疲れにくく、扱いやすいOSとして人気のあるWindows Server 2019 Standardですが、同時に複数ユーザーでリモートデスクトップ接続(RDP)をしたい場合には注意点がいくつかあります。特に「付属のCALだけでは足りるのか」「3ユーザー以上での接続をテストできるのか」といった疑問は多いでしょう。この記事では、ライセンスの仕組みから実装手順まで、具体例を交えながらじっくり解説します。
Windows Server 2019 Standardで複数ユーザーの同時RDP接続はなぜ制限されるのか
Windows Server 2019 Standardには、管理者用として「同時2セッションまでのリモートデスクトップ接続」が標準で備わっています。これはあくまで「サーバー管理を行うための機能」であり、本格的に3ユーザー以上が同時接続する運用を想定したものではありません。したがって、3ユーザー目がログインしようとすると、既存のセッションを強制的に切断するかどうかの選択画面が表示され、事実上それ以上の同時接続はできない仕組みになっています。
管理用リモートデスクトップ接続の目的
管理者用リモートデスクトップは、Windows Serverを保守・運用する管理者が緊急対応や構成変更を行う際の接続を想定しています。大人数で利用するための仕組みではないため、長時間・多数ユーザーの業務利用をするにはライセンス体系が別途必要になるのです。
Windows Server CALとRDS CALの違い
「Windows Server CAL(Client Access License)」は、サーバー上のファイル共有やプリントサービスなど、Windows Server標準機能へのアクセス権を与えるライセンスです。一方、「RDS CAL」はリモートデスクトップサービスを用いてサーバーに接続する権利を与えるライセンスとなります。
HP ROK 2019 Standardで付属する5つのCALは、一般的にWindows Server CALであることが多く、リモートデスクトップの同時接続を増やすには「RDS CAL」が必要になります。ここを混同しないように注意しましょう。
3ユーザー以上でRDPを使うには「リモートデスクトップサービス(RDS)」が必要
3ユーザー以上が同時にRDP接続を行うには、Windows Serverに「リモートデスクトップサービス(RDS)」の役割を追加し、その上でRDS CALを購入・適用することが必須です。RDSを導入することで、リモートデスクトップ接続を多人数で利用できる正式な仕組みが整います。
RDSロールの主要コンポーネント
RDSを導入する際には、以下のロールを中心に構築するのが一般的です。
- リモートデスクトップ セッションホスト(RD Session Host): クライアントが実際にリモート接続してセッションを実行する役割
- リモートデスクトップ ライセンス(RD Licensing): RDS CALを管理・配布するライセンスサーバー
- リモートデスクトップ接続ブローカー(RD Connection Broker): セッション状態の管理や負荷分散、セッションの再接続などを制御
- リモートデスクトップ ゲートウェイ(RD Gateway): 外部ネットワークからRDPを安全に転送するためのゲートウェイ役(必要に応じて)
これらを一台のサーバー上にすべて構成することもできますし、負荷や運用規模に応じて複数台に分散することも可能です。
RDS CALの購入形態
RDS CALには「ユーザーCAL(User CAL)」と「デバイスCAL(Device CAL)」の2種類があります。
- ユーザーCAL: 接続するユーザー数に応じてライセンスを購入。ユーザーが異なる端末から接続しても、同一ユーザーなら追加CALは不要。
- デバイスCAL: 接続元のデバイス(PCやシンクライアント)台数分ライセンスを購入。1台の端末を複数人が使う場合はデバイスCALが有利。
どちらの形態を選ぶかは、組織の接続形態や人数・端末数に合わせて検討してください。
RDS導入とライセンス登録の手順
ここでは、Windows Server 2019 Standardをワークグループ構成で利用しているケースを想定し、一台のサーバーにすべてのRDS役割を導入する方法を解説します。もちろん、Active Directoryドメイン環境下でも同様の手順で導入が可能です。
1. サーバーマネージャーから役割と機能の追加
- Windows Server 2019に管理者権限でログインし、サーバーマネージャーを開きます。
- 「役割と機能の追加」を選択します。
- インストールの種類で「リモートデスクトップ サービス インストール」を選ぶか、「役割ベースまたは機能ベースのインストール」から手動で必要なRDS役割を追加します。
- リモートデスクトップ セッションホストやリモートデスクトップ ライセンスなどを選択して導入を進めます。
