第9回　ターミナル・サービスによるクライアントの仮想化（中編）：Windows Server 2008の基礎知識（3/3 ページ）

TSゲートウェイ

　もともと、コマンドによる細かな操作に自由度の少なかったWindows Serverにとって、GUIは「操作の命」であるといっても過言ではなく、ターミナル・サーバに接続して直接デスクトップを操作できることは、リモートからのメンテナンス性を大幅に向上させたといえる。

　そこで問題となるのが、インターネットを越えて、社内システムのメンテナンスを行う場合だ。ターミナル・サーバに接続するにはRDP（Remote Desktop Protocol）という通信プロトコルを使用する。通常はTCPのポート3389番を使用するが、当該ポートへの接続をインターネットから許可している企業は多くない。直接サーバに入り込み、操作が行えてしまうポートであることを考えれば、当然のことだろう。

　こうした不便を回避するため、従来はVPNを使用することが多かった。まず自宅のPCにVPNクライアントをインストールし、インターネットと社内ネットワークの境目で認証を受ける。その後でVPNセッション上で社内ネットワークに入り込み、必要な作業を行う、といった手順が必要であった。

　多くのベンダーがVPN関連製品を手掛けているいま、運用に合わせた製品を選択することにさほど苦労はない。またシステムのメンテナンスを担当するエンジニアであれば、VPNクライアントのセットアップや、社内ネットワークに入り込むための数十けたのパスワードの管理も大きな問題とはならないだろう。

外部ネットワークからターミナル・サービスに接続する場合の一般的な通信のイメージ
通常、RDPはファイアウォールによって遮断されているため、インターネットなどの外部ネットワークからターミナル・サーバには到達できない。接続するにはVPNによってRDPを通すためのトンネルを構築する必要がある。

　しかし、エンド・ユーザーにとっては、このVPNの存在が使い勝手のうえで大きな壁となってしまうことがある。

　そこで、Windows Server 2008では新たに「TSゲートウェイ」という機能を実装した。TSゲートウェイは、VPNを使用せずに外部から社内ネットワークに接続するためのソリューションである。通信プロトコルとしてはRDP over HTTPSを採用しており、インターネット上はRDPをカプセル化したHTTPSによる暗号化通信を行い、TSゲートウェイから社内サーバまでをRDPで通信するという方法だ。これにより、インターネット上のポート制限に遮断されることなく、かつ一般的に透過されているプロトコルを使用することで社内のDMZ上に設置されたサーバとの通信も可能となる。

TSゲートウェイを使用した通信のイメージ
クライアント側でTSゲートウェイを有効にすると、TSゲートウェイにはHTTPSでカプセル化されたRDPが送信される。TSゲートウェイはHTTPSからRDPを取り出してターミナル・サーバに転送する。

　このようにTSゲートウェイをインストールしたサーバをDMZに配置し、HTTPSをインターネットからTSゲートウェイに振り向けることで、内部のターミナル・サーバとの通信はすべてTSゲートウェイが代行する。ターミナル・サービス版のリバース・プロキシともいえるだろう。

　ただし、これだけではVPNクライアントを使用した場合のメリットが明確でない。TSゲートウェイの大きなメリットは利用者が意識しなくてよいところにある。

　前編の図「ターミナル・サービスの利用形態」に示したように、ターミナル・サーバに接続するには「TS Webアクセス」「RDPファイル」「RDC（リモート・デスクトップ接続クライアント）」のいずれかのコンポーネントを使用する必要がある。これらのすべてのコンポーネントには、管理者が経由先のTSゲートウェイ・サーバを設定して埋め込めるようになっている。

リモート・デスクトップ接続クライアント（RDC 6.1）のTSゲートウェイ設定画面
RDC 6.1の起動後、［詳細設定］タブにある［設定］ボタンをクリックすると、この画面が表示される。
　 （1）TSゲートウェイを使用するか否かを設定する。TSゲートウェイのサーバ名を指定すれば、クライアントとサーバ間の通信は自動的にHTTPSとなる
　 （2）このチェック・ボックスをオンにすると、TSゲートウェイに接続する際に使用したユーザーIDとパスワードを使用して、接続先のターミナル・サーバに対して自動ログオンできる。

・TIPS「リモート・デスクトップ接続クライアントを新バージョンにアップグレードする」

　この仕組みによって、利用者はTSゲートウェイを意識することなく内部のサーバに接続できるのだ。例えば、管理者は、あらかじめTSゲートウェイ・サーバを含む必要な設定をすべて埋め込んだRDPファイルを作成し、それをエンド・ユーザーに配布する。エンド・ユーザーは、自宅のパソコンからRDPファイルをダブルクリックし、認証画面が表示されたら自身のユーザーIDとパスワードを入力するだけで目的のアプリケーションやリモート・デスクトップを起動できる。ただしTSゲートウェイ経由でターミナル・サービスに接続するには、RDCのバージョンが6.0以降でなければならず、Windows XP／Windows Server 2003ではRDCをアップグレードする必要がある。詳細は前編の表「ターミナル・サービスの機能とRDCの各バージョンの対応」を参照していただきたい。

