リモート アクセス ソリューションの概要

Windows 8 と Windows Server 2012 が実現する
リモート アクセス
ソリューションの概要
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 Contents
Windows 8 + Windows Server 2012 : Better Together........................................................ 3
はじめに 第 1 章 Windows 8 時代のフレキシブル ワークスタイル
5
1.1 リモート アクセスの課題 ........................................................................................................ 5
1.2 フレキシブル ワークスタイルとは .........................................................................................6
このホワイト ペーパーは、中小規模企業の IT 部門担当者を対象に、Windows 8 と
Windows Server 2012 の組み合わせで実現可能な、次の 3 つのリモート アクセス ソリュー
ションの利点、概要、および構成について説明します。
第 2 章 リモート アクセス ソリューションの要素技術
7
2.1 Windows To Go の技術概要 ..................................................................................................7
2.2 DirectAccess の 術概要 ..........................................................................................................10
● Windows
To Go ・・・ 社内の別の PC や第三者の PC ( 自宅の PC など ) を USB デバイスから起動して、企業の標準デスクトップに変えることができます。
● DirectAccess
・・・・・ VPN に変わる、インターネットから社内リソースへのシー
ムレスで安全なリモート アクセスを実現します。
デスクトップ サービス ・・・ ユーザーは、どこからでも企業のデスクトップ
環境にリモート接続でき、IT 部門は、アプリケーションとデータを一元管理できます。
● リモート
2.3 リモート デスクトップ サービスの技術概要 .........................................................................12
第 3 章 リモート アクセス ソリューションのシステム構成
15
3.1 DirectAccess のシステム構成 ................................................................................................15
3.2 リモート デスクトップ サービスのシステム構成 .................................................................. 17
第 4 章 ソリューションのセットアップの概要
18
4.1 Windows To Go ワークスペースの作成 ............................................................................... 18
4.2 DirectAccess のセットアップ ............................................................................................... 20
4.3 リモート デスクトップ サービスのセットアップ .................................................................. 22
著作権情報
© 2012 Microsoft Corporation. All rights reserved. 本書は現状有姿のままで提供されるものであり、このドキュメントに記載されている情報および
見解は、URL およびその他の Web サイト参照先を含め、事前の通知なく変更されることがあります。本書の利用に関する責任はお客様が負うも
のとします。本書は、マイクロソフト製品の知的財産権に関する法的権利をお客様に許諾するものではありません。本書は、内部における参照を
目的として複製および使用することができます。本書は、内部における参照を目的として変更することができます。
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
と Windows Server が 実現する 2012 リモート アクセスソリューションの概要 .......................
Windows 8 2
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 はじめに Windows 8 + Windows Server 2012: Better Together
Windows 8 は、ユーザーのデジタル ライフ スタイルにフォーカスして再創造された、最新のデスクトップ
オペレーティング システム (OS) です。Windows 8 は、従来からのデスクトップ PC およびノートブック ( モ
バイル ) PC の OS としてだけでなく、タブレット PC などのマルチ タッチ対応デバイスでのエクスペリエン
スを向上する機能強化が行われています。
● クライアント
Hyper-V ・・・ Windows Server 2012 Hyper-V と互換性の高い、仮想化テクノロジ
です。
● VHD (VHDX) からのネイティブ ブート
・・・ VHD (VHDX) イメージを利用した、OS のインス
トールやイメージ展開をサポートします。
Windows 8 の強化および刷新されたエクスペリエンス機能は、決してコンシューマー ( ホーム ユーザー )
向けだけのものではありません。Windows 8 が変革しようとしているデジタル ライフ スタイルには、企業ユー
スにおけるワーク スタイルも含まれています。そして、新しいワーク スタイルを実現する Windows 8 の企業
向けの機能の多くは、同じテクノロジに基づいて開発され、親和性の高い Windows Server 2012 との組み合
Windows 8 Enterprise だけの機能
わせで実現されます。
ある Windows 8 Enterprise にアップグレードすることができます。Windows 8 Enterprise は、Windows 8
Windows 8 Pro にソフトウェア アシュアランス (SA) を追加すると、Windows 8 の最上位エディションで
Pro のすべての機能に加えて、次に示す企業向け拡張機能が提供されます。
"The Cloud OS" としての Windows Server 2012
Windows Server 2012 は、"the Cloud OS" として再設計されたサーバー、仮想化プラットフォーム、およ
びクラウド向けの最新 OS です。Windows Server 2012 は、小規模なサーバー環境から、企業のオンプレミス
の大規模データセンターやプライベート クラウド、さらには Windows Azure やサービス プロバイダーが提
供するパブリック クラウドまでをカバーする、スケーラビリティと高可用性を備えます。
Windows Server 2012 はまた、エンド ユーザーが必要とする、データやアプリケーションへのアクセスを、
