Windows 8 と Windows Server 2012 が実現する リモートアクセスソリューションの概要
Contents はじめに Windows 8 + Windows Server 2012 : Better Together... 3 第 1 章 Windows 8 時代のフレキシブルワークスタイル 5 1.1 リモートアクセスの課題... 5 1.2 フレキシブルワークスタイルとは... 6 このホワイトペーパーは 中小規模企業の IT 部門担当者を対象に Windows 8 と Windows Server 2012 の組み合わせで実現可能な 次の 3 つのリモートアクセスソリューションの利点 概要 および構成について説明します 第 2 章リモートアクセスソリューションの要素技術 7 2.1 Windows To Go の技術概要... 7 2.2 DirectAccess の術概要... 10 Windows To Go 社内の別の PC や第三者の PC ( 自宅の PC など ) を USB デバイスから起動して 企業の標準デスクトップに変えることができます 2.3 リモートデスクトップサービスの技術概要... 12 DirectAccess VPN に変わる インターネットから社内リソースへのシームレスで安全なリモートアクセスを実現します リモートデスクトップサービス ユーザーは どこからでも企業のデスクトップ環境にリモート接続でき IT 部門は アプリケーションとデータを一元管理できます 第 3 章リモートアクセスソリューションのシステム構成 15 3.1 DirectAccess のシステム構成... 15 3.2 リモートデスクトップサービスのシステム構成... 17 第 4 章ソリューションのセットアップの概要 4.1 Windows To Go ワークスペースの作成... 4.2 DirectAccess のセットアップ... 18 18 20 4.3 リモートデスクトップサービスのセットアップ... 22 著作権情報 2012 Microsoft Corporation. All rights reserved. 本書は現状有姿のままで提供されるものであり このドキュメントに記載されている情報および見解は URL およびその他の Web サイト参照先を含め 事前の通知なく変更されることがあります 本書の利用に関する責任はお客様が負うものとします 本書は マイクロソフト製品の知的財産権に関する法的権利をお客様に許諾するものではありません 本書は 内部における参照を目的として複製および使用することができます 本書は 内部における参照を目的として変更することができます Windows 8 と Windows Server が実現する 2012 リモートアクセスソリューションの概要... 2
はじめに Windows 8 + Windows Server 2012: Better Together Windows 8 は ユーザーのデジタルライフスタイルにフォーカスして再創造された 最新のデスクトップオペレーティングシステム (OS) です Windows 8 は 従来からのデスクトップ PC およびノートブック ( モバイル ) PC の OS としてだけでなく タブレット PC などのマルチタッチ対応デバイスでのエクスペリエンスを向上する機能強化が行われています Windows 8 の強化および刷新されたエクスペリエンス機能は 決してコンシューマー ( ホームユーザー ) 向けだけのものではありません Windows 8 が変革しようとしているデジタルライフスタイルには 企業ユースにおけるワークスタイルも含まれています そして 新しいワークスタイルを実現する Windows 8 の企業向けの機能の多くは 同じテクノロジに基づいて開発され 親和性の高い Windows Server 2012 との組み合わせで実現されます クライアント Hyper-V Windows Server 2012 Hyper-V と互換性の高い 仮想化テクノロジです VHD (VHDX) からのネイティブブート VHD (VHDX) イメージを利用した OS のインストールやイメージ展開をサポートします Windows 8 Enterprise だけの機能 Windows 8 Pro にソフトウェアアシュアランス (SA) を追加すると Windows 8 の最上位エディションである Windows 8 Enterprise にアップグレードすることができます Windows 8 Enterprise は Windows 8 Pro のすべての機能に加えて 次に示す企業向け拡張機能が提供されます "The Cloud OS" としての Windows Server 2012 Windows Server 2012 は "the Cloud OS" として再設計されたサーバー 仮想化プラットフォーム およびクラウド向けの最新 OS です Windows Server 2012 は 小規模なサーバー環境から 企業のオンプレミスの大規模データセンターやプライベートクラウド さらには Windows Azure やサービスプロバイダーが提 供するパブリッククラウドまでをカバーする スケーラビリティと高可用性を備えます Windows Server 2012 はまた エンドユーザーが必要とする データやアプリケーションへのアクセスを ユーザーの場所やデバイスを問わずに提供するための ID 管理サービス ファイルサービス リモートアクセス機能 セキュリティ機能を備えます クラウドコンピューティングの利便性をエンドユーザーやデバイスに届けるのも Windows Server 2012 の役割というわけです Windows Server 2012 は レガシ OS に対して高いレベルで下位互換性を提供しますが Windows Server 2012 の提供するサービスをフルに利用するには Windows 8 ベースの PC やデバイスの使用が最適です ビジネスにも最適な Windows 8 Windows To Go 企業の管理されたデスクトップ環境を格納した 起動可能な USB デバイスです