　TSゲートウェイには、ほかにも安全性を高める機能が実装されている。「TS CAP（Connection Authorization Policy）」と「TS RAP（Resource Authorization Policy）」だ。どちらもTSゲートウェイ経由でターミナル・サーバへの接続を制御（制限）するための機能である。

　TS CAPとは、インターネット経由でTSゲートウェイにアクセスできるユーザー・グループおよびコンピュータ・グループの一覧であり、TS CAPとして定義されたグループのメンバ以外はTSゲートウェイに接続できない。一方、TS RAPはTSゲートウェイ経由でアクセス可能な社内のコンピュータ・グループであり、このメンバであるコンピュータだけに対してTSゲートウェイ経由でアクセスできる。

TSゲートウェイにおけるアクセス制御
TS CAPにより、TSゲートウェイを通過できる利用者を制限できる。またTS RAPにより、TSゲートウェイ経由でアクセス可能なターミナル・サーバを制限できる。

　TS CAPとTS RAPを活用すると、一般的なファイアウォールによるプロトコル・レベルでのアクセス制御に加えて、ユーザー／コンピュータ・アカウントというActive Directoryレベルの細かな制御も実現できる。

　インターネットからのターミナル・サービスへの接続に対する安全性をさらに向上させるには、TSゲートウェイ接続前の検疫も考慮する必要があるだろう。TSゲートウェイは、Windows Server 2008の検疫機能であるネットワーク・アクセス・プロトコル（NAP）とともに動作させることも可能だ。TSゲートウェイに接続する前に、NAPによってクライアントのセキュリティ修正プログラム適用やウイルス対策の状況をチェックし、社内ポリシーをクリアしない場合には一切の接続を拒否して検疫ネットワークにリダイレクトするのもよいだろう。

TS Web アクセス

　前編の図「ターミナル・サービスの利用形態」に示したとおり、ターミナル・サーバへのアクセス方法は3通り用意されている。そのうちの1つ「TS Webアクセス」は、Webブラウザを使用してアクセスするための入り口となる役割であり、従来のWindows Serverのターミナル・サービスでも同様の機能が提供されている。

　TS Webアクセスのメリットは、ユーザーに対して特別なソフトウェアを要求せず、Internet Explorerから直接ターミナル・サーバの機能を活用できる点だろう。TS Webアクセスでは、従来も可能だったリモート・デスクトップへの接続のほか、Windows Server 2008から新たに実装されたRemoteAppへの接続も可能だ。Internet ExplorerからTS Webアクセスに接続すると、［RemoteApp プログラム］と［リモート デスクトップ］という2つのタブが表示される（次の画面参照）。ここで［RemoteApp プログラム］タブを選択すれば、ターミナル・サーバ上にインストール済で、かつ公開が許可されたアプリケーションの一覧が表示され、ブラウザから直接アプリケーションを起動できる。その後はもちろん、RemoteAppによる、クライアント・デスクトップ上でのシームレスな利用が可能だ。

TS Webアクセスの画面の例
TS Webアクセスを使用すると、ターミナル・サーバで公開されているアプリケーションをブラウザ上から使用できる。

　ターミナル・サーバ側の設定により、TS Webアクセスからの接続に限って一部のアプリケーション公開を抑止することもできる。これにより、RDPファイルを配信したユーザーのみが使用できるアプリケーションと、不特定多数がブラウザ経由で使用できるアプリケーションを分離可能だ。また、［リモート デスクトップ］タブを非公開にし、ブラウザを経由したリモート・デスクトップ機能への接続を抑止することもできる。エンド・ユーザーへの公開を目的とするならば、サーバのデスクトップ全体が見えてしまうリモート・デスクトップより、特定のアプリケーションだけが表示されるRemoteAppの接続に限った方が、利用者の使い勝手は向上するだろう。

　なお、注意しなければならないのは、TS Webアクセスはあくまでターミナル・サーバへの入り口であり、データ通信のゲートウェイとしては動作しないということだ。最初にWebブラウザを使用してTS Webアクセスに接続し、［RemoteApp プログラム］タブからアプリケーションを起動したり、リモート・デスクトップに接続したりした後は、クライアントとターミナル・サーバが直接通信することになる。つまり、通信プロトコルとしてRDPが使われる。このことは、クライアントとターミナル・サーバの間にファイアウォールが設置されている場合に問題となりやすいので注意しよう。インターネット経由でアクセスする場合には、前述のようにTSゲートウェイを設置するか、VPNなどによるトンネリングが必要となる。

　今回は、Windows Server 2008ターミナル・サービスの各役割の機能について解説した。次回の後編では、ターミナル・サービスのインストールと環境設定手順についてステップ・バイ・ステップで紹介するほか、ターミナル・サービスの管理機能についても解説する。

「  Windows Server 2008の基礎知識　――　新サーバOSで何が変わるのか？　――　」