Enterprise Watch
バックナンバー

Windows Server 2008で大幅に進化したターミナルサービスを試す【完結編】

まだまだあるターミナルサービスの新機能

 Windows Server 2008のターミナルサービスは、運用面でもさまざまな改良が施されている。ターミナルサービスにゲートウェイ機能を追加するTSゲートウェイ、ターミナルサーバーを複数台設置して、サーバーファームを構築するためのTSセッションブローカーなどだ。今回は、これらターミナルサービスで新たに提供される機能を完結編として紹介する。


外部からのアクセスを管理するTSゲートウェイ

TSゲートウェイでは、HTTPSによりアクセスができるため、ファイアウォールを変更することなくアクセスできる

TSゲートウェイは、NAP(Network Access Protection)と連携することも可能

TSゲートウェイとNAPの連携
 ターミナルサービスは、これまで説明したように便利な機能を提供している。しかし、いったん社外のネットワーク(インターネット)などから、社内のターミナルサービスにアクセスしようとすると非常に面倒なことになってしまう。リモートデスクトップ接続が利用しているRDPプロトコルは、ポート3389を使用しており、ほとんどのファイアウォールでは、RDPの接続がブロックされてしまう。そのため、社内にアクセスサーバーを用意してVPNで接続する方法がとられている。ただし、システム構築のコストがかかったり、運用も面倒になってくる。

 そこで、Windows Server 2008では、TSゲートウェイという機能を用意することで、RDPプロトコルをポート3389で使用するのではなく、HTTPS SSL/TLS(Secure Soclets Layer/Transport Layer Security)でラッピングして、ポート443を使用してアクセスできるようになっている。この機能を利用すれば、ファイアウォールの設定をまったく変更せずにリモートデスクトップ接続がインターネット上から利用できる。通信自体は、SSL/TLSという暗号化がベースになるため、インターネットからのアクセスを行ってもセキュリティは保たれる。

 またTSゲートウェイではクライアントPCのアクセス権限のコントロールも厳密に行う。たとえば、アクセスできるユーザーを限定したり、クライアントPC自体を限定したりといったことが可能だ。もちろん、アクセスされる側のクライアントやサーバーも事前に設定できるし、RDP 6.0で可能になっているターミナルサービスでのローカルコンピュータリソース(ローカルPCのHDDやUBSメモリの使用など)も、TSゲートウェイで事前に制限することもできる。

 TSゲートウェイを使えば、HTTPS SSL/TLSといったセキュアな環境を使ってインターネットからアクセスが可能になるが、アクセスするクライアントPC自体がウイルスなどに侵されていないことを保証しているわけではない。このため、TSゲートウェイは今後紹介を予定しているNAP(Network Access Protection)を利用して、クライアントPCの正当性(ポリシーの設定、OSのアップデートの状態、パーソナルファイアウォールの設定、アンチウイルスの設定など)をチェックして、アクセスできるかどうかをコントロールすることも可能だ。

 実際、TSゲートウェイを利用してみると、内部のネットワークでアクセスしているのとまったく変わらない環境が得られる。特にVPNを利用してアクセスするのに比べ、シンプルなのが使いやすい。また、TSゲートウェイは、リモートデスクトップだけでなく、RemoteAppでも使用できる。そのほか、TS WebアクセスもTSゲートウェイを利用してセキュアな環境で利用することもできる(設定は、ターミナルサービス側で行う。もちろん、TS Webアクセスのサイト自体がインターネットからアクセスできる場所にある必要がある)。これなら、RemoteAppのファイルを事前に配布しなくても、インターネット上からTS WebアクセスのWebサイトにアクセスすれば、RemoteAppのプログラムを利用することができる。


TSゲートウェイはどこに配置する?

 TSゲートウェイを導入する企業にとって、最も重要なのは、セキュアな環境でターミナルサービスを利用するためにTSゲートウェイをどこに配置すればいいのか?ということだ。既存のファイアウォールやネットワークデザインとの整合性をどう取るのか?というネットワーク設計の部分が重要になる。

 TSゲートウェイは、HTTPSによりアクセスできるため、ファイアウォールの中に設置できる。しかし、TSゲートウェイ自体はインターネットからのアクセスを受け付けるため、インターネットのドメイン名を持つ必要がある(FQDN)。このことから、TSゲートウェイは外部に対して公開しているWebサーバーと同じゾーン(DMZ)に設置することになる。

