのレッスンでは、Windows Server 2008 のターミナルサーバー Web アクセス

およびターミナルサーバー Web リモート接続について説明します。

学習内容


■ 新しいターミナルサービス Web アクセス機能について説明する。

■ ターミナルサービス Web アクセスのアーキテクチャについて説明する。

■ ターミナルサービス Web アクセスを構成する。

■ グループポリシーを使用してターミナルサービス Web アクセスを管理する。

■ ターミナルサービス Web アクセスの一般的な問題についてトラブルシュー

ティングを行う。



ターミナルサービス Web アクセスターミナルサービス Web アクセスは、ユーザーが Web ブラウザからターミナルサービス RemoteApp プログラムを使用できるようにする、Windows Server 2008 のターミナルサービスの新機能です。ターミナルサーバー Web アクセスを使用す

ると、ユーザーは、インターネットまたはイントラネットから Web サイトを訪

問し、使用できるリモートプログラムの一覧にアクセスできます。ユーザーが

リモートプログラムを起動すると、RemoteApp プログラムをホストするターミ

ナルサーバーでターミナルサービスセッションが開始します。

図 15 : ターミナルサーバー Web アクセス

TS Web アクセスのインストールターミナルサーバー Web アクセスを使用するには、クライアントコンポーネン

トおよびサーバーコンポーネントをインストールする必要があります。

クライアントの小要件

■ Windows XP

■ Internet Explorer 6.x



■ リモートデスクトップクライアント 6.x

■ TS Web アクセスサーバーが、Internet Explorer の信頼されているサイトゾーンまたはローカルイントラネットゾーンに追加されていること

サーバーの要件 ■ Windows Server 2008

■ ターミナルサービス Web アクセスの機能

注

TS リモートプログラムにアクセスするためにユーザーが Web 経由で接続するサー

バーには、TS Web アクセスの役割サービスをインストールする必要があります。TS

Web アクセスをインストールすると、必要なコンポーネントとして Microsoft インター

ネットインフォメーションサービス (IIS) 7.0 もインストールされます。

クライアントが RDP 6.x の要件を適切に満たしていない場合は、次の画面が表示

されます。

図 16 : TS Web アクセス用の ActiveX コントロールが不適切であることを説明する画面



TS Web アクセスの役割サービスのインストール TS Web アクセスをインストールしたサーバーは、Web サーバーとして動作しま

す。TS Web アクセスをインストールしたら、1 つのターミナルサーバーをデー

タソースとしてリモートプログラムの一覧を取得するように TS Web アクセス

を構成できます。

参考

サーバーをターミナルサーバーにする必要はありません。

1. サーバーマネージャを起動します。これを行うには、[スタート] ボタンを

クリックし、[ファイル名を指定して実行] をクリックします。次に、

「servermanager.msc」と入力し、[OK] をクリックします。

2. 左側のウィンドウで、[役割の管理] を展開します。

3. [ターミナルサービス] を右クリックし、[役割サービスの追加] をクリック

します。

注

ターミナルサービスの役割が表示されない場合は、後で説明する、(ターミナルサービスがまだインストールされていない場合に) TS Web アクセスをインストール

する手順の指示に従います。

4. [役割サービスの選択] ページで、[TS Web アクセス] チェックボックスをオ

ンにし、[次へ] をクリックします。

5. 必要な役割サービスに関する情報を確認し、[はい] をクリックして続行し

ます。

6. [役割サービスの選択] ページで、[次へ] をクリックします。

7. [Web サービス (IIS)] ページを確認し、[次へ] をクリックします。

8. IIS にインストールする役割サービスの選択を求める画面が表示されたら、

[次へ] をクリックします。



9. [インストールオプションの確認] ページで、[インストール] をクリックし

ます。

10. [インストールの結果] ページで、インストールが成功したことを確認し、

[閉じる] をクリックします。

11. ターミナルサービスの役割サービスをインストールまたはアンインストー

ルした後は、サーバーを再起動する必要があります。



TS Web アクセスと Web パーツ ASP.NET Web パーツコントロールは、Web サイトを作成するためのコントロー

ルの統合セットです。これを使用すると、エンドユーザーが Web ブラウザを使

用して Web ページのコンテンツ、外観、および動作を直接変更できる Web サイ

トを作成できます。

TS Web アクセスには、TS リモートプログラムを Web 上に展開するために使用

される既定の Web ページが含まれます。この Web ページは、フレームとカスタ

マイズ可能な Web パーツで構成されます。Web パーツは、Microsoft Windows SharePoint Services サイトに組み込んだり、カスタマイズされた Web ページの

一部として組み込んだりすることもできます。

TS Web アクセスには、RemoteApp プログラムの一覧を表示するための、カスタ

マイズ可能な TS Web アクセス Web パーツが用意されています。Web パーツを

展開するには、次のいずれかの方法を使用します。

■ TS Web アクセス Web ページの一部として Web パーツを展開する。これは、

特別な設定を必要としない既定のソリューションです。

■ カスタマイズされた Web ページの一部として Web パーツを展開する。

■ Windows SharePoint Services サイトに Web パーツを追加する。



リモートアシスタンスリモートアシスタンスは、サーバー機能として Windows Server 2008 にインス

トールすることができます。リモートアシスタンスより、コンピュータユー

ザーは、ターミナルサービステクノロジを使用して、他のコンピュータに対す

るアシスタンスの要求または提供を行うことができます。リモートアシスタン

スのシナリオでは、アシスタンスを受けるユーザーは "依頼者" と呼ばれ、アシ

スタンスを提供するユーザーは "上級者" と呼ばれます。上級者ユーザーは、依

頼者ユーザーの同意があれば、依頼者ユーザーのデスクトップを表示および操作

して、リアルタイムでアシスタンスを提供することができます。

リモートアシスタンス (RA) を開始するには、次のいずれかの方法を使用します。

■ 要請されていないリモートアシスタンス : 上級者が依頼者へのアシスタンス

の提供を開始します。

■ 要請されたリモートアシスタンス : 依頼者がインスタントメッセンジャー、

電子メール、または招待ファイルを使用して、上級者へのアシスタンスの要

求を開始します。



Windows Server 2008 のリモートアシスタンス機能 Windows Server 2008 のリモートアシスタンスでは、パフォーマンスと機能に次

のような拡張が加えられています。

■ IPv6 を使用した透過的な NAT トラバーサルによる接続の改善。

■ 簡単に起動および使用できる、改良されたユーザーインターフェイス。

■ フットプリントの縮小、起動時間と接続時間の短縮、および画面の更新に使

用する帯域幅の適化による全体的なパフォーマンスの向上。

■ パスワードの強制、および UAC との統合によるセキュリティの強化。

■ IM を介して RA を提供する新しいシナリオ、およびピアツーピアアプリ

ケーションと統合するためのオープン API。

■ 管理性を改善するために追加されたグループポリシー設定。

以下は、Windows Server 2008 のリモートアシスタンスで使用できない機能です。

■ 要請されたリモートアシスタンスの MAILTO メソッドのサポート。

■ 音声セッションのサポート。



リモートアシスタンスの使用

操作のモード

RA の提供 (または要請されていない RA)

RA の提供 (または要請されていない RA) モードは、上級者によって開始されま

す。上級者は、依頼者のコンピュータの名前または IP アドレスを知っている必

要があります。また、依頼者のビューを共有する許可を依頼者から取得する必要

があります。上級者が依頼者のコンピュータの制御を共有する必要がある場合、

上級者は制御を要求する必要があります。この制御共有モードでは、上級者は

キーボードとマウスを使用して、依頼者のコンピュータに変更を加えることがで

きます。

上級者は、リモートコンピュータの管理者アカウントを持っているか、リモー

トコンピュータの RA の提供 ACL リストに登録されているか、またはリモートコンピュータが属するドメインの管理者権限を持っている必要があります。

AppInvite またはメッセンジャーによっても、RA を提供するための別の新しい開

始ポイントが有効になります。これにより、インターネット経由での RA の提供

が可能になります。



重要

リモートアシスタンスの提供を行う前に、次の手順を実行して、リモートアシスタ

ンスの提供先のコンピュータで、RAServer DCOM サーバーの DCOM アクセス許可を有効にす

る必要があります。

1. [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリックします。

次に、「dcomcnfg.exe」と入力し、[OK] をクリックします。

2. [コンポーネントサービス]、[コンピュータ]、[マイコンピュータ]、[DCOM の構

成]、[RAServer] の順に展開します。

3. [RAServer] を右クリックし、[プロパティ] をクリックして、[セキュリティ] タブをク

リックします。

4. [起動とアクティブ化のアクセス許可] の [編集] をクリックします。

5. [追加] をクリックし、「Domain Admins」と入力して、[OK] をクリックします。

6. Domain Admins について、4 つの [許可] チェックボックスをすべてオンにし、 [OK] をクリックします。

7. [アクセス許可] の [編集] をクリックします。

8. [追加] をクリックし、「Domain Admins」と入力して、[OK] をクリックします。

9. Domain Admins について、両方の [許可] チェックボックスをオンにし、[OK] をク


10. もう一度 [OK] をクリックし、コンポーネントサービススナップインを閉じます。

11. サーバーを再起動します。

エスカレートされたリモートアシスタンス (要請されたリモー

トアシスタンス)

このモードは、依頼者が上級者をリモートアシスタンスに招待することで開始

されます。上級者は、通常、家族、友人、IT ヘルプデスクなどの既知のユー

ザーです。

依頼者が RA を要請するには、各種の方法を使用できます。

■ メッセンジャー (Windows メッセンジャーまたは MSN メッセンジャー) を使用して招待を送信する依頼者は、メッセンジャーのメンバの一覧から上級者とするメンバを選択し、