Windows To Go については このホワイトペーパーで説明します DirectAccess インターネット接続を利用して 企業ネットワークの社内リソースにシームレスにアクセスする機能です Direct Access についてはこのホワイトペーパーで説明します BranchCache ホストまたはクライアントのキャッシュを使用して WAN 経由でのファイルや Web コンテンツのダウンロードエクスペリエンスを向上します AppLocker アプリケーションやインストーラーの実行制限や監査を可能にします Windows 8 のアプリの制限にも対応します VDI 拡張機能 VDI の仮想デスクトップに対して ゲスト OS の展開 リモート接続 および 3D グラフィックスのリッチなエクスペリエンス機能を提供します VDI の拡張機能については リモートデスクトップサービスの一部として このホワイトペーパーで説明します WinRT アプリのサイドローディング展開 Windows 8 のアプリ (WinRT アプリ ) は Windows ストアから入手するのが原則です Windows 8 Enterprise では Windows ストアを経由しない 企業内でのアプリの配布 ( サイドローディング ) をサポートします Windows 8 は コンシューマー向けの Windows 8 企業向けの Windows 8 Pro および ARM デバイ スにプリインストールされる Windows RT の 3 エディションで提供されます 企業向けエディションの Windows 8 Pro は Windows 8 ( 無印 ) や Windows RT には無い次の企業向け機能を提供します Active Directory ドメイン参加 Active Directory のドメインアカウントによるログオン ( サインイン ) とアクセス制御が可能です グループポリシーによる管理 ポリシーベースでシステム構成やセキュリティ設定 アプリケーションの配布を一元管理できます リモートデスクトップ ( ホスト ) デスクトップへのリモートからの接続をサポートします 暗号化ファイルシステム (EFS) ファイルやフォルダーを暗号化して保護するセキュリティ機 能です BitLocker ドライブ暗号化および BitLocker To Go ボリューム全体を暗号化して保護する セキュリティ機能です 3... 4
第 1 章 Windows 8 時代のフレキシブルワークスタイル モバイルブロードバンドの普及 デバイスの多様化 BYOD (Bring Your Own Device: 個人所有のデバイスを企業内に持ち込んで業務で利用すること ) のニーズ それらに伴うセキュリティリスクの増大など 企業の IT 環境はいま これらの新しい IT 環境やニーズ 課題に対するソリューションを必要としています 企業の IT 環境の統制とセキュリティを維持するために 新しいニーズに対応しないことは簡単です しかし 新しい IT 環境やニーズに柔軟に対応できないと 従業員の生産性を阻害するだけでなく 重要なビジネス機会を失うことになりかねません 例えば 営業担当者が社外から企業内のビジネスデータにリモートアクセスできるのと できないのとは 仕事の効率や営業成績が大きく違ってくるでしょう 1.1 リモートアクセスの課題 社外から企業ネットワークの社内リソースに対してリモートアクセスできる環境は 是非とも整備したい 重要な IT サービスです リモートアクセス環境は 社外で活動することが多い従業員や 国内外に出張する従業員に対して 業務アプリケーションやデータ あるいは作業環境すべてを提供できます また パンデミックや大規模災害など 緊急時の在宅勤務環境を迅速に提供することもできます 企業ネットワークへのリモートアクセス手段としては VPN 接続が一般的です しかし VPN 接続には 次のような課題や不安が常に付きまといます ユーザーによる VPN 接続 切断操作が面倒 VPN 接続時の通信速度の低下 ( ルーティングの影響 ) 解決できない VPN 接続失敗のトラブル 長期間 社外で管理外に置かれたデバイスのセキュリティ低下 デバイスの紛失や通信からの情報漏えい 管理下にない個人所有デバイスからのリモートアクセスに伴うセキュリティリスク VPN 接続のトラブルの多くは 利用するインターネット接続環境におけるファイアウォールでのブロックが原因であり その場合 エンドユーザーはもちろん 企業側の IT スタッフにも解決できるものではありません また VPN 接続は通常 企業の IT サブネット全体への接続を許可するものです 長期間 社外にあって適切な管理下に無いデバイスや 元々管理下に無い個人所有デバイス ( 自宅の PC など ) からの接続は マルウェア感染や情報漏えいのリスクを高めます 画面 1 VPN 接続の失敗例 1.2 フレキシブルワークスタイルとは マイクロソフトが提唱するフレキシブルワークスタイルとは 場所やデバイスを固定せず 業務を継続できるワークスタイルです フレキシブルワークスタイルには 次のようなメリットがあります エンドユーザーのメリット いつでも どこからでも どのデバイスからでも接続 ユーザーは 場所やデバイスを問わず 簡単な操作で ( または自動的に ) 安全に社内リソースにアクセスできます 個人設定や作業環境をローミングして作業を継続 ユーザーは 同じ作業環境を使用して 以前に中断した仕事をすぐに再開できます IT 部門のメリット セキュリティとコントロールの強化 IT 部門は デスクトップ環境やデータを一か所で集中管理できるため セキュリティの実装と監視が容易になり データの保護と規制への準拠を強化できます アプリケーションとリソースの一元管理 OS やアプリケーションの展開と更新を 1 か所で行 えるため効率的です また データを 1 か所に保存するため 記憶域の使用効率が向上し ハー ドウェア増強の計画も容易になります Windows 8 および Windows Server 2012 は フレキシブルワークスタイルの実現を支援する さま ざまな新機能を標準提供します ここではその中から 中小規模の企業においても導入しやすい Windows To Go DirectAccess リモートデスクトップサービスの 3 つのテクノロジについて説明します 5... 6