2. ライセンスサーバーのアクティブ化
インストール後、リモートデスクトップ ライセンス マネージャーを起動し、ライセンスサーバーをアクティブ化する必要があります。アクティブ化の方法は以下の通りです。
- ライセンス マネージャーを開く
- サーバー名を右クリックし「アクティブ化」を選択
- ウィザードに従い、オンラインまたは電話などの方法でアクティブ化手続きを完了
アクティブ化が完了すると、ライセンスサーバーが正規のライセンスを配布できる状態になります。
3. RDS CALのインストール
ライセンスサーバーがアクティブ化されたら、購入したRDS CALを登録します。
- ライセンス マネージャー上でサーバーを右クリックし、「RDS CALのインストール」を選択
- 購入したRDS CALのキーを入力するなど、ウィザードに従ってライセンスを追加
- 登録が成功すれば、ライセンスの詳細がライセンス マネージャー画面に表示される
4. RD セッションホストのライセンスモード設定
RDS CALのインストールが完了しても、セッションホスト側の設定が正しく行われていないとクライアントが接続ライセンスを取得できません。以下の設定を確認・変更します。
- 「グループ ポリシー エディタ (gpedit.msc)」を開く
- 「コンピューターの構成」→「管理用テンプレート」→「Windows コンポーネント」→「リモート デスクトップ サービス」→「リモート デスクトップ セッション ホスト」→「ライセンス」にあるポリシーを設定
- 「リモート デスクトップ セッション ホストのライセンス モードを設定する」で「ユーザー/デバイス」いずれかのCAL形態を選択
- 「リモート デスクトップ ライセンス サーバーを指定する」でライセンスサーバーのホスト名もしくはIPアドレスを指定
- ポリシーを有効化して適用後、gpupdate /force コマンドなどで設定を反映
PowerShellでのRDSロールインストール例
以下は、PowerShellで役割を一括追加する例です。実際の環境ではサーバー名や必要なロール構成によって変更してください。
# RDS主要ロールのインストール例
Install-WindowsFeature RDS-RD-Server,RDS-Licensing,RDS-Connection-Broker -IncludeAllSubFeature -Restart120日間の猶予期間で事前テストが可能
RDSを初めてインストールすると、ライセンスをまだ登録していなくても、通常120日間は複数ユーザーで同時接続が行えます。これは「グレースピリオド」と呼ばれる試用期間であり、この間に動作検証や評価を行い、本格導入前に問題点を洗い出すことができます。
グレースピリオド終了後にどうなるか
120日間が過ぎるとライセンスサーバーが未登録の場合、同時接続は制限されるようになり、クライアントは接続できなくなります。正式にRDS CALをインストールし、ライセンスモードを設定しておかないと、サービスが途絶してしまうので注意しましょう。
ワークグループ環境でも導入は可能
Active Directoryドメインに参加していないサーバーでもRDSを構築し、ライセンスサーバーを運用することは可能です。ただし、ワークグループ環境では以下のような点に注意してください。
- ライセンスサーバーとセッションホストが同一マシン上の場合: 比較的設定はシンプルになりますが、単一障害点(SPOF)として扱われるため、可用性には注意が必要です。
- ライセンスサーバーとセッションホストが別マシン上の場合: ADがない場合は、名称解決(DNSやHOSTSファイル)や信頼関係の設定など、手動での設定が増えます。
- セキュリティ設定: ワークグループ環境下でRDSを運用する際は、特にパスワードポリシーやリモート接続の認証方式に注意し、不正アクセスを防ぐ対策を行いましょう。
ライセンス構成に関するよくある質問
ここでは、多くの方が疑問に感じる点をQ&A形式でまとめました。
| 質問 | 回答 |
|---|---|
| HP ROK 2019 Standardに付属する5 CALでRDSも利用できる? | 付属の5 CALは通常「Windows Server CAL」です。RDSを3ユーザー以上で使うにはRDS CALを追加購入する必要があります。 |
| RDS CALは何枚必要? | ユーザーCALの場合は接続ユーザー数、デバイスCALの場合は接続端末数に合わせて購入してください。組織の利用実態に応じて選択します。 |
| 仮に4台の端末を常時接続する時はどうする? | デバイスCALを4ライセンス買うか、使用人数が4人ならユーザーCALを4ライセンス買う。使い回しが多いならユーザーCALが適している場合も。 |
| グレースピリオド期間を延長できる? | 正規の方法では延長できません。猶予期間中に購入手続きを完了させましょう。 |
