リモート デスクトップ サービス ロール
この記事では、リモート デスクトップ サービス環境内での役割について説明します。
リモート デスクトップ セッション ホスト
リモート デスクトップ セッション ホスト (RD セッション ホスト) では、ユーザーと共有するセッション ベースのアプリとデスクトップが保持されます。 ユーザーは、Windows、MacOS、iOS、および Android で実行されるいずれかのリモート デスクトップ クライアントを通じてこれらのデスクトップおよびアプリにアクセスします。 ユーザーは Web クライアントを使用して、サポートされているブラウザーから接続することもできます。
デスクトップとアプリを、"コレクション" と呼ばれる 1 つまたは複数の RD セッション ホスト サーバーに整理できます。これらのコレクションを、各テナント内の特定のユーザー グループ向けにカスタマイズすることができます。 たとえば、あるコレクションを作成し、そのコレクションでは特定のユーザー グループが特定のアプリにアクセスできますが、指定したグループ以外のユーザーはそれらのアプリにアクセスできないようにすることができます。
小規模の展開では、RD セッション ホスト サーバーにアプリケーションを直接インストールできます。 大規模な展開では、基本イメージを作成し、そのイメージから仮想マシンをプロビジョニングすることをお勧めします。
RD セッション ホスト サーバーの仮想マシンをコレクション ファームに追加し、コレクション内の各 RDSH 仮想マシンを同じ可用性セットに割り当てることで、コレクションを展開できます。 これにより、コレクションの可用性が高まり、スケールが増大することで、より多くのユーザーまたはリソース使用量の多いアプリケーションをサポートできます。
ほとんどの場合、複数のユーザーによって同じ RD セッション ホスト サーバーが共有されます。これにより、デスクトップ ホスティング ソリューションの Azure リソースが最も効率的に使用されます。 この構成では、ユーザーは管理者以外のアカウントを使用してコレクションにサインインする必要があります。 また、個人用セッション デスクトップ コレクションを作成することによって、リモート デスクトップへの完全な管理者アクセス権限を一部のユーザーに付与することもできます。
さらに、新しい RD セッション ホストの仮想マシンを作成するためのテンプレートとして使用できる Windows Server OS を含む仮想ハード ディスクを作成およびアップロードすることによって、デスクトップをさらにカスタマイズできます。
詳細については、以下の記事を参照してください。
- リモート デスクトップ サービス - セキュリティで保護されたデータ ストレージ
- 汎用化した VHD をアップロードして Azure で新しい VM を作成する
- RDSH コレクションの更新 (ARM テンプレート)
リモート デスクトップ接続ブローカー
リモート デスクトップ接続ブローカー (RD 接続ブローカー) は、RD セッション ホスト サーバー ファームへの着信リモート デスクトップ接続を管理します。 RD 接続ブローカーは、完全なデスクトップのコレクションおよびリモート アプリのコレクションの両方への接続を処理します。 RD 接続ブローカーは、新しい接続を行うときにコレクションのサーバー間で負荷を分散できます。 RD 接続ブローカーが有効になっている場合、分散サーバー用に RD セッション ホストへの DNS ラウンド ロビンを使用することはできません。 セッションが切断されると、RD 接続ブローカーはユーザーを正しい RD セッション ホスト サーバーおよびその中断されたセッション (RD セッション ホスト ファームにまだ存在する) に再接続します。
シングル サインオンとアプリケーションの公開をサポートするには、RD 接続ブローカー サーバーとクライアントの両方に、一致するデジタル証明書をインストールする必要があります。 ネットワークを開発またはテストするときは、自己生成および自己署名の証明書を使用できます。 ただし、リリースされるサービスでは、信頼された証明機関からのデジタル証明書が必要です。 証明書に付ける名前は、RD 接続ブローカーの仮想マシンの内部の完全修飾ドメイン名 (FQDN) と同じである必要があります。
コストを削減するために、Windows Server 2016 RD 接続ブローカーを AD DS と同じ仮想マシンにインストールできます。 多くのユーザーにスケールアウトする必要がある場合、同じ可用性セットに RD 接続ブローカーの仮想マシンを追加して、RD 接続ブローカー クラスターを作成できます。
RD 接続ブローカー クラスターを作成する前に、テナントの環境に Azure SQL Database を展開するか、SQL Server AlwaysOn の可用性グループを作成する必要があります。
詳細については、以下の記事を参照してください。
- RD 接続ブローカー サーバーを展開に追加し、高可用性を構成する
- デスクトップ ホスティング サービスの SQL データベース。
リモート デスクトップ ゲートウェイ
リモート デスクトップ ゲートウェイ (RD ゲートウェイ) は、Microsoft Azure のクラウド サービスでホストされる Windows デスクトップおよびアプリケーションへのアクセス権をパブリック ネットワーク上のユーザーに付与します。
RD ゲートウェイ コンポーネントは Secure Sockets Layer (SSL) を使用して、クライアントとサーバーの間の通信チャネルを暗号化します。 RD ゲートウェイの仮想マシンは、ポート 443 への受信 TCP 接続とポート 3391 への受信 UDP 接続を許可するパブリック IP アドレスからアクセス可能である必要があります。 これにより、ユーザーは HTTPS 通信トランスポート プロトコルと UDP プロトコルをそれぞれ使用して、インターネット経由で接続できます。