第 2 章リモートアクセスソリューションの要素技術 フレキシブルワークスタイルを実現するリモートアクセスソリューションは Windows 8 Enterprise の企業向け拡張機能と Windows Server 2012 のサーバー機能の組み合わせで実現されます それぞれ個別に使用することもできますが 組み合わせることで より高機能なソリューションになります Windows To Go については Windows 8 Enterprise 単体で動作する OS 環境ですが 他の 2 つのリモートアクセスソリューションのクライアントとして利用できることにそのメリットがあります ライセンスに関する留意事項 Windows To Go と DirectAccess は Windows 8 Enterprise の機能であり Windows 8 Pro には 提供されない機能です ボリュームライセンス製品の Windows 8 Pro にソフトウェアアシュアラ ンス (SA) を追加することで Windows 8 Enterprise にアップグレードできます DirectAccess など Windows Server 2012 のサーバーへのアクセスには クライアントアクセスライセンス (CAL) が必要になります Windows Server 2012 のリモートデスクトップサービスに接続するには リモートデスクトップサービス CAL (RDS CAL) が必要になります VDI の仮想デスクトップの展開とリモート接続には さらに SA または Windows Virtual Desktop Access (VDA) ライセンスが必要になります 画面 1: Windows To Go の利用イメージ Windows To Go の USB ドライブから起動したデスクトップ環境は フル機能の Windows 8 Enterprise であり いくつかの例外 (TPM を使用できない 回復環境や PC リカバリー機能が提供されないなど ) を除いて 通常の Windows 8 とまったく同じように動作します USB 接続は切断の可能性がありますが Windows To Go は 60 秒以内の切断を許容します ( 切断中 すべての操作はロックされます ) また 切断状態が 60 秒経過すると 自動的に PC の電源がオフになります 2.1 Windows To Go の技術概要 Windows To Go は Windows ソフトウェアアシュアランス (SA) で提供される Windows 8 Enterprise の企業向け機能の 1 つです Windows To Go を使用すると ユーザーは USB 接続の外部ドライブにインストールされたフル機能の Windows 8 (Windows To Go ワークスペース ) を使用して 社内の別の PC ( ライセンス取得済みのデバイス ) や第三者の PC ( 個人所有 PC など ) を起動し 企業の標準のデスクトップ環境を使用して業務を遂行することができます これにより 次のような場所でのフレキシブルワークスタイルを可能にします 社内 フリーアドレスデスクや共有エリアでの作業 BYOD 社外 外出や出張先での第三者の PC を使用した作業 自宅 個人所有 PC での在宅勤務 画面 2: Windows To Go で起動した環境は 60 秒以内の USB の切断を許容 60 秒後に自動的に電源オフ Windows To Go の USB ドライブは 種類の異なる複数のコンピューターを起動できます また USB ドライ ブに格納する Windows To Go ワークスペースには 社内の通常のデスクトップ PC やノート PC と同じインス トールイメージを使用して作成することができ 同じように社内のクライアントとして管理できます IT 部門は Windows To Go ワークスペースの中に Active Directory のドメイン設定や 業務アプリケーション 後述する DirectAccess クライアントの設定を組み込むことで 場所やデバイスを問わずに 業務を継続するためのデスク トップ環境をユーザーに提供できます 7... 8
Windows To Go で起動中は PC に元からある内蔵の固定ディスクはオフラインになり エクスプローラーには表示されません Windows To Go は ローカルディスク (C: ドライブ ) として自身の USB ドライブのみを読み書きします これにより 操作したファイルや URL の履歴やセキュリティ情報が使用した PC に残ることがありませんし 社内の機密データが PC に誤って公開されてしまうこともありません また 企業の管理下に無い セキュリティ対策が不十分かもしれない PC を使用した場合でも その PC に存在するかもしれないマルウェアやスパイウェア ユーザーの同意のもとに導入されたブラウザーの情報収集ツールバーなどの影響を受けることなく 常にクリーンなデスクトップ環境を利用できます 2.2 DirectAccess の技術概要 DirectAccess は Windows Server 2008 R2 および Windows 7 Enterprise で初めて登場した VPN に変わるリモートアクセスのための新しいテクノロジです Windows Server 2012 では DirectAccess の展開と管理が簡素化され Windows 8 Enterprise の DirectAccess クライアントとしてのエクスペリエンスが向上しました 以前のバージョンは要件が厳しく 導入が難しかった中小規模の企業においても Windows Server 2012 では容易に導入できるようになっています DirectAccess は 新しいインターネットプロトコルである IPv6 (IP version 6) と IPSec (IP Security) および IPv4 (IP version 4) から