何でも屋
アプリケーションとデータをどこからでも使用できるようにする方法
Greg Shields
あらゆるまやかしを取り去ると、すべての IT プロフェッショナルの仕事は実はかなり無味単調なものです。IT プロフェッショナルのミッションは「ビジネス アプリケーションおよびデータへの安全なアクセスを確立、管理、および確保すること」です。修正プログラムの適用、トラブルシューティング、ヘルプ デスク サポートなど、それ以外のすべての作業は、この核となる使命を支える作業に過ぎません。大企業の IT プロフェッショナルであれ、中小企業の何でも屋であれ、ビジネス アプリケーションの可用性を確保し、データを安全に保つことが IT プロフェッショナルの生業です。
マイクロソフトのリモート デスクトップ サービス (RDS) が、上記の使命を果たす優れたソリューションであるのはこのためです。RDS を使用すると、ネットワークに接続できる場所であればどこでも、実に簡単にアプリケーションへの安全なアクセスを実現できます。
RDS の前身であるターミナル サービスは、LAN を中心としたアプリケーション アクセスのソリューションとして長年使用されてきましたが、Windows Server 2008 になってようやくインターネットを基盤とするアクセスの可能性が見えてきました。現在の RDS で特に魅力的な点は、簡単に実装できることです。わずかな手間で、使用経験がほとんどなくても、アプリケーションとデータをインターネット上のどこからでも使用できるようにすることが可能です。2 台のサーバーと SSL 証明書を用意して、マウスを 2 ~ 3 回クリックするだけで、運用を開始できます。
要件
マイクロソフトの以前のソリューションであるターミナル サーバーは、Windows Server 2008 R2 のリリース時に "リモート デスクトップ サービス" という名称に変更されました。この新しい名称は、RDS のホスト "仮想デスクトップ" ソリューションとしての新たな役割と、ホスト "アプリケーション" ソリューションとしての従来の役割を反映したものになっています。1 つの RDS を使用して、ユーザーを一連のアプリケーションまたは仮想デスクトップ全体に接続できるようになりました。ホスト仮想デスクトップ構成については今後のコラムで説明しますが、今月のコラムでは、いかに簡単にユーザーをホスト アプリケーションに接続できるかを紹介します。
運用を開始するには、2 台のサーバーが必要です。1 台目のサーバーには、高性能なプロセッサと大容量のメモリ リソース (具体的な量は皆さんの判断にお任せします) を搭載する必要があります。この高性能なサーバーは、リモート デスクトップ セッション ホスト (RDSH) サーバーになります。このサーバーには、ユーザーに公開するアプリケーションをインストールします。そのため、このサーバーには、公開したアプリケーションを実行する複数の同時ユーザーをサポートできるだけのリソースを用意しておく必要があります。
このコラムの簡単な例では、Microsoft Outlook 2007 をインターネット上で提供しますす。Outlook 2007 で添付ファイルを開くには、多くの場合、Microsoft Office を利用する必要があるため、Office スイート全体をインストールします。ただし、スイート全体をインストールしても、ユーザーに直接公開されるのは Outlook のみです。
2 台目のサーバーは、大幅に性能を落としてもかまいません。このサーバーは、リモート デスクトップ ゲートウェイ (RDG) サーバーとなり、インターネット ベースの社外からの接続と社内の RDSH サーバー間のプロキシのような役割をします。この 2 台目のサーバーは、ゲートウェイの機能しか果たさないため、リソース構成は格段に抑えることができます。
RDG サーバーの準備中に、インターネットと RDG サーバー間のファイアウォールのポートを 1 つ開く必要があることに注意してください。TCP ポート 443 を開くことで、外部クライアントが RDG サーバーに接続できるようになります。RDG サーバーでは、セキュリティで保護された RDSH トラフィック (通常 TCP ポート 3389) をクライアントに渡す保護ゲートウェイとして機能します (図 1 参照)。
.png)
図 1 インターネット クライアントとリモート デスクトップ セッション ホスト間の保護ゲートウェイとして機能する RDG サーバー
3 番目に必要なものは、サブジェクト名にゲートウェイ サーバーが設定されている SSL 証明書です。このサブジェクト名には、インターネットからアクセスできるゲートウェイ サーバーの完全修飾ドメイン名が指定されている必要があります。このような証明書は、マイクロソフトが提供している組み込みの証明書サービスを使用して無料で作成することもできますが、年間 30 ドルほどで信頼できる提供元からパブリック証明書を購入することで、展開の手間を大幅に削減できます。このコラムの例で使用する証明書は、server1.contoso.com という名前のサーバーと関連付けられています。
リモート デスクトップ セッション ホストをインストールする
アプリケーションをインターネットから利用できるようにする最初の手順は、アプリケーションとまったく関係がありません。RDS による Windows サーバーの運用環境の変更方法を考慮して、アプリケーションをインストールする前に RDSH をインストールすることをお勧めします。そのため、まず Windows Server 2008 R2 を server2 に新規インストールし、リモート デスクトップ サービスの役割とリモート デスクトップ セッション ホスト役割サービスを追加します。
