ワークグループ内のスタンドアロン RDS の制限と基本設定を理解する
ワークグループ内のWindows Serverにリモートデスクトップセッションホスト(RDSH)をセットアップしようとしたことがある方は、ドメインで行うほど簡単ではないことに気付いたかもしれません。基本的に、高度なスケーリング機能はすべて利用できません。セッションコレクション、Webポータル経由で公開されるRemoteApp、そしてもちろん接続ブローカーもありません。これは非常に基本的なセットアップですが、エンタープライズ向けの機能をすべて省いたシンプルなリモートアクセスポイントだけが必要な場合は、実現可能です。ただし、ユーザープロファイルディスクやメンテナンス中のリモート管理など、一部の機能は利用できないことに注意してください。
この概要では、RDSH をスタンドアロン環境で実行できるようにすることが目標です。これは、リモート接続のサポート、ライセンスのインストール、そしてリモートアプリを1つか2つ公開できる程度の環境です。ドメインも設定も不要で、面倒な作業もありませんが、膨大なユーザー負荷や複雑な導入環境では、スムーズなエクスペリエンスは期待できません。
ワークグループにおける RDS の一般的な問題を解決する方法
方法 1: RDS ロールを手動または PowerShell 経由でインストールする
これが最初のステップです。少し奇妙に感じるかもしれませんが、ワークグループに役割をインストールするには、ある程度の手作業が必要です。サーバーマネージャーを使うのは簡単ですが、コマンドラインを使いたい場合はPowerShellを使うのが便利です。ドメインサーバーの場合とほとんど変わりませんが、覚えておくべき点があります。手動で設定しない限り、接続ブローカーは自動インストールされません。
- PowerShell を管理者として開き、次を実行します。
Install-WindowsFeature -Name RDS-Licensing, RDS-RD-Server –IncludeManagementTools - ロールがインストールされているかどうかを確認するには、次のコマンドを実行します。
Get-WindowsFeature -Name RDS* | Where-Object { $_. Installed } - 必要に応じて再起動します。
Restart-Computer
なぜわざわざ?これらのロールが適切にインストールされていないと、何も機能しません。まるで、建物を建てる前に基礎を築くようなものです。
方法2: RDSライセンスを設定し、ライセンス警告を回避する
ロールをインストールしたら、次に面倒なのはライセンスです。RDSは、配布するライセンスの種類(デバイス単位かユーザー単位か)を認識する必要があります。ワークグループにはActive Directoryがないため、ローカルライセンスしか利用できず、制限があります。デバイス単位のCALを使用するのが最善策です。そうでなければ、約60分後にライセンスエラーメッセージが表示され、強制終了させられる可能性があります。
これを設定するには、ローカル グループ ポリシー エディター( gpedit.msc) に移動し、ライセンス モードを調整します。
- コンピューターの構成 > 管理用テンプレート > Windows コンポーネント > リモート デスクトップ サービス > リモート デスクトップ セッション ホスト > ライセンスに移動します。
- リモートデスクトップのライセンスモードの設定を有効にし、デバイスごとを選択します。
- 指定されたリモートデスクトップライセンスサーバーを使用するを有効にし、サーバーのIPアドレスまたは同じマシン上にある場合はローカルホストを入力します。
127.0.0.1またはlocalhost
ヒント:これらの設定はすぐには反映されない場合があります。通常は再起動で解決しますが、環境によっては、リモートデスクトップライセンス診断ツール(lsdiag.msc)を開いてライセンスを確認することで、すべてが正しく設定されていることを確認できます。ただし、ドメインが設定されていないということは、ライセンスを一元管理できないことを意味しますのでご注意ください。この手順を無視すると、ライセンスに関する警告が表示される場合があります。
方法3: リモートアクセスとユーザー設定用にRDSHを構成する
この部分は少し面倒ですが、必須です。ユーザーに接続してもらいたいですよね?そのため、ローカルユーザーアカウントを作成する必要があります(lusrmgr.mscまたは PowerShell を使用)。通常は簡単です。
$UserPassword = ConvertTo-SecureString "PaSS123!" -AsPlainText -Force New-LocalUser "john.doe" -Password $UserPassword -FullName "John Doe"または、手動でユーザーを作成し、リモートデスクトップユーザーグループに追加してリモート接続できるようにします。