IPv6 移行テクノロジに基づいたリモートアクセスソリューションです しかし 現実として IPv6 への移行を完了している企業は多くないでしょう DirectAccess は IPv6 に基づいていますが IPv6 の導入は必須要件ではなく 既存の IPv4 ネットワークに導入してリモートアクセス環境を構築することができます また 導入のために IPv6 や IPSec IPv6 移行テクノロジの詳しい知識は要求されません 画面 3: Windows To Go で起動すると ローカルの固定ディスクはオフラインになるため 情報が PC に残ることがない Windows To Go の USB ドライブは 極めて小さなサイズで持ち歩ける ポータブルな企業デスクトップ環境です そのため 紛失や盗難のリスクは常に付きまといます Windows To Go の USB ドライブは 作成時 ( または作成後 ) に BitLocker ドライブ暗号化を使用して ドライブ全体を暗号化して保護することができるため 悪意のある第三者が不正に起動するのをブロックすることができます BitLocker ドライブ暗号化を利用することで Windows To Go の USB デバイスは 起動時にロックを解除するためのパスワードと ログイン時の認証で二重に保護されます DirectAccess のクライアントは 社内ネットワーク上では通常のネットワーク接続を使用します 同じクライアントが社外に出ると 使用するインターネット接続状況に応じて 接続方法が選択され 自動的に DirectAccess による接続が行われます DirectAccess による接続は IPSec により暗号化保護された IPv6 による通信ですが そのことをユーザーが意識することはありません 社内ネットワークに接続しているときと同じように シームレスに社内リソースにアクセスすることができます 以前のバージョンとは異なり IPv4 だけのホストに対しても DirectAccess が背後で必要な変換処理を行ってくれます 従来の VPN の場合 ファイアウォールの状況によって 接続が失敗することがありましたが 複数の接続方法を持つ DirectAccess は接続性に優れています 例えば PC がファイアウォールの内側からインターネットに接続している場合 ( 自宅のブロードバンド接続やビジネスホテルの接続サービスなど ) は セキュリティで保護された Web ブラウジングと同じポートを使用する HTTPS ベースのトンネリング技術 (IPHTTPS) で IPv6 トラフィックを通すため ファイアウォールやプロキシにブロックされることなく DirectAccess の接続が可能です 図 2: DirectAccess の接続イメージ 画面 4: Windows To Go ドライブを BitLocker で暗号化し パスワードロックすることが可能 9... 10
DirectAccess のために ユーザーは VPN 接続のような 接続を開始したり 切断したりする操作を行う必要はありません DirectAccess クライアントは ローカルのネットワーク接続を使用して社内リソースに直接アクセスできないことを検出すると 有効なインターネット接続を利用して DirectAccess サーバーへの接続を開始し 社内ネットワークに相互接続します この動作は完全に自動化されており 社内と社外のどちらでも 一貫性のあるエクスペリエンスで社内リソースにアクセスすることができます DirectAccess クライアントは インターネット接続があれば常に自動接続されている状態です そのため IT 部門は クライアントが社外にあっても 社内のクライアントと同じようにグループポリシーの変更の適用 更新プログラムの配布 管理システムによるエージェント管理が可能です また ユーザーのログオン状態に関係なく DirectAccess の接続を介してクライアントをリモート管理することができます 画面 5: DirectAccess クライアントが社内ネットワークに直結している場合 画面 7: DirectAccess で接続中のクライアントに対して リモートデスクトップ接続をしているところ 2.3 リモートデスクトップサービスの技術概要 リモートデスクトップサービスは 以前はターミナルサービスと呼ばれていたもので デスクトップやアプリケーションをサーバー側で集中的に実行し ユーザーに画面をリモート表示するリモートアクセスソリューションです リモートデスクトップサービスは 社内でのシンクライアントソリューションとしても利用できますし 社外ユーザーに対するリモートアクセスソリューションにもなります Windows Server 2008 R2 以降のリモートデスクトップサービスには リモートデスクトップセッションホスト ( 旧ターミナルサーバー ) を使用したセッションベースのサービス ( ユーザーはサーバー上で実行されるマルチユーザーセッションの 1 つに接続 ) に加えて VDI の仮想デスクトップのサービス ( ユーザーは Hyper-V の仮想マシンで実行されるクライアント OS に接続 ) が統合されました 画面 6: DirectAccess クライアントが社外のインターネットに接続された場合 セッションベースと仮想マシン (VDI) ベースのどちらも リモートデスクトップ接続を使用して画面をリモート表示するために エクスペリエンスはほぼ同一です セッションベースはサーバーのリソースを複数ユー ザーでシェアするため リソースあたりのユーザー収容数や管理性に優れています ただし サーバー OS で あるため アプリケーションの制約や ユーザーごとのカスタマイズが制限されます 一方 仮想マシンベー スは ユーザーごとにデスクトップ OS を実行する 1 台の仮想マシンを用意するため より多くのリソースを 必要としますが さまざまなアプリケーションに対応でき ( アプリケーションのシステム要件に合う OS を選 択できる ) ユーザーに完全な OS の管理者権限を付与することも可能です また 仮想マシンベースでは RemoteFX 3D ビデオアダプターという仮想 GPU (Graphics Processing Unit) による 3D グラフィックスの リッチなエクスペリエンスを提供できます 11... 12
