第2回 Windows Thin PCを“本物の”シンクライアントに仕上げるWindows Thin PCで本格的なシンクライアントを実現する(5/5 ページ)

» 2012年02月16日 00時00分 公開
[小川大地(Microsoft MVP for Virtual Machine)日本ヒューレット・パッカード株式会社]
前のページへ 1|2|3|4|5       

 ここまでの内容は、(キーボード・フィルタ以外は)WinTPC限定というわけではなく、「大は小を兼ねる」という形で通常のWindows 7でも実現できる設定だ。では、WinTPCならではの魅力は何かというと、前回解説した「Windows 7でありながらフットプリントが小さい」ことと「ライト・フィルタ」機能がある。

 特に、WinTPCの入ったFat PCを1人1台に貸与するのではなく、複数の人間が共有して使うようなケースではライト・フィルタは非常に強力な機能だ。

ライト・フィルタとは?

 簡潔にいえば、「ライト・フィルタ」とはディスクをWrite Protect、言い換えればRead Onlyにする技術である。といっても、Windows OSはTempフォルダやレジストリ、iniファイル、イベント・ログなど、読み出しだけではなく書き込みも頻繁に行っているため、単にディスク書き込みをブロックすると正常に動作しなくなる。ライト・フィルタはディスクをRead Onlyにすると同時に、書き込みの差分データをメイン・メモリ上に一時保存する技術である。

 揮発性(電源を切ると内容が消えること)であるメイン・メモリに格納された更新内容は、OSをシャットダウンすることで自動的に消去される。再起動するとOSは元の状態に復旧(ロールバック)する。インターネット・カフェにあるPCを思い浮かべると理解しやすいかもしれない。

ライト・フィルタの基本動作
ライト・フィルタはディスクのRead Only(Write Protect)を実現する機能だ。読み出しはディスクから行われるが、いったんOSやアプリケーションなどから書き込むと、その差分データはメイン・メモリに一時保存され、以後はメイン・メモリから優先的に読み出される。メイン・メモリの内容はシャットダウンのタイミングで消去されるため、再起動後は元の状態に自動復旧する。

 マイクロソフトが今回WinTPCにライト・フィルタを実装したのは、ライト・フィルタがシンクライアントの利用シーンに非常に効果的なためである。

  • エンドユーザーがWinTPC内のOSやアプリケーションに手を加えても、再起動するだけで元に戻る
  • エンドユーザーのIDやパスワードなどの入力情報がOSやアプリケーションに残ってしまっても、再起動するだけで元に戻る
  • エンドユーザーが電源ボタンの長押しなどでPCを強制終了しても、ファイル・システムは破損しない

 前ページまでに紹介したKIOSKモードやセキュリティ強化策によって、エンドユーザーが実質的にOSやアプリケーションに手を加えることはできないかもしれない。しかし、アプリケーションに記録されたデータの消去や、急な電源断によるファイル・システム障害は、KIOSKモードやセキュリティ強化策では対応できない。特に図書館や会議室の端末といった「不特定多数」が利用するケースでは、こうした問題が生じることも多いため、ライト・フィルタは大きな効果を発揮するだろう。そのほか、HDDへの書き込みが行われないため、HDDへのアクセスが減ることから、HDDの寿命向上も期待できる。

WinTPCにはEWFとFBWFの2種類のライト・フィルタを搭載

 WinTPCには、EWF(Enhanced Write Filter)とFBWF(File-Based Write Filter)の2種類のライト・フィルタが搭載されている。

 EWFは、HDD(正確にはボリューム)単位でプロテクトするものだ。EWFを利用する場合、実際の運用ではC:ドライブ全体をプロテクトすることになるが、シンクライアント用途としては不便な点がある。それは、再起動のタイミングでOSのイベント・ログや接続ツール、監査ソフトウェアなどの各種ログまでもが自動消去され、ロールバックされてしまうということだ。ログの消失はセキュリティ的にはもちろん、障害時のトラブルシューティングにも時間を要してしまう。

 この問題を回避するには、もう1つのライト・フィルタであるFBWFを利用すればよい。FBWFはファイルやフォルダ単位でプロテクトできるEWFの上位技術であり、EWFと比べてメモリの消費を抑えたり、特定のファイル/フォルダのみをWrite Protectの対象外にしたりできる。

EWF/FBWFを設定する

 EWFやFBWFはWinTPCにプレインストールされているため、有効にするだけで利用できる。上記のドキュメントにコマンドラインによる利用方法が記載されているが、より簡単に設定できるGUIの管理ツールもMicrosoftから公開されている。今回はこちらを紹介しよう。

File Based Write Filter Management Toolの[Configuration]タブFile Based Write Filter Management Toolの[Exclusion List]タブ FBWFのGUI管理ツール「File Based Write Filter Management Tool」
これはFBWFを有効にした後、File Based Write Filter Management Toolを起動したところ。左が[Configuration]タブ、右が[Exclusion List]である。
  (1)タスク・バーにFBWFの状態を表すアイコンが表示される。
  (2)C:ドライブがプロテクト状態にあるのが分かる。
  (3)FBWFならではのファイル/フォルダ除外リスト設定画面(ここではイベント・ログとIME辞書を除外している)。

 なお、上記のドキュメントにも記載されているが、EWFとFBWFは1つのボリュームに対してどちらか一方しか適用できない。また、FBWFを利用する場合は、OSのブート・パラメータを変更する下記コマンドを忘れずに実行しよう。

bcdedit.exe /set {bootloadersettings} BOOTSTATUSPOLICY IgnoreAllFailures


 ライト・フィルタを有効化したら、どこか適当なフォルダにダミーのファイルを作成してみるとよい。再起動してみると作成したファイルが消えていることが分かるだろう。なお、EWFとFBWFは排他であるが、ボリューム単位で使い分けることができる。

 また、EWFにはHibernate Once/Resume Many(HORM)という機能があり、Windowsの休止状態を応用して、電源オフの状態から非常に短時間でOSを起動できる。HORMはFBWFでは利用できないため、ログなどの特定ファイルの除外はできないが、ログ保管を重要視しない場合は「EWF+HORM」の利用も悪くないかもしれない。


 今回のカスタマイズで、WinTPCを“本物”かつメンテナンス・フリーなシンクライアントに仕上げることができたはずだ。次回はファイアウォールや外出時などの「セキュリティ」と、たくさんのWinTPCを展開・運用していくような「一元管理」など、実運用を意識したTIPSを解説する。


「Windows Thin PCで本格的なシンクライアントを実現する」のインデックス

Windows Thin PCで本格的なシンクライアントを実現する

前のページへ 1|2|3|4|5       

Copyright© Digital Advantage Corp. All Rights Reserved.

RSSについて

アイティメディアIDについて

メールマガジン登録

@ITのメールマガジンは、 もちろん、すべて無料です。ぜひメールマガジンをご購読ください。