RAS のマルチテナントアーキテクチャ実装の概要を以下にまとめます。

• 各テナントは、別々のファームまたはサイトとして展開されます。テナントをファームとして展開する場合は、各テナントが完全に独立していて、相互に通信することはまったくありません。テナントをサイトとして展開する場合は、各サイトが別々にテナントブローカーに接続する必要があります。

• RAS Secure Gateway（ユーザーポータルも含む）や高可用性ロードバランサー（HALB）などは、共有リソースになります。

• テナントファームには、独自の RAS Secure Gateway や HALB は不要です。ただし、内部接続のためにゲートウェイや HALB が必要なら、ゲートウェイや HALB を組み込んだ展開も可能です。例えば、内部接続と外部接続のために別々のポリシーを用意している場合は、ローカルユーザーに対応するためにゲートウェイや HALB をインストールできます。

• テナントのネットワーク構成では、テナントの Connection Broker からテナントブローカーの Connection Broker への接続が必要になります。さらに、共有の RAS Secure Gateway も、公開リソースをホストしているサーバーやテナントの Connection Broker と通信する必要があります。ネットワークアーキテクチャの実装によっては、VLAN と VLAN の接続や VPN などが必要になることもあります。そのような通信については、ごく限られた数のポートを開くだけで十分です。完全なリストについては、「通信ポート」を参照してください。

• テナントドメインとの通信は、常にローカルテナントの Connection Broker から実行され、テナントブローカーのインフラストラクチャから実行されることはありません。

• 各テナントには、固有のパブリックドメインアドレスが必要です。そのアドレスを割り当てる方法はいろいろあります。例えば、サーバープロバイダーがサブドメイン（Tenant1.Service-Provider.com など）を登録し、そのドメインをテナントに割り当てる、といった方法があります。また、プライベートドメインアドレス（RAS.Tenant1.com など）を使用し、テナントブローカーでそのルーティング先を RAS Secure Gateway にする、といった方法も考えられます。別々のパブリックドメインアドレスを同じ IP アドレスに解決することが必要なら、そうすることも可能です。

• テナントをテナントブローカーに接続すると、共有の RAS Secure Gateway がテナントとテナント構成を認識し、テナントの RAS Connection Broker に接続できる状態になります。インターネットから RAS Secure Gateway （または HALB）に届くテナントの着信トラフィックのためのルートをテナントブローカーで設定する必要があります。

• テナントブローカーには専用の RAS Console が付属しています。そのコンソールで、共有リソースやテナントオブジェクトや証明書を管理したり、テナントのパフォーマンスを監視したり、標準的な RAS 管理タスクを実行したりできます。

• すべてのテナントのテーマがテナントブローカーで使用できるようになります。ユーザーが共有の RAS Secure Gateway を経由してテナントブローカーに接続すると、対応するテナントのテーマがユーザーに表示されます。

• テナントごとに別々の SSL 証明書を使用することも可能です。

ライセンス

テナントブローカーにライセンスは要りません。ライセンスはテナントレベルで管理されています。

RAS バージョンの互換性

Parallels RAS のマルチテナントアーキテクチャは、Parallels RAS 17.1 以降で使用できます。それよりも古いバージョンの Parallels RAS を使用する場合は、以下の制限があります。

• RAS 17.1 より古いバージョンの Parallels Client は、共有ゲートウェイとの互換性がないので、そのクライアントからテナントブローカー経由でテナントファームに接続することはできません。

• RAS 17.1 より古いバージョンの Parallels RAS インストール環境は、テナントブローカーとの互換性がないので、テナントとして接続できません。

RAS マルチテナントアーキテクチャを使用した標準的な Parallels RAS の展開環境を以下の図にまとめます。

• ファイアウォールと HALB は DMZ にインストールされていて、各テナントが共有します。

• テナントブローカーは、共有の RAS Secure Gateway と HALB をホストするための特別な RAS インストールであり、RAS のアクセスレイヤーも使用できます。テナントブローカーをインストールするには、Parallels RAS インストーラーで [Parallels RAS テナントブローカー] オプションを使用します。テナントブローカーは、専用ドメインにインストールすることも、ドメインの外にインストールすることもできます。

