はじめに
Windows 8 + Windows Server 2012 : Better Together
...第 1 章
Windows 8
時代のフレキシブル ワークスタイル 1.1 リモート アクセスの課題 ... 1.2 フレキシブル ワークスタイルとは ...第 2 章
リモート アクセス ソリューションの要素技術 2.1 Windows To Go の技術概要 ... 2.2 DirectAccess の 術概要 ... 2.3 リモート デスクトップ サービスの技術概要 ...第 3 章
リモート アクセス ソリューションのシステム構成 3.1 DirectAccess のシステム構成 ... 3.2 リモート デスクトップ サービスのシステム構成 ...第 4 章
ソリューションのセットアップの概要 4.1 Windows To Go ワークスペースの作成 ... 4.2 DirectAccess のセットアップ ... 4.3 リモート デスクトップ サービスのセットアップ ...Contents
3
5
5
6
7
7
10
12
15
15
17
18
18
20
22
著作権情報
© 2012 Microsoft Corporation. All rights reserved. 本書は現状有姿のままで提供されるものであり、このドキュメントに記載されている情報および 見解は、URL およびその他の Web サイト参照先を含め、事前の通知なく変更されることがあります。本書の利用に関する責任はお客様が負うも のとします。本書は、マイクロソフト製品の知的財産権に関する法的権利をお客様に許諾するものではありません。本書は、内部における参照を 目的として複製および使用することができます。本書は、内部における参照を目的として変更することができます。 ●
Windows To Go
・・・
社内の別の PC や第三者の PC ( 自宅の PC など ) を USB
デバイスから起動して、企業の標準デスクトップに変えることができます。
●DirectAccess
・・・・・
VPN に変わる、インターネットから社内リソースへのシー
ムレスで安全なリモート アクセスを実現します。
●リモート デスクトップ サービス
・・・
ユーザーは、どこからでも企業のデスクトップ
環境にリモート接続でき、IT 部門は、アプリケーションとデータを一元管理できます。
このホワイト ペーパーは、中小規模企業の IT 部門担当者を対象に、Windows 8 と
Windows Server 2012 の組み合わせで実現可能な、次の 3 つのリモート アクセス ソリュー
ションの利点、概要、および構成について説明します。
● クライアント Hyper-V ・・・ Windows Server 2012 Hyper-V と互換性の高い、仮想化テクノロジ です。
●
VHD (VHDX)
からのネイティブ ブート・・・ VHD (VHDX)
イメージを利用した、OS
のインス トールやイメージ展開をサポートします。Windows 8 Enterprise だけの機能
Windows 8 Pro
にソフトウェア アシュアランス(SA)
を追加すると、Windows 8
の最上位エディションで あるWindows 8 Enterprise
にアップグレードすることができます。Windows 8 Enterprise
は、Windows 8
Pro
のすべての機能に加えて、次に示す企業向け拡張機能が提供されます。 ●Windows To Go
・・・
企業の管理されたデスクトップ環境を格納した、起動可能なUSB
デバイ スです。Windows To Go
については、このホワイト ペーパーで説明します。 ●DirectAccess
・・・
インターネット接続を利用して、企業ネットワークの社内リソースにシーム レスにアクセスする機能です。Direct Access
についてはこのホワイト ペーパーで説明します。 ●BranchCache
・・・
ホストまたはクライアントのキャッシュを使用して、WAN
経由でのファイ ルやWeb
コンテンツのダウンロード エクスペリエンスを向上します。 ●AppLocker
・・・
アプリケーションやインストーラーの実行制限や監査を可能にします。Windows 8
のアプリの制限にも対応します。 ●VDI
拡張機能・・・ VDI
の仮想デスクトップに対して、ゲストOS
の展開、リモート接続、および3D
グラフィックスのリッチなエクスペリエンス機能を提供します。VDI
の拡張機能については、 リモート デスクトップ サービスの一部として、このホワイト ペーパーで説明します。●
WinRT
アプリのサイド ローディング展開・・・ Windows 8
のアプリ(WinRT
アプリ)
は、Windows
ストアから入手するのが原則です。Windows 8 Enterprise
では、Windows
ストア を経由しない、企業内でのアプリの配布 ( サイド ローディング ) をサポートします。Windows 8
は、ユーザーのデジタル ライフ スタイルにフォーカスして再創造された、最新のデスクトップ オペレーティング システム(OS)
です。Windows 8
は、従来からのデスクトップPC
およびノートブック ( モ バイル )PC
のOS
としてだけでなく、タブレットPC
などのマルチ タッチ対応デバイスでのエクスペリエン スを向上する機能強化が行われています。Windows 8
の強化および刷新されたエクスペリエンス機能は、決してコンシューマー ( ホーム ユーザー ) 向けだけのものではありません。Windows 8
が変革しようとしているデジタル ライフ スタイルには、企業ユー スにおけるワーク スタイルも含まれています。そして、新しいワーク スタイルを実現するWindows 8
の企業 向けの機能の多くは、同じテクノロジに基づいて開発され、親和性の高いWindows Server 2012
との組み合 わせで実現されます。"The Cloud OS" としての Windows Server 2012
Windows Server 2012