ユーザーの場所やデバイスを問わずに提供するための、ID 管理サービス、ファイル サービス、リモート アク
セス機能、セキュリティ機能を備えます。クラウド コンピューティングの利便性をエンド ユーザーやデバイ
スに届けるのも、Windows Server 2012 の役割というわけです。Windows Server 2012 は、レガシ OS に対
して高いレベルで下位互換性を提供しますが、Windows Server 2012 の提供するサービスをフルに利用するに
は、Windows 8 ベースの PC やデバイスの使用が最適です。
● Windows To Go ・・・ 企業の管理されたデスクトップ環境を格納した、起動可能な
USB デバイ
スです。Windows To Go については、このホワイト ペーパーで説明します。
● DirectAccess ・・・ インターネット接続を利用して、企業ネットワークの社内リソースにシーム
レスにアクセスする機能です。Direct Access についてはこのホワイト ペーパーで説明します。
● BranchCache ・・・ ホストまたはクライアントのキャッシュを使用して、WAN 経由でのファイ
ルや Web コンテンツのダウンロード エクスペリエンスを向上します。
● AppLocker ・・・ アプリケーションやインストーラーの実行制限や監査を可能にします。
Windows 8 のアプリの制限にも対応します。
● VDI 拡張機能
・・・ VDI の仮想デスクトップに対して、ゲスト OS の展開、リモート接続、および
3D グラフィックスのリッチなエクスペリエンス機能を提供します。VDI の拡張機能については、
リモート デスクトップ サービスの一部として、このホワイト ペーパーで説明します。
● WinRT アプリのサイド ローディング展開
・・・ Windows 8 のアプリ (WinRT アプリ ) は、
Windows ストアから入手するのが原則です。Windows 8 Enterprise では、Windows ストア
ビジネスにも最適な Windows 8
を経由しない、企業内でのアプリの配布 ( サイド ローディング ) をサポートします。
Windows 8 は、コンシューマー向けの Windows 8、企業向けの Windows 8 Pro、および ARM デバイ
スにプリ インストールされる Windows RT の 3 エディションで提供されます。企業向けエディションの
Windows 8 Pro は、Windows 8 ( 無印 ) や Windows RT には無い次の企業向け機能を提供します。
● Active Directory ドメイン参加 ・・・ Active Directory のドメイン アカウントによるログオン
( サインイン ) とアクセス制御が可能です。
● グループ ポリシーによる管理 ・・・
ポリシー ベースでシステム構成やセキュリティ設定、
アプリケーションの配布を一元管理できます。
● リモート デスクトップ ( ホスト ) ・・・ デスクトップへのリモートからの接続をサポートします。
● 暗号化ファイル システム
(EFS) ・・・ ファイルやフォルダーを暗号化して保護するセキュリティ機
能です。
● BitLocker ドライブ暗号化および
BitLocker To Go ・・・ ボリューム全体を暗号化して保護する
セキュリティ機能です。
3
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 ...............
4
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 第1章
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 Windows 8 時代のフレキシブル ワークスタイル
モバイル ブロードバンドの普及、デバイスの多様化、BYOD
(Bring Your Own Device: 個人所有のデバイス
を企業内に持ち込んで業務で利用すること ) のニーズ、それらに伴うセキュリティ リスクの増大など、企業の
IT 環境はいま、これらの新しい IT 環境やニーズ、課題に対するソリューションを必要としています。企業の
IT 環境の統制とセキュリティを維持するために、新しいニーズに対応しないことは簡単です。しかし、新しい
IT 環境やニーズに柔軟に対応できないと、従業員の生産性を阻害するだけでなく、重要なビジネス機会を失う
ことになりかねません。例えば、営業担当者が社外から企業内のビジネス データにリモート アクセスできる
のと、できないのとは、仕事の効率や営業成績が大きく違ってくるでしょう。
1.1 リモート アクセスの課題
社外から企業ネットワークの社内リソースに対してリモート アクセスできる環境は、是非とも整備したい、
重要な IT サービスです。リモート アクセス環境は、社外で活動することが多い従業員や、国内外に出張する
従業員に対して、業務アプリケーションやデータ、あるいは作業環境すべてを提供できます。また、パンデミッ
クや大規模災害など、緊急時の在宅勤務環境を迅速に提供することもできます。
企業ネットワークへのリモート アクセス手段としては、VPN 接続が一般的です。しかし、VPN 接続には、
画面 1 VPN 接続の失敗例
1.2 フレキシブル ワークスタイルとは
次のような課題や不安が常に付きまといます。
● ユーザーによる
VPN 接続、切断操作が面倒
● VPN 接続時の通信速度の低下 ( ルーティングの影響 )
● 解決できない
VPN 接続失敗のトラブル
● 長期間、社外で管理外に置かれたデバイスのセキュリティ低下
マイクロソフトが提唱するフレキシブル ワークスタイルとは、場所やデバイスを固定せず、業務を継続でき
るワークスタイルです。フレキシブル ワークスタイルには、次のようなメリットがあります。
エンド ユーザーのメリット
● デバイスの紛失や通信からの情報漏えい
● いつでも、どこからでも、どのデバイスからでも接続 ・・・ ユーザーは、場所やデバイスを問わず、
● 管理下にない個人所有デバイスからのリモート アクセスに伴うセキュリティ リスク
VPN 接続のトラブルの多くは、利用するインターネット接続環境におけるファイアウォールでのブロック
が原因であり、その場合、エンド ユーザーはもちろん、企業側の IT スタッフにも解決できるものではありま
せん。また、VPN 接続は通常、企業の IT サブネット全体への接続を許可するものです。長期間、社外にあっ
て適切な管理下に無いデバイスや、元々管理下に無い個人所有デバイス ( 自宅の PC など ) からの接続は、マ
簡単な操作で ( または自動的に ) 、安全に社内リソースにアクセスできます。
● 個人設定や作業環境をローミングして作業を継続 ・・・ ユーザーは、同じ作業環境を使用して、以
前に中断した仕事をすぐに再開できます。
IT 部門のメリット
ルウェア感染や情報漏えいのリスクを高めます。
• セキュリティとコントロールの強化 ・・・ IT 部門は、デスクトップ環境やデータを一か所で集中
管理できるため、セキュリティの実装と監視が容易になり、データの保護と規制への準拠を強化
できます。
• アプリケーションとリソースの一元管理 ・・・ OS やアプリケーションの展開と更新を 1 か所で行
えるため効率的です。また、データを 1 か所に保存するため、記憶域の使用効率が向上し、ハー
ドウェア増強の計画も容易になります。
Windows 8 および Windows Server 2012 は、フレキシブル ワークスタイルの実現を支援する、さま
ざまな新機能を標準提供します。ここではその中から、中小規模の企業においても導入しやすい、Windows
To Go、DirectAccess、リモート デスクトップ サービスの 3 つのテクノロジについて説明します。
5
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 ...............