リモートアシスタンスを要請できます。メンバ (上級者) にはインスタントメッセージが送信されます。このインスタントメッセージには、依頼者を

支援するための招待を承諾または拒否できるオプションが含まれています。

承諾されると、メッセンジャーは、上級者側および依頼者側で RA アプリ

ケーションを起動します。



■ 簡易 MAPI を介して電子メールで招待を送信する依頼者は、RA 招待を添付ファイルとして電子メールで上級者に送信できま

す。この方法を使用するには、依頼者の電子メールアプリケーションが簡

易 MAPI プロトコルをサポートしている必要があります。Microsoft Outlook、Outlook Express、Lotus Notes など、よく使用されるほとんどの電子メールクライアントは、簡易 MAPI プロトコルをサポートしています。RA アプリ

ケーションは、電子メールクライアントアプリケーションと連携して、 RA 招待を選択された上級者に送信します。

■ 手動で招待ファイルを保存して上級者に送信する依頼者が使用できるもう 1 つのオプションは、チケットをファイルとして作

成し (ファイルに保存し)、そのファイルを上級者に手動で送信する方法です。

このファイルは、たとえば電子メールで送信したり、上級者がアクセスでき

る場所にコピーしたりできます。招待ファイルは XML 形式のテキストファ

イルであり、RA 上級者のコンピュータがデコードして RA を開始できる情報

を含んでいます。

操作状態 RA には、3 つの主要な操作状態があります。

1. 接続待ち

2. 画面共有

3. 制御共有

1. 接続待ち状態

依頼者が招待 (電子メールまたはファイル転送) を送信した後、RA アプリケー

ションは実行され続けている必要があります。このとき、依頼者側の RA アプリ

ケーションは "接続待ち" の状態です。アプリケーションは、上級者がメールや電

子メールによる招待を承諾して、依頼者に接続するのを待ちます。依頼者がこの

状態のとき、接続を完了するには、上級者が接続要求を開始する必要があります。

メッセンジャーベースの招待の場合、招待の送信と、上級者によるその招待の

承諾との間に時間差はありません。両者の間で対話型のセッションが開始される

ため、接続待ち状態になることはありません。

RA セッションの実行中、上級者による変更のために依頼者のコンピュータを再

起動する必要が生じた場合は、依頼者のコンピュータを再起動すると、自動的に RA が "接続待ち" 状態で再開されます。



既定のチケット有効期限が経過してもアプリケーションがまだ上級者の接続を

待っている場合、アプリケーションは、チケットの有効期限が切れたことを知ら

せる警告を依頼者に表示し、依頼者が有効期限をリセットできるようにします。

依頼者の操作がないままでチケットの有効期限が切れると、アプリケーションは

処理を中断します (開いているリスニングポートを閉じます)。この場合、"接続

待ち" 状態を再開するには、依頼者の操作が必要となります。これはセキュリ

ティのための機能です。

2. 画面共有状態

画面共有は、上級者のコンピュータと依頼者のコンピュータの接続が確立された

後の状態です。この状態では、上級者は、依頼者の画面および操作 (キーボード

操作とマウス操作) を表示することはできますが、依頼者のコンピュータで実行

される操作を制御することはできません。

この状態に入る前、つまり上級者が接続して画面を共有できるようになる前に、

依頼者が同意を行う必要があります。依頼者には、上級者による接続と画面共有

に同意する前に、機密情報を表示しているウィンドウを閉じるように指示する警

告が表示されます。

上級者に画面の表示が許可される前、および上級者に依頼者の画面の共有制御が

許可される前に、カスタマイズ可能な警告メッセージが表示されます。

接続プロセスの実行中は、接続状態の更新によって、進行状況および接続プロセ

スの現在の段階が示されます。

上級者が画面共有状態で依頼者の画面を表示しているとき、依頼者の画面をク

リックしようとした場合は、制御共有モードではなく画面共有モードで動作して

いることが上級者にわかるようになっています。

上級者が依頼者の画面の上でマウスを動かすと、マウスカーソルの色が変わる

など、視覚的な合図が表示されます。

上級者と依頼者は、この状態でチャットセッションを開始できます。

また、上級者または依頼者がファイル転送を開始することもできます。ファイル

はどちらの方向にも転送できます。つまり、上級者のコンピュータから依頼者の

コンピュータにも、依頼者のコンピュータから上級者のコンピュータにも転送で

きます。

依頼者または上級者が、画面の右上端にある閉じるボタンをクリックすると、閉じるかどうかを確認するダイアログボックスが表示されます。



依頼者は、切断キーを押すことで、いつでも接続と画面共有状態を終了させるこ

とができます。切断キーを押すと、確認のダイアログボックスは表示されずに、

直ちにセッションが切断されます。

RA では、セッションの接続時間を示す実行タイマが表示されます。セッション

の終了時には、合計接続時間が表示されます。合計接続時間は、ログ情報や追跡

情報としても参照できるようになります。

3. 制御共有状態

接続が画面共有状態になったら、上級者は "制御共有" 要求を開始できます。こ

れにより、上級者は、依頼者の画面を表示できるだけでなく、依頼者のキーボー

ドとマウスの制御も共有できるようになります。

依頼者は、制御の共有を上級者に許可する前に、同意を示す必要があります。依

頼者には、不明ユーザーに制御共有特権を与えないように注意する警告が表示さ

れます。

このモードでは、依頼者と同じ特権レベルの、コンピュータの完全な制御権が上

級者に与えられます。

上級者と依頼者は、この状態でチャットセッションを実行できます。

依頼者または上級者が、画面の右上端にある閉じるボタンをクリックすると、閉じるかどうか確認するダイアログボックスが表示されます。

また、上級者がファイル転送を開始することもできます。ファイルはどちらの方

向にも転送できます。つまり、上級者のコンピュータから依頼者のコンピュータ

にも、依頼者のコンピュータから上級者のコンピュータにも転送できます。

依頼者は、パニックキーを押すことで、いつでも制御共有状態を終了させるこ

とができます。この場合、確認のダイアログボックスは表示されずに、直ちに

制御共有状態から画面共有状態にセッションが戻ります。パニックキーは、デ

フォルトでは Esc キーです。パニックキーは、任意のキーまたはキーの組み合

わせ (たとえば Ctrl + Esc) に構成できます。

依頼者は、パニックキーを押すことで、いつでも接続と制御共有セッションを

終了させることができます。この場合、確認のダイアログボックスは表示され

ずに、直ちにセッションが切断されます。

上級者は、制御共有モードで診断ツールを実行できます。



依頼者に表示されるすべての UI とドキュメントでは、"制御を得る" ではなく "制御を共有する" という表現が使用されています。依頼者から上級者にコン

ピュータの制御が渡されるのではなく、上級者と依頼者が制御を共有するので、

"制御を得る" は適切な表現ではありません。"制御を得る" という表現は、依頼

者が否定的に解釈する可能性があります (コンピュータの制御を完全に上級者に

渡す必要があると解釈される可能性があります)。その結果、依頼者が RA の使

用に消極的になる可能性もあります。

リモートアシスタンスのレジストリキーユーザーレジストリキーは、次の場所にあります。

HKCU¥Software¥Microsoft¥Remote Assistance¥

表 28 : リモートアシスタンスのユーザーレジストリキー

設定説明型 / 既定値スコープ注釈

OptimizeBandwidth

狭い帯域幅用に設定

を適化します。スライダバーで帯

域幅使用率を増減し

ます。

DWORD / 0 コン

ピュータ依頼者用の Windows Server 2008 の新し

いユーザー設定。

次の数値を設定しま

す。

0 = 適化なし

1 = 色の解像度を 8 ビットに切り替え

2 = ウィンドウ全体

のドラッグを無効化

3 = 壁紙を無効化

4 = テーマを無効化

SendCustomBackground カスタムの背景を送

信します。 BOOL / FALSE

ユーザー上級者用の新しい

ユーザー設定

CustomBackgroundPath カスタムの背景のパ

スを指定します。 STRING / "" ユーザー上級者用の新しい

ユーザー設定

Enable Panic Key パニックキーを押

すと、制御の共有が

終了します。

BOOL / TRUE ユーザー依頼者用の新しい

ユーザー設定



設定説明型 / 既定値スコープ注釈

Logging Enabled ログを有効にします。

BOOL / TRUE ユーザー上級者および依頼者

用の新しいシステム

設定。

GP により上書きさ

れます。

ログは以下のディレ

クトリに記録されま

す。

%userprofile%¥RemoteAssistance¥

コンピュータレジストリキーの場所は、前のバージョンの Windows から変更さ

れました。以下は、リモートアシスタンスのコンピュータレジストリキーの新

しい場所です。

HKLM¥SYSTEM¥ CurrentControlSet¥Control¥Remote Assistance

変更前の場所は次のとおりです。

HKLM¥SYSTEM¥CurrentControlSet¥Control¥Terminal Service

表 29 : リモートアシスタンスのコンピュータレジストリキー

設定説明型/既定値スコープ注釈

fAllowFullControl 上級者に依頼者のコ

ンピュータの制御を

許可します。

BOOL/TRUE コン

ピュータ XP で現在使用さ

れています。

GP の設定でもあ

ります。

fAllowToGetHelp 要請された招待の作

成を許可します。 BOOL/TRUE コン


れています。


ります。

MaxTicketExpiry チケットの大有効

期限を設定します。

DWORD/6 コン


れています。


ります。



設定説明型/既定値スコープ注釈

MaxTicketExpiry Units

チケットの大有効

期限の単位を設定し

ます。

DWORD/(Hours) コン


れています。


ります。

AllowUnsolicited Msgr

メッセンジャーを使

用した上級者による

リモートアシスタ

ンスの要請を、コン

ピュータが受け取る

ことができるように

します。

BOOL/TRUE コン

ピュータ新しいシステム

設定です。


ります。

リモートアシスタンスは Windows アプリケーションであり、すべてのコードは msra.exe バイナリに含まれています。