• テナントファームは、オンプレミスの RAS 環境の場合と同じように展開され、テナントブローカーに接続します。各テナントファームには、独自の RAS Connection Broker と、公開リソース（VDI、RD セッションホスト、リモート PC）をホストするサーバーがあります。ローカルの RAS Secure Gateway と HALB は不要です（サードパーティのロードバランサーも不要です）。

• テナントをテナントブローカーに接続すると、各テナントがテナントブローカーでテナントオブジェクトとして表示されます。

• Parallels Client （プラットフォーム固有の Client また Web Client のいずれも）は、テナントブローカーで共有ゲートウェイに接続します。クライアントがユーザーポータルに接続すると、クライアントの所属先の対応するテナントのテーマが常に使用されます。

テナントブローカーを経由した RAS ユーザー接続の流れを以下の図にまとめます。

テナントブローカーにインストールされている共有の RAS Secure Gateway は、複数のテナントファームで複数のユーザーセッションを同時に処理できます。上の図では、2 人のユーザー（1 と 2）が別々のテナントファーム（テナント 1 ファームとテナント 2 ファーム）に接続しています。どちらの接続も同じゲートウェイでトンネリングされていますが、それぞれが正しいテナントファームに送られています。

この接続は以下の流れで進んでいきます。

1. （1A）、（2A） - ユーザーが、テナントブローカーに登録されているパブリックアドレスへの RAS 接続を開始します。（1A）接続はテナント 1 のパブリックアドレスに向かい、（2A）接続はテナント 2 のパブリックアドレスに向かいます。

2. （1B）、（1C） - 共有ゲートウェイが、最初の接続（1A、2A）で使用されていたホスト名に基づいて、ユーザー接続の転送先を決定します。その後、各クライアントが、それぞれのテナントファームの Connection Broker との RAS セッションを確立します。テナントの Connection Broker が、テナントの Active Directory に照らしてユーザーを認証します。その後、ユーザーが、自分で利用できる公開アプリケーションのリストを受け取ります。

3. （1D）、（2D） - ユーザーが、公開アプリケーションとのリモートユーザーセッションを開始します。共有ゲートウェイが、テナントの Connection Broker に対して、リモートセッション転送先のサーバーのアドレスを要求し、そのアドレスにセッションを転送します。

パブリックアドレスとテナントのマッピングは、テナントブローカーの Connection Broker が共有ゲートウェイで設定します。

Parallels は RAS 17.1 から、新しいマルチテナントアーキテクチャを導入しています。Parallels RAS テナントブローカーの追加により 組織は、データを分離してコストを節減しながら、同一の RAS インフラストラクチャから異なるテナント間でコンポーネントを共有できます。

RAS のマルチテナントアーキテクチャには、サービスプロバイダーと組織にとって以下のメリットがあります。

• RAS Secure Gateway と高可用性 ロードバランサー（HALB）の数を減らし、 リソースの 使用効率や 統合を 最大化することで コストを 削減できます。

• 新しいテナント/顧客の オンボーディングを迅速化できます。

• マルチテナント環境の シンプルな 集中管理。

• どんな規模の組織でも インフラストラクチャの共有によってコストのスケーリングを実現し 運営コストを削減し 市場訴求力を増大できます。

Parallels RAS のマルチテナントアーキテクチャを展開するための標準的なシナリオは、以下のようになります。

1. テナントブローカーを展開します。

2. 従来の RAS ファームをテナントとして運用できるように展開します。

3. テナントブローカーとテナントのネットワーク接続を設定して、以下の接続を可能にします。

   • 共有の RAS Secure Gateway とテナントの RAS Connection Broker の接続。

   • 共有の RAS Secure Gateway とリソースホストの接続。

   • テナントの RAS Connection Broker からテナントブローカーの RAS Connection Broker への接続。

   ポート番号については、「通信ポート」を参照してください。

4. テナントブローカーのコンソールで、テナントオブジェクトとそれに対応する招待ハッシュを作成するか、または秘密鍵を作成します（この章の後の方で詳しく説明します）。

5. 招待ハッシュまたは秘密鍵を使用して、テナントをテナントブローカーに接続します。

6. テナントにパブリックドメインアドレスを割り当てます。この作業は、この時点で（つまりテナントの接続後に）行うことも、後から行うこともできます。どちらにしても、この作業は必須です。そうしないと、クライアントがテナントファームに接続できません。