リソースの効率使用と集中管理という面では セッションベースのリモートデスクトップサービスが優れています アプリケーションの互換性問題 3D グラフィックス要件 パワーユーザーへの対応など セッションベースで対応できない場合に 仮想マシンベースを選択するとよいでしょう 図 3: リモートデスクトップサービスの利用イメージ 画面 9: タッチ対応デバイスからのリモート接続では ローカルと変わらないタッチ操作が可能 Windows Server 2012 のリモートデスクトップセッションホストは Windows 8 と同等のデスクトップ環境をリモートユーザーに対して提供できます Windows 8 に新たに採用されたスタート画面や WinRT アプリの実行環境はもちろんのこと 接続元がタッチ対応デバイスの場合は リモートセッション内でタッチ対応を認識し 通常の Windows 8 デバイスと同じように タッチやジェスチャ操作が可能です RDP 8.0 では RemoteFX USB デバイスリダイレクト機能がサポートされ ローカルに接続された USB デバイスや内蔵カメラをリモートセッションにリダイレクトして リモートセッション内で利用することができます RemoteFX USB デバイスリダイレクトは Windows 8 Enterprise を実行する仮想デスクトップと Windows Server 2012 のリモートデスクトップセッションホストの両方で利用可能です 以前のバージョンでは 仮想 GPU が割り当てられた Windows 7 Enterprise SP1 を実行する VDI の仮想デスクトップでのみ利用可能な機能でした 画面 8: Windows Server 2012 のリモートデスクトップセッションホストへのリモートデスクトップ接続 Windows 8 と同じ UI で同じエクスペリエンスを提供 Windows 8 は最新のリモートデスクトッププロトコルである RDP 8.0 を搭載しており 強化された RemoteFX 機能とともに ネットワークの速度や品質に影響されることなく 可能な限り 一貫性のあるリッ 画面 10: RemoteFX USB デバイスリダイレクト チなエクスペリエンスを実現します 例えば 1.5Mbps 程度の遅延 ( レイテンシ ) の高いモバイルブロード バンド回線を使用したリモート接続の場合 以前のバージョンでは背景をオフにするなど エクスペリエンス 機能の一部が利用できませんでした 最新の RDP 8.0 では このような WAN 回線上でも LAN での利用と 変わらないエクスペリエンス機能を利用できます また ビデオやオーディオコンテンツをスムーズに再生す ることができます リモートセッションでのマルチタッチ対応も RDP 8.0 の新機能です 13... 14
第 3 章リモートアクセスソリューションのシステム構成 DirectAccess とリモートアクセスサービスのソリューションはどちらも 社内ネットワーク側に Windows Server 2012 を実行するサーバーを 1 台以上設置して Windows 8 を実行するクライアントからリモートアクセスする構成になります そして このクライアントの環境は Windows To Go の USB ドライブに格納することができます このように Windows Server 2012 の DirectAccess は 特に 中小規模の企業において Windows 8 クライアントを使用する場合の展開が 非常に簡単になっています ただし この既定の簡易展開では 証明書ベースの認証を必要とする 2 要素認証や NAP ( ネットワークアクセス保護 ) との統合などの高度な構成や 旧バージョン (Windows 7) のクライアントのサポートなどが利用できないことに留意してください 3.1 DirectAccess のシステム構成 DirectAccess のリモートアクセス環境は Active Directory ドメイン環境が構成された企業ネットワークに 1 台以上の DirectAccess サーバーを設置することで 構築することができます DirectAccess サーバーは Windows Server 2012 の [ リモートアクセス ] の役割としてインストールすることができ DirectAccess のみを あるいは DirectAccess と VPN サーバーの両方を展開することができます 前述したように DirectAccess は IPv6 に基づいていますが IPv6 を導入していない IPv4 ネットワークにも導入可能です DirectAccess サーバーの設置 Windows Server 2012 の DirectAccess サーバーは 以下の 3 つのネットワークトポロジへの設置が可能です 中小規模企業では 既存のインターネット接続環境を大きく変更することなく DirectAccess サーバーを追加導入することが可能です エッジ 2 つのネットワークアダプターを持つ DirectAccess サーバーをインターネットとの境界に設置し 一方のネットワークアダプターをインターネットに 他方を内部ネットワークに接続します インターネットに接続されるネットワークアダプターには 1 つのパブリック IPv4 アドレスが必要です エッジデバイスの背後 ( ネットワークアダプター 2 つ ) 2 つのネットワークアダプター持つ DirectAccess サーバーを DMZ との境界に設置し 一方のネットワークアダプターを DMZ に 他方を内部ネットワークに接続します DMZ に接続されるネットワークアダプターには 1 つのパブリック IPv4 アドレスが必要です エッジデバイスの背後 ( ネットワークアダプター 1 つ ) 1 つのネットワークアダプターを持つ DirectAccess サーバーを内部ネットワークに設置します DirectAccess サーバーに パブリックなアドレスを割り当てる必要はありません