第12回 Windows 7「アクションセンター」の表示がおかしい！ SQL ServerのサンプルDBはどこ？|中堅・中小企業のIT活用|トピックス|Computerworld

【Windowsお悩み相談室】

第12回 Windows 7「アクションセンター」の表示がおかしい！ SQL ServerのサンプルDBはどこ？

サーバ管理者必見!! “疑問”“奇問”“難問”に答えます

(2011年05月27日)

大手企業であればキチンとしたシステム管理部門があるが、中小規模企業だとそうはいかない。ちょっとコンピュータに詳しいがゆえに「じゃ、サーバ管理やって」と命令され、途方に暮れている人もいるだろう。本連載ではWindows OSに特化し、ありがちな質問からMicrosoftのWebサイトにも掲載されていないような奇問までを取り上げ、その解決方法を指南する。サーバ管理で頭を痛めている人はぜひ参考にしてほしい。

【質問34】

RD WebアクセスのWeb SSOがリモートデスクトップ接続に機能しない

［対象］Windows Server 2008 R2、Windows 7

■現象

　Windows Server 2008 R2の「リモートデスクトップWebアクセス（RD Webアクセス）」のWeb SSO（Single Sign On）認証を利用して、RemoteAppプログラムやリモートデスクトップ接続のユーザー認証を簡略化したいと考えています。サーバにインストールしたアプリケーションをRemoteAppで公開するぶんには、Web SSOが機能しているようなのですが、サーバに対するリモートデスクトップ接続は「Windowsセキュリティ」ダイアログボックスが表示され、認証情報の入力が必要です。サーバに対するリモートデスクトップ接続も、Web SSOで認証を完了させることはできないでしょうか。

■解決

　Windows Server 2008 R2のRD Webアクセスは、RemoteAppプログラム、RDセッションホストに対するリモートデスクトップ接続、およびMicrosoft VDIの仮想デスクトップに対するリモートデスクトップ接続の接続ポイントをユーザーに提供するWebポータルです。

　このWebポータルはWebフォーム認証を採用しており、「RDP（リモートデスクトッププロトコル）7.0」以降に対応したリモートデスクトップ接続クライアント（Mstsc.exe）に対して、Web SSO機能を提供します。

▲RD WebアクセスのWeb SSOは、Webフォーム認証を使用します

　Web SSOとは、RD WebアクセスのWebフォームに入力された資格情報を使用して、追加の資格情報の入力なしでRDP接続を開始し、セッションを確立できるというものです。RD WebアクセスのWeb SSOについて詳しくは、以下のサポート技術情報（英語）を参照してください。

■Windows Server 2008 R2 RD Web Single Sign On ［URL］http://support.microsoft.com/kb/982872

　RD WebアクセスのWeb SSO機能は、デジタル署名などが適切に構成された環境において、RemoteAppプログラムに対してのみ機能します。RDセッションホストに対するリモートデスクトップ接続（デスクトップ全体への対話ログオン）や、Microsoft VDIの仮想デスクトッププールへの接続では機能しません。

▲RemoteAppプログラムを開始すると、Webフォーム認証で入力した資格情報を使用してRDP接続が開始されます。なお、Web SSOが機能するには、Web SSOのための構成が必要です

　そのため、リモートデスクトップ接続を開始しようとすると「Windowsセキュリティ」ダイアログボックスが表示され、RDP接続に使用する資格情報の入力が求められます。

▲RemoteAppプログラムでのWeb SSOが利用可能であっても、リモートデスクトップ接続や仮想デスクトッププールへの接続では資格情報の入力が求められます

　接続開始時に表示される「リモートデスクトップ接続」ダイアログボックスで「詳細」を開くと、RemoteAppプログラムには「接続に使用する資格情報」が提供されていることを確認できますが、リモートデスクトップ接続にはこの情報が提供されていないことがわかります。

▲「リモートデスクトップ接続」のアイコンには、「接続に使用する資格情報」が含まれないので、Web SSOが機能しません

　マイクロソフトは2011年4月中旬にWeb SSOのこの仕様を緩和して、リモートデスクトップ接続でも利用可能にする修正プログラム「KB2524668」を公開しました。この修正プログラムは、一般公開されておらず、必要なユーザーがWeb経由でマイクロソフトにリクエストすることで入手できるものです。

■RD Webアクセスを通じて完全なリモートデスクトップ接続を開始しようとすると、シングル・サイン・オン機能 Windows 7またはWindows Server 2008 R2で動作しません。［URL］http://support.microsoft.com/kb/2524668/ja

　修正プログラム「KB2524668」は、以下のWindows向けのものであり、リモートデスクトップ接続を開始するクライアントにインストールします。

・Windows 7
・Windows 7 Service Pack（SP）1
・Windows Server 2008 R2
・Windows Server 2008 R2 SP1

▲修正プログラム「KB2524668」は、RemoteAppプログラム以外の接続にもWeb SSOを拡張します。クライアント側にインストールする修正プログラムです

　この更新プログラムをインストールすると、リモートデスクトップ接続や仮想デスクトッププールに対しても「接続に使用する資格情報」が提供されるようになり、追加の資格情報の入力なしで接続を開始できるようになります。

▲修正プログラム「KB2524668」をインストールすると、「リモートデスクトップ接続」のアイコンには、「接続に使用する資格情報」が追加されます

　なお、RD WebアクセスのWeb SSOと、グループポリシーの「既定の資格情報の委任を許可する」（コンピューターの構成￥管理用テンプレート￥システム￥資格情報の委任￥既定の資格情報の委任を許可する）は、異なる設定であることに注意してください。

　「既定の資格情報の委任を許可する」ポリシーは、Windows Server 2008以前のターミナルサービスから構成可能なポリシーですが、こちらはWindowsのログオン認証を使用した、RDP接続のシングルサインオンのための構成です。Webフォーム認証の資格情報を使用したWeb SSOとは関係ありません（ただし、RD Webアクセスのセキュリティ設定によっては、こちらのシングルサインオンが機能する場合があります）。

■ターミナルサービスのシングルサインオン
［URL］http://technet.microsoft.com/ja-jp/library/cc772108(WS.10).aspx