は、"the Cloud OS"
として再設計されたサーバー、仮想化プラットフォーム、およ びクラウド向けの最新OS
です。Windows Server 2012
は、小規模なサーバー環境から、企業のオンプレミス の大規模データセンターやプライベート クラウド、さらにはWindows Azure
やサービス プロバイダーが提 供するパブリック クラウドまでをカバーする、スケーラビリティと高可用性を備えます。Windows Server 2012
はまた、エンド ユーザーが必要とする、データやアプリケーションへのアクセスを、 ユーザーの場所やデバイスを問わずに提供するための、ID
管理サービス、ファイル サービス、リモート アク セス機能、セキュリティ機能を備えます。クラウド コンピューティングの利便性をエンド ユーザーやデバイ スに届けるのも、Windows Server 2012
の役割というわけです。Windows Server 2012
は、レガシOS
に対 して高いレベルで下位互換性を提供しますが、Windows Server 2012
の提供するサービスをフルに利用するに は、Windows 8
ベースのPC
やデバイスの使用が最適です。ビジネスにも最適な Windows 8
Windows 8
は、コンシューマー向けのWindows 8
、企業向けのWindows 8 Pro
、およびARM
デバイ スにプリ インストールされるWindows RT
の3
エディションで提供されます。企業向けエディションのWindows 8 Pro
は、Windows 8
( 無印 ) やWindows RT
には無い次の企業向け機能を提供します。●
Active Directory
ドメイン参加 ・・・Active Directory
のドメイン アカウントによるログオン ( サインイン ) とアクセス制御が可能です。●
グループ ポリシーによる管理 ・・・ ポリシー ベースでシステム構成やセキュリティ設定、 アプリケーションの配布を一元管理できます。
●
リモート デスクトップ ( ホスト ) ・・・ デスクトップへのリモートからの接続をサポートします。 ● 暗号化ファイル システム
(EFS)
・・・ ファイルやフォルダーを暗号化して保護するセキュリティ機 能です。 ●BitLocker
ドライブ暗号化およびBitLocker To Go ・・・ ボリューム全体を暗号化して保護する
セキュリティ機能です。画面 1 VPN 接続の失敗例
1.2 フレキシブル ワークスタイルとは
マイクロソフトが提唱するフレキシブル ワークスタイルとは、場所やデバイスを固定せず、業務を継続でき るワークスタイルです。フレキシブル ワークスタイルには、次のようなメリットがあります。エンド ユーザーのメリット
● いつでも、どこからでも、どのデバイスからでも接続 ・・・ ユーザーは、場所やデバイスを問わず、 簡単な操作で ( または自動的に ) 、安全に社内リソースにアクセスできます。 ● 個人設定や作業環境をローミングして作業を継続 ・・・ ユーザーは、同じ作業環境を使用して、以 前に中断した仕事をすぐに再開できます。IT 部門のメリット
• セキュリティとコントロールの強化 ・・・ IT 部門は、デスクトップ環境やデータを一か所で集中 管理できるため、セキュリティの実装と監視が容易になり、データの保護と規制への準拠を強化 できます。 • アプリケーションとリソースの一元管理 ・・・OS
やアプリケーションの展開と更新を1
か所で行 えるため効率的です。また、データを1
か所に保存するため、記憶域の使用効率が向上し、ハー ドウェア増強の計画も容易になります。Windows 8
およびWindows Server 2012
は、フレキシブル ワークスタイルの実現を支援する、さま ざまな新機能を標準提供します。ここではその中から、中小規模の企業においても導入しやすい、Windows
To Go、DirectAccess、
リモート デスクトップ サービスの3
つのテクノロジについて説明します。モバイル ブロードバンドの普及、デバイスの多様化、
BYOD (Bring Your Own Device:
個人所有のデバイス を企業内に持ち込んで業務で利用すること ) のニーズ、それらに伴うセキュリティ リスクの増大など、企業のIT
環境はいま、これらの新しいIT
環境やニーズ、課題に対するソリューションを必要としています。企業のIT
環境の統制とセキュリティを維持するために、新しいニーズに対応しないことは簡単です。しかし、新しい IT 環境やニーズに柔軟に対応できないと、従業員の生産性を阻害するだけでなく、重要なビジネス機会を失う ことになりかねません。例えば、営業担当者が社外から企業内のビジネス データにリモート アクセスできる のと、できないのとは、仕事の効率や営業成績が大きく違ってくるでしょう。1.1 リモート アクセスの課題
社外から企業ネットワークの社内リソースに対してリモート アクセスできる環境は、是非とも整備したい、 重要なIT
サービスです。リモート アクセス環境は、社外で活動することが多い従業員や、国内外に出張する 従業員に対して、業務アプリケーションやデータ、あるいは作業環境すべてを提供できます。また、パンデミッ クや大規模災害など、緊急時の在宅勤務環境を迅速に提供することもできます。 企業ネットワークへのリモート アクセス手段としては、VPN
接続が一般的です。しかし、VPN
接続には、 次のような課題や不安が常に付きまといます。 ●ユーザーによる
VPN
接続、切断操作が面倒 ●VPN
接続時の通信速度の低下 ( ルーティングの影響 ) ●解決できない
VPN
接続失敗のトラブル ●長期間、社外で管理外に置かれたデバイスのセキュリティ低下 ●
デバイスの紛失や通信からの情報漏えい ●
管理下にない個人所有デバイスからのリモート アクセスに伴うセキュリティ リスク
VPN
接続のトラブルの多くは、利用するインターネット接続環境におけるファイアウォールでのブロック が原因であり、その場合、エンド ユーザーはもちろん、企業側のIT