6
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 第2章
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 リモート アクセス ソリューションの要素技術
フレキシブル ワークスタイルを実現するリモート アクセス ソリューションは、Windows 8 Enterprise の企業
向け拡張機能と、Windows Server 2012 のサーバー機能の組み合わせで実現されます。それぞれ個別に使用する
こともできますが、組み合わせることで、より高機能なソリューションになります。Windows To Go については
Windows 8 Enterprise 単体で動作する OS 環境ですが、他の 2 つのリモート アクセス ソリューションのクライ
アントとして利用できることにそのメリットがあります。
ライセンスに関する留意事項
● Windows
To Go と DirectAccess は、Windows 8 Enterprise の機能であり、Windows 8 Pro には
提供されない機能です。ボリューム ライセンス製品の
Windows 8 Pro にソフトウェア アシュアラ
ンス (SA) を追加することで、Windows 8 Enterprise にアップグレードできます。
● DirectAccess など、Windows Server 2012 のサーバーへのアクセスには、クライアント アクセス
ライセンス (CAL) が必要になります。
● Windows
Server 2012 のリモート デスクトップ サービスに接続するには、リモート デスクトップ
サービス CAL (RDS CAL) が必要になります。VDI の仮想デスクトップの展開とリモート接続には、 さらに SA または Windows Virtual Desktop Access (VDA) ライセンスが必要になります。
画面 1: Windows To Go の利用イメージ
Windows To Go の USB ドライブから起動したデスクトップ環境は、フル機能の Windows 8 Enterprise であ
り、いくつかの例外 (TPM を使用できない、回復環境や PC リカバリー機能が提供されないなど ) を除いて、通
常の Windows 8 とまったく同じように動作します。USB 接続は切断の可能性がありますが、Windows To Go
は 60 秒以内の切断を許容します ( 切断中、すべての操作はロックされます ) 。また、切断状態が 60 秒経過すると、
自動的に PC の電源がオフになります。
2.1 Windows To Go の技術概要
Windows To Go は、Windows ソフトウェア アシュアランス (SA) で提供される Windows 8 Enterprise の企
業向け機能の 1 つです。Windows To Go を使用すると、ユーザーは USB 接続の外部ドライブにインストールさ
れたフル機能の Windows 8 (Windows To Go ワークスペース ) を使用して、社内の別の PC ( ライセンス取得済
みのデバイス ) や第三者の PC ( 個人所有 PC など ) を起動し、企業の標準のデスクトップ環境を使用して業務を
遂行することができます。これにより、次のような場所でのフレキシブル ワークスタイルを可能にします。
● 社内
・・・ フリー アドレス デスクや共有エリアでの作業、BYOD
● 社外
・・・ 外出や出張先での第三者の PC を使用した作業
● 自宅
・・・ 個人所有 PC での在宅勤務
Windows To Go の USB ドライブは、種類の異なる複数のコンピューターを起動できます。また、USB ドライ
ブに格納する Windows To Go ワークスペースには、社内の通常のデスクトップ PC やノート PC と同じインス
トール イメージを使用して作成することができ、同じように社内のクライアントとして管理できます。IT 部門は、
Windows To Go ワークスペースの中に、Active Directory のドメイン設定や、業務アプリケーション、後述する
DirectAccess クライアントの設定を組み込むことで、場所やデバイスを問わずに、業務を継続するためのデスク
画面 2: Windows To Go で起動した環境は、60 秒以内の USB の切断を許容。60 秒後に自動的に電源オフ
トップ環境をユーザーに提供できます
7
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 ...............
