第10回 ターミナル・サービスによるクライアントの仮想化(後編)Windows Server 2008の基礎知識(4/4 ページ)

» 2008年04月10日 00時00分 公開
[安納順一(IT Pro エバンジェリスト)マイクロソフト株式会社]
前のページへ 1|2|3|4       

■TS Webアクセスの動作確認と注意点
  以上でRemoteAppに公開するアプリケーションの設定が完了した。ここで、ブラウザを使用し、TS Webアクセス経由でTS01にアクセスしてみよう。

 Windows Server 2008またはWindows Vista SP1上でInternet Explorerを起動し、以下のURLにアクセスしてみていただきたい。

http://ts01/ts/

 認証のためのダイアログ・ボックスが表示されたら、ドメインに登録されているユーザー・アカウントを指定する。ここで指定するアカウントは管理者である必要はない。ターミナル・サービスのインストール時に、アクセス可能なユーザー・グループとして「Domain Users」を指定したことを思い出していただきたい。Domain Usersに所属しているユーザーであれば誰でもアクセスできる。なお、ユーザーIDは「<ドメイン名>\<ユーザー名>」の形式で指定する必要がある(例:EXAMPLE\User01)。

 正しいユーザー・アカウントを指定してもhttp://ts01/へのアクセスがブロックされる場合には、このサイトを「信頼済みサイト」に追加しておこう。

 また、Windows Vista にSP1が適用されていない場合、RemoteAppのアプリケーションを実行しようとするとActiveXオブジェクトでエラーが発生する。TS Webアクセス経由でRemoteAppを使用するにはリモート・デスクトップ接続クライアント(RDC) Ver. 6.1 が必要なのに対して、SP1が適用されていないWindows VistaのRDCはVer. 6.0であり、バージョンが足りないためである。

クライアントのデスクトップからRemoteAppを利用できるように構成する

  RemoteApp機能を使用してターミナル・サーバ上のアプリケーションを起動するには、ここまでに構築したTS Webアクセスを経由する方法のほか、カスタマイズした専用のRDPファイルをクライアント・コンピュータのデスクトップに配布してユーザーに実行させる方法も用意されている。後者の方法を使用することで、利用者はアプリケーションが自身のクライアントにインストールされているかのように利用できる。

■RDPファイルの作成手順
  RemoteAppを直接起動するためのRDPファイルを作成するには、まずサーバ・マネージャの[役割]−[ターミナル サービス]−[TS RemoteAppマネージャ]を起動する。次に、「RemoteApp プログラム」の一覧からRDPファイルを作成したいアプリケーションを右クリックして[rdpファイルの作成]を実行すると、RemoteAppのアプリケーション追加時と同様にRemoteAppウィザードが起動する。

 このRemoteAppウィザードでは、以下の情報を指定できる。

  • ターミナル・サーバのサーバ名(今回は「TS01」)
  • サーバ認証を要求するかどうか(デフォルトでは「はい」)
  • 使用するRDP(Remote Desktop Protocol)のポート番号(デフォルトは3389番)
  • TSゲートウェイを介する場合には、TSゲートウェイとなるサーバ名
  • 証明書ファイル

 作成したRDPファイルは、デフォルトではターミナル・サーバ上の%SystemDrive%\Program Files\Packaged Programsに保存される。保存されたRDPファイルは、そのままクライアントのデスクトップなどにコピーすればよく、利用者は RDPファイルをダブルクリックするだけでRemoteAppに公開されたアプリケーションを起動できる。

■RDPファイルの配布手順
  さて、ここで問題がある。それは、RDPファイルの配布方法だ。クライアント台数が多い場合には、1台1台のクライアントに手動でRDPファイルを保存して回ることは難しい。そうした不便を解消するため、RDPファイルをグループ・ポリシーで配布する手順が用意されている。グループ・ポリシーでRDPファイルを配布するには、まずRDPファイルを「Windowsインストーラ・パッケージ」化する必要がある。以下に手順を示す。

1. 「RemoteAppウィザード」を起動する
  サーバ・マネージャの[役割]−[ターミナル サービス]−[TS RemoteApp マネージャ]の「RemoteApp プログラム」に表示されているアプリケーション一覧から、配布したいパッケージを右クリックして[Windows インストーラ パッケージの作成]を選択する。