スタッフにも解決できるものではありま せん。また、VPN
接続は通常、企業のIT
サブネット全体への接続を許可するものです。長期間、社外にあっ て適切な管理下に無いデバイスや、元々管理下に無い個人所有デバイス ( 自宅のPC
など ) からの接続は、マ ルウェア感染や情報漏えいのリスクを高めます。第 1 章
Windows 8 時代のフレキシブル ワークスタイル
画面 1: Windows To Go の利用イメージ
Windows To Go
のUSB
ドライブから起動したデスクトップ環境は、フル機能のWindows 8 Enterprise
であ り、いくつかの例外 (TPM
を使用できない、回復環境やPC
リカバリー機能が提供されないなど ) を除いて、通 常のWindows 8
とまったく同じように動作します。USB
接続は切断の可能性がありますが、Windows To Go
は
60
秒以内の切断を許容します ( 切断中、すべての操作はロックされます ) 。また、切断状態が60
秒経過すると、 自動的に PC の電源がオフになります。 画面 2: Windows To Go で起動した環境は、60 秒以内の USB の切断を許容。60 秒後に自動的に電源オフ フレキシブル ワークスタイルを実現するリモート アクセス ソリューションは、Windows 8 Enterprise
の企業 向け拡張機能と、Windows Server 2012
のサーバー機能の組み合わせで実現されます。それぞれ個別に使用する こともできますが、組み合わせることで、より高機能なソリューションになります。Windows To Go
についてはWindows 8 Enterprise
単体で動作するOS
環境ですが、他の2
つのリモート アクセス ソリューションのクライ アントとして利用できることにそのメリットがあります。ライセンスに関する留意事項
●
Windows To Go
とDirectAccess
は、Windows 8 Enterprise
の機能であり、Windows 8 Pro
には 提供されない機能です。ボリューム ライセンス製品のWindows 8
Pro
にソフトウェア アシュアラ ンス(SA)
を追加することで、Windows 8 Enterprise
にアップグレードできます。●
DirectAccess
など、Windows Server 2012
のサーバーへのアクセスには、クライアント アクセス ライセンス(CAL)
が必要になります。●
Windows Server 2012
のリモート デスクトップ サービスに接続するには、リモート デスクトップ サービスCAL (RDS CAL)
が必要になります。VDI
の仮想デスクトップの展開とリモート接続には、 さらに SA またはWindows Virtual Desktop Access (VDA)
ライセンスが必要になります。2.1 Windows To Go の技術概要
Windows To Go
は、Windows
ソフトウェア アシュアランス(SA)
で提供されるWindows 8 Enterprise
の企 業向け機能の1
つです。Windows To Go
を使用すると、ユーザーはUSB
接続の外部ドライブにインストールさ れたフル機能のWindows 8 (Windows To Go
ワークスペース ) を使用して、社内の別の PC ( ライセンス取得済 みのデバイス ) や第三者のPC
( 個人所有PC
など ) を起動し、企業の標準のデスクトップ環境を使用して業務を 遂行することができます。これにより、次のような場所でのフレキシブル ワークスタイルを可能にします。 ●社内 ・・・ フリー アドレス デスクや共有エリアでの作業、
BYOD
●社外 ・・・ 外出や出張先での第三者の PC を使用した作業
●自宅 ・・・ 個人所有 PC での在宅勤務
Windows To Go
のUSB
ドライブは、種類の異なる複数のコンピューターを起動できます。また、USB
ドライ ブに格納するWindows To Go
ワークスペースには、社内の通常のデスクトップPC
やノートPC
と同じインス トール イメージを使用して作成することができ、同じように社内のクライアントとして管理できます。IT
部門は、Windows To Go
ワークスペースの中に、Active Directory
のドメイン設定や、業務アプリケーション、後述するDirectAccess
クライアントの設定を組み込むことで、場所やデバイスを問わずに、業務を継続するためのデスク トップ環境をユーザーに提供できます2.2 DirectAccess の技術概要
DirectAccess
は、Windows Server 2008 R2
およびWindows 7 Enterprise
で初めて登場した、VPN
に変 わるリモート アクセスのための新しいテクノロジです。Windows Server 2012
では、DirectAccess
の展開と 管理が簡素化され、Windows 8 Enterprise
のDirectAccess
クライアントとしてのエクスペリエンスが向上し ました。以前のバージョンは要件が厳しく、導入が難しかった中小規模の企業においても、Windows Server
2012
では容易に導入できるようになっています。DirectAccess
は、新しいインターネット プロトコルであるIPv6 (IP version 6)
とIP
Sec(IP Security)
、お よびIPv4 (IP version 4)
からIPv6
移行テクノロジに基づいたリモート アクセス ソリューションです。しかし、 現実としてIPv6
への移行を完了している企業は多くないでしょう。DirectAccess
はIPv6
に基づいていますが、IPv6
の導入は必須要件ではなく、既存のIPv4
ネットワークに導入してリモート アクセス環境を構築すること ができます。また、導入のために、IPv6
やIPSec
、IPv6
移行テクノロジの詳しい知識は要求されません。DirectAccess
