Windows Server 2016でリモートデスクトップを有効にする方法

リモートデスクトッププロトコル（RDP）は、Windowsシステム管理者がWindows Serverシステムをリモート管理するために使用するMicrosoft独自のリモートアクセスプロトコルです。RDPがWindows PowerShellやSecure Shell（SSH）リモート処理などと異なる点は、図1に示すように、完全なグラフィカルデスクトップを備えていることです。

詳細: 最高のリモートアクセスソフトウェアとソリューション

デフォルトでは、RDP サーバーコンポーネントは TCP ポート 3389 で着信接続をリッスンしますが、セキュリティ上の理由から管理者がこれを変更することもできます。

確かに、Microsoft が現在推進しているのは、管理者が RDP への依存を減らし、代わりに (a) Windows Server を Server Core または Nano モードで展開し、(b) RDP の代わりに Windows PowerShell コマンドラインリモート管理を採用することです。

Microsoft がこのアドバイスを正当化する理由は 2 つあります。

GUIレイヤーは不要なシステムリソースを消費します
GUIレイヤーはサーバーの攻撃対象領域を広げます

とはいえ、多くの管理者はRDPベースのリモート管理に慣れており、新しくリリースされたWindows Server 2016オペレーティングシステムでもRDPを使用したいと考えています。それでは、Server 2016でRDPを有効にする方法を学びましょう（要約：手順はWindows Server 2012 R2とまったく同じです）。

サーバーマネージャー

サーバーマネージャーコンソールを開き、ローカルサーバーノードに移動して、図 2 に示すようにリモートデスクトップのハイパーリンクをクリックします。

Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。

リモートデスクトップのハイパーリンクは、コントロールパネルの「システム」項目から「システムプロパティ」シートへのショートカットです。「このコンピューターへのリモート接続を許可する」を選択し、必要に応じて「ネットワークレベル認証でリモートデスクトップを実行しているコンピューターからの接続のみを許可する（推奨）」を有効にしてください。

ネットワークレベル認証（NLA）は、サーバーでグラフィカルセッションを確立する前に認証を要求することで、Windows Serverをサービス拒否（DoS）攻撃から保護します。また、NLAはサーバーのシステムリソースを節約します。

Windows PowerShell

より低レベルの視点から見ると、サーバー上のRDP受信接続は、2つのレジストリ値とWindowsファイアウォール規則によって有効化されます。管理者
特権でWindows PowerShellセッションを開き、以下のコマンドを実行します。最初のコマンドはfDenyTSConnections値を作成し、0（オフ）に設定します。これは、ターミナルサービス（TS）接続を拒否したくないため、理にかなっています。

New-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal Server' -Name 'fDenyTSConnections' -Value 0 -PropertyType dword -Force

次のコマンドは、UserAuthentication (ネットワーク層認証) 値を作成して有効にします。NLA は良いアイデアなので、サーバー上でデフォルトで有効にすることを検討する必要があります。

New-ItemProperty -Path 'HKLM:SystemCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp' -Name 'UserAuthentication' -Value 1 -PropertyType dword -Force

次のコマンドは、定義済みの「リモートデスクトップ」Windowsファイアウォール規則を有効にします。その後、図3に示すように、Get-NetFirewallRule PowerShellコマンドレットを実行して確認できます。Enable
-NetFirewallRule -DisplayGroup 'Remote Desktop'

グループポリシー

すべてのインフラストラクチャサーバーでRDPの動作を標準化したいというニーズは高いでしょう。そこで、グループポリシーを活用してこの目標を達成します。

まず、RDP サーバー設定を共有するサーバーを対象とする新しいグループポリシーオブジェクト (GPO) を作成し、リンクしてスコープを設定します。

次に、次のグループポリシーパスに移動し、新しい制限されたグループのエントリを追加します（図4を参照）。
コンピューターの構成 > ポリシー > Windowsの設定 > セキュリティの設定 > 制限されたグループ

サーバーに組み込まれているRemote Desktop Usersグループのメンバーシップをカスタマイズできます。このグループのメンバーは、サーバーへのRDPセッションを確立できます。Active Directoryでは、ローカルのAdministratorsグループ（およびDomain Adminsグローバルグループ）にこの権限が自動的に付与されることに注意してください。

次の 3 つのグループポリシー設定が適用されます。

Windows ファイアウォールの受信 RDP 例外
RDPセッションを確立するユーザー権限
NLAの要求

コンピューターの構成管理用テンプレートネットワークネットワーク接続Windows ファイアウォールドメインプロファイルWindows ファイアウォール: 受信リモートデスクトップの例外を許可する

コンピューターの構成管理用テンプレートWindows コンポーネントリモートデスクトップサービスリモートデスクトップセッションホスト接続ユーザーがリモートデスクトップサービスを使用してリモート接続できるようにする

コンピューターの構成管理用テンプレートWindows コンポーネントリモートデスクトップサービスリモートデスクトップセッションホストセキュリティNLA を使用してリモート接続にユーザー認証を要求する

クライアント接続の作成

WindowsクライアントとWindows Serverには、どちらもリモートデスクトップ接続と呼ばれるMicrosoft RDPクライアントが含まれています。このツールを起動する私のお気に入りの方法は次のとおりです。

Windowsキー+Rキーを押します

mstsc（「Microsoft ターミナルサービスクライアント」の略）と入力します。

ENTERキーを押します

図 5 に、リモートデスクトップ接続のユーザーインターフェイスを示します。

RDPクライアントの優れた点は、ほぼすべてのデスクトップまたはモバイルOSで利用できることです。代表的なものを以下に示します。

Android: Microsoft リモートデスクトップ
iOS: Microsoft リモートデスクトップ
Linux: rdesktop
macOS: Microsoft リモートデスクトップ
Windows Phone: Microsoft リモートデスクトップ

Windows Server は、同時に 2 つの RDP セッションしかサポートしていないことにご注意ください。それ以上のセッションが必要な場合は、リモートデスクトップサービス (RDS) セッションホストサーバーロールをインストールし、Microsoft から追加の RDS 接続ライセンスを購入する必要があります。

最後に

以前のバージョンのWindows ServerでRDPを設定したことがある場合は、Windows Server 2016でも全く同じように動作することがわかります。ただし、Microsoftは「侵害を想定」したセキュリティ体制とハイブリッドクラウドのシナリオ、そしてそれに伴う「ペットではなく群れを管理する」という理念をますます積極的に採用しているため、RDP GUIセッションのオン/オフではなく、コマンドラインによる自動化に重点が置かれていることにご留意ください。