2. RemoteApp ウィザードの開始
  RemoteApp ウィザードが起動するので[次へ]ボタンをクリックする

3. 「パッケージ設定の指定」ウィンドウ
  [ターミナル サーバー設定]に表示されている内容を確認し、「サーバー」「サーバー認証の要求」「ポート」に間違いがないことを確認する。変更する場合には[変更]ボタンをクリックして修正し、完了したら[次へ]ボタンをクリックする。また、パッケージの保存場所は、このサーバ上の「Windows インストーラ パッケージ」の保存先となる(クライアント上ではない)。

「パッケージ設定の指定」ウィンドウ
RDP自体やパッケージ化に関する設定を行う。今回はTSゲートウェイや証明書は利用しないので、(1)(2)のみ設定・確認する。
  (1)RDPファイルのWindowsインストーラ・パッケージの保存場所を指定する。特に理由がなければデフォルトでよいだろう。配布時にこのパスが必要になるので、ここでメモしておくこと。
  (2)パッケージ化されるRDPファイルに関する設定。[変更]ボタンをクリックすると各設定を変更できる。

4. 「配布パッケージの構成」ウィンドウ
  グループ・ポリシーによるRDPファイルのショートカットの配布先(クライアント上の保存先)や関連付けを設定する。デフォルトでは、ショートカットはクライアント上の[スタート]−[すべてのプログラム]−[リモート プログラム]に保存される。

 [このプログラムのクライアント拡張子を RemoteApp プログラムに関連付ける]チェック・ボックスをオンにすると、クライアント上のファイルの拡張子(例えばxls)をダブルクリックしたときにRemoteAppプログラムを自動的に起動できる。

 設定が完了したら[次へ]ボタンをクリックする。

「配布パッケージの構成」
RDPファイルのショートカットの配布先や拡張子の関連付けなどを設定する。
  (1)クライアントのデスクトップに配布するには、これをオンにする。
  (2)[スタート]メニューに登録したい場合は、これをオンにしてフォルダ名を指定する。
  (3)RemoteAppのアプリケーションをダブルクリックだけで起動したい場合は、これをオンにする。

5. 設定の確認
  設定内容を確認後、[完了]ボタンをクリックすると、Windowsインストーラ・ファイル(.MSIファイル)が作成される。作成された.MSIファイルは、ダブルクリックするとRDPファイルのインストーラが起動して無人インストールが実行されるようになっている。

「設定の確認」ウィンドウ
  (1)ウィザードで設定した内容。確認して問題がなければ(2)をクリックする。
  (2)これをクリックすると、パッケージ化されたファイルすなわち.MSIファイルの生成が始まる。

6. .MSIファイルの配布を準備する
  .MSIファイルを配布する手順の詳細は、TIPS「MSIファイルをActive Directoryのグループ・ポリシーでインストールする」を参照していただきたい。

 なお、Windows Server 2008でグループ・ポリシーを管理する場合には、Windows Server 2003以前とはグループ・ポリシー管理エディタの起動方法が異なるので注意しよう。「グループ ポリシーの管理エディタ」を起動するには、ドメイン・コントローラの[サーバー マネージャ]−[機能]−[グループ ポリシーの管理]−[フォレスト]−[ドメイン]−[<ドメイン名>]−[Default Domain Policy]を右クリックして[編集]を実行する。

 以上でRDPファイルの配布の準備が整った。クライアントを再起動するとコンピュータに設定したグループ・ポリシーが適用され、ログオン後にはプログラム・メニューおよびデスクトップにRDPファイルへのショートカットが作成されることを確認する。

スタート・メニューに登録されたRemoteAppのショートカット
ショートカット名は実際に起動されるRemoteAppのアプリケーションと共通なので、このように既知のアプリケーションであれば、エンドユーザーはRemoteAppであることを意識することなく起動できる。

 スタート・メニューまたはデスクトップからショートカットを実行すれば、RemoteAppのアプリケーションを起動できるはずだ。

シングル・サインオンを構成する

 クライアントからターミナル・サービスにアクセスする際、デフォルトでは必ずログオンするユーザーIDとパスワードを指定しなければならない(認証のダイアログ・ボックスが必ず表示される)。