7. インターネットから共有の RAS Secure Gateway と HALB に入ってくるテナントの着信トラフィックのルーティングをセットアップします。

8. テナントの証明書を設定します。デフォルトでは、インストール時に作成される自己署名証明書が使用されます。

9. クライアント接続をテストします。

以下のサブセクションで、それぞれの手順を詳しく説明します。

テナントファームの展開方法は、従来の Parallels RAS ファームの展開方法とほぼ同じです。唯一の違いは、ファームをインストールするときに、RAS Secure Gateway をインストールする必要はないということです。

注: ローカルの（プライベートの） RAS Secure Gateway を（ローカル接続などのために）テナントファームにインストールすることは可能ですが、テナントブローカーの HALB やゲートウェイとテナントファームの HALB やゲートウェイを混在させることはできません。テナントブローカーにインストールされる HALB アプライアンスは、そのようなシナリオをサポートしていません。

Parallels RAS ファームをテナントとして使用できるようにセットアップするには、以下の手順を実行します。

1. Parallels RAS インストーラーを実行します。

2. [インストールタイプの選択] ページで、[カスタム] を選択します。

3. [次へ] をクリックします。

4. インストール対象として以下のコンポーネントを必ず選択してください。

   • RAS Connection Broker

   • Parallels RAS Console（ただし、別のマシンにインストールすることも可能）

   その他のコンポーネントはオプションです。この時点でインストールすることも、後からインストールすることも可能です。

5. [次へ] をクリックし、画面上の指示に従ってインストールを実行します。

テナントを展開したら、以下の通信を可能にするために、テナントブローカーとテナントのネットワーク接続を構成する必要があります。

• テナントの Connection Broker > テナントブローカーの Connection Broker: ポート 20003

• テナントブローカーのゲートウェイ > テナントブローカーの Connection Broker: ポート 20002

• テナントブローカーのゲートウェイ > テナントの Connection Broker: ポート 20002

• テナントブローカーのゲートウェイ > 公開リソースをホストしているサーバー: ポート 3389

上記のポートはどれも標準の RAS ポートです。詳細については、**「ポート参照」**セクションを参照してください。

招待ハッシュではなく秘密鍵を使用してテナントをテナントブローカーに接続することも可能です。、秘密鍵を使用する場合は、同じテナントブローカーに接続できるテナントの数に制限がありません。

秘密鍵を作成するには、以下の手順を実行します。

1. テナントブローカーコンソールにログインします。

2. RAS Console で [ファーム] > [設定] に移動します。

3. [テナントブローカー] タブを選択します。

4. [秘密鍵によって RAS ファームをテナントブローカーに登録する操作を許可する] を選択します。

5. オプションで、[課金情報を表示しない] を選択すると、秘密鍵で参加したテナントの [ライセンス] カテゴリーの課金情報が非表示になります。

6. 秘密鍵が自動的に生成されます。別の鍵を生成する場合は、[生成] をクリックします。

7. テナントをサブドメインとして登録したい場合、[ドメイン] フィールドでホスト名のドメイン部分を指定してください。たとえば、テナントのホスト名として”subdomain.domain.com”を使用するには、”domain.com”を指定します。

鍵が生成されたら、その鍵を使用して 1 つ以上のテナントをテナントブローカーに接続できます。

注: 秘密鍵には使用制限がないので、テナントブローカー管理者だけが共有秘密鍵にアクセスできるようにしてください。秘密鍵は、テナントブローカー管理者がテナントファームを管理している場合に便利です。テナントごとにハッシュを生成する代わりに、1 つの秘密鍵ですべてのテナントをテナントブローカーに接続できます。

秘密鍵を使用してテナントを接続するには、以下の手順を実行します。

1. テナントにログインします。

2. RAS Console で [ファーム] > [サイト] に移動します。

3. [タスク] > [テナントブローカーに参加する] をクリックします。

4. [テナントブローカーに参加] ダイアログで、以下のように指定します。

   • 最上部のフィールドにシークレットキーを入力します。テナントからテナントブローカーにアクセスできる場合、[テナントブローカー] フィールドに自動入力されます。

   • [テナント名] フィールドは、現在のサイト名に基づいて自動的に入力されますが、任意のテナント名を指定することもできます。ここで入力する名前が、対応するテナントオブジェクトの名前としてテナントブローカーで使用されます。