%systemroot%¥system32¥msra.exe

サポート用の実行可能ファイルとして、raserver.exe と sdchange.exe の 2 つがあり

ます。COM オブジェクトはアウトプロセスの COM サーバーで動作するように実装さ

れ、msra.exe によって作成されるオブジェクトに RA と同じアクセス許可が与えられ

ないようになっています。

RaServer.exe : すべての COM オブジェクトおよび DCOM オブジェクトを実装し

ます。

SdChange.exe : UAC のプロンプトをオンまたはオフにできる、小規模な COM オブジェクトを実装します。



トラブルシューティング

リモートアシスタンスのログリモートアシスタンスでは、RA 関連の操作のセッションログを生成できます。

セッションログは既定で有効になっており、各コンピュータにおける RA 関連の

操作を示す、タイムスタンプ付きのレコードで構成されます。セッションログ

には、セッションを開始したユーザー、共有制御の要求に同意したかどうかなど、

RA 機能に関連する操作の情報のみが保存されます。

セッションログには、セッション中にユーザーまたはヘルパーが実行した実際

のタスクに関する情報は保存されません。たとえば、RA セッション中に、ヘル

パーに共有制御特権が与えられ、ヘルパーが管理コマンドプロンプトを開始し、

ユーザーのコンピュータで TCP/IP 構成を再構成する手順を実行したとしても、

それらの操作のレコードはセッションログには保存されません。

ただし、セッションログには、RA セッション中に実行されたチャット操作は保

存されます。セッション中に生成されるログはチャットウィンドウ内にも表示

されるので、ユーザーおよびヘルパーはセッション中にログに記録される内容を

確認できます。またセッションログには、セッション中のファイル転送操作、

およびセッションが一時停止したときのレコードも保存されます。

セッションログのパスと名前付け規則

セッションログは XML 形式のドキュメントなので、簡単に他のデータセットに

組み込むことができます。たとえば、次のパス内にあるユーザーのドキュメントフォルダにインポートします。

%SystemDrive%¥Users¥user_name¥Documents¥Remote Assistance Logs

RA セッションごとに一意のセッションログファイルがコンピュータに作成され

ます。このフォルダ内に保存されるログファイルは XML を使用して書式設定さ

れ、YYYYMMDDHHMMSS.xml という形式の名前が付けられます (時間の書式は 24 時間です)。たとえば、1979 年 2 月 8 日、午後 3 時 45 分 20 秒にセッションログが作成された場合、名前は 19790208154520.xml になります。



ターミナルサーバーゲートウェイこのレッスンでは、Windows Server 2008 のターミナルサービスゲートウェイ

の新機能について説明します。

学習内容


■ ターミナルサーバーゲートウェイの機能について説明する。

■ ターミナルサーバーゲートウェイのアーキテクチャについて説明する。

■ ターミナルサーバーゲートウェイを構成する。

■ グループポリシーを使用してターミナルサーバーゲートウェイを管理する。

■ ターミナルサーバーゲートウェイの一般的な問題のトラブルシューティン

グを行う。



概要 Windows Server 2008 のターミナルサービスゲートウェイは、インターネット

に接続している任意のデバイスから、承認されたリモートユーザーを社内ネッ

トワークやプライベートネットワーク上のリソースに接続する役割サービスで

す。ネットワークリソースは、RemoteApp プログラムを実行しているターミナ

ルサーバーか、リモートデスクトップを有効にしているコンピュータのいずれ

かです。

ターミナルサービスゲートウェイは、HTTPS 経由でリモートデスクトッププロトコル (RDP) を使用することで、インターネット上のリモートユーザーと、

生産性アプリケーションを実行する内部ネットワークリソースとの間に、セ

キュリティで保護され、暗号化された接続を作成します。

このガイドでは、Windows Server 2008 のターミナルサービスゲートウェイの

機能について説明します。

このガイドの手順は、ターミナルサービスゲートウェイサーバーをセットアッ

プし、社内ネットワークやプライベートネットワークにおいて、ターミナルサーバーまたはリモートデスクトップが有効になっているコンピュータにリ

モートユーザーがアクセスできるようにするために役立ちます。

注

このガイドの手順を使用してターミナルサービスゲートウェイサーバーをセット

アップしたら、ターミナルサービスゲートウェイサーバーを使用するクライアントを

セットアップし、ターミナルサービスゲートウェイ経由でエンドツーエンド接続が正

常に確立されることを確認する必要があります。

ターミナルサービスゲートウェイの利点ターミナルサービスゲートウェイには次の利点があります。

■ ターミナルサービスゲートウェイを使用すると、リモートユーザーは、仮

想プライベートネットワーク (VPN) 接続を構成しなくても、暗号化された

接続を使用して、インターネット経由で内部ネットワークリソースに接続

できます。



■ ターミナルサービスゲートウェイは、特定の内部ネットワークリソースへ

のアクセス制御が可能な、包括的なセキュリティ構成モデルを提供します。

ターミナルサービスゲートウェイは、リモートユーザーにすべての内部

ネットワークリソースへのアクセスを許可するのではなく、ポイントツーポイントの RDP 接続を提供します。

■ ターミナルサービスゲートウェイを使用すると、リモートユーザーはプラ

イベートネットワークのファイアウォールやネットワークアドレス変換器 (NAT) 経由でホストされる内部ネットワークリソースに接続できます。この

シナリオの場合、ターミナルサービスゲートウェイを使用すると、ターミ

ナルサービスゲートウェイサーバーやクライアントに追加の構成を実行す

る必要がありません。

参考

Windows Server 2008 より前のリリースでは、セキュリティ対策により、リモート

ユーザーはファイアウォールと NAT を経由する内部ネットワークリソースに接続でき

ませんでした。これは、ネットワークセキュリティ上の目的のため、RDP 接続の使用

ポートであるポート 3389 がファイアウォールでブロックされるためです。ターミナルサービスゲートウェイは、代わりに HTTP Secure Sockets Layer/Transport Layer Security (SSL/TLS) トンネルを使用して、RDP トラフィックをポート 443 に転送します。ほとんど

の企業では、インターネット接続を有効にするためにポート 443 が開かれています。

ターミナルサービスゲートウェイは、このネットワーク設計を利用して、複数のファ

イアウォールを越えるリモートアクセス接続を可能にしています。

■ ターミナルサービスゲートウェイマネージャスナップインコンソールを使

用すると、承認ポリシーを構成して、リモートユーザーが内部ネットワー

クリソースに接続する場合に満たす必要がある条件を定義することができ

ます。

■ デバイスリダイレクトを許可するかどうか、または許可するデバイスダイ

レクトを制御することができます。

■ ターミナルサービスゲートウェイサーバーとターミナルサービスクライア

ントは、ネットワークアクセス保護 (NAP) を使用するように構成できます。

NAP は、正常性ポリシーを作成、強制、修復するテクノロジで、Microsoft Windows XP Service Pack 2、Windows Vista、および Windows Server 2008 に含まれています。NAP を使用すると、管理者は正常性要件 (ソフトウェア要

件、セキュリティ更新プログラム要件、必要なコンピュータ構成などの設

定) を強制できます。



■ ターミナルサービスゲートウェイサーバーを Microsoft Internet Security and Acceleration (ISA) Server と組み合わせてすると、セキュリティが強化さ

れます。このシナリオでは、境界ネットワーク (DMZ、非武装地帯、および

スクリーンサブネットとも呼ばれる) ではなくプライベートネットワークで

ターミナルサービスゲートウェイサーバーをホストし、境界ネットワーク

で ISA Server をホストできます。ターミナルサービスクライアントと ISA Server 間の SSL 接続は、インターネットに直接接続している ISA Server を終

端にできます。

■ ターミナルサービスゲートウェイマネージャには、ターミナルサービスゲートウェイの接続状態、正常性、およびイベントを監視するためのツール

が用意されています。ターミナルサービスゲートウェイマネージャを使用

すると、監査目的で監視するイベント (ターミナルサービスゲートウェイサーバーへの接続試行の失敗など) を指定できます。



構成このセクションでは、ターミナルサービスゲートウェイサービスのインストー

ルと構成の詳細について説明します。

ターミナルサービスゲートウェイサーバーを構成する

場合の前提条件ターミナルサービスゲートウェイが正常に機能するためには、次の前提条件を

満たす必要があります。

■ アップグレードではなく、Windows Server 2008 の新規インストールが実行

されていること。

■ ターミナルサービスゲートウェイサーバー用の SSL 証明書を取得している

こと。既定では、ターミナルサービスゲートウェイサーバーの RPC/HTTP 負荷分散サービスと IIS サービスは、クライアントとターミナルサービスゲートウェイサーバー間のインターネット経由での通信を暗号化するため

に Transport Layer Security (TLS) 1.0 を使用します。TLS が正常に機能するた

めには、ターミナルサービスゲートウェイサーバーに SSL 証明書をインス

トールする必要があります。

参考

ターミナルサービスゲートウェイの証明書の要件と、証明書を取得してインストー

ルする方法の詳細については、このモジュールで後で説明する「ターミナルサービスゲートウェイサーバーの証明書の取得」を参照してください。

注

別の方法を使用して、ターミナルサービスゲートウェイの要件を満たす信頼され

た証明書を外部から取得できる場合は、組織内に証明機関 (CA) インフラストラクチャ

を実装する必要はありません。

注

Active Directory ドメインサービスは、ターミナルサービスゲートウェイの承認ポ

リシーで、ターミナルサービスゲートウェイサーバーに接続するクライアントが Active Directory セキュリティグループのメンバであることが要求されている場合にの

