【解説】
［徹底チェック］Windows Server 2008ターミナルサービス

新しくなった仮想デスクトップ管理環境の実力を探る

（2008年05月02日）

Windows Server 2008の改良点の1つに、ターミナルサービスの機能強化がある。以前はサードパーティ製品で実現していたような機能を標準搭載することで、柔軟なリモート環境の構築が可能になった。本稿では、Windows Server 2008のターミナルサービス機能を解説する。

山近慶一

【Part1】
Windows Server 2008
ターミナルサービスの機能概要

　Windows Server 2008ターミナルサービスは、「ターミナルサーバ」（TS）上で仮想のデスクトップを提供するシステムだ（画面1）。単にTSのCPUやメモリなどのリソースを利用できるだけでなく、アプリケーションとデータをTSに集約することで、「アプリケーションの集中管理」「PCの運用管理コスト削減」「セキュリティと利便性の向上」といったメリットが得られる。

画面1●　リモートデスクトップでOfficeアプリケーションを実行できる

　ターミナルサービスにおいて、TSとクライアントPCは「リモートデスクトッププロトコル」（RDP）で通信する。アプリケーションの実行やデータの保存、デスクトップの描画などはすべてTSが行うため、RDPに対応したクライアントアプリケーションさえあれば、クライアントPCのOSを選ばない。Windows Server 2008のターミナルサービスならば、クライアントPCのOSによらず、Windows Vistaと同等の環境を利用できる。

　Windows XPやWindows Vistaには、RDPに対応したクライアントアプリケーションとして「リモートデスクトップ接続（RDC）」が標準搭載されている。現行バージョンのRDC 6.0では一部の機能に制限があるが、Windows Server 2008やWindows Vista Service Pack（SP）1で提供予定のRDP 6.1をサポートしたバージョンでは、Windows Server 2008ターミナルサービスの全機能が利用可能になる（画面2）。

画面2●　Windows VistaのRDC 6.0は、ネットワークレベル認証をサポートしている

　
Windows Server 2008ターミナルサービスの
4大コンポーネント

　Windows Server 2008ターミナルサービスでは、通常のリモートデスクトップ機能に加えて「TS RemoteApp」「TS Webアクセス」「TSセッションブローカ」「TSゲートウェイ」という4つの重要なコンポーネントが搭載される。それぞれについて解説しよう。

【1】TS RemoteApp
アプリケーションを単独でリモート起動

　通常のターミナルサービスでは、TS上の仮想デスクトップがウィンドウ内に展開されて、スタートメニューを操作したり、アプリケーションを実行したりする。これに対し、「TS RemoteApp」は、システム管理者が用意した特定のアプリケーションを単体でリモート起動・実行する機能だ。そのためクライアントPCにはリモートアプリケーションのウィンドウだけが表示される（画面3）。

画面3●　TS RemoteAppを使って、リモートでOfficeアプリケーションを実行する

　リモートアプリケーションの公開は、TS側の「RemoteAppウィザード」で簡単に行え、クライアントPC側の面倒な設定作業も不要だ。

【2】TS Webアクセス
Webブラウザ経由でTSに接続する

　「TS Webアクセス」を使用すれば、ユーザーはWebブラウザ経由でTSにアクセスし、リモートデスクトップやリモートアプリケーションを実行できる（画面4）。ファイアウォールがRDPを許可していれば、インターネットとイントラネットを区別することなく利用可能だ。また、RDC設定ファイルやWindowsインストーラパッケージファイルを配布しなくても、簡単にTSを利用できるメリットもある。

画面4●　「TS Webアクセス」では、Webブラウザ経由でリモートアプリケーションを実行できる

　TS Webアクセスは、TSとWebサーバを分離して構成できるので、既存のWebサーバにTS Webアクセス用の機能を組み込んでカスタマイズすることも可能だ。実行可能なリモートアプリケーションの一覧は、「データソース」となるTSから公開アプリケーション情報を取得して作成する。

【3】TSセッションブローカ
TS専用の負荷分散機能を提供する

　Windows Server 2008のTSは、複数のTSで「ファーム」というグループを構成して、グループ内で負荷を分散することができる（画面5）。このとき、ファームの負荷管理とセッション管理を行うのが「TSセッションブローカ」で、Windows Server 2003の「TSセッションディレクトリ」の後継機能だ。

画面5●　複数のTSで「ファーム」を構成して、リモートセッションの負荷を分散する

　TSセッションブローカの負荷分散機能が有効な場合、リモートセッションの開始要求は自動的に負荷が軽いTSにリダイレクトされる。リモートセッションの割り振りは「重み付け」によって変更できるので、高性能なサーバにより高い負荷を割り当てるといった非均一な負荷分散も可能だ。

　また、Windows Server 2008ターミナルサービスの新機能である「ユーザーログオンモード」（TSドレインモード）とTSセッションブローカを組み合わせて利用することで、TSの安全なメンテナンスを実行できる（画面6）。

画面6●　「ユーザーログオンモード」で新規リモートセッションを規制することができる

　「TSドレインモード」は新規リモートセッションを拒否する機能で、ファームメンバの特定のTSが新規リモートセッションを拒否すると、TSセッションブローカは別のTSにリモートセッションをリダイレクトする。これによって、TSのメンテナンス中に誤ってリモートセッションが開始されることを防ぎながら、TS全体としてサービスを中断することがない。

【4】TSゲートウェイ
ファイアウォール越しのリモートセッションを実現

　リモートデスクトップやリモートアプリケーションはRDPで通信しているが、ファイアウォールやルータが障壁となって、インターネットからLAN内のTSに接続できないことが多い。このような場合は、インターネットとLANの境界に「TSゲートウェイ」サーバを設置することで、障壁を乗り越えられるようになる（画面7）。

画面7●　「TSゲートウェイ」でファイアウォール越しのリモートセッションを実現する

　TSゲートウェイは、RDPのパケットをHTTPSでカプセル化した「RDP over HTTPS」を使用する。RDPのデータはHTTPSによって暗号化されるので、VPNを構築するよりも簡単にセキュアなターミナルサービスシステムを実現できる。HTTPSを有効にするには、TSゲートウェイサーバとクライアントPCに、信頼できるサーバ証明書をインストールしておく必要がある。

　TSゲートウェイでは、「ターミナルサービスの接続認証ポリシー（TS CAP）」と、「ターミナルサービスリソース認証ポリシー（TS RAP）」を組み合わせることで、TSゲートウェイサーバに接続可能なユーザーやグループを制限するとともに、TSゲートウェイを越えてアクセス可能なTSを制限するセキュリティ機能を搭載している（画面8、9）。