 リモート・デスクトップへの接続はまだしも、RemoteAppを使用してアプリケーションの利用機能をエンドユーザーに提供する場合、Windowsへのログオンが済んでいるのに、あらためてユーザーIDとパスワードを入力しなければならないのでは、ユーザビリティ上、望ましくない。つまり、シングル・サインオン機能の実現が求められる。

 次のいずれかの条件を満たす場合、シングル・サインオンを実現できる。

  • Windows VistaとWindows Server 2008の組み合わせで、かつ両者がドメインに参加している。
  • Windows Server 2008とWindows Server 2008の組み合わせで、かつ両者がドメインに参加している。

 シングル・サインオンを有効にするには、まずグループ・ポリシーでクライアントの設定を変更する必要がある(詳細は後述するが、サーバ側の設定は不要)。グループ・ポリシー管理エディタの場合、[コンピュータの構成]−[ポリシー]−[管理テンプレート]−[システム]−[資格情報の委任]を有効に設定し、サーバ一覧に「termsrv/<ターミナル・サーバのホスト名>」(今回は「termsrv/ts01」)を追加する。このGPOを、対象となるクライアントのドメインあるいは組織単位に適用するように設定すればよい。

シングル・サインオンを有効にするためのグループ・ポリシー
これはグループ・ポリシー管理エディタでDefault Domain Policyを対象に設定している例。
  (1)これを選ぶ。
  (2)このプロパティを開く。
  (3)これを選択すると(4)がクリックできるようになる。
  (4)これをクリックすると(5)(6)のダイアログが表示される。
  (5)これをクリックして、シングル・サインオンを有効にするターミナル・サーバ(ここでは「termsrv/ts01」)を設定する。
  (6)ここに設定したサーバが表示されるので確認する。

 グループ・ポリシーの設定が完了したら、クライアントを再起動するか、クライアント上で「gpupdate /force」コマンドを実行してグループ・ポリシーを強制的に適用すれば、シングル・サインオンは有効になる。クライアント上のRDPファイルをダブルクリックして確認してみよう。ユーザーIDとパスワードの入力を求める認証ダイアログ・ボックスは表示されなくなったはずだ。

 一方、サーバ側でシングル・サインオンを有効にする設定は、Windows Server 2008 RTMではデフォルトでシングル・サインオンを許可しているため、不要である。いちおう設定箇所を記しておく。いずれも前出の管理コンソール「ターミナル サービス構成」で対象の接続(デフォルトでは「RDP-Tcp」のみ)のプロパティを開いて設定する。

  • [全般]タブ−[セキュリティ層]: 「ネゴシエート」または「SSL (TLS 1.0)」
  • [ログオン設定]タブ−[クライアントが提供したログオン情報を使用する]: オン
  • [ログオン設定]タブ−[常にパスワードの入力を求める]: オン

 以上の設定により、クライアントからはブラウザまたはデスクトップなどに配布されたRDPファイルを使用して、ターミナル・サーバ上にインストールされたアプリケーションをシームレスに利用できるようになる。


 今回は1台のターミナル・サーバで構築したが、多数のクライアントからのアクセスを受け付ける場合にはTSセッション・ブローカによって負荷分散(ロード・バランス)を実現できるし、インターネットからの接続を受け付ける場合にはTSゲートウェイ機能を活用できる。いずれもWindows Server 2008の標準機能で実現できる。

 新しいターミナル・サービスはこれまで以上の可用性と信頼性を備えており、これまで以上にさまざまな局面で活用できるだろう。


「&nbsp; Windows Server 2008の基礎知識 ―― 新サーバOSで何が変わるのか? ―― 」のインデックス

  Windows Server 2008の基礎知識 ―― 新サーバOSで何が変わるのか? ―― 

前のページへ 1|2|3|4       

Copyright© Digital Advantage Corp. All Rights Reserved.

スポンサーからのお知らせPR

注目のテーマ

AI for エンジニアリング
「サプライチェーン攻撃」対策
1P情シスのための脆弱性管理/対策の現実解
OSSのサプライチェーン管理、取るべきアクションとは
Microsoft & Windows最前線2024
システム開発ノウハウ 【発注ナビ】PR
あなたにおすすめの記事PR

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。