Active Directory ドメイン/フォレストまたは作業グループ間で RDS ライセンスを設定するためのベスト プラクティス

この記事では、ドメイン、フォレスト、または作業グループ間でリモート デスクトップ (RD) ライセンスを設定するサポート可能性 (または推奨されるアプローチ) に関する質問について説明します。

適用対象: Windows Server 2008 R2 Service Pack 1
元の KB 番号: 2473823

注:

Windows Server 2008 R2 では、ターミナル サービスの名前がリモート デスクトップ サービス (RDS) に変更されます。

質問

RD ライセンス サーバーは、次のいずれかの条件で RD セッション ホスト (ターミナル サーバー) サーバーに接続しているユーザーまたはデバイスにクライアント アクセス ライセンス (CAL) を発行できますか?

• RD セッション ホスト サーバーはActive Directory ドメインにあり、RD ライセンス サーバーは作業グループ環境にあります。
• RD セッション ホスト サーバーは作業グループ内にあり、RD ライセンス サーバーはActive Directory ドメインにあります。
• RD セッション ホスト サーバーと RD ライセンス サーバーは、さまざまなフォレストにあります。 これらのフォレスト間に信頼が存在しない (一方向または双方向の信頼)。
• RD セッション ホスト サーバーと RD ライセンス サーバーは、同じ作業グループ内にあります。

答え

デバイスごとの CAL とユーザーごとの CAL 発行の両方が機能するには、次の 3 つの構成のいずれかで RD セッション ホストと RD ライセンス サーバーを使用します。

• 同じ作業グループ内の両方
• 同じドメイン内の両方
• 信頼された (双方向の信頼) Active Directory ドメインまたはフォレスト内の両方

これらのシナリオの詳細を次に示します。

• RDS ホスト サーバーと RDS ライセンス サーバーが同じ作業グループ内にある

  作業グループ環境で RDS および RDS ライセンス サーバーを構成する際には、次の点を考慮してください。

  • 作業グループ環境では、デバイスごとの CAL のみを使用できます。 そのため、RDS ライセンス サーバーにはデバイスごとの CAL のみをインストールする必要があります。
  • ユーザーごとの CAL 追跡とレポートは、作業グループ モードではサポートされていません。
  • RDS ホストと RDS ライセンス サーバーの役割の両方を同じサーバーにインストールできます。
  • RDS ライセンス サーバーを作業グループ内の別のサーバーにインストールする場合は、RDS サーバーが RDS ライセンス サーバーにアクセスできることを確認します。

  Windows 2008 R2 では、RD セッション ホスト サーバーでライセンス サーバーの自動検出がサポートされなくなりました。 リモート デスクトップ セッション ホスト構成スナップインを使用して使用する RD セッション ホスト サーバーのライセンス サーバーの名前を指定する必要があります。 詳細については、「 使用する RD セッション ホスト サーバーのライセンス サーバーを指定する」を参照してください。

• RDS ホスト サーバーと RDS ライセンス サーバーが同じドメイン内にある

  Active Directory ドメインシナリオでは、RDS ホストサーバーと RDS ライセンス サーバーを同じサーバーまたは別のサーバーに配置できます。 ドメイン シナリオで RDS 環境を構成する際には、次の点を考慮してください。

  • RDS ライセンス サーバーには 、(デバイスごととユーザーごと) の両方の CAL をインストールできます。

  • ライセンス サーバーのコンピューター アカウントは、AD DS のターミナル サーバー ライセンス サーバー グループのメンバーである必要があります。 ライセンス サーバーがドメイン コントローラーにインストールされている場合、ネットワーク サービス アカウントもターミナル サーバー ライセンス サーバー グループのメンバーである必要があります。

  • RDS CAL の発行を制限するには、RDS ライセンス サーバーのターミナル サーバー コンピューター グループに RDS ホスト サーバーを追加し、RDS ライセンス サーバーでライセンス サーバー セキュリティ グループ ポリシー設定を有効にします。

  • ライセンス サーバー セキュリティ グループ ポリシー設定は、コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\リモート \RD ライセンスにあり、ローカル グループ ポリシー エディターまたはグループ コンソール (GPMC) を使用して構成できます。

• RDS ホスト サーバーは 1 つのドメイン/フォレストにあり、RDS ライセンス サーバーは別のドメイン/フォレストにあります

  この種のシナリオでは、次の点を考慮する必要があります。

  • これらのドメイン/フォレスト間には双方向の信頼が必要です。 フォレスト信頼または外部信頼のいずれかを指定できます。

  • 必要なすべてのポートをファイアウォールで開く必要があります。 開く必要があるポートについて質問がある場合は、「 Windows のサービスの概要とネットワーク ポートの要件」を参照してください。

  • RDS Per User CAL を他のドメインのユーザーに発行するには、ドメイン間に双方向の信頼が必要であり、ライセンス サーバーは、それらのドメインのターミナル サーバー ライセンス サーバー グループのメンバーである必要があります。

  • RDS CAL の発行を制限するには、RDS ライセンス サーバーのターミナル サーバー コンピューター グループに RDS ホスト サーバーを追加します。

  • 各ドメイン/フォレスト内のすべての RDS ホスト サーバーに RDS ライセンス サーバーを構成します。 RDS ホスト構成スナップインまたはグループ ポリシーを使用して実行できます。

  • RDS ライセンス サーバーのローカル管理者に、各ドメイン/フォレストの管理者グループを追加します。 これにより、信頼されたドメイン/フォレストで RDS ホスト構成スナップインを開くときに、資格情報の入力を求めるプロンプトは表示されません。

データ収集

Microsoft サポートからの支援が必要な場合は、「 TSS for User Experience の問題を使用した情報の収集」に記載されている手順に従って情報を収集することをお勧めします。