Add-LocalGroupMember -Group "Remote Desktop Users" -Member "john.doe"これは非常に重要です。デフォルトでは管理者のみが接続できますが、一般ユーザーも接続できるようにしたいからです。設定が完了したら、別のPCから を実行して接続し、mstsc.exe少なくともrdshostname\username数人のユーザーが同時にログインできることを確認してください。ある設定では、最初の試行では失敗するものの、再起動後などしばらくすると魔法のように接続できるようになることがありました。これは全く意味不明ですが、まあ、Windowsですからね。
方法4: ドメインなしでRemoteAppを公開する
ここがちょっと厄介なところです。ADがないので、組み込みのRemoteApp公開ツールを直接使用することはできません。ただし、レジストリを編集して公開可能なアプリのリストにアプリケーションを追加するという回避策があります。
Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Terminal Server\TSAppAllowList\Applications\MyAdobeReaderApp] "CommandLineSetting"=dword:00000000 "RequiredCommandLine"="" "Name"="Adobe Reader" "Path"="C:\\Program Files\\Adobe\\Acrobat DC\\Acrobat\\Acrobat.exe" "ShortPath"="C:\\PROGRA~1\\Adobe\\Acrobat DC\\Acrobat\\Acrobat.exe" "IconPath"="C:\\PROGRA~1\\Adobe\\Acrobat DC\\Acrobat\\Acrobat.exe" "IconIndex"=dword:00000000 "ShowInTSWA"=dword:00000001 "SecurityDescriptor"=""「Adobe Reader」とそのパスを、公開しようとしているアプリに置き換えてください。レジストリにインポートした後、サーバーまたはリモートデスクトップサービスの再起動が必要になる場合があります。クライアント側でRemoteAppを起動するには、.RDPファイルに以下のコードを追加します。
remoteapplicationmode:i:1 alternate shell:s:||MyAdobeReaderApp remoteapplicationname:s:MyAdobeReaderApp remoteapplicationprogram:s:||MyAdobeReaderAppこの方法は、ドメイン内ほどシームレスではない場合もありますが、重要なアプリを素早く簡単に公開するには非常に有効です。
方法5: ドメインなしでセキュアゲートウェイを設定する
インターネット経由で接続を許可する予定の場合は、VPN またはリモートデスクトップゲートウェイ(Microsoft のガイドはこちら)が最適です。驚くべきことに、RD ゲートウェイはワークグループ(AD ドメインではありません)でも設定できます。ただし、少し手作業が必要になります。
これには、サーバーにRDゲートウェイの役割をインストールし、特定のポートを開き、証明書を構成する作業が含まれますが、これはまた別の話です。重要なのは、適切に構成されたRDゲートウェイは、サーバーをインターネットの脅威に直接さらすことなく、RDPトラフィックを暗号化し、認証を適切に処理するということです。
まとめ
ここまでの説明が少し難しそうに思えるかもしれませんが、ワークグループでRDSを設定するのは不可能ではないことを覚えておいてください。手動で設定し、ライセンスや接続の不具合に注意するだけです。複数のマシンで、ドメイン領域に踏み込まずに小規模なリモートアクセスを実現するには、この方法が有効な回避策となっています。ただし、いくつかの追加手順と試行錯誤、そしておそらく1~2回の再起動が必要になることを覚悟してください。とはいえ、1つの設定がスムーズに動作すれば、それで成功です。
まとめ
- PowerShell または Server Manager 経由で RDS ロールを正しくインストールする
- 切断を避けるためにライセンスモードを慎重に設定してください
- ローカルユーザーアカウントを作成し、リモートデスクトップユーザーグループに追加します。
- リモートアプリを公開するための回避策には、レジストリの編集と手動のRDP調整が必要です。
- ワークグループ内でインターネット経由でRDゲートウェイを安全に使用することは、思ったほど悪くはありませんが、追加の設定が必要です。