これが機能するには、サーバーとクライアントにインストールされているデジタル証明書が一致する必要があります。 ネットワークを開発またはテストするときは、自己生成および自己署名の証明書を使用できます。 ただし、リリースされるサービスでは、信頼された証明機関からの証明書が必要です。 証明書の名前は、RD ゲートウェイにアクセスするために使用する FQDN と一致する必要があります (その FQDN が、パブリック IP アドレスの外部に公開された DNS 名であるか、パブリック IP アドレスを指す CNAME DNS レコードであるかどうかに関係ありません)。
テナントのユーザーが少ない場合、コストを削減するために、RD Web アクセスおよび RD ゲートウェイの役割を 1 つの仮想マシン上で組み合わせることができます。 さらに多くの RD ゲートウェイ仮想マシンを RD ゲートウェイ ファームに追加して、サービスの可用性を高めてより多くのユーザーにスケールアウトすることもできます。 規模の大きい RD ゲートウェイ ファーム内の仮想マシンは、負荷分散された設定で構成する必要があります。 IP アフィニティは必要ありません。
詳細については、次の記事をご覧ください。
- RD Web およびゲートウェイ Web フロントに高可用性を追加する
- リモート デスクトップ サービスのどこからでもアクセス
- リモート デスクトップ サービス - 多要素認証
- RD ゲートウェイのロールを設定する
リモート デスクトップ Web アクセス
リモート デスクトップ Web アクセス (RD Web アクセス) を使用すると、ユーザーは Web ポータル経由でデスクトップおよびアプリケーションにアクセスでき、これらはデバイスのネイティブの Microsoft リモート デスクトップ クライアント アプリケーションを介して起動されます。 Web ポータルを使用して、Windows のデスクトップおよびアプリケーションを Windows および Windows 以外のクライアント デバイスに公開したり、デスクトップやアプリを特定のユーザーまたはグループに選択的に公開することができます。
RD Web アクセスが適切に機能するにはインターネット インフォメーション サービス (IIS) が必要です。 HTTPS (Hypertext Transfer Protocol Secure) 接続では、クライアントと RD Web サーバーの間の暗号化された通信チャネルが提供されます。 テナントのユーザーが HTTPS 通信トランスポート プロトコルを使用してインターネットから接続できるようにするために、RD Web アクセスの仮想マシンはポート 443 への受信 TCP 接続を可能にするパブリック IP アドレス経由でアクセスできる必要があります。
一致するデジタル証明書がサーバーとクライアントにインストールされている必要があります。 開発とテストの目的では、自己生成および自己署名の証明書を使用できます。 リリースされるサービスでは、デジタル証明書は信頼された証明機関から取得する必要があります。 証明書の名前は、RD Web アクセスにアクセスするために使用する完全修飾ドメイン名 (FQDN) と一致する必要があります。 可能な FQDN として、パブリック IP アドレスの外部に公開された DNS 名や、パブリック IP アドレスを指す CNAME DNS レコードなどがあります。
ユーザー数が少ないテナントの場合、単一の仮想マシンに RD Web アクセスとリモート デスクトップ ゲートウェイのワークロードを組み合わせることでコストを削減できます。 さらに RD Web 仮想マシンを RD ゲートウェイ ファームに追加して、サービスの可用性を高めてより多くのユーザーにスケールアウトすることもできます。 複数の仮想マシンがある RD Web アクセス ファームでは、負荷分散された設定で仮想マシンを構成する必要があります。
RD Web アクセスを構成する方法の詳細については、次の記事を参照してください。
- ユーザー用にリモート デスクトップ Web クライアントをセットアップする
- リモート デスクトップ サービス コレクションを作成して展開する
- デスクトップとアプリを実行するためのリモート デスクトップ サービス コレクションを作成する
リモート デスクトップ ライセンス
アクティブ化されたリモート デスクトップ ライセンス (RD ライセンス) サーバーを使用すると、ユーザーはテナントのデスクトップとアプリをホストしている RD セッション ホスト サーバーに接続できます。 テナント環境には通常、インストール済みの RD ライセンス サーバーが付属していますが、ホストされた環境ではサーバーをユーザーごとのモードで構成する必要があります。
サービス プロバイダーは、サービスに毎月サインインする許可された固有のすべてのユーザー (同時ユーザーでない) に対応するための十分な数の RDS サブスクライバー アクセス ライセンス (SAL) が必要です。 サービス プロバイダーは Microsoft Azure インフラストラクチャ サービスを直接購入でき、マイクロソフトのサービス プロバイダー ライセンス契約 (SPLA) プログラムを通じて SAL を購入できます。 ホストされたデスクトップ ソリューションが必要なお客様は、ホストされた完全なソリューション (Azure および RDS) をサービス プロバイダーから購入する必要があります。
小さいテナントの場合、単一の仮想マシンにファイル サーバーと RD ライセンス コンポーネントを組み合わせることでコストを削減できます。 サービスの可用性を高めるために、テナントは同じ可用性セット内に 2 つの RD ライセンス サーバー仮想マシンを展開できます。 テナントの環境内のすべての RD サーバーは両方の RD ライセンス サーバーに関連付けられるため、サーバーの 1 つがダウンした場合でも、ユーザーは新しいセッションに引き続き接続できます。
詳細については、以下の記事を参照してください。