| Active Directoryがないと運用できない? | ドメインがなくてもワークグループ環境で構築可能。ただし、管理の手間やセキュリティ面には十分な注意が必要です。 |
リモートデスクトップ接続数を増やす際のセキュリティ対策
複数ユーザーが同時にリモートデスクトップで接続する環境は便利な反面、セキュリティリスクが高まります。以下の対策もあわせて検討しましょう。
強力なパスワードポリシーとアカウント管理
リモートからのアクセスが増えるということは、それだけ不正アクセスのリスクも高まります。パスワードポリシーを厳格化し、アカウントのロックアウトポリシーを設定するなど、基本的なセキュリティ対策を強化しましょう。
多要素認証(MFA)の導入
ドメイン環境や追加のソリューションを導入できる場合は、多要素認証を検討することをおすすめします。ID・パスワードに加え、ワンタイムパスワードやトークンを用いることで安全性が大幅に高まります。
RDPポートの変更やRDS Gatewayの利用
既定のRDPポート(3389)は攻撃対象になりやすいことが知られています。ファイアウォールやポートフォワーディング設定で、安全を確保したうえで利用するか、RDS Gatewayを経由する仕組みを検討しましょう。ゲートウェイを利用するとSSL暗号化なども適用でき、セキュリティが向上します。
運用時のポイントとトラブルシューティング
接続ライセンスが配布されない場合
ライセンスサーバーのアクティブ化が済んでいるか、RDS CALが適切にインストールされているか、セッションホストにライセンスサーバーを正しく指定できているかを確認してください。特にグループポリシーの設定漏れやDNS解決の不備が原因になることが多いです。
同時接続ができない・強制ログオフされる場合
RDS CALが不足していたり、ライセンスサーバーに到達できない状況だと、このような挙動が起こります。また、管理用リモートデスクトップの制限がそのまま残っている可能性もあるため、セッションホスト設定を再チェックしましょう。
セッションのパフォーマンス低下
多人数が同時にログインすると、CPUやメモリ、ネットワーク帯域などに大きな負荷がかかります。必要に応じてサーバースペックの増強や、複数サーバーによるロードバランシング、ストレージの高速化などの対策を検討してください。
ユーザーがログオフしないで放置するとライセンスが無駄になる
リモートデスクトップはログインしたまま放置されると、ライセンス消費だけでなくリソース占有も発生します。一定時間操作がないセッションを強制切断または切断セッションを一定時間で終了するポリシーを設定しておくと、ライセンスやリソースを有効活用できます。
セッションタイムアウト設定のポリシー例
# グループポリシー (gpedit.msc) で以下のパスを開き設定
# コンピューターの構成
# └ Windows コンポーネント
# └ リモート デスクトップ サービス
# └ リモート デスクトップ セッション ホスト
# └ セッション制限
# 下記ポリシーを有効にし、タイムアウト時間を設定
# "切断されたセッションを終了する時間を制限する"
# "アイドル セッション制限"導入後のメリットとまとめ
RDS環境を構築し、適切なRDS CALを導入することで、複数ユーザーが同時にリモートデスクトップでサーバーにアクセスできるようになります。これは小規模なワークグループ環境から企業規模のドメイン環境まで柔軟に対応可能です。導入コストはかかるものの、正規ライセンスを取得すれば長期的に安定した運用が見込め、ライセンス違反のリスクも避けられます。
- 3ユーザー以上のRDP接続にはRDSライセンスが必須
Windows Serverに付属する通常のCAL(Windows Server CAL)はファイル共有やプリントサービス向けであり、RDSのライセンスとは別扱いとなっています。 - ワークグループ環境でもActive Directoryがあっても導入可能
ライセンスサーバーの設定や管理方法が若干変わる程度で、RDSそのものは問題なく動作します。 - 120日間の猶予期間で事前検証を十分に
実運用に入る前に、複数ユーザーの同時接続やアプリケーション稼働状況などをテストしておきましょう。 - セキュリティ対策を忘れずに
強固なパスワードポリシー、RDS Gatewayの導入、多要素認証などを組み合わせて不正アクセスのリスクを低減しましょう。
サーバーを導入する段階で、「リモートデスクトップを何ユーザーで使いたいのか」まで想定できている場合は、早めにRDS CALを購入しておきましょう。後から追加導入する場合でも、グレースピリオド中に検証すればライセンス適用後のトラブルが少なくなります。HP ROK版に付属するWindows Server CALだけでは、残念ながらRDSの同時接続制限を解除できない点に注意が必要です。正しいライセンスを選択し、長期的に安定したリモート環境を築いてください。
コメント