のクライアントは、社内ネットワーク上では通常のネットワーク接続を使用します。同じ クライアントが社外に出ると、使用するインターネット接続状況に応じて、接続方法が選択され、自動的にDirectAccess
による接続が行われます。DirectAccess
による接続は、IPSec
により暗号化保護されたIPv6
に よる通信ですが、そのことをユーザーが意識することはありません。社内ネットワークに接続しているときと 同じように、シームレスに社内リソースにアクセスすることができます。以前のバージョンとは異なり、IPv4
だけのホストに対しても、DirectAccess
が背後で必要な変換処理を行ってくれます。 従来のVPN
の場合、ファイアウォールの状況によって、接続が失敗することがありましたが、複数の接続 方法を持つDirectAccess
は接続性に優れています。例えば、PC
がファイアウォールの内側からインターネッ トに接続している場合 ( 自宅のブロードバンド接続やビジネス ホテルの接続サービスなど ) は、セキュリティ で保護されたWeb
ブラウジングと同じポートを使用する、HTTPS
ベースのトンネリング技術(IPHTTPS)
でIPv6
トラフィックを通すため、ファイアウォールやプロキシにブロックされることなく、DirectAccess
の接 続が可能です。 図 2: DirectAccess の接続イメージWindows To Go
で起動中は、PC
に元からある内蔵の固定ディスクはオフラインになり、エクスプローラー には表示されません。Windows To Go
は、ローカル ディスク (C: ドライブ ) として自身のUSB
ドライブの みを読み書きします。これにより、操作したファイルやUR
L の履歴やセキュリティ情報が使用したPC
に残る ことがありませんし、社内の機密データがPC
に誤って公開されてしまうこともありません。また、企業の管 理下に無い、セキュリティ対策が不十分かもしれない PC を使用した場合でも、そのPC
に存在するかもしれ ないマルウェアやスパイウェア、ユーザーの同意のもとに導入されたブラウザーの情報収集ツール バーなどの 影響を受けることなく、常にクリーンなデスクトップ環境を利用できます。 画面 3: Windows To Go で起動すると、ローカルの固定ディスクはオフラインになるため、情報が PC に残ることがないWindows To Go
のUSB
ドライブは、極めて小さなサイズで持ち歩ける、ポータブルな企業デスクトップ環 境です。そのため、紛失や盗難のリスクは常に付きまといます。Windows To Go
のUSB
ドライブは、作成時 ( ま たは作成後 ) にBitLocker
ドライブ暗号化を使用して、ドライブ全体を暗号化して保護することができるため、 悪意のある第三者が不正に起動するのをブロックすることができます。BitLocker
ドライブ暗号化を利用する ことで、Windows To Go
のUSB
デバイスは、起動時にロックを解除するためのパスワードと、ログイン時の 認証で二重に保護されます。 画面 4: Windows To Go ドライブを BitLocker で暗号化し、パスワード ロックすることが可能DirectAccess
クライアントは、インターネット接続があれば常に自動接続されている状態です。そのため、IT
部門は、クライアントが社外にあっても、社内のクライアントと同じようにグループ ポリシーの変更の適用、 更新プログラムの配布、管理システムによるエージェント管理が可能です。また、ユーザーのログオン状態に 関係なく、DirectAccess
の接続を介してクライアントをリモート管理することができます。 画面 7: DirectAccess で接続中のクライアントに対して、リモート デスクトップ接続をしているところ2.3 リモート デスクトップ サービスの技術概要
リモート デスクトップ サービスは、以前はターミナル サービスと呼ばれていたもので、デスクトップや アプリケーションをサーバー側で集中的に実行し、ユーザーに画面をリモート表示するリモート アクセス ソ リューションです。リモート デスクトップ サービスは、社内でのシンクライアント ソリューションとしても 利用できますし、社外ユーザーに対するリモート アクセス ソリューションにもなります。Windows Server
2008 R2
以降のリモート デスクトップ サービスには、リモート デスクトップ セッション ホスト ( 旧ターミ ナル サーバー ) を使用したセッション ベースのサービス ( ユーザーはサーバー上で実行されるマルチ ユー ザー セッションの 1 つに接続 ) に加えて、VDI
の仮想デスクトップのサービス ( ユーザーはHyper-V
の仮想 マシンで実行されるクライアントOS
に接続 ) が統合されました。 セッション ベースと仮想マシン(VDI
) ベースのどちらも、リモート デスクトップ接続を使用して画面をリ モート表示するために、エクスペリエンスはほぼ同一です。セッション ベースはサーバーのリソースを複数ユー ザーでシェアするため、リソースあたりのユーザー収容数や管理性に優れています。ただし、サーバーOS
で あるため、アプリケーションの制約や、ユーザーごとのカスタマイズが制限されます。一方、仮想マシン ベー スは、ユーザーごとにデスクトップOS
を実行する1
台の仮想マシンを用意するため、より多くのリソースを 必要としますが、さまざまなアプリケーションに対応でき ( アプリケーションのシステム要件に合うOS
を選 択できる ) 、ユーザーに完全なOS
の管理者権限を付与することも可能です。また、仮想マシン ベースでは、RemoteFX 3D
ビデオ アダプターという仮想GPU (Graphics Processing Unit)
による、3D
グラフィックスの リッチなエクスペリエンスを提供できます。DirectAccess
のために、ユーザーはVPN
接続のような、接続を開始したり、切断したりする操作を行う必 要はありません。DirectAccess