   • [パブリックドメインアドレス] フィールドでは、テナントへのアクセスに使用されるパブリックドメインアドレスを指定できます。この構成はオプションです。[ドメイン] フィールドがテナントブローカー設定（上記参照）で構成されている場合、完全なドメインアドレスではなく、サブドメインのみを入力できます。

5. [接続] をクリックします。

接続が成功すると、テナントブローカーに接続できたことを示すメッセージが表示されます。テナントファームのプライマリ Connection Broker がテナントブローカーにアクセスできない場合は、その趣旨のエラーメッセージが表示されます。プライマリ Connection Broker を実行しているマシンからテナントブローカーのコンピューターにアクセスできることを確認してください。

テナントブローカーの IP アドレスの上書き

テナントブローカーの IP アドレスは、秘密鍵の生成時に自動的に検出され、秘密鍵に埋め込まれます。テナントがそのアドレスでテナントブローカーにアクセスできない場合は、以下のようにしてアドレスを上書きできます。

1. テナントブローカーにログインします。

2. RAS Console で、[ファーム] > [設定] に移動し、[テナントブローカー] タブをクリックします。

3. [テナント招待ハッシュと秘密鍵のテナントブローカーアドレスを上書きする] オプションを選択します。

4. 対象のフィールドに IP アドレスを入力します。

テナントファームが稼働するようになったら、その中にある 1 つ以上のサイトをテナントブローカーに接続できます。

注: テナントとは、個別に展開する Parallels RAS ファームにあるサイトのことです。テナントをテナントブローカーに接続すると、サイトを接続することになります。ファーム全体を接続する場合は、サイトを 1 つずつ接続していきます。もちろん、ファームにサイトが 1 つしかなく、サイトを増やす計画もない場合は、そのサイトを接続するとファーム全体を接続したことになります。

テナントを接続するには、2 つの方法があります。（1）招待ハッシュを使用する方法と、（2）共有秘密鍵を使用する方法です。2 つの方法の違いは以下の通りです。

• 招待ハッシュ: 招待ハッシュとは、1 つのテナントをテナントブローカーに接続するのに使用できる自動生成暗号文字列のことです。招待ハッシュは、テナントオブジェクトのプロパティでもあるので、テナントブローカーコンソールで作成できます。そのハッシュをテナントファーム管理者にメールで送ると、管理者がそのハッシュを使用してテナントをテナントブローカーに接続できるようになります。1 度使用した招待ハッシュを別のテナントで再利用することはできません。

• 共有秘密鍵: 共有秘密鍵も招待ハッシュとよく似ていますが、1 つの重要な違いがあります。共有秘密鍵の場合は、接続できるテナントの数に制限がありません。秘密鍵に対応するテナントオブジェクトは、テナントブローカーで事前に作成されません。そうではなく、秘密鍵を使用してテナントを接続するときにオブジェクトが作成されます。秘密鍵には使用制限がないので、テナントブローカー管理者だけが共有秘密鍵にアクセスできるようにしてください。このシナリオは、複数のテナントがあって、そのすべてを同じテナントブローカー管理者が管理する場合に便利です。

ここでは、招待ハッシュのシナリオを説明します。秘密鍵のシナリオについては、を参照してください。

まず、招待ハッシュを生成することと、テナントブローカーの側でテナントオブジェクトを作成することが必要です。

1. テナントブローカーにログインします。

2. RAS Console で [ファーム] > [テナント] に移動します。

3. [タスク] > [追加] をクリックします。

4. [テナントのプロパティ] ダイアログで、以下のように指定します。

   • 名前: テナント名を入力します（どのような名前でも構いません）。

   • パブリックドメインアドレス: そのテナントにすでにパブリックドメインアドレスを割り当ててある場合は、そのアドレスを指定してください。そうでない場合は、ブランクのままにしておきます。そのアドレスは、テナントをテナントブローカーに接続するときには必要ありません。ただし、ここでアドレスを指定しておかないと、エンドユーザーがテナントに接続できないので、いずれにしても後から指定することが必要になります。詳細については、を参照してください。