み必要です。



役割、役割サービス、および機能の依存関係ターミナルサービスゲートウェイでは、いくつかの役割サービスと機能がイン

ストールおよび実行されている必要があります。ターミナルサービスゲート

ウェイの役割を選択したとき、次の追加の役割、役割サービス、および機能がイ

ンストールされていない場合は、サーバーマネージャによって自動的にインス

トールされます。

■ HTTP プロキシを経由したリモートプロシージャコール (RPC)

■ Web サーバー (IIS)

■ ネットワークポリシーとアクセスサービス

■ Windows プロセスアクティブ化サービス

注

HTTP プロキシを経由した RPC 機能を動作させるには、IIS 7.0 をインストールして実

行する必要があります。



ターミナルサービスゲートウェイサーバーの構成手順

ターミナルサービスゲートウェイサーバーを構成するには、次のタスクを完了

します。

1. ターミナルサービスゲートウェイの役割サービスをインストールします。

2. ターミナルサービスゲートウェイサーバーの証明書を取得します。

3. ターミナルサービスゲートウェイサーバーの証明書を構成します。

4. ターミナルサービスの接続承認ポリシー (TS CAP) を作成します。

5. ターミナルサービスのリソース承認ポリシー (TS RAP) を作成します。

6. ターミナルサービスゲートウェイ経由での大同時接続数を制限します (オプション)。

7. ターミナルサービスゲートウェイサーバーの接続状態と報告を監視します。

ターミナルサービスゲートウェイの役割サービスのイ

ンストールターミナルサービスゲートウェイの役割サービスをインストールするには、次

の手順を実行します。役割サービスをインストールするときに、必要に応じて既

存の証明書を選択するか、自己署名証明書を新規作成してから、TS CAP と TS RAP を作成します。

ターミナルサービスゲートウェイの役割サービスをインストールするには

1. サーバーマネージャを開きます。サーバーマネージャを開くには、[スター

ト] をクリックし、[管理ツール] をポイントして、[サーバーマネージャ] をクリックします。

2. サーバーマネージャの [役割の概要] で、[役割の追加] をクリックします。

3. 役割の追加ウィザードの [開始する前に] ページで、[次へ] をクリックします。

4. [サーバーの役割の選択] ページで、[役割] の [ターミナルサービス] チェッ

クボックスをオンにし、[次へ] をクリックします。

5. [ターミナルサービス] ページで、[次へ] をクリックします。



6. [役割サービスの選択] ページで、[役割サービス] ボックスの一覧の [ターミ

ナルサービスゲートウェイ] チェックボックスをオンにします。

7. ターミナルサービスゲートウェイに必要な追加の役割サービスをインス

トールするかどうかを指定するように要求された場合は、[必要な役割サー

ビスを追加] をクリックします。

8. [役割サービスの選択] ページで、[次へ] をクリックします。

9. [SSL 暗号化用のサーバー認証証明書を選択] ページで、SSL 暗号化用の既存

の証明書を選択するか (推奨)、SSL 暗号化用の自己署名証明書を作成するか、

SSL 暗号化用の証明書を後で選択するかを指定します。

10. [TS ゲートウェイの承認ポリシーの作成] ページで、TS CAP と TS RAP の作

成をターミナルサービスゲートウェイの役割サービスのインストール処理

中に行うか、後で行うかを指定します。[後で作成する] を選択した場合、

このポリシーを作成するには、「TS CAP の作成」の手順に従います。[今す

ぐ作成する] を選択した場合は、次の操作を行います。

a. [TS ゲートウェイ経由での接続を許可するユーザーグループの選択] ページで、[追加] をクリックして追加のユーザーグループを指定しま

す。[グループの選択] ダイアログボックスで、ユーザーグループの

場所と名前を指定し、必要に応じて [OK] をクリックして名前を確認

し、[グループの選択] ダイアログボックスを閉じます。

b. 複数のユーザーグループを指定するには、次のいずれかの操作を行

います。それぞれのユーザーグループ名をセミコロンで区切って入

力します。または、別のドメインからグループを追加するには、各グ

ループについてこの手順の初の部分を繰り返します。

c. 追加のユーザーグループを指定した後、[TS ゲートウェイの承認ポリ

シーの作成] ページで [次へ] をクリックします。

11. [TS ゲートウェイの TS CAP を作成] ページで、TS CAP の既定名 (TS_CAP_01) を受け入れるか新しい名前を指定し、サポートされる Windows 認証方法を 1 つ以上選択して、[次へ] をクリックします。



12. [TS ゲートウェイの TS RAP を作成] ページで、TS RAP の既定名 (TS_RAP_01) を受け入れるか新しい名前を指定してから、次のいずれかの操作を行います。

a. ユーザーが特定のコンピュータグループ内のコンピュータにのみ接

続できるようにするかどうかを指定し、そのコンピュータグループ

を指定します。

b. ユーザーがネットワーク上の任意のコンピュータに接続できることを

指定します。

13. 役割サービスのインストールプロセスの後で TS RAP を作成するには、 [次へ] をクリックし、「TS RAP の作成」の手順に従います。

14. [ネットワークポリシーとアクセスサービス] ページで、概要情報を確認し、

[次へ] をクリックします。このページは、該当する役割サービスがまだイ

ンストールされていない場合に表示されます。

15. [役割サービスの選択] で、ネットワークポリシーサーバーが選択されてい

ることを確認し、[次へ] をクリックします。

16. [Web サーバー (IIS)] ページで、概要情報を確認し、[次へ] をクリックしま

す。このページは、該当する役割サービスがまだインストールされていな

い場合に表示されます。

17. [役割サービスの選択] ページで、Web サーバー (IIS) の既定の選択内容を受

け入れ、[次へ] をクリックします。

18. [インストールオプションの確認] ページで、次の役割、役割サービス、および機能がインストールされることを確認します。

□ ターミナルサービスゲートウェイ

□ ネットワークポリシーとアクセスサービス

□ Web サーバー (IIS)

□ HTTP プロキシを経由した RPC

□ Windows プロセスアクティブ化サービス

19. [インストール] をクリックします。

20. [インストールの進行状況] ページにインストールの進行状況が示されます。



21. これらの役割、役割サービス、機能のいずれかが既にインストールされて

いる場合は、新たにインストールされる役割、役割サービス、または機能

のインストールの進行状況のみ示されます。

22. [インストールの結果] ページで、これらの役割、役割サービス、および機能

が正常にインストールされたことを確認し、[閉じる] をクリックします。

ターミナルサービスゲートウェイのインストールの確認

次の手順を使用して、ターミナルサービスゲートウェイの役割サービスと依存

する役割、役割サービス、および機能が適切にインストールされ、実行されてい

ることを確認します。

インストールが成功したかどうかを確認するには

1. [ターミナルサービスの概要] ページの [システムサービス] 領域で、ターミ

ナルサービスゲートウェイが実行中であること、およびスタートアップの

種類が [自動] に設定されていることを確認します。

2. サーバーマネージャを閉じます。

3. インターネットインフォメーションサービス (IIS) マネージャを開きます。

IIS マネージャを開くには、[スタート] をクリックし、[管理ツール] をポイ

ントして、[インターネットインフォメーションサービス (IIS) マネージャ] をクリックします。

4. コンソールツリーで、[<TS_Gateway_Server_Name>]、[サイト]、[既定の Web サイト] の順に展開し、[既定の Web サイト] をクリックします。

5. [既定の Web サイト] を右クリックし、[Web サイトの管理] をポイントして、

[詳細設定] をクリックします。

6. [詳細設定] ダイアログボックスで、[(全般)] の [自動開始] が [True] に設定

されていることを確認します。[True] に設定されていない場合は、ドロッ

プダウンの矢印をクリックして一覧を表示し、[True] をクリックします。

7. [OK] をクリックします。

8. IIS マネージャを閉じます。



ターミナルサービスゲートウェイサーバーの証明書の

取得このセクションは、証明書の信頼チェーン、証明書の署名、および一般的な証明

書の構成基準について理解していることを前提としています。

注

証明書の詳細については、Windows Server 2008 TechCenter (http://go.microsoft.com/fwlink/?LinkId=86041) (英語) を参照してください。

