にわか管理者のためのWindows Server 2012入門(43) リモートデスクトップでWindowsサーバをリモート管理

今回は、リモートデスクトップを使ったWindowsサーバのリモート管理について解説する。ここでいうリモート管理とは、離れた場所にあるサーバを対象として、ネットワーク経由で行う各種の管理者向け作業を指している。

なお、リモート管理を行うには相手のサーバ(スタンドアロンサーバの場合)、あるいはActive Directoryドメイン(ドメイン環境の場合)に対して管理者権限を持つユーザーアカウントの資格情報が必要になる。このことは当然の前提としていちいち繰り返さないので、念頭に置いた上で読み進めていただきたい。

リモート管理の利点と必要性

ネットワーク管理、あるいはサーバ管理の仕事をやっていると、サーバの設定変更や動作状況確認など、さまざまな管理作業を行わなければならない場面に遭遇することがよくある。サーバが目の前にあれば話は簡単だが、常にそういう状況とは限らない。すると、ネットワーク経由でリモート管理する需要が発生する。

もちろん、サーバがある場所まで出向いてローカルログオンする方が効率的だが、サーバが遠隔地にある場合、あるいは警備が厳しいデータセンターやサーバルームに設置してあってアクセスが難しい場合もある。そうした場面でリモート管理が行えれば、必要な作業を迅速にこなすことができる。

具体的な方法はいくつかあるが、もっとも簡単なのはリモートデスクトップを使用する方法だ。この場合、管理者が操作するコンピュータの画面上に、リモート管理の対象となるWindowsサーバのデスクトップ画面が現れて、ローカルログオンしたときと同じ感覚で操作できるので利便性が高いし、さまざまな機能にアクセスする際に手間がかからない。個別の管理機能ごとにMMC管理コンソールを使用する方法もあるが、やや煩雑である。

なお、インターネットに直結して運用しているサーバでは、セキュリティ上のリスクを考慮すると、リモートデスクトップの使用は避けた方がよいだろう。

リモートデスクトップによるリモート管理

クライアント版Windowsと同様に、Windows Server 2012でも既定値では安全性を優先しているため、リモートデスクトップ機能は無効になっており、接続しようとしても接続できない。コントロールパネルの[システム]を使用してリモートデスクトップ接続を許可すると、リモートデスクトップクライアントによる接続が可能になる。

[コントロールパネル]で、[システムとセキュリティ]以下にある[システム]を実行する。
画面右下の[設定の変更]、あるいは画面左側の[システムの詳細設定]をクリックして、[システムのプロパティ]ダイアログを表示させる。
[リモート]タブに移動して、[リモートデスクトップを実行しているコンピュータからの接続を許可する]または[ネットワークレベル認証でリモートデスクトップを実行しているコンピュータからのみ接続を許可する]のいずれかを選択する。後者の方が安全性が高くなるが、利用可能なクライアントはRDP 6.xに対応したものに限られる。
[OK]をクリックしてダイアログを閉じる。

[システム]ダイアログで接続を許可するまで、リモートデスクトップ接続はできない

この操作により、管理者権限を有するユーザーはリモートデスクトップ接続が可能になる。普通、サーバにリモートデスクトップ接続して管理操作を行うのは管理者だけだから、これで困ることはないだろう。具体的にいうと、Administratorユーザー、Administratorsグループのメンバー、それとActive Directory環境におけるDomain Adminsグループのメンバーが対象だ。

その他のユーザーについては、[ユーザーの選択]をクリックして追加することができる。しかし、管理者ではないユーザーに対してサーバへのリモートデスクトップ接続を認める必然性は、まず存在しないのではないだろうか。

前述したように、ネットワークレベル認証を利用するには、リモートデスクトップクライアント側で使用するOSとして、Windows Server 2008、Windows Server 2012、Windows Vista、Windows 7、Windows 8のいずれかが必要になる。Windows XPやWindows Server 2003はネットワークレベル認証に対応していないので、それらを使用する場合には、安全性の低下を忍んでネットワークレベル認証を使用しない選択肢を採らなければならないが、そもそもこれらのOSを使うこと自体どうか、という問題が先だ。

リモートデスクトップクライアントから接続する際の手順は、クライアントPCでリモートデスクトップ接続を行う場合と変わらない。リモートデスクトップクライアントを実行して、接続先としてコンピュータ名、あるいはIPアドレスを入力して[接続]をクリックすればよい。

クライアントのバージョンによって挙動が異なる場合があるが、Windows 7のリモートデスクトップクライアントでは、接続を指示した後でログオン画面を表示する。そこで、対象に対して管理者権限を持つユーザー名とパスワードを指定して接続する仕組みだ。このとき、Active Directory環境ではドメインアカウントを指定する必要があるので、ユーザー名だけを入力するのではなく、「<ドメイン名>\<ユーザー名>」形式で入力しなければならない。

Windows 7のリモートデスクトップクライアントで、接続先を指定して[接続]をクリックしているところ。これは[オプション]をクリックしてダイアログを拡大したときのもの。他のタブで、画面サイズや色数などの設定も変更できる。[接続]をクリックすると、ユーザー名とパスワードを入力する画面を表示する

ちなみに、リモートデスクトップ接続による管理が特に有用なのは、クライアントPCの主力がWindowsではなくMacintoshの場合だ。当然ながらMacOSにはMMC管理コンソールはないから、MMC管理コンソールでリモート管理する方法も使えない。しかしMacOS X用のリモートデスクトップクライアントは無償配布されており、Ver.2.1.0以降であればRDP 6.xとネットワークレベル認証にも対応している。