   • ゲートウェイモードのクライアントは、サーバー IP により公開済みのテナントリソースに接続します: このオプションを選択すると、クライアントは DNS 名の代わりにテナント IP アドレスを使用します。このオプションは、テナントファームがテナントブローカーファームと同じ DNS プロバイダーを共有していない場合に使用できます。

   • 請求情報を表示しない: これを選択した場合、テナントのに課金情報が表示されなくなります。

   • 説明: 説明を入力します（オプション）。

   • Connection Broker: このフィールドは無効になっています。テナントがテナントブローカーに接続すると、値が自動的に設定されます。詳細については、を参照してください。

   • テナント招待ハッシュ: テナントファーム管理者がテナントブローカーに接続するときに、このハッシュが必要になります。このダイアログを開くと、ハッシュが自動的に生成されます。新しいハッシュを作成するには、[新しいハッシュを作成] をクリックします。

   • 電子メールで送る: 招待ハッシュをテナント管理者に直接渡すことも、このボタンを使用して電子メールで送ることも可能です。このボタンをクリックすると、ダイアログが表示されます。そのダイアログで受信者を入力し、電子メールメッセージを確認したり変更したりできます。デフォルトでは、テナントブローカーに接続する方法がそのメッセージに記されています。ただし、電子メールオプションを使用するには、RAS Console で SMTP 設定を構成しておく必要があります。まず SMTP を構成してから、この画面に戻って操作を実行してください。

5. [OK] をクリックして、[テナントのプロパティ] ダイアログを閉じます。新しいテナントがコンソールの [テナント] リストに表示されます。この時点では、テナントはまだ接続されていません。接続の方法についてこの後説明します。

テナントをテナントブローカーに接続するには、以下の手順を実行します。

1. テナントファームにログインします。

2. RAS Console で [ファーム] > [サイト] に移動します。ここでは、ファーム全体ではなく 1 つのサイトをテナントブローカーに接続します。複数のサイトがある場合は、1 つずつ接続する必要があります。

3. [タスク] > [テナントブローカーに参加する] をクリックします。

4. [テナントブローカーに参加する] ダイアログで、前の手順でテナントブローカーから取得した招待ハッシュ（テナントファーム管理者なら、招待メールで受け取った招待ハッシュ）を入力します。

5. [接続] をクリックします。

接続が成功すると、テナントブローカーに接続できたことを示すメッセージが表示されます。テナントファームのプライマリ Connection Broker がテナントブローカーにアクセスできない場合は、その趣旨のエラーメッセージが表示されます。テナントの RAS Connection Broker を実行しているマシンからテナントブローカーのコンピューターにアクセスできることを確認してください。

テナントブローカーの IP アドレスの上書き

テナントブローカーの IP アドレスは、招待ハッシュ（または秘密鍵）の生成時に自動的に検出され、ハッシュに埋め込まれます。テナントがそのアドレスでテナントブローカーにアクセスできない場合は、以下のようにしてアドレスを上書きできます。

1. テナントブローカーにログインします。

2. RAS Console で、[ファーム] > [設定] に移動し、[テナントブローカー] タブをクリックします。

3. [テナント招待ハッシュと秘密鍵のテナントブローカーアドレスを上書きする] オプションを選択します。

4. 対象のフィールドに IP アドレスを入力します。

招待ハッシュまたは秘密鍵の生成時に自動的に検出されたアドレスの代わりに、ここで指定した IP アドレスが使用されます。テナント側からそのハッシュを使用してテナントブローカーに接続するときに、そのアドレスでテナントブローカーに接続することになります。

テナント側でそのアドレスを使用すると、招待ハッシュによってテナントファームがテナントブローカーのテナントオブジェクトにバインドされ、テナントの関係が有効になります。

テナントをテナントブローカーに接続したら、操作が成功したかどうかを確認します。

まず、テナントコンソールでテナントブローカーの状況を確認してください。

1. テナントファームにログインします。

2. RAS Console で、[ファーム] > [サイト] に移動し、右ペインの [サイト] タブを選択します。

3. [テナントブローカー] セクションの [ステータス] 列が [OK] になっていることを確認します。ステータスが [未確認] になっている場合は、テナントブローカーが稼働しているかどうかを確認してください（テナントブローカー管理者でない場合は、テナントブローカー管理者に連絡してください）。