このトポロジでは エッジデバイス ( ルーターやファイアウォールデバイス ) のパブリックアドレスへの IP-HTTPS トラフィックを DirectAccess サーバーに転送するように エッジデバイスで IP マスカレードやファイアウォールを構成する必要があります 図 4: DirectAccess サーバーを設置可能なネットワークトポロジ DirectAccess クライアント Windows Server 2012 の DirectAccess のクライアントとしては Windows 8 Enterprise および Windows 7 Enterprise/Ultimate がサポートされますが 前述のように 既定の簡易展開では Windows 8 Enterprise のみがサポートされます また DirectAccess はソフトウェアアシュアランスの Windows 8 Enterprise の機能であり Windows 8 Pro など他のエディションでは利用できません DirectAccess を利用できないデバイスについては DirectAccess とともに展開することができる VPN でサポートすることが可能です Windows Server 2012 では DirectAccess と VPN を 単一の管理コンソールで一元管理することができます 以前のバージョンでは このような柔軟なトポロジに対応していませんでした また 2 つの連続したパブリッ ク IPv4 アドレスや PKI ( 公開キー基盤 ) の展開など その他にも前提要件がありました 2 つの IPv4 アド レス要件は Windows Server 2012 では削除されています また PKI の展開は必須要件ではなくなりました Windows Server 2012 の DirectAccess は PKI を必要としない簡易展開が既定で行われます DirectAccess サーバーに SSL/TLS 証明書が必要になりますが これを準備できない場合でも 自動生成される自己署名証明 書を使用して展開することができます 15... 16
3.2 リモートデスクトップサービスのシステム構成 Windows Server 2012 のリモートデスクトップサービスは Active Directory ドメイン環境に導入するこ とができます リモートデスクトップサービスは 以下の 6 つのコンポーネントで構成されます リモートデスクトップ (RD) セッションホスト リモートデスクトップ接続のサーバー ( 旧ターミナルサーバー ) リモートデスクトップ (RD) 仮想化ホスト VDI 仮想デスクトップを実行する Hyper-V サーバー リモートデスクトップ (RD) 接続ブローカー デスクトップの割り当てや再接続を制御 リモートデスクトップ (RD) Web アクセス デスクトップやアプリケーションへの接続を提供する Web ポータル リモートデスクトップ (RD) ゲートウェイ インターネット経由での接続を可能にするゲートウェイ リモートデスクトップ (RD) ライセンス RDS CAL の割り当てを管理 RD 接続ブローカーは必須コンポーネントであり リモートデスクトップサービスの全体を管理します セッションベースの展開には RD セッションホスト 仮想マシンベースの展開には RD 仮想化ホストが必要で RD Web アクセス ( 必須 ) と RD ゲートウェイ ( オプション ) がデスクトップやアプリケーションへの接続ポイントを提供します RD ライセンスサーバーの設置も必須であり これが無い場合 リモートデスクトップサービスの各機能は 120 日間の評価モードの終了後に機能を停止します 第 4 章ソリューションのセットアップの概要 Windows 8 と Windows Server2012 のリモートアクセスソリューションについて セットアップの方法を概要レベルで説明します 各ソリューションの導入が それほど難しくないということを感じていただけるはずです 4.1 Windows To Go ワークスペースの作成 Windows To Go ワークスペースを含む USB デバイスは [Windows To Go ワークスペースの作成 ] ウィザードを使用して Windows 8 Enterprise のインストールメディア内のイメージまたはカスタムイメージから 簡単に作成することができます USB デバイスの要件 Windows To Go は 20 GB 以上の容量のある USB 3.0 ドライブへの作成がサポートされます USB 2.0 ドライブへの作成も可能ですが サポートされない構成であり 推奨されません また Windows でリムーバブル記憶域として分類される 一般的な USB メモリは 十分な容量があり USB 3.0 規格であったとしても 使用することができないことに留意してください Windows To Go の作成には 以下の URL で紹介されている Windows To Go 認定デバイスの使用を推奨します Windows To Go: Feature Overview-Hardware considerations for Windows To Go http://technet.microsoft.com/en-us/library/hh831833.aspx#wtg_hardware セッションベースまたは仮想マシンベースのいずれか一方の展開を行う場合 最も小規模な展開方法は すべてのコンポーネントを 1 台のサーバーに構成する方法です 仮想化基盤を利用可能な場合は RD 仮想化ホストを除くコンポーネントを 1 台以上の仮想マシンで実行することもできます 1 台でシンプルに展開する場合でも コンポーネントを複数に分散配置する場合でも 導入や管理が複雑になることはありません 導入については リモートデスクトップサービス専用のインストールウィザードにより 各コンポーネント間の連携を適切に構成してくれるので 難しいところはありません 管理については 単一のコンソールを使用して 全体を一元管理することができます これらは Windows Server 2012 における