既定では、ターミナルサービスクライアントとターミナルサービスゲートウェ

イサーバー間のインターネット経由での通信を暗号化するために、TLS 1.0 が使

用されます。TLS が正常に機能するように、SSL 互換の X.509 証明書をターミナ

ルサービスゲートウェイサーバーにインストールしてください。

既に証明書が存在する場合は、その証明書が次の両方の条件を満たしていれば、

ターミナルサービスゲートウェイサーバーで使用することができます。

■ Microsoft ルート証明書プログラムメンバプログラムに参加している信頼さ

れた公的証明機関 (CA) から発行されていること。

■ このモジュールで後で説明するターミナルサービスゲートウェイサーバー

の証明書の要件を満たしていること。

注意

たとえば、自己署名証明書を作成し、ターミナルサービスゲートウェイサーバーに

インストールした後、その証明書をターミナルサービスクライアントコンピュータで

信頼するように管理者が手動で構成しなかった場合、その証明書は Microsoft ルート証

明書プログラムメンバプログラムによって信頼されません。この場合、クライアント

がターミナルサービスゲートウェイサーバー経由で接続しようとすると、信頼された

証明書を保有していないことを示す警告が表示され、接続は失敗します。このエラーが

発生しないようにするには、クライアントがターミナルサービスゲートウェイサー

バー経由で接続する前に、クライアントコンピュータのコンピュータ証明書ストアに証

明書をインストールします。



ターミナルサービスゲートウェイサーバーの証明書を取得、インストール、および構成するプロセスには、次の手順が含まれます。

1. 次のいずれかの手順を実行して、ターミナルサービスゲートウェイサー

バーの証明書を取得します。

□ エンタープライズ証明機関 (CA) が、ターミナルサービスゲートウェイ

の要件を満たす SSL 互換 X.509 証明書を発行するように構成されている

場合は、Certreq コマンドラインツールを使用して証明書の要求を生成

し、送信できます。証明書の要求ウィザードでは、ターミナルサービスゲートウェイの証明書の取得はサポートされません。

重要

エンタープライズ CA から発行された証明書には、Microsoft ルート証明書プログラム

メンバプログラムに参加している信頼された公的 CA による連署が必要です。連署がな

い場合、自宅のコンピュータや外出先などの非ドメインコンピュータから接続するユー

ザーは、ターミナルサービスゲートウェイサーバーに接続できないことがあります。

このような接続が失敗するのは、リモートクライアントコンピュータでエンタープラ

イズ CA が発行するルートが信頼されないためです。

□ Microsoft ルート証明書プログラムメンバプログラムに参加している信

頼された公的 CA から証明書を購入します。

□ 技術評価やテストを目的とする場合は、ターミナルサービスゲートウェ

イサーバーの自己署名証明書を作成し、インポートします。操作手順に

ついては、TS ゲートウェイマネージャのヘルプファイルの「Create a Self‐Signed certificate for TS Gateway Server」を参照してください。

重要

初の 2 つの方法のどちらかで証明書を取得する場合 (PKI または公開ベンダから証

明書を取得する場合)、その証明書をターミナルサービスゲートウェイサーバーにイン

ストールし、マップする必要があります。ただし、ターミナルサービスゲートウェイ

の役割サービスのインストール中に役割の追加ウィザードを使用して自己署名証明書を

作成する場合、またはインストール後にターミナルサービスゲートウェイマネージャ

を使用して自己署名証明書を作成する場合 (「ターミナルサービスゲートウェイの自己

署名証明書の作成」で説明)、ターミナルサービスゲートウェイサーバーへの証明書の

インストールとマップは必要ありません。この場合、証明書は自動的に作成され、ター

ミナルサービスゲートウェイサーバーの適切な場所にインストールされた後、ターミ

ナルサービスゲートウェイサーバーにマップされます。



ターミナルサービスゲートウェイの証明書の要件

ターミナルサービスゲートウェイの証明書は、次の要件を満たす必要があります。

■ サーバー証明書のサブジェクト行の名前 (共通名 (CN)) が、クライアントが

ターミナルサービスゲートウェイサーバーへの接続に使用する DNS 名と一

致していること。

■ 証明書がコンピュータ証明書であること。

■ 証明書の目的がサーバー認証であること。拡張キー使用法 (EKU) がサーバー

認証 (1.3.6.1.5.5.7.3.1) になっている必要があります。

■ 証明書に、対応する秘密キーが含まれていること。

■ 証明書が期限切れではないこと。推奨値は、インストールした日から 1 年です。

■ 証明書のオブジェクト識別子 (OID) 2.5.29.15 が要求されないこと。ただし、

使用予定の証明書にオブジェクト識別子 2.5.29.15 が含まれている場合は、

次のキー使用法値の少なくとも 1 つが設定されている場合に限って証明書を

使用できます。

CERT_KEY_ENCIPHERMENT_KEY_USAGE CERT_KEY_AGREEMENT_KEY_USAGE CERT_DATA_ENCIPHERMENT_KEY_USAGE

■ 証明書がクライアントで信頼されていること。つまり、ターミナルサービ

スゲートウェイサーバーの証明書に署名した CA のパブリック証明書が、ク

ライアントの信頼されたルート証明機関ストアに存在する必要があります。

注

これらの値の詳細については、「Advanced Certificate Enrollment and Management」(http://go.microsoft.com/fwlink/?LinkID=74577) (英語) を参照してください。

ターミナルサービスゲートウェイの自己署名証明書の作成

このセクションでは、技術評価やテストを行うために、ターミナルサービスゲートウェイマネージャを使用して自己署名証明書を作成する方法について説明

します (ターミナルサービスゲートウェイの役割サービスをインストールすると

きに、役割の追加ウィザードを使用して自己署名証明書を作成しなかった場合)。



注

ターミナルサービスゲートウェイの役割サービスのインストール中に役割の追加

ウィザードを使用して自己署名証明書を作成した場合、またはインストール後にターミ

ナルサービスゲートウェイマネージャを使用して自己署名証明書を作成した場合 (この

手順で説明)、ターミナルサービスゲートウェイサーバーへの証明書のインストールと

マップは必要ありません。この場合、証明書は自動的に作成され、ターミナルサービスゲートウェイサーバーの適切な場所にインストールされた後、ターミナルサービス

ゲートウェイサーバーにマップされます。

ターミナルサービスゲートウェイサーバーの自己署名証明書を作成するには

1. ターミナルサービスゲートウェイマネージャを開きます。ターミナルサー

ビスゲートウェイマネージャを開くには、[スタート] ボタンをクリックし、

[管理ツール] をポイントします。次に、[ターミナルサービス] をポイント

し、ターミナルサービスゲートウェイ] をクリックします。

2. コンソールツリーで、ターミナルサービスゲートウェイサーバーを表す

ノードをクリックして選択します (ターミナルサービスゲートウェイサー

バーには、それを実行しているコンピュータの名前が付きます)。

3. 結果ウィンドウの [構成の状態] で、[証明書のプロパティの表示または変更] をクリックします。

4. [SSL 証明書] タブで、[SSL 暗号化用の自己署名証明書を作成する] を選択し、

[証明書の作成] をクリックします。

5. [自己署名証明書の作成] ダイアログボックスで、その証明書を手動でクラ

イアントに配布できる場所に保存します。 [ルート証明書を格納する] チェックボックスをオンにし、証明書の保存場所を指定して、[OK] をク


6. [ルート証明書を格納する] チェックボックスをオンにし、証明書の場所を

指定した場合、ターミナルサービスゲートウェイの自己署名証明書の作成

が成功したこと、および証明書の保存場所を示すメッセージが表示されま

す。[OK] をクリックしてメッセージを閉じます。

7. もう一度 [OK] をクリックして、ターミナルサービスゲートウェイサー

バーの [プロパティ] ダイアログボックスを閉じます。



ターミナルサービスゲートウェイサーバーの証明書の

構成ターミナルサービスゲートウェイサーバーの証明書を構成するプロセスには、

次の手順が含まれます。

■ ターミナルサービスゲートウェイサーバーへの証明書のインストール

■ ターミナルサービスゲートウェイサーバーの証明書のマップ

ターミナルサービスゲートウェイサーバーへの証明書のイン

ストール

証明書の取得後、この手順を使用して、ターミナルサービスゲートウェイサー

バーの適切な場所に証明書をインストールします (証明書がまだインストールさ

れていない場合)。この手順の完了後、証明書をマップする必要があります。

ターミナルサービスゲートウェイサーバーに証明書をインストールするには

1. 証明書スナップインコンソールを開く

□ [スタート] ボタンをクリックし、[ファイル名を指定して実行] をクリッ

クします。次に、「mmc」と入力し、[OK] をクリックします。

□ [ファイル] メニューの [スナップインの追加と削除] をクリックします。

□ [スナップインの追加と削除] ダイアログボックスで、[利用できるス

ナップイン] ボックスの一覧の [証明書] をクリックし、[追加] をクリッ

クします。

□ [証明書スナップイン] ダイアログボックスで、[コンピュータアカウン

ト] をクリックし、[次へ] をクリックします。

□ [コンピュータの選択] ダイアログボックスで、[ローカルコンピュータ (このコンソールを実行しているコンピュータ)] をクリックし、[完了] をクリックします。

□ [スナップインの追加と削除] ダイアログボックスで、[OK] をクリックし

ます。

2. 証明書スナップインコンソールのコンソールツリーで、[証明書 (ローカルコンピュータ)] を展開し、[個人] をクリックします。



3. [個人] フォルダを右クリックし、[すべてのタスク] をポイントして、[イン

ポート] をクリックします。

4. [証明書のインポートウィザードの開始] ページで、[次へ] をクリックします。

5. [インポートする証明書ファイル] ページの [ファイル名] ボックスに、イン

ポートする証明書の名前を指定し、[次へ] をクリックします。

6. 証明書に秘密キーが関連付けられている場合は、[パスワード] ページでパ

スワードを入力します。

7. [証明書ストア] ページで、既定のオプションを受け入れ、[次へ] をクリック

します。

8. [証明書のインポートウィザードの完了] ページで、正しい証明書が選択さ

れていることを確認します。

9. [完了] をクリックします。

10. 証明書のインポートが正常に完了すると、インポートが成功したことを示

すメッセージが表示されます。[OK] をクリックします。

11. コンソールツリーの [証明書] を選択した状態で詳細ウィンドウを確認して、

ターミナルサービスゲートウェイサーバーの証明書の一覧に適切な証明書

が表示されていることを確かめます。証明書は、ローカルコンピュータの

個人ストアに存在する必要があります。

ターミナルサービスゲートウェイサーバーの証明書のマップ

ターミナルサービスゲートウェイサーバーの証明書をマップするには、ターミ

ナルサービスゲートウェイマネージャを使用する必要があります。それ以外の

方法で証明書をマップすると、ターミナルサービスゲートウェイは正しく機能

しません。

参考

ターミナルサービスゲートウェイの役割サービスのインストール中に役割の追加

ウィザードを使用して自己署名証明書を作成した場合、またはインストール後にター

ミナルサービスゲートウェイマネージャを使用して自己署名証明書を作成した場

合、この手順は不要です。どちらの場合も、証明書は自動的に作成され、ターミナルサービスゲートウェイサーバーの適切な場所にインストールされた後、ターミナルサービスゲートウェイサーバーにマップされます。