 また、TSゲートウェイは、プライベートIPアドレスで構築された社内ネットワークに設置されたターミナルサーバーへのアクセスもサポートしている。つまり、NATを超えてアクセスできるということだ。

 マイクロソフトでは、ISA(Internet Security and Acceleration)Serverとの組み合わせを提唱している。ISA Serverを利用すれば、セキュリティの高いネットワーク上でTSゲートウェイが運用できるとしている。

 ネットワーク設計に関しては、企業によっていろいろなパターンがあるため、一概にどのデザインがいいとはいえない。このため、TSゲートウェイを実運用するときには、システムインテグレータなどと綿密な打ち合わせが必要だろう。


ロードバランシングをサポートするTSセッションブローカー

 Windows Server 2008には、TSセッションブローカーという機能も用意されている。TSセッションブローカーを利用すると、複数台のターミナルサーバーによりサーバーファームを構築して負荷分散を行うことができる。この機能を利用することで、サーバーファーム内部で最も負荷の低いサーバーに接続できるようになる。また、各サーバーに重みづけを行い、その値を元に、サーバーファーム内部のサーバーの処理能力に合わせて、負荷を分散することもできる。

 この機能が便利なのは、Windows Serverで用意されているネットワーク負荷分散(NLB)よりも簡単にターミナルサーバーの負荷分散環境を構築できるところだ。ただし、TSセッションブローカーの負荷分散機能を利用できるのは、Windows Server 2008のターミナルサービスだけ。Windows Server 2003などのターミナルサービスは、TSセッションブローカーを利用することができない。

 また、TSセッションブローカーの負荷分散機能は、DNSのエントリだけでサーバーファームを構築できる。これは、NLBに比べると設定が非常に簡単だ。


TSセッションブローカーを利用すれば、ターミナルサービスの負荷分散が行える
TSセッションブローカーは、DNSのエントリだけでターミナルサービスの負荷分散システムが構築できる
TSゲートウェイでのサーバーファームの設定

ローカルPCのプリンタが使えるターミナルサービスEasy Print

TS Easy Printでは、印刷データをXPSフォーマットでクライアントのプリンタに転送して印刷する。ターミナルサーバー上では、クライアントのプリンタが仮想的に存在する。このため、クライアントのプリンタの各種設定が、そのままターミナルサーバー上で利用できる

TS Easy Printのサーバー側のアーキテクチャ

TS Easy Printのクライアント側のアーキテクチャ
 Windows Server 2008のターミナルサービスでは、リモートデスクトップ接続を使用してアクセスしたリモートコンピュータで印刷を行う際、ローカルPCに接続されたプリンタで印刷できる「ターミナルサービスEasy Print(以下、TS Easy Print)」が用意された。これまでリモートコンピュータでの印刷は、リモートコンピュータ側に登録されているプリンタで行うか、ローカルPCにXPSドキュメントとして保存(印刷)するしかなかった。つまり、ローカルPCにインストールされているプリンタを使って印刷できないということだ。TS Easy Printにより、リモートコンピュータのプリンタドライバとローカルPCのプリンタデバイスがマッピングされ、ローカルPCのプリンタでリモートコンピュータでの印刷がきちんと行えるようになった。リモートサーバーを利用するユーザーにとっては、自分の身近にあるプリンタに印刷できるから便利だ。

 ただし、TS Easy Printは、現在Windows Vistaに同梱されているRDP 6.0ではなく、RDP 6.1対応のリモートデスクトップ接続と.NET Framework 3.0 SP1が必要になる(Windows Server 2008のリモートデスクトップ接続は、RDP 6.1)。RDP 6.1は、来年2月頃にリリースされるWindows Vista SP1に同梱される予定だ。また、Windows XP版のRDP 6.1は、現在RC版のテストが行われている(Windows Server 2003版は、Windows XP版と同時にリリースされるとおもわれる)。Mac版に関しては、RDP 6.0のβ版のテストが行われているため、RDP 6.1がリリースされるまでには、もう少し時間がかかりそうだ。

 TS Easy Printでは、リモートデスクトップ接続だけでなくRemoteAppでの印刷をサポートしている。また、リモートサーバー側にプリンタドライバをインストールしなくても、ローカルPC側にプリンタがインストールされていれば印刷できる。便利なのは、TS Easy Printでは、リモートPCにインストールされたプリンタドライバのすべての機能が利用できるという点だ。このため、ローカルPCに接続されているプリンタをリモートコンピュータにインストールされたプリンタのように利用することができる。