8
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 Windows To Go で起動中は、PC に元からある内蔵の固定ディスクはオフラインになり、エクスプローラー
には表示されません。Windows To Go は、ローカル ディスク (C: ドライブ ) として自身の USB ドライブの
みを読み書きします。これにより、操作したファイルや URL の履歴やセキュリティ情報が使用した PC に残る
ことがありませんし、社内の機密データが PC に誤って公開されてしまうこともありません。また、企業の管
理下に無い、セキュリティ対策が不十分かもしれない PC を使用した場合でも、その PC に存在するかもしれ
ないマルウェアやスパイウェア、ユーザーの同意のもとに導入されたブラウザーの情報収集ツール バーなどの
影響を受けることなく、常にクリーンなデスクトップ環境を利用できます。
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 2.2 DirectAccess の技術概要
DirectAccess は、Windows Server 2008 R2 および Windows 7 Enterprise で初めて登場した、VPN に変
わるリモート アクセスのための新しいテクノロジです。Windows Server 2012 では、DirectAccess の展開と
管理が簡素化され、Windows 8 Enterprise の DirectAccess クライアントとしてのエクスペリエンスが向上し
ました。以前のバージョンは要件が厳しく、導入が難しかった中小規模の企業においても、Windows Server
2012 では容易に導入できるようになっています。
DirectAccess は、新しいインターネット プロトコルである IPv6 (IP version 6) と IPSec (IP Security) 、お
よび IPv4 (IP version 4) から IPv6 移行テクノロジに基づいたリモート アクセス ソリューションです。しかし、
現実として IPv6 への移行を完了している企業は多くないでしょう。DirectAccess は IPv6 に基づいていますが、
IPv6 の導入は必須要件ではなく、既存の IPv4 ネットワークに導入してリモート アクセス環境を構築すること
ができます。また、導入のために、IPv6 や IPSec、IPv6 移行テクノロジの詳しい知識は要求されません。
DirectAccess のクライアントは、社内ネットワーク上では通常のネットワーク接続を使用します。同じ
クライアントが社外に出ると、使用するインターネット接続状況に応じて、接続方法が選択され、自動的に
DirectAccess による接続が行われます。DirectAccess による接続は、IPSec により暗号化保護された IPv6 に
よる通信ですが、そのことをユーザーが意識することはありません。社内ネットワークに接続しているときと
同じように、シームレスに社内リソースにアクセスすることができます。以前のバージョンとは異なり、IPv4
だけのホストに対しても、DirectAccess が背後で必要な変換処理を行ってくれます。
画面 3: Windows To Go で起動すると、ローカルの固定ディスクはオフラインになるため、情報が PC に残ることがない
従来の VPN の場合、ファイアウォールの状況によって、接続が失敗することがありましたが、複数の接続
Windows To Go の USB ドライブは、極めて小さなサイズで持ち歩ける、ポータブルな企業デスクトップ環
方法を持つ DirectAccess は接続性に優れています。例えば、PC がファイアウォールの内側からインターネッ
境です。そのため、紛失や盗難のリスクは常に付きまといます。Windows To Go の USB ドライブは、作成時 ( ま
トに接続している場合 ( 自宅のブロードバンド接続やビジネス ホテルの接続サービスなど ) は、セキュリティ
たは作成後 ) に BitLocker ドライブ暗号化を使用して、ドライブ全体を暗号化して保護することができるため、
で保護された Web ブラウジングと同じポートを使用する、HTTPS ベースのトンネリング技術 (IPHTTPS) で
悪意のある第三者が不正に起動するのをブロックすることができます。BitLocker ドライブ暗号化を利用する
IPv6 トラフィックを通すため、ファイアウォールやプロキシにブロックされることなく、DirectAccess の接
ことで、Windows To Go の USB デバイスは、起動時にロックを解除するためのパスワードと、ログイン時の
続が可能です。
認証で二重に保護されます。
図 2: DirectAccess の接続イメージ
画面 4: Windows To Go ドライブを BitLocker で暗号化し、パスワード ロックすることが可能
9
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 ...............
10
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 DirectAccess のために、ユーザーは VPN 接続のような、接続を開始したり、切断したりする操作を行う必
要はありません。DirectAccess クライアントは、ローカルのネットワーク接続を使用して社内リソースに直接
アクセスできないことを検出すると、有効なインターネット接続を利用して、DirectAccess サーバーへの接続
DirectAccess クライアントは、インターネット接続があれば常に自動接続されている状態です。そのため、
更新プログラムの配布、管理システムによるエージェント管理が可能です。また、ユーザーのログオン状態に
を開始し、社内ネットワークに相互接続します。この動作は完全に自動化されており、社内と社外のどちらでも、
関係なく、DirectAccess の接続を介してクライアントをリモート管理することができます。
IT 部門は、クライアントが社外にあっても、社内のクライアントと同じようにグループ ポリシーの変更の適用、
一貫性のあるエクスペリエンスで社内リソースにアクセスすることができます。
画面 5: DirectAccess クライアントが社内ネットワークに直結している場合
画面 7: DirectAccess で接続中のクライアントに対して、リモート デスクトップ接続をしているところ
2.3 リモート デスクトップ サービスの技術概要
リモート デスクトップ サービスは、以前はターミナル サービスと呼ばれていたもので、デスクトップや
アプリケーションをサーバー側で集中的に実行し、ユーザーに画面をリモート表示するリモート アクセス ソ
リューションです。リモート デスクトップ サービスは、社内でのシンクライアント ソリューションとしても
利用できますし、社外ユーザーに対するリモート アクセス ソリューションにもなります。Windows Server
2008 R2 以降のリモート デスクトップ サービスには、リモート デスクトップ セッション ホスト ( 旧ターミ
ナル サーバー ) を使用したセッション ベースのサービス ( ユーザーはサーバー上で実行されるマルチ ユー
ザー セッションの 1 つに接続 ) に加えて、VDI の仮想デスクトップのサービス ( ユーザーは Hyper-V の仮想
マシンで実行されるクライアント OS に接続 ) が統合されました。
画面 6: DirectAccess クライアントが社外のインターネットに接続された場合
セッション ベースと仮想マシン (VDI) ベースのどちらも、リモート デスクトップ接続を使用して画面をリ
モート表示するために、エクスペリエンスはほぼ同一です。セッション ベースはサーバーのリソースを複数ユー
ザーでシェアするため、リソースあたりのユーザー収容数や管理性に優れています。ただし、サーバー OS で
あるため、アプリケーションの制約や、ユーザーごとのカスタマイズが制限されます。一方、仮想マシン ベー
スは、ユーザーごとにデスクトップ OS を実行する 1 台の仮想マシンを用意するため、より多くのリソースを
必要としますが、さまざまなアプリケーションに対応でき ( アプリケーションのシステム要件に合う OS を選
択できる ) 、ユーザーに完全な OS の管理者権限を付与することも可能です。また、仮想マシン ベースでは、
RemoteFX 3D ビデオ アダプターという仮想 GPU (Graphics Processing Unit) による、3D グラフィックスの
リッチなエクスペリエンスを提供できます。
11
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 ...............