証明書をローカルターミナルサービスゲートウェイサーバーにマップするには

1. ターミナルサービスゲートウェイマネージャを開きます。ターミナルサー

ビスゲートウェイマネージャを開くには、[スタート] ボタンをクリックし、

[管理ツール] をポイントします。次に、[ターミナルサービス] をポイント

し、[ターミナルサービスゲートウェイ] をクリックします。

2. ターミナルサービスゲートウェイマネージャのコンソールツリーで、

[ローカルターミナルサービスゲートウェイサーバー] を右クリックし、

[プロパティ] をクリックします。

3. [SSL 証明書] タブで、[SSL 暗号化用の既存の証明書を選択する (推奨)] をク

リックし、[証明書の参照] をクリックします。

4. [証明書のインストール] ダイアログボックスで、使用する証明書を選択し、

[インストール] をクリックします。

5. [OK] をクリックして、ターミナルサービスゲートウェイサーバーの [プロ

パティ] ダイアログボックスを閉じます。

6. ターミナルサービスゲートウェイマネージャで [TS ゲートウェイサーバー

の状態] 領域を表示して、マップが成功したことを確認します。[構成の状

態] と [構成タスク] では、サーバー証明書がまだインストールまたは選択さ

れていないことを示す警告が表示されなくなり、[証明書のプロパティの表

示または変更] のハイパーリンクもなくなります。

ターミナルサービスゲートウェイサーバーの TS CAP の作成

このセクションでは、ターミナルサービスゲートウェイマネージャを使用して

カスタムの TS CAP を作成する方法について説明します。別の方法として、承認

ポリシーウィザードを使用することでも、ターミナルサービスゲートウェイの TS CAP と TS RAP を短時間で作成できます。

重要

複数の TS CAP を構成する場合、ターミナルサービスゲートウェイでは、次のよう

にポリシーが検索されることに留意してください。ポリシーは、ターミナルサービスゲートウェイマネージャの結果ウィンドウに表示される番号順に適用されます。ま

た、ターミナルサービスゲートウェイサーバーへのアクセスは、初に一致するポ

リシーによって許可されます。つまり、クライアントが一覧の 1 番目の TS CAP の要件

を満たさない場合、ターミナルサービスゲートウェイは、要件を満たす TS CAP が見

つかるまで、一覧の 2 番目以降のポリシーを順番に評価します。クライアントが一覧

内のどの TS CAP の要件も満たさない場合、ターミナルサービスゲートウェイはその

クライアントからのアクセスを拒否します。



ターミナルサービスゲートウェイサーバーの TS CAP を作成するには、次の手

順を実行します。

1. ターミナルサービスゲートウェイマネージャを開きます。


ノードを選択します (このノードには、ターミナルサービスゲートウェイサーバーを実行しているコンピュータの名前が付きます)。

3. コンソールツリーで、[ポリシー] を展開し、[接続承認ポリシー] をクリッ

クします。

4. [接続承認ポリシー] フォルダを右クリックし、[新規ポリシーの作成] をク

リックして、[カスタム] をクリックします。

5. [全般] タブで、ポリシー名を入力し、[このポリシーを有効にする] チェックボックスがオンになっていることを確認します。

6. [要件] タブの [サポートされている Windows 認証方法] で、次のチェックボックスの一方または両方をオンにします。

□ [パスワード]

□ [スマートカード]

7. 両方のオプションをオンにすると、どちらの認証方法を使用するクライア

ントでも接続が許可されます。

8. [ユーザーグループメンバシップ (必須)] で [グループの追加] をクリックし

て、この TS CAP の適用対象のユーザーグループを選択します。

9. [グループの選択] ダイアログボックスで、ユーザーグループの場所と名前

を指定し、[OK] をクリックします。複数のユーザーグループを指定するに

は、次のいずれかの手順を実行します。

□ それぞれのユーザーグループ名をセミコロンで区切って入力します。

□ 別のドメインからグループを追加するには、各グループについて手順 8. を繰り返します。

10. 必要に応じてクライアントコンピュータで満たす必要があるコンピュータドメインメンバシップ条件を指定するには、[要件] タブの [クライアントコンピュータグループメンバシップ (オプション)] で、[グループの追加] をクリックし、コンピュータグループを指定します。構成例では、コン

ピュータグループを指定していません。



11. コンピュータグループを指定するには、ユーザーグループの指定と同じ手

順を使用します。

12. [デバイスリダイレクト] タブで次のいずれかのオプションを選択して、リ

モートクライアントデバイスのリダイレクトを有効または無効にします。

□ ターミナルサービスゲートウェイサーバー経由で接続する場合に、す

べてのクライアントデバイスのリダイレクトを許可するには、[すべて

のクライアントデバイスについてデバイスリダイレクトを有効にする] をクリックします。

□ オーディオとスマートカードを除くすべてのクライアントデバイスの

デバイスリダイレクトを無効にするには、[スマートカードを除くすべ

てのクライアントデバイスのデバイスリダイレクトを無効にする] をク


13. すべてのクライアントデバイスのデバイスリダイレクトを無効にすると、

クライアントでは、クリップボード、記憶装置ドライブ、プリンタ、シリ

アルポート、またはプラグアンドプレイデバイスのリダイレクトが許可さ

れなくなります。オーディオとスマートカードのリダイレクトは、この動

作による影響を受けません。代わりに、オーディオとスマートカードのリ

ダイレクト動作は、クライアントの設定によって決定されます。

□ 特定のデバイスの種類に限定してデバイスリダイレクトを無効にするに

は、[次の種類のクライアントデバイスについてデバイスリダイレクト

を無効にする] をクリックし、デバイスリダイレクトを無効にするクラ

イアントデバイスの種類に対応するチェックボックスをオンにします。


15. 作成した TS CAP は、ターミナルサービスゲートウェイマネージャの結果

ウィンドウに表示されます。TS CAP 名をクリックすると、ポリシーの詳細

がウィンドウ下部に表示されます。



TS RAP の作成とユーザーがターミナルサービスゲート

ウェイサーバー経由で接続できるコンピュータの指定このセクションでは、ターミナルサービスゲートウェイマネージャを使用して、

カスタムの TS RAP を作成する方法と、ユーザーがターミナルサービスゲート

ウェイサーバーを経由して接続できるコンピュータを指定する方法について説

明します。別の方法として、承認ポリシーウィザードを使用することでも、こ

れらのタスクを完了できます。

重要

ユーザーがターミナルサーバーファームのメンバに接続している場合は、[コン

ピュータグループ] タブの [TS ゲートウェイで管理される既存のコンピュータグルー

プを選択するか、新しいグループを作成する] を選択する必要があります。[コン

ピュータグループ] には、コンピュータグループのメンバ名ではなく、ファーム名を

指定する必要があります。

TS RAP を作成し、ユーザーがターミナルサービスゲートウェイサーバー経由

で接続できるコンピュータを指定するには、次の手順を実行します。




3. コンソールツリーで、[ポリシー] を展開し、[リソース承認ポリシー] をク


4. [リソース承認ポリシー] フォルダを右クリックし、[新規ポリシーの作成] をクリックして、[カスタム] をクリックします。

5. [全般] タブで、[ポリシー名] ボックスに 64 文字以内の名前を入力します。

6. [説明] ボックスに新しい TS RAP の説明を入力します。

7. [ユーザーグループ] タブで、[追加] をクリックして、この TS RAP の適用先

となるユーザーグループを選択します。



8. [グループの選択] ダイアログボックスで、ユーザーグループの場所と名前

を指定し、[OK] をクリックします。複数のユーザーグループを指定するに

は、次のどちらかの操作を行います。

□ それぞれのユーザーグループ名をセミコロンで区切って入力します。

□ 別のドメインからグループを追加するには、各グループについて手順 7. を繰り返します。

9. [コンピュータグループ] タブで、ユーザーがターミナルサービスゲート

ウェイ経由で接続できるコンピュータグループを指定します。次のいずれ

かの操作を行います。

□ 既存のコンピュータグループを指定するには、[既存の Windows グルー

プを選択する] をクリックし、[参照] をクリックします。[グループの選

択] ダイアログボックスで、ユーザーグループの場所と名前を指定し、

[OK] をクリックします。

□ ターミナルサービスゲートウェイで管理されるコンピュータグループ

を指定するには、[TS ゲートウェイで管理される既存のコンピュータグループを選択するか、新しいグループを作成する] をクリックし、[参照] をクリックします。[TS ゲートウェイで管理されるコンピュータグルー

プの選択] ダイアログボックスで、次のいずれかの操作を行います。

10. 使用するコンピュータグループ名をクリックして、ターミナルサービスゲートウェイで管理されるコンピュータグループを選択し、[OK] をクリッ

クしてダイアログボックスを閉じます。

11. [新しいグループの作成] をクリックして、ターミナルサービスゲートウェ

イで管理されるコンピュータグループを新規作成します。

12. [全般] タブで、新しいグループの名前と説明を入力します。[ネットワークリソース] タブで、追加するコンピュータ、またはターミナルサービスファームの名前か IP アドレスを入力し、[追加] をクリックします。必要に