クライアントは、ローカルのネットワーク接続を使用して社内リソースに直接 アクセスできないことを検出すると、有効なインターネット接続を利用して、DirectAccess
サーバーへの接続 を開始し、社内ネットワークに相互接続します。この動作は完全に自動化されており、社内と社外のどちらでも、 一貫性のあるエクスペリエンスで社内リソースにアクセスすることができます。 画面 5: DirectAccess クライアントが社内ネットワークに直結している場合 画面 6: DirectAccess クライアントが社外のインターネットに接続された場合画面 9: タッチ対応デバイスからのリモート接続では、ローカルと変わらないタッチ操作が可能
RDP 8.0 では RemoteFX USB
デバイス リダイレクト機能がサポートされ、ローカルに接続された USB デ バイスや内蔵カメラをリモート セッションにリダイレクトして、リモート セッション内で利用することがで きます。RemoteFX USB
デバイス リダイレクトは、Windows 8 Enterprise
を実行する仮想デスクトップと、Windows Server 2012
のリモート デスクトップ セッション ホストの両方で利用可能です。以前のバージョン では、仮想GPU
が割り当てられた、Windows 7 Enterprise SP1
を実行するVDI
の仮想デスクトップでのみ 利用可能な機能でした。 画面 10: RemoteFX USB デバイス リダイレクト リソースの効率使用と集中管理という面では、セッション ベースのリモート デスクトップ サービスが優れ ています。アプリケーションの互換性問題、3D
グラフィックス要件、パワー ユーザーへの対応など、セッショ ン ベースで対応できない場合に、仮想マシン ベースを選択するとよいでしょう。 図 3: リモート デスクトップ サービスの利用イメージWindows Server 2012
のリモート デスクトップ セッション ホストは、Windows 8
と同等のデスクトップ 環境をリモート ユーザーに対して提供できます。Windows 8
に新たに採用されたスタート画面やWinRT
ア プリの実行環境はもちろんのこと、接続元がタッチ対応デバイスの場合は、リモート セッション内でタッチ対 応を認識し、通常のWindows 8
デバイスと同じように、タッチやジェスチャ操作が可能です。画面 8: Windows Server 2012 のリモート デスクトップ セッション ホストへのリモート デスクトップ接続。Windows 8 と同じ UI で同じ エクスペリエンスを提供
Windows 8
は最新のリモート デスクトップ プロトコルであるRDP 8.0
を搭載しており、強化されたRemoteFX
機能とともに、ネットワークの速度や品質に影響されることなく、可能な限り、一貫性のあるリッ チなエクスペリエンスを実現します。例えば、1.5Mbps
程度の遅延 ( レイテンシ ) の高いモバイル ブロード バンド回線を使用したリモート接続の場合、以前のバージョンでは背景をオフにするなど、エクスペリエンス 機能の一部が利用できませんでした。最新のRDP 8.0
では、このようなWAN
回線上でも、LAN
での利用と 変わらないエクスペリエンス機能を利用できます。また、ビデオやオーディオ コンテンツをスムーズに再生す ることができます。リモート セッションでのマルチ タッチ対応も、RDP 8.0
の新機能です。このように、
Windows Server 2012
のDirectAccess
は、特に、中小規模の企業においてWindows 8
クライ アントを使用する場合の展開が、非常に簡単になっています。ただし、この既定の簡易展開では、証明書ベー スの認証を必要とする2
要素認証や、NAP
(ネットワーク アクセス保護) との統合などの高度な構成や、旧バー ジョン (Windows
7) のクライアントのサポートなどが利用できないことに留意してください 図 4: DirectAccess サーバーを設置可能なネットワーク トポロジDirectAccess クライアント
Windows Server 2012
のDirectAccess
の ク ラ イ ア ン ト と し て は、Windows 8 Enterprise
お よ びWindows 7 Enterprise/Ultimate
がサポートされますが、前述のように、既定の簡易展開ではWindows 8
Enterprise
のみがサポートされます。また、DirectAccess
はソフトウェア アシュアランスのWindows 8
Enterprise
の機能であり、Windows 8 Pro
など他のエディションでは利用できません。DirectAccess
を利用 できないデバイスについては、DirectAccess
とともに展開することができるVPN
でサポートすることが可能 です。Windows Server 2012
では、DirectAccess
とVPN
を、単一の管理コンソールで一元管理することが できます。DirectAccess
とリモート アクセス サービスのソリューションはどちらも、社内ネットワーク側にWindows Server 2012
を実行するサーバーを1
台以上設置して、Windows 8
を実行するクライアントからリ モート アクセスする構成になります。そして、このクライアントの環境は、Windows To Go
のUSB
ドライブ に格納することができます。3.1 DirectAccess のシステム構成
DirectAccess
のリモート アクセス環境は、Active Directory
ドメイン環境が構成された企業ネットワーク に1
台以上のDirectAccess
サーバーを設置することで、構築することができます。DirectAccess
サーバーは、Windows Server 2012
の [ リモート アクセス ] の役割としてインストールすることができ、DirectAccess
のみを、あるいは
DirectAccess
とVPN
サーバーの両方を展開することができます。前述したように、DirectAccess