テナントブローカーを右クリックして [プロパティ] を選択すると、テナントブローカーの追加情報を表示できます。以下のような情報です。

• 名称: テナントブローカー名。

• プライマリアドレス: プライマリ RAS Connection Broker のアドレス。

• セカンダリアドレス: セカンダリ RAS Connection Broker のアドレス（利用可能な場合）。

次に、テナントブローカーコンソールでテナントの状況を確認してください。

1. テナントブローカーにログインします。

2. RAS Console で [ファーム] > [テナント] に移動します。

3. [テナント] タブで対象のテナントを見つけて、[ステータス] 列を確認します。テナントが正常に接続されていれば、[OK] になっているはずです。[ステータス] 列に表示される他の値については、「テナントの構成」を参照してください。

最初に、テナントブローカーを専用サーバーにインストールする必要があります。テナントブローカーをインストールするコンピューターに Parallels RAS がすでにインストールされている場合は、まずそれをアンインストールすることが必要です。2 つのインストールバージョンを同じマシンに共存させることはできません。

テナントブローカーをインストールするには、以下の手順を実行します。

1. 標準の Parallels RAS インストーラーを実行します。

2. [インストールタイプの選択] ページで [Parallels RAS テナントブローカー] を選択します。

3. [次へ] をクリックし、画面上の指示に従います。

インストールが完了したら、Parallels RAS Console を起動します。

コンソールが起動すると、標準の RAS Console とは別のカテゴリや管理対象オブジェクトが表示されます。テナントブローカーコンソールの目的は、共有リソースとテナントを管理することです。RD セッションホストや VDI などの標準 RAS リソースを管理するためのものではありません。そうしたリソースは、テナントファームごとに展開して管理します。

テナントブローカーコンソール

テナントブローカーコンソールでは、以下のカテゴリとオブジェクトを管理できます。

• ファーム: このカテゴリーでは、テナント、ゲートウェイ、Connection Broker、HALB、証明書を管理できます。[設定] サブカテゴリーでは、グローバルログやテナントブローカー自体を管理できます。

• 管理: 標準の RAS Console と同じような管理タスクを実行できます。アカウント、設定、メールボックス、レポート、設定監査などです。

• 情報: テナントブローカーで実行されているサービスやコンポーネントの状況を確認できます。

標準の RAS Console の場合と同じく、いずれかのオブジェクトを変更したら、その変更を構成データベースに保存するために [適用] ボタンをクリックしてください。

RAS Secure Gateway のインストール

デフォルトでは、テナントブローカーに RAS Secure Gateway はインストールされません。ゲートウェイを追加するには、テナントブローカーコンソールにログインし、[ファーム] > [Secure Gateway] に移動し、[タスク] > [追加] をクリックします。どの RAS ファームでも使用されていない RAS Secure Gateway 1 つ以上あれば、そのゲートウェイをテナントブローカーに追加することも可能です。ただし、既存の RAS Secure Gateway のインストール環境は、RAS バージョン 17.1 以降でなければなりません。それより古い RAS バージョンのゲートウェイは、共有ゲートウェイとして使用できません。

新しいゲートウェイをインストールするには、対象のサーバーで Parallels RAS インストーラーを実行し、[カスタム] を選択し、[RAS Secure Gateway] コンポーネントを選択します。インストールが完了したら、テナントブローカーコンソールに戻って、そのゲートウェイをテナントブローカーに追加します。

RAS マルチテナントアーキテクチャのユーザー認証は、テナントファームで稼働している RAS Connection Broker が行います。Connection Broker は、共有の RAS Secure Gateway によってランダムに選択されます。利用可能な Connection Broker がない場合は、その趣旨のマークが設定され、一定の時間、同じ共有ゲートウェイからの通信が行われなくなります。ゲートウェイは、周期的に Connection Broker の状況を確認し、利用可能になったらすぐに通信を再開します。

エンドユーザーがテナントブローカー経由でテナントに接続するには、各テナントが固有のパブリックドメインアドレスを持っていなければなりません。どのテナントにも固有のパブリックドメインアドレスが必要ですが、各テナントが固有の IP アドレスを持つ必要はありません。テナントブローカーの共有ゲートウェイにアクセスするために、別々のパブリックドメインアドレスが同じ IP アドレスに解決されるように構成することも可能です。その場合もテナントブローカーは、エンドユーザーから要求されるホスト名に基づいて、正しいテナントにトラフィックを転送できます。