ご使用の環境に RDS を初めてインストールする場合は、リモート デスクトップ ライセンス サービスもインストールする必要がありますが、このコラムでは、このコンポーネントの詳細な構成方法については説明しません。詳細については、https://technet.microsoft.com/library/dd983943(WS.10).aspx を参照してください。
RDSH のインストール時には、次の 4 つの重要な項目を構成する必要があります。
- 認証方法: ネットワーク レベル認証 (NLA) を使用すると RDSH サーバーに対するユーザー認証のセキュリティが強化されますが、リモート デスクトップ クライアント 6.0 以降がインストールされている Windows XP SP3、Windows Vista、および Windows 7 クライアントでしかサポートされません。使用するクライアントが要件を満たしている場合は、NLA の設定を有効にすることをお勧めします。
- ライセンス モード: 2 種類のライセンス方法が可能ですが、どちらになるかは、RDS を実装するために購入した RDS クライアント アクセス ライセンス (CAL) の種類によって異なります。CAL (接続デバイス数) は、個々のデバイスがライセンス対象となりますが、デバイスを使用するユーザー数に制限はありません。CAL (接続ユーザー数) は、ユーザーがライセンス対象となりますが、使用するデバイス数に制限はありません。まだ CAL を購入していない評価環境の場合、この情報は後で構成することもできます。ただし、ライセンス情報は 120 日以内に構成する必要があり、この期間を過ぎると、RDS は接続を受け付けなくなります。
- ユーザー グループ: インターネット経由で、この RDSH サーバーに接続できるユーザーまたはグループを構成します。
- クライアント エクスペリエンス: この構成では、オーディオやビデオの再生、オーディオ録音リダイレクト、Windows Aero ユーザー インターフェイス要素など、RDSH サーバーの特殊なクライアント機能を有効または無効に設定できます。これらの各機能を使用すると、セッション中にクライアントとサーバー間で渡される必要があるデータ量が増加するため、これらの機能は、実装で必要な場合にのみ有効にします。
上記の構成が完了したら、server2 に RDSH をインストールします。インストールが完了したら、次は Microsoft Office スイートをインストールします。RDSH サーバーにアプリケーションをインストールするには、通常のインストールでは必要がない追加の手順が必要になることに注意してください。Office などのアプリケーションをインストールするには、まず、リモート デスクトップ サーバーへのアプリケーションのインストールというコントロール パネル項目を参照します。そこで、Office のセットアップ ファイルへのパスを入力し、このコントロール パネル アプリケーションからインストールを実行できるようにします。
RDSH サーバーにインストールするすべてのソフトウェアは、このメカニズムを利用してインストールする必要があります。また、アプリケーションの中には、RDSH サーバーにインストールする場合に特別な構成を必要とするものがあることにも注意してください。マイクロソフトでは、このような特殊なインストールが必要かどうかを確認するのに役立つ RDS Application Analyzer ツール (https://connect.microsoft.com/tsappcomp) を無償で提供しています。
リモート デスクトップ ゲートウェイをインストールする
リモート デスクトップ セッション ホストのインストールが完了したら、リモート デスクトップ ゲートウェイ経由でインターネット ベースのクライアントから RDSH を使用できるようにします。このプロセスの最初の手順は、購入した SSL 証明書を server1 にインストールすることです。この証明書を入手するプロセスは発行元によって異なりますが、RDG で使用できるようにするには、(現在のユーザーの個人用ストアではなく) ローカル コンピューターの個人用ストアに証明書をインストールする必要があります。
.png)
図 2 証明書を RDG で使用できるようにするための構成
証明書を適切にインストールできたら、次はリモート デスクトップ サービスの役割を server1 にインストールしますが、今度はリモート デスクトップ ゲートウェイ役割サービスをインストールします。図 2 に示すように、この構成は RDSH をインストールする場合よりも複雑に見えますが、この場合も、設定が必要な構成は 4 項目しかありません。
- サーバー認証証明書: SSL 証明書がローカル コンピューターの個人用ストアに正しくインストールされている場合、証明書は 図 2 のようにボックス内に表示されます。
- RD ゲートウェイのユーザー グループ: ここで指定されているグループには、この RDG サーバー経由で社内ネットワークにあるリソースへの接続が許可されます。
- RD CAP: RD ゲートウェイ サーバーに対するユーザー認証に、リモート デスクトップの接続承認ポリシー (RD CAP) が使用するメカニズムを指定します。認証はパスワード入力、スマート カードの使用、またはその両方で実行できます。このコラムの簡単な例では、ユーザー認証にパスワードのみを使用します。
- RD RAP: リモート デスクトップのリソース承認ポリシー (RD RAP) では、RDG 経由で接続するユーザーがアクセスできる社内リソースを指定します。ここでは、アクセスを許可するコンピューター グループ (またはネットワーク上のすべてのコンピューター) を指定できます。このコラムの例では、コンピューター グループに RDSH サーバー (server2) へのアクセスのみを許可します。
ウィザードの残りの手順を進めると、インストールが完了し、RDG が使用できるように準備されます。この時点で、RDG では RDSH サーバーを接続先とする接続の受け入れを開始します。