応じてこの手順を繰り返し実行して追加のコンピュータを指定し、[OK] をクリックして、[TS ゲートウェイで管理される新しいコンピュータグルー

プ] ダイアログボックスを閉じます。

13. [TS ゲートウェイで管理されるコンピュータグループの選択] ダイアログボックスで、新しいコンピュータグループ名をクリックし、[OK] をクリッ

クしてダイアログボックスを閉じます。



重要

ターミナルサービスゲートウェイで管理されるコンピュータの一覧に社内ネット

ワークコンピュータを追加するとき、リモートユーザーがコンピュータの名前と IP アドレス

のどちらを指定した場合にも接続できるようにするには、そのコンピュータをコンピュータグループに 2 回追加する必要があることに注意してください。つまり、コンピュータの名前

と IP アドレスの両方をコンピュータグループに追加します。コンピュータグループにコン

ピュータの IP アドレスだけを追加した場合は、ターミナルサービスゲートウェイ経由でその

コンピュータに接続するユーザーも、コンピュータの IP アドレスを指定する必要がありま

す。リモートユーザーが目的の社内ネットワークコンピュータに確実に接続できるようにす

るために、コンピュータの IP アドレスは使用しないことをお勧めします。

■ ネットワークリソースを指定するには、[ユーザーによる任意のネットワークリソースへの接続を許可する] をクリックし、[OK] をクリックします。

14. コンピュータグループの指定後、新しい TS RAP がターミナルサービスゲートウェイマネージャの結果ウィンドウに表示されます。TS RAP 名をク

リックすると、ポリシーの詳細がウィンドウの下部に表示されます。

ターミナルサービスゲートウェイの大同時接続数の

制限 (オプション) 既定では、クライアントがターミナルサービスゲートウェイサーバー経由で

ネットワークリソースに接続できる数の制限は設定されていません。ターミナ

ルサービスゲートウェイサーバーのパフォーマンスを適化したり、組織の接

続ポリシーやセキュリティポリシーに準拠させたりするために、クライアント

がターミナルサービスゲートウェイサーバー経由でネットワークリソースに同

時接続できる数を設定できます。

ターミナルサービスゲートウェイで許可される大接続数を制限するには、次

の手順を実行します。




3. コンソールツリーで、[監視] を展開します。

4. [監視] フォルダを選択した状態で [監視] フォルダを右クリックし、[接続の

制限の編集] をクリックします。



5. [全般] タブの [ 大接続数] で、次のいずれかの操作を行います。

□ ターミナルサービスゲートウェイクライアントがターミナルサービスゲートウェイ経由でネットワークリソースに同時接続できる大数の制

限を設定するには、[許可される大同時接続数を次の数に制限する] をクリックして、許可する接続数を指定します。

□ ターミナルサービスゲートウェイ経由でのクライアントとネットワー

クリソース間の接続数を無制限に設定するには、[サポートされている

大同時接続数を許可する] をクリックします。これが既定のオプショ

ンです。

□ ターミナルサービスゲートウェイ経由でのクライアントとネットワー

クリソース間の接続を新たに作成しないようにするには、[新しい接続

を無効にする] をクリックします。このオプションを選択した場合、新

しい接続試行のみが拒否され、現在の接続は切断されません。


機能の監視ターミナルサービスゲートウェイマネージャには、ターミナルサービスゲー

トウェイを経由する、ターミナルサービスクライアントから社内ネットワークリソースへのアクティブな接続の情報が表示されます。これには、次の情報が含

まれます。

■ クライアントにログオンしたユーザーのドメインとユーザー ID

■ クライアントの IP アドレス

注

ネットワーク構成にプロキシサーバーが含まれている場合、[クライアント IP アドレ

ス] 列 ([監視] の詳細ウィンドウ) に表示される IP アドレスは、ターミナルサービスクラ

イアントの IP アドレスではなく、プロキシサーバーの IP アドレスを示す可能性があり

ます。



■ クライアントが接続しているターゲットコンピュータ名

■ クライアント接続時に経由したターゲットポート

■ 接続の開始日時

■ 接続がアイドル状態になっている時間 (該当する場合)

■ 接続時間

■ クライアントがターミナルサービスゲートウェイサーバー経由で送受信し

たデータ量 (KB)

監視するイベントとして、特定のイベントの種類 (ターミナルサービスゲート

ウェイサーバー経由での社内ネットワークコンピュータへの接続試行の失敗、

成功など) を指定することもできます。

重要

このようなイベントが発生したら、Windows イベントビューアを使用して、対応す

るイベントを監視します。ターミナルサービスゲートウェイのイベントは、イベントビューアの "アプリケーションとサービスログ¥Microsoft¥Windows¥TerminalServices‐

Gateway¥" に保存されます。

ターミナルサービスゲートウェイのターミナルサービスクライアントの構成

注

新しいリモートデスクトップ接続 (RDC) ソフトウェアは、Windows Server 2003 Service Pack 1 以降、および Windows XP Service Pack 2 で使用できます。どちらのプラッ

トフォームでも、新しいターミナルサービス機能 (ターミナルサービスゲートウェイ

を含む) を使用するには、RDC 6.0 以降のインストーラパッケージをダウンロードしま

す。このパッケージをダウンロードするには、「リモートデスクトップ接続 (Terminal Services クライアント 6.0)」(http://go.microsoft.com/fwlink/?LinkID=79373) に移動しま

す。ターミナルサービスゲートウェイサーバーに接続するには、クライアントに RDC 6.0 以降がインストールされている必要があります。



グループポリシーによるターミナルサーバーゲー

トウェイの管理ターミナルサービスゲートウェイを経由するターミナルサービスクライアント

接続のグループポリシー設定は、2 つの方法のいずれかで設定されます。ポリ

シーは、推奨する (有効にしつつ、ユーザーによる構成も可能にする) か、また

は有効にして強制することができます。ポリシー設定を推奨している場合、クラ

イアントのユーザーは、別のターミナルサービスゲートウェイの接続設定を入

力することができます。ポリシー設定を強制している場合、ユーザーがクライア

ントの [次の TS ゲートウェイサーバー設定を使用する] をクリックしても、ター

ミナルサービスゲートウェイの接続設定は変更できません。

次のクライアント接続のグループポリシー設定は、ターミナルサービスゲート

ウェイサーバーで使用でき、次の場所に存在します。

ユーザーの構成¥管理用テンプレート¥Windows コンポーネント¥ターミナルサービス¥ TS ゲートウェイ

■ TS ゲートウェイの認証方法を設定する

■ TS ゲートウェイ経由で接続を有効にする

■ TS ゲートウェイサーバーアドレスを設定する

重要

このポリシー設定を無効にするか、構成しないで、ターミナルサービスゲートウェ

イ経由の接続を有効にするポリシー設定を有効にすると、クライアントがネットワーク

リソースに直接接続可能な場合を除き、ネットワークリソースへのクライアント接続の

試行は失敗します。



トラブルシューティング

名前解決の問題リモートユーザーがターミナルサービスゲートウェイサーバー経由で社内ネッ

トワーク上のコンピュータにアクセスしようとするときは、接続先のコンピュー

タの NetBIOS 名か完全修飾ドメイン名 (FQDN) を指定できます。ユーザーがター

ゲットコンピュータの FQDN 名を指定した場合は、関連付けられている TS RAP でターゲットコンピュータの NetBIOS 名が使用されていても、クライアント接

続は成功します。

ただし、関連付けられている TS RAP でターゲットコンピュータの FQDN 名が使

用されている場合に、ユーザーが NetBIOS 名を使用してターゲットコンピュー

タに接続しようとすると、名前解決に失敗し、そのターゲットコンピュータに

は接続できません。

名前解決の失敗を回避し、NetBIOS 名と FQDN 名のどちらでもサポートされるよ

うにするには、TS RAP の構成時に作成するコンピュータグループに、考えられ

るコンピュータ名をすべて含めます。たとえば、MySAPReportingServer および MySAPReportingServer.corp.ad というコンピュータ名は、どちらも同じコン

ピュータを表しますが、作成するコンピュータグループにはそれぞれを含める

必要があります。

ターミナルサービスゲートウェイのアクティブな接続

が TS ゲートウェイマネージャに正しく表示されないターミナルサービスゲートウェイマネージャを使用してターミナルサービスゲートウェイのアクティブな接続の詳細を表示するには、ターミナルサービスゲートウェイサーバーを表すノードを選択し、[監視] をクリックします。これ

により、結果ウィンドウの列に情報が表示されます。ただし、いくつかの列名は、

その列のデータを正しく表していないことに注意してください。次の表に、各列

の表示データと、その列の表示データが適切かどうか (列の見出しが、その列の

表示データの種類を適切に表しているかどうか) についてまとめています。



表 30 : 適切または不適切な表示

列名実際の表示データ表示データが適切か、不適切か

接続 ID 接続 ID 適切

ユーザー ID ユーザー ID 適切

ユーザー名ユーザー名適切

接続開始時間ターゲットコンピュータ不適切

接続時間ターゲットポート不適切

アイドル時間クライアント IP アドレス不適切

ターゲットコンピュータアイドル時間不適切

クライアント IP アドレス接続開始時間不適切

ターゲットポート接続時間不適切

[ユーザー ID] 列と [ユーザー名] 列には適切なデータが表示されるので、ユー

ザーのすべての接続の切断や、選択した接続の切断を正しく行うことができます。

ターミナルサービスゲートウェイの役割サービスと

ターミナルサーバーの役割サービスを同じコンピュー

タにインストールした場合、TS RAP をコンピュータグループに関連付けられない

サーバーマネージャを使用して、ターミナルサービスゲートウェイの役割サー

ビスとターミナルサーバーの役割サービスを同じコンピュータに同時にインス

トールした場合、役割サービスのインストール中に TS RAP を作成しても、その TS RAP は指定したコンピュータグループに関連付けられません。TS RAP の作成