12
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 リソースの効率使用と集中管理という面では、セッション ベースのリモート デスクトップ サービスが優れ
ています。アプリケーションの互換性問題、3D グラフィックス要件、パワー ユーザーへの対応など、セッショ
ン ベースで対応できない場合に、仮想マシン ベースを選択するとよいでしょう。
図 3: リモート デスクトップ サービスの利用イメージ
Windows Server 2012 のリモート デスクトップ セッション ホストは、Windows 8 と同等のデスクトップ
環境をリモート ユーザーに対して提供できます。Windows 8 に新たに採用されたスタート画面や WinRT ア
プリの実行環境はもちろんのこと、接続元がタッチ対応デバイスの場合は、リモート セッション内でタッチ対
応を認識し、通常の Windows 8 デバイスと同じように、タッチやジェスチャ操作が可能です。
画面 9: タッチ対応デバイスからのリモート接続では、ローカルと変わらないタッチ操作が可能
RDP 8.0 では RemoteFX USB デバイス リダイレクト機能がサポートされ、ローカルに接続された USB デ
バイスや内蔵カメラをリモート セッションにリダイレクトして、リモート セッション内で利用することがで
きます。RemoteFX USB デバイス リダイレクトは、Windows 8 Enterprise を実行する仮想デスクトップと、
Windows Server 2012 のリモート デスクトップ セッション ホストの両方で利用可能です。以前のバージョン
では、仮想 GPU が割り当てられた、Windows 7 Enterprise SP1 を実行する VDI の仮想デスクトップでのみ
利用可能な機能でした。
画面 8: Windows Server 2012 のリモート デスクトップ セッション ホストへのリモート デスクトップ接続。Windows 8 と同じ UI で同じ
エクスペリエンスを提供
Windows 8 は最新のリモート デスクトップ プロトコルである RDP 8.0 を搭載しており、強化された
RemoteFX 機能とともに、ネットワークの速度や品質に影響されることなく、可能な限り、一貫性のあるリッ
チなエクスペリエンスを実現します。例えば、1.5Mbps 程度の遅延 ( レイテンシ ) の高いモバイル ブロード
画面 10: RemoteFX USB デバイス リダイレクト
バンド回線を使用したリモート接続の場合、以前のバージョンでは背景をオフにするなど、エクスペリエンス
機能の一部が利用できませんでした。最新の RDP 8.0 では、このような WAN 回線上でも、LAN での利用と
変わらないエクスペリエンス機能を利用できます。また、ビデオやオーディオ コンテンツをスムーズに再生す
ることができます。リモート セッションでのマルチ タッチ対応も、RDP 8.0 の新機能です。
13
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 ...............
14
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 第3章
リモート アクセス ソリューションのシステム構成
DirectAccess と リ モ ー ト ア ク セ ス サ ー ビ ス の ソ リ ュ ー シ ョ ン は ど ち ら も、 社 内 ネ ッ ト ワ ー ク 側 に
Windows Server 2012 を実行するサーバーを 1 台以上設置して、Windows 8 を実行するクライアントからリ
モート アクセスする構成になります。そして、このクライアントの環境は、Windows To Go の USB ドライブ
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 このように、Windows Server 2012 の DirectAccess は、特に、中小規模の企業において Windows 8 クライ
アントを使用する場合の展開が、非常に簡単になっています。ただし、この既定の簡易展開では、証明書ベー
スの認証を必要とする 2 要素認証や、
NAP ( ネットワーク アクセス保護 ) との統合などの高度な構成や、旧バー
ジョン (Windows 7) のクライアントのサポートなどが利用できないことに留意してください
に格納することができます。
3.1 DirectAccess のシステム構成
DirectAccess のリモート アクセス環境は、Active Directory ドメイン環境が構成された企業ネットワーク
に 1 台以上の DirectAccess サーバーを設置することで、構築することができます。DirectAccess サーバーは、
Windows Server 2012 の [ リモート アクセス ] の役割としてインストールすることができ、DirectAccess
のみを、あるいは DirectAccess と VPN サーバーの両方を展開することができます。前述したように、
DirectAccess は IPv6 に基づいていますが、IPv6 を導入していない、IPv4 ネットワークにも導入可能です。
DirectAccess サーバーの設置
Windows Server 2012 の DirectAccess サーバーは、以下の 3 つのネットワーク トポロジへの設置が可能
です。中小規模企業では、既存のインターネット接続環境を大きく変更することなく、DirectAccess サーバー
を追加導入することが可能です。
● エッジ ・・・
2 つのネットワーク アダプターを持つ DirectAccess サーバーをインターネットとの
境界に設置し、一方のネットワーク アダプターをインターネットに、他方を内部ネットワークに
接続します。インターネットに接続されるネットワーク アダプターには、1 つのパブリック IPv4
アドレスが必要です。
● エッジ デバイスの背後 ( ネットワーク アダプター 2 つ ) ・・・
図 4: DirectAccess サーバーを設置可能なネットワーク トポロジ
2 つのネットワーク アダプター持
一方のネットワーク アダプターを DMZ に、
つ DirectAccess サーバーを DMZ との境界に設置し、
他方を内部ネットワークに接続します。DMZ に接続されるネットワーク アダプターには、1 つの
パブリック IPv4 アドレスが必要です。
1 つのネットワーク アダプターを
持つ DirectAccess サーバーを内部ネットワークに設置します。DirectAccess サーバーに、パブリッ
● エッジ デバイスの背後 ( ネットワーク アダプター 1 つ ) ・・・
クなアドレスを割り当てる必要はありません。このトポロジでは、エッジ デバイス ( ルーターや
ファイアウォール デバイス ) のパブリック アドレスへの IP-HTTPS トラフィックを、
DirectAccess サーバーに転送するように、エッジ デバイスで IP マスカレードやファイアウォー