Outlook RemoteApp を構成する
多くの何でも屋の管理者にとって、混乱が始まるのはここからです。このプロセスの次の手順は、RDSH サーバーで実行します。RDSH サーバーでは、Microsoft Outlook を使用するための RemoteApp 構成を作成します。この構成では、外部クライアントがインターネット経由で RDG サーバーに接続するために必要な情報を指定します。
サーバー マネージャーの RemoteApp マネージャーにアクセスします。RemoteApp マネージャーのリンクを右クリックして、[RemoteApp プログラムの追加] をクリックします。ウィザードが表示されるので、インストールされているアプリケーションの一覧で Microsoft Office Outlook 2007 の隣にあるチェック ボックスをオンにし、[次へ] をクリックして [完了] をクリックします。この操作により、Outlook RemoteApp への接続が作成されます。
.png)
図 3 RDSH サーバーの RDG 設定の構成
次は、インターネットに直接接続しているクライアントが接続に使用する RDG サーバーを指定します。[RD ゲートウェイ設定] の隣にある [変更] ボタンをクリックすると、図 3 のようなダイアログ ボックスが表示されます。このダイアログ ボックスでは、RDG サーバーのサーバー名とログイン方法を指定できます。ここでは、チェック ボックスが 1 つオンになっていることに注意してください。この 1 つ目のチェック ボックスは、一種のシングル サインオンを有効にし、ユーザーは資格情報を 1 回入力するだけで RDG と RDSH の両方にアクセスできます。2 つ目のチェック ボックスは、LAN に接続しているユーザーが RDG 経由の接続を強制されることなく、RDSH に接続できるようにします。LAN ベースのユーザーには RDG による追加の保護は必要ないため、このチェック ボックスをオンにすることで、LAN ベースのユーザーは RDSH に直接接続できるようになります。両方のチェック ボックスをオンにして、[OK] をクリックしてこの構成を完了します。
この簡単な例での最後の手順では、ユーザーがダブルクリックすると自動的に Outlook に接続できる接続ファイルを作成します。それには、Outlook RemoteApp をクリックし、[.rdp ファイルの作成] をクリックし、表示されたウィザードの手順に従って、何度か [次へ] をクリックして、最後に [完了] をクリックします。.rdp ファイルが C:\Program Files\Packaged Programs フォルダーに作成されるので、このファイルをユーザーに配布できます。ユーザーは、このファイルをダブルクリックして資格情報を入力するだけで、インターネット経由で Outlook に接続できます。
別のメッセージと証明書
上記の手順を完了し、ホストされている Outlook アプリケーションへの初回接続時に、Outlook .rdp ファイルをダブルクリックすると、図 4 のようなメッセージが表示されます。このメッセージは技術的な問題によるものではありませんが、エラー メッセージが表示されることで、ユーザーが混乱することがよくあります。このメッセージは、.rdp ファイルを実行する際にファイルを認証するために、リモート デスクトップ クライアントが追加で行う確認です。前と同様に、この認証は証明書を使用して .rdp ファイルに署名することで行われます。これには、RDG のインストール時に使用した証明書と同じものを使用できます。
.png)
図 4 リモート デスクトップ クライアントから表示される最後のメッセージ (各 RDSH サーバーに追加のパブリック SSL 証明書をインストールする必要があります)
このエラー メッセージが表示されないようにするには、RDG の証明書を RDSH サーバーのローカル コンピューターの個人用ストアにインストールし、再びサーバー マネージャーの RemoteApp マネージャーにアクセスします。RemoteApp マネージャーで、[デジタル署名の設定] の隣にある [変更] ボタンをクリックします。表示されたウィンドウで、[デジタル証明書を使用して署名する] チェック ボックスをオンにし、[変更] ボタンをクリックします。証明書がローカル コンピューターの個人用ストアに正しくインストールされている場合、証明書が表示されるので選択できます。最後に、Outlook 用の .rdp ファイルを作成し直します。
この手順を完了すると、メッセージが警告から確認に変わり、"この RemoteApp プログラムの発行元を信頼しますか" という質問になります。信頼する場合、ユーザーは [接続] ボタンをクリックして続行し、チェック ボックスをオンにして、このメッセージが再度表示されないようにすることができます。
これで完了です。社内ネットワークでホストされている Outlook へのインターネット アクセスを可能にする手順は、この程度の語数で説明できました。確かに、RDS には環境を構成し、セキュリティを強化するための多数のオプションが追加されています。しかし、このコラムで紹介した簡単な例は、どこからでも安全にアプリケーションにアクセスできるようにするための足掛かりとして、小さな規模の環境で作業に取り掛かる際に参考になると思います。
Greg Shields (MVP) は、Concentrated Technology の共同経営者です。何でも屋である IT プロフェッショナル向けのヒントとテクニックについては、ConcentratedTech.com (英語) を参照してください。
関連コンテンツ
System Center Essentials を使用して、マイクロソフト以外の修正プログラムをインストールする方法 (英語)