 例えば、Windows Server 2008用のプリンタドライバが提供されていないコンシューマ用のカラープリンタなども、ローカルPCに接続されていればTS Easy Printで印刷できる。これなら、ドライバの対応に関する問題に頭を悩ます必要もなくなる。サーバー側にドライバをインストールしないため、もしプリントドライバに問題が起こったとしても、サーバーの安定性に影響を及ぼすことはない。TS Easy Printでは、ターミナルサーバーにインストールされているXPSを利用して、印刷イメージをXPSフォーマットでローカルPCのプリンタに転送して印刷するからだ。

 また、Windows Server 2008では、TS Easy Printに関するグループポリシーが拡張されている。Active Directory側でこのグループポリシーが管理されていれば、ドメインのユーザーは一括して、ターミナルサービスでTS Easy Printを使用するように設定できる。システム管理者としては、非常に管理がしやすくなるだろう。


ターミナルサービスのライセンスはどうなっている?

ターミナルサーバーのライセンス

ライセンスサーバーがインストールされていないと、右下のようなメッセージが表示される
 Windows Server 2008のターミナルサービスを利用するには、Windows Server 2008以外に、接続するクライアントごとにターミナルサービスクライアントアクセスライセンス(以下、TS CAL)が必要になる。つまり、Windows Server 2008のターミナルサービスに、100台(人)のクライアントが接続する場合は、100台(人)分のTS CALが必要となる。さらに、ターミナルサービスにアクセスするクライアントを管理するために、ターミナルサービスライセンスサーバー(以下、TSライセンスサーバー)が必要になる。

 基本的には、Windows Server 2008のTS CALは、Windows Server 2003とほぼ同じと考えていい。Windows Server 2008で新たに追加されたRemoteAppを利用する場合も、TS CALが必要になる。

 Windows Server 2008のTSライセンス関係で追加された新しい機能としては、接続ユーザー数のCALの発行を追跡できる機能が用意されている点が挙げられる。ターミナルサーバーが接続するユーザー数ベースのライセンスとなっている場合、ユーザーはターミナルサーバーにアクセスするためにTS CALを持っている必要があるが、アクセスしたユーザーがTS CALを有していない場合、ターミナルサーバーが、ライセンスサーバーに通知して、そのユーザーにTS CALを自動的に発行できるのだ。

 この機能を利用すれば、たとえば100ユーザー分のTS CALをターミナルサーバーが有していれば、事前にTS CALをクライアントに配布していなくても、自動的にTS CALを発行してアクセスを可能にする。ただし、この機能を利用するためには、Windows Server 2008上で動作しているActive Directoryが必要になる。


ターミナルサービスは使えるサービスか?

 ターミナルサービスは、今まではコールセンターなど特定の業務のためのソリューションと見られがちだった。しかし、Windows Server 2008では、多くのユーザーが利用できるソリューションになってきている。たとえば、ターミナルサーバー側にOutlookをインストールし、RemoteAppで利用すれば、クライアントPCにインストールされているのとまったく変わらない感覚で利用できる。これなら、クライアントPCに余計なメールデータを保存しなくてもいい。また、共通で利用するアプリケーションのバージョン管理も、サーバー側のアプリケーションをアップデートするだけで済む。アプリケーションなどを一括管理したり、アップデートを配布するシステムがなくてもいい。

 Windows Server 2008では、サードパーティーのターミナルサーバーソリューションを購入しなくても、TS CALだけでターミナルサービスを構築できる。コスト面からみても、ターミナルサービスを新たに導入してみようと考えている企業にとっては、ハードルが低くなったといえる。また、RemoteAppにより、アプリケーションによっては、サーバー側で運用するものと、クライアントPCで動作させるものとを混在させることができる。これにより、クライアントPCを単なるシンクライアントとして使うのではなく、十分にクライアントPCのパフォーマンスを活かした企業システムが構築できる。とにかく、簡単に試してみることができるのは、メリットが大きいだろう。



URL
  Windows Server 2008
  http://www.microsoft.com/japan/windowsserver2008/

関連記事
  ・ Windows Server 2008で大幅に進化したターミナルサービスを試す【前編】(2007/11/28)
  ・ Windows Server 2008で大幅に進化したターミナルサービスを試す【中編】(2007/11/29)
  ・ Windows Server 2008で大幅に進化したターミナルサービスを試す【後編】(2007/11/30)


( 山本 雅史 )
2007/12/07 00:00

Enterprise Watch ホームページ
Copyright (c) 2007 Impress Watch Corporation, an Impress Group company. All rights reserved.