ルを構成する必要があります。
DirectAccess クライアント
Windows Server 2012 の DirectAccess の ク ラ イ ア ン ト と し て は、Windows 8 Enterprise お よ び
Windows 7 Enterprise/Ultimate がサポートされますが、前述のように、既定の簡易展開では Windows 8
Enterprise のみがサポートされます。また、DirectAccess はソフトウェア アシュアランスの Windows 8
Enterprise の機能であり、Windows 8 Pro など他のエディションでは利用できません。DirectAccess を利用
できないデバイスについては、DirectAccess とともに展開することができる VPN でサポートすることが可能
です。Windows Server 2012 では、DirectAccess と VPN を、単一の管理コンソールで一元管理することが
できます。
以前のバージョンでは、このような柔軟なトポロジに対応していませんでした。また、
2 つの連続したパブリッ
ク IPv4 アドレスや、PKI ( 公開キー基盤 ) の展開など、その他にも前提要件がありました。2 つの IPv4 アド
レス要件は、Windows Server 2012 では削除されています。また、PKI の展開は必須要件ではなくなりました。
Windows Server 2012 の DirectAccess は、PKI を必要としない簡易展開が既定で行われます。DirectAccess
サーバーに SSL/TLS 証明書が必要になりますが、これを準備できない場合でも、自動生成される自己署名証明
書を使用して展開することができます。
15
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 ...............
16
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 3.2 リモート デスクトップ サービスのシステム構成
Windows Server 2012 のリモート デスクトップ サービスは、Active Directory ドメイン環境に導入するこ
とができます。リモート デスクトップ サービスは、以下の 6 つのコンポーネントで構成されます。
● リモート デスクトップ
(RD) セッション ホスト ・・・ リモート デスクトップ接続のサーバー ( 旧
ターミナル サーバー )
● リモート デスクトップ
(RD) 仮想化ホスト ・・・ VDI 仮想デスクトップを実行する Hyper-V サーバー
● リモート デスクトップ (RD) 接続ブローカー ・・・ デスクトップの割り当てや再接続を制御
● リモート デスクトップ
(RD) Web アクセス ・・・ デスクトップやアプリケーションへの接続を提供
する Web ポータル
● リモート デスクトップ (RD) ゲートウェイ ・・・ インターネット経由での接続を可能にするゲート ウェイ
● リモート デスクトップ
(RD) ライセンス ・・・ RDS CAL の割り当てを管理
RD 接続ブローカーは必須コンポーネントであり、リモート デスクトップ サービスの全体を管理します。
セッション ベースの展開には RD セッション ホスト、仮想マシン ベースの展開には RD 仮想化ホストが必要
で、RD Web アクセス ( 必須 ) と RD ゲートウェイ ( オプション ) がデスクトップやアプリケーションへの接
続ポイントを提供します。RD ライセンス サーバーの設置も必須であり、これが無い場合、リモート デスクトッ
プ サービスの各機能は、120 日間の評価モードの終了後に機能を停止します。
セッション ベースまたは仮想マシン ベースのいずれか一方の展開を行う場合、最も小規模な展開方法は、
すべてのコンポーネントを 1 台のサーバーに構成する方法です。仮想化基盤を利用可能な場合は、RD 仮想化
ホストを除くコンポーネントを、1 台以上の仮想マシンで実行することもできます。1 台でシンプルに展開する
場合でも、コンポーネントを複数に分散配置する場合でも、導入や管理が複雑になることはありません。導入
については、リモート デスクトップ サービス専用のインストール ウィザードにより、各コンポーネント間の
連携を適切に構成してくれるので、難しいところはありません。管理については、単一のコンソールを使用して、
全体を一元管理することができます。これらは、Windows Server 2012 における、リモート デスクトップ サー
ビスの最大の特長であり、以前のバージョンからの大きな改善点です。
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 第4 章
ソリューションのセットアップの概要
Windows 8 と Windows Server2012 のリモート アクセス ソリューションについて、セットアップの方法
を概要レベルで説明します。各ソリューションの導入が、それほど難しくないということを感じていただける
はずです。
4.1 Windows To Go ワークスペースの作成
Windows To Go ワークスペースを含む USB デバイスは、[Windows To Go ワークスペースの作成 ] ウィ
ザードを使用して、Windows 8 Enterprise のインストール メディア内のイメージまたはカスタム イメージか
ら、簡単に作成することができます。
USB デバイスの要件
Windows To Go は、20 GB 以上の容量のある、USB 3.0 ドライブへの作成がサポートされます。USB 2.0
ドライブへの作成も可能ですが、サポートされない構成であり、推奨されません。また、Windows でリムー
バブル記憶域として分類される、一般的な USB メモリは、十分な容量があり、USB 3.0 規格であったとしても、
使用することができないことに留意してください。
Windows To Go の作成には、以下の URL で紹介されている、
Windows To Go 認定デバイスの使用を推奨します。
Windows To Go: Feature Overview-Hardware considerations for Windows To Go
http://technet.microsoft.com/en-us/library/hh831833.aspx#wtg_hardware
Windows To Go ドライブを使用したワークスペースは、Windows 7 または Windows 8 認定ロゴのある
PC の USB 3.0 ( 推奨 ) または USB 2.0 ポートに接続して、起動することができます。ただし、Windows 7 ま
たは Windows 8 認定ロゴのある、あらゆる PC の起動を保証するものであはありません。
Windows To Go ワークスペースの作成
[Windows To Go ワークスペースの作成 ] ウィザードは、Windows 8 の検索画面 ( "Windows To Go" と