はIPv6
に基づいていますが、IPv6
を導入していない、IPv4
ネットワークにも導入可能です。DirectAccess サーバーの設置
Windows Server 2012
のDirectAccess
サーバーは、以下の 3 つのネットワーク トポロジへの設置が可能 です。中小規模企業では、既存のインターネット接続環境を大きく変更することなく、DirectAccess
サーバー を追加導入することが可能です。 ● エッジ ・・・2
つのネットワーク アダプターを持つ
DirectAccess
サーバーをインターネットとの 境界に設置し、一方のネットワーク アダプターをインターネットに、他方を内部ネットワークに 接続します。インターネットに接続されるネットワーク アダプターには、1
つのパブリックIPv4
アドレスが必要です。 ● エッジ デバイスの背後 ( ネットワーク アダプター 2 つ ) ・・・
2
つのネットワーク アダプター持 つDirectAccess
サーバーをDMZ
との境界に設置し、一方のネットワーク アダプターをDMZ
に、 他方を内部ネットワークに接続します。DMZ
に接続されるネットワーク アダプターには、1
つの パブリックIPv4
アドレスが必要です。 ● エッジ デバイスの背後 ( ネットワーク アダプター 1 つ ) ・・・1
つのネットワーク アダプターを 持つDirectAccess
サーバーを内部ネットワークに設置します。DirectAccess
サーバーに、パブリッ クなアドレスを割り当てる必要はありません。このトポロジでは、エッジ デバイス ( ルーターや ファイアウォール デバイス ) のパブリック アドレスへのIP-HTTPS
トラフィックを、DirectAccess
サーバーに転送するように、エッジ デバイスで IP マスカレードやファイアウォー ルを構成する必要があります。 以前のバージョンでは、このような柔軟なトポロジに対応していませんでした。また、2
つの連続したパブリッ クIPv4
アドレスや、PKI ( 公開キー基盤 ) の展開など、その他にも前提要件がありました。2
つのIPv4
アド レス要件は、Windows Server 2012
では削除されています。また、PKI
の展開は必須要件ではなくなりました。Windows Server 2012
のDirectAccess
は、PKI を必要としない簡易展開が既定で行われます。DirectAccess
サーバーに
SSL/TLS
証明書が必要になりますが、これを準備できない場合でも、自動生成される自己署名証明 書を使用して展開することができます。Windows 8
とWindows Server2012
のリモート アクセス ソリューションについて、セットアップの方法 を概要レベルで説明します。各ソリューションの導入が、それほど難しくないということを感じていただける はずです。4.1 Windows To Go ワークスペースの作成
Windows To Go
ワークスペースを含むUSB
デバイスは、[Windows To Go
ワークスペースの作成 ] ウィ ザードを使用して、Windows 8 Enterprise
のインストール メディア内のイメージまたはカスタム イメージか ら、簡単に作成することができます。USB デバイスの要件
Windows To Go
は、20 GB 以上の容量のある、USB 3.0
ドライブへの作成がサポートされます。USB 2.0
ドライブへの作成も可能ですが、サポートされない構成であり、推奨されません。また、
Windows
でリムー バブル記憶域として分類される、一般的なUSB
メモリは、十分な容量があり、USB 3.0
規格であったとしても、 使用することができないことに留意してください。Windows To Go
の作成には、以下のURL
で紹介されている、Windows To Go
認定デバイスの使用を推奨します。Windows To Go: Feature Overview-Hardware considerations for Windows To Go
http://technet.microsoft.com/en-us/library/hh831833.aspx#wtg_hardware
Windows To Go
ドライブを使用したワークスペースは、Windows 7
またはWindows 8
認定ロゴのあるPC
のUSB
3.0
( 推奨 ) またはUSB 2.0
ポートに接続して、起動することができます。ただし、Windows 7
ま たはWindows 8
認定ロゴのある、あらゆる PC の起動を保証するものであはありません。Windows To Go ワークスペースの作成
[
Windows To Go
ワークスペースの作成 ] ウィザードは、Windows 8
の検索画面 ("Windows To Go"
と 検索 )、Windows 8 Enterprise
の [ コントロール パネル ] 、またはC:\Windows\System32\Pwcreator.exe
を実行して開始することができます。このウィザードは、
Windows 8 Pro
など他のエディションには提供され ないものです。[
Windows To Go
ワークスペースの作成 ] ウィザードを起動したら、作成先のUSB
ドライブを選択し、Windows 8 Enterprise
のイメージを指定して作成を開始します。オプションで、BitLocke
r ドライブ暗号化に よる保護を構成することができます ( 暗号化を推奨 ) 。Windows 8 Enterprise
のイメージとしては、インストール メディアのSources\Install.wim
を使用できま す。また、企業クライアントをイメージ展開するのと同じ方法で作成した、WIM
形式のカスタム イメージを 使用することもできます。カスタム イメージは、Windows
アセスメント & デプロイメント キット(ADK)
な どに含まれる展開ツール(ImageX.exe)