時に [すべてのコンピュータへのアクセスを許可する] を選択しても、TS RAP のプロパティには反映されません。



たとえば、サーバーマネージャで役割サービスをインストールする場合、ポリ

シーの作成時に TS RAP を指定し、[すべてのコンピュータへのアクセスを許可す

る] を選択したとします。このインストールが完了すると、[インストールの結

果] ページにはインストールが正常に完了したことが示されます。しかし、TS ゲートウェイマネージャを開いて TS RAP の [プロパティ] ダイアログボックス

を確認しても、指定したグループは [コンピュータグループ] セクションに表示

されません。

この問題を回避するには、サービスマネージャでターミナルサービスゲート

ウェイの役割サービスをインストールするときに、他の役割サービスを同時にイ

ンストールしないようにします。他の役割サービスのインストールを計画してい

る場合は、別々にインストールします。

ターミナルサービスゲートウェイの役割サービスを他の役割サービスと共にイ

ンストールしたためにこの問題が発生した場合は、TS RAP のコンピュータグループを手動で構成して問題を解決してください。

TS ゲートウェイマネージャで HTTPS‐HTTP ブリッジを有

効または無効にしても、AllowAnonymous レジストリキーが作成または更新されない

ターミナルサービスゲートウェイのシナリオで ISA Server を使用する場合、

HTTPS‐HTTP ブリッジを有効にするには、ターミナルサービスゲートウェイサーバーを適切に構成する必要があります。ターミナルサービスゲートウェイサーバーで、[プロパティ] ダイアログボックスの [SSL ブリッジ] タブにある [HTTPS‐HTTP ブリッジの使用] チェックボックスをオンにすると、HTTPS‐HTTP ブリッジが有効になるように設計されています。このチェックボックスをオフ

にすると、HTTPS‐HTTPS ブリッジは無効になります。仕様では、このチェックボックスをオンまたはオフにすると、AllowAnonymous レジストリキー値が作

成または更新されることになっています。

ただし、ターミナルサービスゲートウェイの Beta 3 では、[HTTPS‐HTTP ブリッ

ジの使用] チェックボックスをオンまたはオフにしても、AllowAnonymous レジストリキー値は作成または更新されません。



この問題を解決するには、このレジストリキー値を手動で作成または更新します。

1. ターミナルサービスゲートウェイサーバーで、レジストリエディタを開き

ます。

2. 次のいずれかの操作を行います。

a. HTTPS‐HTTP ブリッジを初めて有効にする場合は、TS ゲートウェイマネージャで [HTTPS‐HTTP ブリッジ] チェックボックスがオンに

なっていることを確認した後で、AllowAnonymous レジストリキーを

作成する必要があります。

そのためには、レジストリエディタで次のキーを右クリックします。

HKEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥RPC¥RpcProxy

[新規] をクリックし、[DWORD (32 ビット) 値] をクリックします。新

しい値の名前として「AllowAnonymous」と入力します。新しいレジ

ストリ値を選択した状態で、[編集] メニューの [修正] をクリックしま

す。[DWORD (32 ビット) 値の編集] ダイアログボックスで、[値の

データ] に「1」と入力し、[OK] をクリックします。

b. HTTPS‐HTTP ブリッジを無効にする場合は、TS ゲートウェイマネー

ジャで [HTTPS‐HTTP ブリッジ] チェックボックスがオフになってい

ることを確認した後で、AllowAnonymous レジストリキー値を更新し

ます。

そのためには、レジストリエディタで次のキーを右クリックします。

KEY_LOCAL_MACHINE¥SOFTWARE¥Microsoft¥RPC¥RpcProxy¥AllowAnonymous

次に、[修正] をクリックします。[DWORD (32 ビット) 値の編集] ダイ

アログボックスで、[値のデータ] に「0」と入力し、[OK] をクリック

します。

3. 次の操作を実行して、IIS の既定のアプリケーションプールを手動でリサイ

クルします。

a. インターネットインフォメーションサービス (IIS) マネージャを

開きます。インターネットインフォメーションサービス (IIS) マネージャを開くには、[管理ツール] をクリックし、[インター

ネットインフォメーションサービス (IIS) マネージャ] をクリッ

クします。



b. 接続ウィンドウで、このサーバーのノードを展開し、[アプリ

ケーションプール] をクリックします。

c. [アプリケーションプール] ウィンドウで、DefaultAppPool をク


d. 操作ウィンドウの [アプリケーションプールタスク] で、[リサ

イクル] をクリックします。

他のサーバーの役割がインストールされているとターミ

ナルサービスゲートウェイの役割サービスが動作しない既に他の役割がインストールされているコンピュータにターミナルサービスゲートウェイの役割サービスをインストールすると、ターミナルサービスゲー

トウェイが正しく機能しないことがあります。この場合、クライアントがターミ

ナルサービスゲートウェイを経由して内部ネットワークリソースに接続しよう

とすると、クライアントに次のエラーメッセージが表示されます。

ターミナルサービスのゲートウェイサーバーが一時的に使用不能なため、

このコンピュータからリモートコンピュータに接続できません。後で再接

続を試行するか、サポートが必要な場合はネットワーク管理者に問い合わせ

てください。

この問題を解決するには、ターミナルサービスゲートウェイの役割サービスを

再起動します。

ログに記録するターミナルサービスゲートウェイイベ

ントを指定する TS ゲートウェイマネージャを使用すると、監視するイベントの種類 (ターミナ

ルサービスゲートウェイサーバー経由での社内ネットワークコンピュータへの

接続試行の失敗、成功など) を指定できます。

このようなイベントが発生したら、Windows イベントビューアを使用して、対

応するイベントを監視します。ターミナルサービスゲートウェイサーバーのイ

ベントは、イベントビューアの次の場所に保存されます。

アプリケーションとサービスログ¥Microsoft¥Windows¥TerminalServices‐Gateway



ログに記録するターミナルサービスゲートウェイのイベントを指定するには



ノードを選択します。

3. コンソールツリーのターミナルサービスゲートウェイサーバー名が強調表

示されている状態で、サーバー名を右クリックし、[プロパティ] をクリッ

クします。

4. [監査] タブで適切なチェックボックスをオンまたはオフにして、監視する

ターミナルサービスゲートウェイのイベントを指定します。

次の表は、監視できるターミナルサービスゲートウェイのイベントの種類と説

明の一覧です。

表 31 : ターミナルサービスゲートウェイのイベントの種類

イベント名説明イベント ID

ユーザーがリソースから正常に

切断このイベントと、関連する "リソースへのユーザー接続が

成功" イベントのタイムスタ

ンプを監視すると、ユーザーセッション時間、およびター

ミナルサービスゲートウェ

イサーバーを経由してクラ

イアントが送受信したデータ

量 (KB) を確認できます。

303: クライアントがリソース

から切断した場合

202: 管理者がクライアントを

切断した場合




リソースへのユーザー接続が失敗クライアントは、ターミナルサービスの接続承認ポリシー (TS CAP) とターミナルサービ

スのリソース承認ポリシー (TS RAP) に指定された条件を

満たしていますが、リモートコンピュータが利用できな

かったため、ターミナルサービスゲートウェイサー

バーを経由してこのリモートコンピュータに接続できませ

んでした。

このイベントを監査すると、

クライアントがターミナルサービスゲートウェイサー

バー経由でリモートコン

ピュータに接続できない場合

に、ターミナルサービスゲートウェイサーバーの問題

ではなく、ターミナルサービ

スとリモートデスクトップの

問題によって発生する接続上

の問題を判断できます。

304

接続承認が失敗クライアントは TS CAP に指

定された条件を満たしていな

いため、ターミナルサービ

スゲートウェイサーバーに

接続できませんでした。

201




リソース承認が失敗指定したリソースへのユー

ザーアクセスを許可するよ

うに構成された TS RAP が存

在しないため、クライアント

はターミナルサービスゲー

トウェイサーバーを経由し

て、そのリソースに接続でき

ませんでした。

たとえば、前に説明したよう

に、ターミナルサービスゲートウェイサーバーに構成

された TS RAP でリモートコンピュータの FQDN 名が使用

されている場合に、ユーザー

が NetBIOS 名を使用してリ

モートコンピュータに接続し

ようとすると、この問題が発

生する可能性があります。

301

リソースへのユーザー接続が成功ユーザーは、ターミナルサービスゲートウェイサー

バー経由でのリモートコン

ピュータへの接続に成功しま

した。

302

接続承認が成功クライアントは TS CAP に指

定された条件を満たしている

ため、ターミナルサービスゲートウェイサーバーへの

接続に成功しました。

200

リソース承認が成功クライアントは TS RAP に指

定された条件を満たしている

ため、ターミナルサービスゲートウェイサーバーを経

由して、指定したリソースへ

の接続に成功しました。

300



参考資料次の参照先には、ターミナルサービスゲートウェイの追加情報が記載されてい

ます。

ターミナルサービスセッション Broker (TS セッション Broker)

http://www.microsoft.com/japan/technet/windowsserver/2008/library/902a6081‐9ecd‐45ec‐96ee‐f51097d71c8c.mspx?mfr=true

ターミナルサービスを使ったセッションディレクトリおよび負荷分散

http://www.microsoft.com/japan/windowsserver2003/techinfo/overview/sessiondirectory.mspx

Windows Server 2003 How Terminal Services Work

http://technet2.microsoft.com/WindowsServer/en/library/2cb5c8c9‐cadc‐44a9‐bf39‐856127f4c8271033.mspx (英語)Windows Server "Server 2008" TechCenter の「Terminal Services」のページ (http://go.microsoft.com/fwlink/?LinkID=48555) (英語)

windows se rver 2008 の概 要 - dellw タ 発行 micro indow ーミ : 2007 年 11 soft corporat s...

Documents

windows se rver 2008 の概要 - dellw タ発行 micro indow ーミ : 2007 年 11 soft corporat s...