検索 )、Windows 8 Enterprise の [ コントロール パネル ] 、または C:\Windows\System32\Pwcreator.exe
を実行して開始することができます。このウィザードは、Windows 8 Pro など他のエディションには提供され
ないものです。
[Windows To Go ワークスペースの作成 ] ウィザードを起動したら、作成先の USB ドライブを選択し、
Windows 8 Enterprise のイメージを指定して作成を開始します。オプションで、BitLocker ドライブ暗号化に
よる保護を構成することができます ( 暗号化を推奨 ) 。
Windows 8 Enterprise のイメージとしては、インストール メディアの Sources\Install.wim を使用できま
す。また、企業クライアントをイメージ展開するのと同じ方法で作成した、WIM 形式のカスタム イメージを
使用することもできます。カスタム イメージは、Windows アセスメント & デプロイメント キット (ADK) な
どに含まれる展開ツール (ImageX.exe) を使用して作成することができます。
図 5: リモート デスクトップ サービスのシステム構成
17
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 ...............
18
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 4.2 DirectAccess のセットアップ
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 Windows アセスメント & デプロイメント キット (ADK)
http://msdn.microsoft.com/ja-jp/library/hh825420.aspx
DirectAccess は、Windows Server 2012 の [ リモート アクセス ] の役割に含まれており、DirectAccess
単独で、あるいは DirectAccess と VPN を同時に展開することができます。
DirectAccess サーバーの展開
DirectAccess サーバーは、特に中小規模の企業が簡単に展開できるようになっています。 [ リモート アク
セス ] の役割の追加後に実行する [ リモート アクセスの構成 ] ウィザードで、DirectAccess サーバーを設置
するネットワーク トポロジを選択し、サーバーのパブリックな FQDN または IPv4 アドレスを入力すれば、
Windows 8 Enterprise クライアントに対応した簡易展開を完了できます。
DirectAccess サーバーを展開したら、[ リモート アクセス管理コンソール ] を使用して、構成のカスタマイ
ズやサービスの正常性の監視、クライアント接続状況の監視を行えます。例えば、既定では Active Directory
ドメイン メンバーのすべてのノート PC ( ラップトップ PC) が DirectAccess クライアントとして構成されま
すが、特定のコンピューターやコンピューター グループに変更することができます。なお、[ リモート アクセ
ス管理コンソール ] は、DirectAccess と VPN の両方に対応しており、DirectAccess とともに VPN を展開し
た場合は、同じコンソールで管理することができます。
画面 11: Windows 8 Enterprise に付属する [Windows To Go ワークスペースの作成 ] ウィザード
画面 13: 簡易展開は、ネットワーク トポロジと FQDN または IPv4 アドレスの入力だけで完了
19
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
画面 12: Windows To Go ワークスペースを BitLocker ドライブ暗号化で暗号化して保護する
Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 ...............
20
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 4.3 リモート デスクトップ サービスのセットアップ
Windows Server 2012 のリモート デスクトップ サービスもまた、シナリオ ベースのインストール ウィ
ザードを使用して、簡単に導入することができます。
リモート デスクトップ サービスのサーバーの展開
Windows Server 2012 が提供する役割や機能は、[ 役割と機能の追加ウィザード ] を使用して、サーバー
ごとにインストールすることができます。リモート デスクトップ サービスについては、専用のインストール
オプションが用意されており、セッション ベースまたは仮想マシン ベースの展開シナリオを選択して、展開
シナリオに必要なコンポーネントを、複数のサーバーに同時にインストールし、コンポーネント間の構成まで
を行ってくれます。1 台のサーバーに展開する場合は、すぐに利用を開始できる状態まで構成してくれる
[ クイック スタート ] オプションを利用できます ( クイック スタートは、評価環境を簡単に展開するのに便
利です ) 。
画面 14: DirectAccess と VPN を一元管理可能な [ リモート アクセス管理コンソール ]
DirectAccess クライアントの展開
実は、Windows 8 Enterprise を実行する PC を DirectAccess クライアントとして構成するために、PC ご
とのシステム構成は必要ありません。DirectAccess サーバーを展開すると、Active Directory ドメインに
DirectAccess サーバーと DirectAccess クライアント用のグループ ポリシー オブジェクト (GPO) が作成されま
す。DirectAccess クライアント用のグループ ポリシーが PC に適用されると、DirectAccess クライアントとし
て動作し始めます。すなわち、クライアントが社内ネットワークに直結されている場合は、通常のクライアント
と同じように社内リソースにアクセスでき、同じクライアントが社外に出た場合は、インターネット接続を使用
して DirectAccess サーバーに接続し、社内ネットワークに自動接続するようになります。
画面 16: [ 役割と機能の追加ウィザード ] が提供するリモート デスクトップ サービス専用のインストール オプション
画面 15: [DirectAccess クライアントの設定 ] GPO が適用されることで、DirectAccess クライアントになる
画面 17: セッション ベースまたは仮想マシン ベースの展開シナリオを選択して、シナリオに必要になるコンポーネントを配置するサーバー
を指定するだけ
21
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 ...............