を使用して作成することができます。第 4 章
ソリューションのセットアップの概要
3.2 リモート デスクトップ サービスのシステム構成
Windows Server 2012
のリモート デスクトップ サービスは、Active Directory
ドメイン環境に導入するこ とができます。リモート デスクトップ サービスは、以下の 6 つのコンポーネントで構成されます。 ● リモート デスクトップ(RD)
セッション ホスト ・・・ リモート デスクトップ接続のサーバー ( 旧 ターミナル サーバー ) ● リモート デスクトップ(RD)
仮想化ホスト ・・・VDI
仮想デスクトップを実行するHyper-V
サーバー ● リモート デスクトップ(RD)
接続ブローカー ・・・ デスクトップの割り当てや再接続を制御 ● リモート デスクトップ(RD) Web
アクセス ・・・ デスクトップやアプリケーションへの接続を提供 するWeb
ポータル ● リモート デスクトップ(RD)
ゲートウェイ ・・・ インターネット経由での接続を可能にするゲート ウェイ ● リモート デスクトップ(RD)
ライセンス ・・・RDS CAL
の割り当てを管理RD
接続ブローカーは必須コンポーネントであり、リモート デスクトップ サービスの全体を管理します。 セッション ベースの展開にはRD
セッション ホスト、仮想マシン ベースの展開にはRD
仮想化ホストが必要 で、RD Web
アクセス ( 必須 ) とRD
ゲートウェイ ( オプション ) がデスクトップやアプリケーションへの接 続ポイントを提供します。RD
ライセンス サーバーの設置も必須であり、これが無い場合、リモート デスクトッ プ サービスの各機能は、120
日間の評価モードの終了後に機能を停止します。 セッション ベースまたは仮想マシン ベースのいずれか一方の展開を行う場合、最も小規模な展開方法は、 すべてのコンポーネントを1
台のサーバーに構成する方法です。仮想化基盤を利用可能な場合は、RD
仮想化 ホストを除くコンポーネントを、1
台以上の仮想マシンで実行することもできます。1
台でシンプルに展開する 場合でも、コンポーネントを複数に分散配置する場合でも、導入や管理が複雑になることはありません。導入 については、リモート デスクトップ サービス専用のインストール ウィザードにより、各コンポーネント間の 連携を適切に構成してくれるので、難しいところはありません。管理については、単一のコンソールを使用して、 全体を一元管理することができます。これらは、Windows Server 2012
における、リモート デスクトップ サー ビスの最大の特長であり、以前のバージョンからの大きな改善点です。 図 5: リモート デスクトップ サービスのシステム構成Windows
アセスメント & デプロイメント キット(ADK)
http://msdn.microsoft.com/ja-jp/library/hh825420.aspx
画面 11: Windows 8 Enterprise に付属する [Windows To Go ワークスペースの作成 ] ウィザード
画面 12: Windows To Go ワークスペースを BitLocker ドライブ暗号化で暗号化して保護する
4.2 DirectAccess のセットアップ
DirectAccess
は、Windows Server 2012
の [ リモート アクセス ] の役割に含まれており、DirectAccess
単独で、あるいは
DirectAccess
とVPN
を同時に展開することができます。DirectAccess サーバーの展開
DirectAccess
サーバーは、特に中小規模の企業が簡単に展開できるようになっています。 [ リモート アク セス ] の役割の追加後に実行する [ リモート アクセスの構成 ] ウィザードで、DirectAccess
サーバーを設置 するネットワーク トポロジを選択し、サーバーのパブリックなFQDN
または IPv4 アドレスを入力すれば、Windows 8 Enterprise
クライアントに対応した簡易展開を完了できます。DirectAccess
サーバーを展開したら、 [ リモート アクセス管理コンソール ] を使用して、構成のカスタマイ ズやサービスの正常性の監視、クライアント接続状況の監視を行えます。例えば、既定ではActive Directory
ドメイン メンバーのすべてのノート PC ( ラップトップ PC) がDirectAccess
クライアントとして構成されま すが、特定のコンピューターやコンピューター グループに変更することができます。なお、 [ リモート アクセ ス管理コンソール ] は、DirectAccess
とVPN
の両方に対応しており、DirectAccess
とともにVPN
を展開し た場合は、同じコンソールで管理することができます。 画面 13: 簡易展開は、ネットワーク トポロジと FQDN または IPv4 アドレスの入力だけで完了4.3 リモート デスクトップ サービスのセットアップ
Windows Server 2012
のリモート デスクトップ サービスもまた、シナリオ ベースのインストール ウィ ザードを使用して、簡単に導入することができます。リモート デスクトップ サービスのサーバーの展開
Windows Server 2012
が提供する役割や機能は、 [ 役割と機能の追加ウィザード ] を使用して、サーバー ごとにインストールすることができます。リモート デスクトップ サービスについては、専用のインストール オプションが用意されており、セッション ベースまたは仮想マシン ベースの展開シナリオを選択して、展開 シナリオに必要なコンポーネントを、複数のサーバーに同時にインストールし、コンポーネント間の構成まで を行ってくれます。1