リモートデスクトップサービスの最大の特長であり 以前のバージョンからの大きな改善点です Windows To Go ドライブを使用したワークスペースは Windows 7 または Windows 8 認定ロゴのある PC の USB 3.0 ( 推奨 ) または USB 2.0 ポートに接続して 起動することができます ただし Windows 7 または Windows 8 認定ロゴのある あらゆる PC の起動を保証するものであはありません Windows To Go ワークスペースの作成 [Windows To Go ワークスペースの作成 ] ウィザードは Windows 8 の検索画面 ( "Windows To Go" と検索 ) Windows 8 Enterprise の [ コントロールパネル ] または C:\Windows\System32\Pwcreator.exe を実行して開始することができます このウィザードは Windows 8 Pro など他のエディションには提供されないものです [Windows To Go ワークスペースの作成 ] ウィザードを起動したら 作成先の USB ドライブを選択し Windows 8 Enterprise のイメージを指定して作成を開始します オプションで BitLocker ドライブ暗号化に よる保護を構成することができます ( 暗号化を推奨 ) Windows 8 Enterprise のイメージとしては インストールメディアの Sources\Install.wim を使用できます また 企業クライアントをイメージ展開するのと同じ方法で作成した WIM 形式のカスタムイメージを使用することもできます カスタムイメージは Windows アセスメント & デプロイメントキット (ADK) などに含まれる展開ツール (ImageX.exe) を使用して作成することができます 図 5: リモートデスクトップサービスのシステム構成 17... 18
4.2 DirectAccess のセットアップ DirectAccess は Windows Server 2012 の [ リモートアクセス ] の役割に含まれており DirectAccess 単独で あるいは DirectAccess と VPN を同時に展開することができます Windows アセスメント & デプロイメントキット (ADK) http://msdn.microsoft.com/ja-jp/library/hh825420.aspx DirectAccess サーバーの展開 DirectAccess サーバーは 特に中小規模の企業が簡単に展開できるようになっています [ リモートアクセス ] の役割の追加後に実行する [ リモートアクセスの構成 ] ウィザードで DirectAccess サーバーを設置するネットワークトポロジを選択し サーバーのパブリックな FQDN または IPv4 アドレスを入力すれば Windows 8 Enterprise クライアントに対応した簡易展開を完了できます DirectAccess サーバーを展開したら [ リモートアクセス管理コンソール ] を使用して 構成のカスタマイズやサービスの正常性の監視 クライアント接続状況の監視を行えます 例えば 既定では Active Directory ドメインメンバーのすべてのノート PC ( ラップトップ PC) が DirectAccess クライアントとして構成されますが 特定のコンピューターやコンピューターグループに変更することができます なお [ リモートアクセス管理コンソール ] は DirectAccess と VPN の両方に対応しており DirectAccess とともに VPN を展開した場合は 同じコンソールで管理することができます 画面 11: Windows 8 Enterprise に付属する [Windows To Go ワークスペースの作成 ] ウィザード 画面 13: 簡易展開は ネットワークトポロジと FQDN または IPv4 アドレスの入力だけで完了 画面 12: Windows To Go ワークスペースを BitLocker ドライブ暗号化で暗号化して保護する 19... 20
Windows 8 と Windows Server 2012 が実現する リモート アクセスソリューションの概要 Windows 8 と Windows Server 2012 が実現する リモート アクセスソリューションの概要 4.3 リモート デスクトップ サービスのセットアップ Windows Server 2012 のリモート デスクトップ サービスもまた シナリオ ベースのインストール ウィ ザードを使用して 簡単に導入することができます リモート デスクトップ サービスのサーバーの展開 Windows Server 2012 が提供する役割や機能は [ 役割と機能の追加ウィザード ] を使用して サーバー ごとにインストールすることができます リモート デスクトップ サービスについては 専用のインストール オプションが用意されており セッション ベースまたは仮想マシン ベースの展開シナリオを選択して 展開 シナリオに必要なコンポーネントを 複数のサーバーに同時にインストールし コンポーネント間の構成まで を行ってくれます 1 台のサーバーに展開する場合は すぐに利用を開始できる状態まで構成してくれる [ クイック スタート ] オプションを利用できます ( クイック スタートは 評価環境を簡単に展開するのに便 利です ) 画面 14: DirectAccess と VPN を一元管理可能な [ リモート アクセス管理コンソール ] DirectAccess クライアントの展開 実は Windows 8 Enterprise を実行する PC を DirectAccess クライアントとして構成するために PC ご とのシステム構成は必要ありません DirectAccess サーバーを展開すると Active Directory ドメインに DirectAccess サーバーと DirectAccess クライアント用のグループ ポリシー オブジェクト (GPO) が作成されま す DirectAccess クライアント用のグループ ポリシーが PC に適用されると DirectAccess クライアントとし て動作し始めます すなわち クライアントが社内ネットワークに直結されている場合は 通常のクライアント と同じように社内リソースにアクセスでき 同じクライアントが社外に出た場合は インターネット接続を使用 して DirectAccess サーバーに接続し 社内ネットワークに自動接続するようになります 画面 16: [ 役割と機能の追加ウィザード ] が提供するリモート デスクトップ サービス専用のインストール オプション 画面 15: [DirectAccess クライアントの設定 ] GPO が適用されることで DirectAccess クライアントになる 画面 17: セッション ベースまたは仮想マシン ベースの展開シナリオを選択して シナリオに必要になるコンポーネントを配置するサーバー を指定するだけ 21...Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要 Windows 8 と Windows Server 2012 が 実現する リモート アクセスソリューションの概要... 22
コンポーネントの展開が完了したら [ サーバーマネージャー ] に統合されたリモートデスクトップサービスの管理コンソールを使用して 構成と管理を一元的に行うことができます RD ラインスや RD ゲートウェイについては シナリオベースの展開ではインストールされませんが 管理コンソールの展開イメージのアイコンをクリックして 簡単に追加して構成することができます 画面 19: ユーザープロファイルディスクは リモートデスクトップサービスにおけるローミングに使用される 画面 18: [ サーバーマネージャー ] に統合されたリモートデスクトップサービスの管理コンソール コレクションの作成リモートデスクトップサービスのサーバーを展開したら コレクションを作成して ユーザーにリソース ( デスクトップやアプリケーション ) を公開します セッションベースの場合はセッションコレクションを作成し デスクトップを提供する RD セッションホストとアクセスを許可するユーザーグループを指定します 仮想マシンベースの場合は 仮想デスクトップコレクションを作成します 仮想デスクトップコレクションの作成のためには テンプレートとなる仮想マシンのイメージを事前に作成しておくことが必要ですが テンプレートを 1 つ用意さえすれば 仮想デスクトップコレクションを使用して 必要な数の仮想マシンを自動作成し ゲスト OS を自動構成することができます コレクションが作成されると RD Web アクセスのポータルにアイコンが登録されます Windows 8 の [ コントロールパネル ] にある [RemoteApp とデスクトップ接続 ] を構成すると RD Web アクセスに公開されているアイコンを Web フィードを使用して Windows 8 のスタート画面に自動登録できます ユーザーは RD Web アクセスが提供するアイコンをクリックすることで シングルサインオンでサーバーや仮想デスクトップ あるいは RemoteApp プログラムへのリモートデスクトップ接続を開始できます RemoteApp プログラムとは デスクトップ全体ではなく アプリケーションウィンドウ単位でリモート接続し ローカルのデスクトップにシームレスに統合してアプリケーションを利用できる機能です RemoteApp プログラムは コレクションごとに構成することができます 以前のバージョンでは RemoteApp プログラムは RD セッションホストでのみサポートされる機能でしたが Windows Server 2012 では 仮想デスクトップにインストールされたアプリケーションを RemoteApp プログラムとして公開できるように拡張されました セッションベースと仮想マシンベースの両方の展開で コレクションにユーザープロファイルディスクを構成することができます ( 個人用仮想デスクトップコレクションを除く ) ユーザープロファイルディスクは ユーザー設定とデータを格納するための仮想ハードディスクであり 接続時に自動的にマウントされるものです ユーザープロファイルディスクを使用することにより ファイル転送を伴う移動ユーザープロファイルを利用しなくても ユーザー環境のローミングが可能になります ユーザーは 接続先のサーバーや仮想マシンが変更になっても 自分の個人設定を継続して利用することができます また ユーザープロファイルのサイズ増加が サーバーや仮想マシンのディスク使用に影響しないというメリットがあります 画面 20: コレクションは RD Web アクセスのポータルに公開され シングルサインオンで接続を開始できる 23... 24
まとめ このホワイトペーパーでは フレキシブルワークスタイルを実現するリモートアクセスソリューションとして Windows To Go DirectAccess リモートデスクトップサービスの 3 つを紹介しました DirectAccess とリモートデスクトップサービスは Windows Server の以前のバージョンから提供されているものですが Windows Server 2012 で展開と管理が非常に簡単になっており 中小規模の企業においても導入しやすいものになっています リモートアクセスに社外デバイスを使用する場合 セキュリティリスクが不安ですが Windows To Go を用いればその不安を解消できるでしょう Microsoft Windows Windows ロゴは 国 Microsoft Corporation および またはその関連会社の商標です その他記載されている 会社名 製品名 ロゴ等は 各社の登録商標または商標です このリーフレットは 2011 年 4 現在のものです 本キャンペーンの内容および 製品の仕様は 予告なく変更することがあります 予めご了承ください 25 日本マイクロソフト株式会社 108-0075 東京都港区港南 2-16-3 品川グランドセントラルタワー 1539-WI1