【問題】
普段オフィスで使用しているWindowsコンピュータにインストールされているアプリケーションを使用して,自宅でも作業するため,自宅からリモート・デスクトップを使ってオフィスのコンピュータに接続をしようと考えている。デスクトップ・サポート・エンジニアに依頼してリモートからの接続を許可するよう,設定を変更してもらった。早速,自宅からオフィスのコンピュータにリモート・デスクトップで接続し,ログオン画面でログオンしようとしたところ,「このリモートコンピュータにログオンするには,ターミナル・サービスでのログオンを許可する権利が必要です」と表示され,それ以上の操作はできなかった。原因として考えられるものはどれか。適切なものを選択しなさい。
| 1. | 契約しているISPで,リモート・デスクトップで使用するポートが許可されていない |
|---|---|
| 2. | 使用したユーザー・アカウントが,リモートからの接続を許可する設定になっていない |
| 3. | 使用したユーザー・アカウントが,「Remote Desktop Users」グループのメンバーになっていない |
| 4. | 使用する自宅のコンピュータが,Active Directoryに参加していない |
正解:3
Windows 2000以降,Windows Serverでは「ターミナル・サービス」が利用できるようになった。これは,リモートからコンピュータに接続し,コンピュータの画面を転送することで,あたかも直接ログオンして作業しているような操作性を提供する機能である。ターミナル・サービスを使用することによって,コンピュータのスペックや,インストールされているアプリケーションを実際に操作しているコンピュータのものではなく,リモートで接続しているコンピュータのものを利用して作業ができる。
例えば,高スペックや高度なメンテナンスを要求するアプリケーションをターミナル・サーバー上にインストールして,ユーザーは端末となるコンピュータからリモート接続するように構成できる。また,遠隔地にあるコンピュータを管理するのに毎回現地に出向くのではなく,リモートで接続をして,ある程度の作業を実施しておいたりできる。
最近,ターミナル・サービスで注目を集めているのは,企業の情報漏洩を回避する方法として,データ・ファイルはオフィスから持ち出さないようにし,作業が必要な場合はターミナル・サービスを使用してファイルにアクセスするといった手法である。ほかにもターミナル・サービスによって,アプリケーションのメンテナンスを個々のクライアント上ではなく,サーバー上で集中的に管理したり,拠点のサーバー管理負担を低減したりできる。
Windows Server 2003では,システム管理者は1台のサーバーに対して,コンソール接続(物理的にログオンして開始するコンピュータへのアクセス)以外にリモートからのアクセスを2接続利用できる。ユーザーがターミナル・サービスを使用する場合は,クライアント・アクセス・ライセンス(CAL)以外に,ターミナル・サービス用のCA(TS CAL)が必要である。
クライアントOSでもWindows XP以降では,「リモート・デスクトップ」プログラムを使用してターミナル・サービスを利用できる。複数のユーザーが使用するような場合は,Windows Serverのターミナル・サーバーを構成するのがいいが,Windows XP ProfessionalやWindows Vista Business以上では,1ユーザーに限定してリモート・デスクトップが使用できるのだ。
リモート・デスクトップを使用するには,システムのプロパティの[リモート]タブでリモートからの接続を許可する(図1)。また,リモートからの接続をユーザーに許可するには,[リモートユーザーの選択]ボタンを使用して指定するか,「Remote Desktop Users」というビルト・イン・グループにユーザーを追加する。この設定がされていないと,接続の際にエラーメッセージが表示され,接続できない(図2)。
 |
| 図1●リモート・デスクトップの接続の許可 |
 |
| 図2●リモート・デスクトップの接続エラー [画像のクリックで拡大表示] |
Administratorsアカウントは,既定で接続できる。このシナリオでは,ユーザー・アカウントにリモート・デスクトップ接続の権利がないと考えられる。従って正解は3である。
ログオン画面は表示されているので,接続設定や,ポートの問題ではない。従って1は誤りである。
使用したユーザー・アカウントのプロパティで,リモートからの接続を許可するという設定があるが,これはダイヤルアップやVPNの接続を許可するものであり,リモート・デスクトップとは関係がない。従って2は誤りである。
使用する自宅のコンピュータをActive Directoryに参加させる必要はない。従って4は誤りである。
Windows 2000のターミナル・サービスでは,ターミナル・サーバーを構成して複数のユーザーからの接続をサポートする「アプリケーション・サーバー・モード」,リモートからの管理をサポートする「リモート管理モード」というモードがあった。Windows XP以降では,ベースとなる技術は同じであるが,前者を「ターミナル・サービス」,後者を「リモート・デスクトップ」と呼ぶようになった。
Windows Vista/Windows Server 2008では,ターミナル・サービスの機能が強化されている。リモート・デスクトップ接続のプログラムのバージョンは,6.0(最新バージョンは6.1)で,画面表示やリソースのリダイレクト機能のほか,ログオン画面を表示する前にユーザー認証を行うことでDoS攻撃から守る「ネットワーク・レベル認証」や,正しいコンピュータに接続していることを確認する「サーバー認証」といった機能が追加されている(図3)。これによって,警告が表示されたり,接続ができなくなったりすることもあるので注意してほしい(図4)。
 |
| 図3●Windows Vistaにおけるリモート・デスクトップ接続のオプションと設定画面 [画像のクリックで拡大表示] |
 |
| 図4●Windows VistaからWindows Server 2003に接続した場合の警告メッセージ [画像のクリックで拡大表示] |
接続対象または接続に使用するコンピュータがWindows XPなどの場合,セキュリティを緩めて接続する必要がある。例えば,接続の許可をする場合,ネットワーク・レベル認証を使用しないように設定するなどの配慮が必要である。
Windows Server 2008のターミナル・サーバーには,デスクトップ全体ではなく,アプリケーションのウィンドウだけ表示させる「RemoteAPP」や,「RDP over HTTPSプロトコル」を使用してインターネットから安全かつ手軽にターミナル・サーバーへのアクセスを提供する「TS Gateway」などの機能が追加されている。
管理者の負担や,セキュリティなどの管理面と運用面から,ターミナル・サービスを使用するケースが増えていくと考えられる。ぜひ検証してみてほしい。