台のサーバーに展開する場合は、すぐに利用を開始できる状態まで構成してくれる [ クイック スタート ] オプションを利用できます ( クイック スタートは、評価環境を簡単に展開するのに便 利です ) 。 画面 16: [ 役割と機能の追加ウィザード ] が提供するリモート デスクトップ サービス専用のインストール オプション 画面 17: セッション ベースまたは仮想マシン ベースの展開シナリオを選択して、シナリオに必要になるコンポーネントを配置するサーバー を指定するだけ 画面 14: DirectAccess と VPN を一元管理可能な [ リモート アクセス管理コンソール ]DirectAccess クライアントの展開
実は、
Windows 8 Enterprise
を実行するPC
をDirectAccess
クライアントとして構成するために、PC
ご とのシステム構成は必要ありません。DirectAccess
サーバーを展開すると、Active Directory
ドメインにDirectAccess
サーバーとDirectAccess
クライアント用のグループ ポリシー オブジェクト(GPO)
が作成されま す。DirectAccess
クライアント用のグループ ポリシーが PC に適用されると、DirectAccess
クライアントとし て動作し始めます。すなわち、クライアントが社内ネットワークに直結されている場合は、通常のクライアント と同じように社内リソースにアクセスでき、同じクライアントが社外に出た場合は、インターネット接続を使用 してDirectAccess
サーバーに接続し、社内ネットワークに自動接続するようになります。画面 19: ユーザー プロファイル ディスクは、リモート デスクトップ サービスにおけるローミングに使用される コレクションが作成されると、
RD Web
アクセスのポータルにアイコンが登録されます。Windows 8
の [ コ ントロール パネル ] にある [RemoteApp
とデスクトップ接続 ] を構成すると、RD Web
アクセスに公開され ているアイコンを、Web フィードを使用して、Windows 8
のスタート画面に自動登録できます。ユーザーは、RD Web
アクセスが提供するアイコンをクリックすることで、シングル サインオンでサーバーや仮想デスク トップ、あるいはRemoteApp
プログラムへのリモート デスクトップ接続を開始できます。RemoteApp
プログラムとは、デスクトップ全体ではなく、アプリケーション ウィンドウ単位でリモート接 続し、ローカルのデスクトップにシームレスに統合してアプリケーションを利用できる機能です。RemoteApp
プログラムは、コレクションごとに構成することができます。以前のバージョンでは、RemoteApp
プログラ ムはRD
セッション ホストでのみサポートされる機能でしたが、Windows Server 2012
では、 仮想デスク トップにインストールされたアプリケーションを、RemoteAp
p プログラムとして公開できるように拡張され ました。 コンポーネントの展開が完了したら、 [ サーバー マネージャー ] に統合されたリモート デスクトップ サービ スの管理コンソールを使用して、構成と管理を一元的に行うことができます。RD
ラインスやR
D ゲートウェ イについては、シナリオ ベースの展開ではインストールされませんが、管理コンソールの展開イメージのアイ コンをクリックして、簡単に追加して構成することができます。 画面 18: [ サーバー マネージャー ] に統合されたリモート デスクトップ サービスの管理コンソールコレクションの作成
リモート デスクトップ サービスのサーバーを展開したら、コレクションを作成して、ユーザーにリソース (デ スクトップやアプリケーション) を公開します。セッション ベースの場合はセッション コレクションを作成し、 デスクトップを提供するRD
セッション ホストとアクセスを許可するユーザー グループを指定します。仮想 マシン ベースの場合は、仮想デスクトップ コレクションを作成します。仮想デスクトップ コレクションの作 成のためには、テンプレートとなる仮想マシンのイメージを事前に作成しておくことが必要ですが、テンプレー トを1
つ用意さえすれば、仮想デスクトップ コレクションを使用して、必要な数の仮想マシンを自動作成し、 ゲストOS
を自動構成することができます。 セッション ベースと仮想マシン ベースの両方の展開で、コレクションにユーザー プロファイル ディスクを 構成することができます ( 個人用仮想デスクトップ コレクションを除く ) 。ユーザー プロファイル ディスク は、ユーザー設定とデータを格納するための仮想ハードディスクであり、接続時に自動的にマウントされるも のです。ユーザー プロファイル ディスクを使用することにより、ファイル転送を伴う移動ユーザー プロファ イルを利用しなくても、ユーザー環境のローミングが可能になります。ユーザーは、接続先のサーバーや仮想 マシンが変更になっても、自分の個人設定を継続して利用することができます。また、ユーザー プロファイル のサイズ増加が、サーバーや仮想マシンのディスク使用に影響しないというメリットがあります。まとめ
このホワイト ペーパーでは、フレキシブル ワークスタイルを実現するリモート アクセス ソリューショ ンとして、
Windows To Go、DirectAccess、
リモート デスクトップ サービスの3
つを紹介しました。DirectAccess
とリモート デスクトップ サービスは、Windows Server
の以前のバージョンから提供されてい るものですが、Windows Server 2012
で展開と管理が非常に簡単になっており、中小規模の企業においても導 入しやすいものになっています。リモート アクセスに社外デバイスを使用する場合、セキュリティ リスクが 不安ですが、Windows To Go
を用いればその不安を解消できるでしょう。※ Microsoft、Windows、Windows ロゴは、⽶国 Microsoft Corporation および、またはその関連会社の商標です。 ※ その他記載されている、会社名、製品名、ロゴ等は、各社の登録商標または商標です。
※ このリーフレットは、2011 年 4 ⽉現在のものです。