22
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 コンポーネントの展開が完了したら、[ サーバー マネージャー ] に統合されたリモート デスクトップ サービ
スの管理コンソールを使用して、構成と管理を一元的に行うことができます。RD ラインスや RD ゲートウェ
イについては、シナリオ ベースの展開ではインストールされませんが、管理コンソールの展開イメージのアイ
コンをクリックして、簡単に追加して構成することができます。
画面 19: ユーザー プロファイル ディスクは、リモート デスクトップ サービスにおけるローミングに使用される
コレクションが作成されると、
RD Web アクセスのポータルにアイコンが登録されます。Windows 8 の [ コ
ントロール パネル ] にある [RemoteApp とデスクトップ接続 ] を構成すると、RD Web アクセスに公開され
画面 18: [ サーバー マネージャー ] に統合されたリモート デスクトップ サービスの管理コンソール
コレクションの作成
リモート デスクトップ サービスのサーバーを展開したら、コレクションを作成して、ユーザーにリソース ( デ
スクトップやアプリケーション ) を公開します。セッション ベースの場合はセッション コレクションを作成し、
デスクトップを提供する RD セッション ホストとアクセスを許可するユーザー グループを指定します。仮想
マシン ベースの場合は、仮想デスクトップ コレクションを作成します。仮想デスクトップ コレクションの作
成のためには、テンプレートとなる仮想マシンのイメージを事前に作成しておくことが必要ですが、テンプレー
トを 1 つ用意さえすれば、仮想デスクトップ コレクションを使用して、必要な数の仮想マシンを自動作成し、
ているアイコンを、Web フィードを使用して、Windows 8 のスタート画面に自動登録できます。ユーザーは、
RD Web アクセスが提供するアイコンをクリックすることで、シングル サインオンでサーバーや仮想デスク
トップ、あるいは RemoteApp プログラムへのリモート デスクトップ接続を開始できます。
RemoteApp プログラムとは、デスクトップ全体ではなく、アプリケーション ウィンドウ単位でリモート接
続し、ローカルのデスクトップにシームレスに統合してアプリケーションを利用できる機能です。RemoteApp
プログラムは、コレクションごとに構成することができます。以前のバージョンでは、RemoteApp プログラ
ムは RD セッション ホストでのみサポートされる機能でしたが、Windows Server 2012 では、仮想デスク
トップにインストールされたアプリケーションを、RemoteApp プログラムとして公開できるように拡張され
ました。
ゲスト OS を自動構成することができます。
セッション ベースと仮想マシン ベースの両方の展開で、コレクションにユーザー プロファイル ディスクを
構成することができます ( 個人用仮想デスクトップ コレクションを除く ) 。ユーザー プロファイル ディスク
は、ユーザー設定とデータを格納するための仮想ハードディスクであり、接続時に自動的にマウントされるも
のです。ユーザー プロファイル ディスクを使用することにより、ファイル転送を伴う移動ユーザー プロファ
イルを利用しなくても、ユーザー環境のローミングが可能になります。ユーザーは、接続先のサーバーや仮想
マシンが変更になっても、自分の個人設定を継続して利用することができます。また、ユーザー プロファイル
のサイズ増加が、サーバーや仮想マシンのディスク使用に影響しないというメリットがあります。
画面 20: コレクションは RD Web アクセスのポータルに公開され、シングル サインオンで接続を開始できる
23
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 ...............
24
と Windows Server 2012 が実現する リモート アクセスソリューションの概要
Windows 8 まとめ
このホワイト ペーパーでは、フレキシブル ワークスタイルを実現するリモート アクセス ソリューショ
ン と し て、Windows To Go、DirectAccess、 リ モ ー ト デ ス ク ト ッ プ サ ー ビ ス の 3 つ を 紹 介 し ま し た。
DirectAccess とリモート デスクトップ サービスは、Windows Server の以前のバージョンから提供されてい
るものですが、Windows Server 2012 で展開と管理が非常に簡単になっており、中小規模の企業においても導
入しやすいものになっています。リモート アクセスに社外デバイスを使用する場合、セキュリティ リスクが
不安ですが、Windows To Go を用いればその不安を解消できるでしょう。
※ Microsoft、Windows、Windows ロゴは、⽶国 Microsoft Corporation および、またはその関連会社の商標です。
※ その他記載されている、会社名、製品名、ロゴ等は、各社の登録商標または商標です。
※ このリーフレットは、2011 年 4 ⽉現在のものです。
※ 本キャンペーンの内容および、製品の仕様は、予告なく変更することがあります。予めご了承ください。
25
日本マイクロソフト株式会社
..............Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要
〒108-0075 東京都港区港南 2-16-3 品川グランドセントラルタワー
1539-WI1