パブリックドメインアドレスを選択する方法は、いろいろあります。例えば、サーバープロバイダーがサブドメイン（Tenant1.Service-Provider.com など）を登録し、そのドメインをテナントに割り当てる、といった方法があります。また、プライベートドメインアドレス（RAS.Tenant1.com など）を使用し、テナントブローカーでそのルーティング先を RAS Secure Gateway にする、といった方法も考えられます。テストのために IP アドレスを使用することも可能です。

[パブリックドメインアドレス] は、テナントブローカーコンソールに表示されるテナントオブジェクトのプロパティでもあります。テナントをテナントブローカーに接続したら、そのプロパティに正しいアドレスが入っていることを確認してください。そうでないと、エンドユーザーは、テナントブローカー経由でテナントに接続できません。

テナントのパブリックドメインアドレスを確認するには、以下の手順を実行します（必要に応じて設定することも可能です）。

1. テナントブローカーにログインします。

2. RAS Console で [ファーム] > [テナント] に移動します。

3. テナントを右クリックし、[プロパティ] を選択します。

4. [プロパティ] ダイアログの [パブリックドメインアドレス] フィールドに正しいアドレスが入っていることを確認します。

テナントをテナントブローカーに接続した後に、もう 1 つ実行しなければならない作業があります。それは、インターネットから共有の RAS Secure Gateway や HALB に届く着信トラフィックのルートをセットアップする作業です。

テナントをテナントブローカーから切断するには、以下の手順を実行します。

1. テナントファームにログインします。

2. RAS Console で [ファーム] > [サイト] に移動します。

3. [タスク] > [テナントブローカーから離脱する] をクリックします。

テナントがテナントブローカーから切断されます。その結果、テナントユーザーは、テナントブローカー経由でテナントファームに接続できなくなります。

このセクションでは、以下の内容を説明します。

テナントオブジェクトはいつでも削除できます。オブジェクトを削除するには、[タスク] > [削除] をクリックするか、オブジェクトを右クリックして [削除] を選択します。この操作によって、共有の RAS Secure Gateway からテナント構成が削除されるので、ゲートウェイからそのテナントへの RDP セッションを確立できなくなります。テナントの RAS Console では、テナントブローカーのステータスが [切断] と表示されます。テナントブローカーへの参照を完全に削除するには、テナント管理者が必要があります。

テナントブローカーコンソールで既存のテナントのリストを表示するには、[ファーム] > [テナント] を選択します。

[ステータス] 列でテナントの状況を確認できます。値は以下のいずれかです。

• [OK] - テナントはすでに接続していて、確認済みです。

• [未参加] - テナントに対応するテナントオブジェクトはすでに作成されていて、招待ハッシュも生成されていますが、テナントがまだテナントブローカーに接続していません。

• 未確認 - テナントはすでに接続していますが、テナントの RAS Connection Broker との接続がまだ確立されていません。通常、テナントがテナントブローカーに接続した直後は、1 分ほどこのステータスが表示されます。接続が確立されると、状況が [OK] に変わります。

  このステータスは、テナントブローカーがテナントのプライマリ Connection Broker との接続を失ったときにも表示されます。共有ゲートウェイが接続を処理できるのは、テナントの Connection Broker との通信を自力で行える場合に限られます。共有ゲートウェイは、テナントブローカーの Connection Broker からは独立していますが、ユーザー認証のためにテナントの Connection Broker が必要です。

• [無効] - テナントはテナントブローカーの構成で無効になっています。テナントオブジェクトを有効/無効にする方法については、以下の説明を参照してください。

テナントのプロパティを確認したり変更したりするには、[タスク] > [プロパティ] をクリックするか、テナントを右クリックして [プロパティ] を選択します。[プロパティ] ダイアログが表示されます。このダイアログで以下のプロパティを確認したり変更したりできます。

• テナントの有効化: テナントブローカーでテナントオブジェクトを有効/無効にできます。

• 名前: テナント名（一意でなければなりません）。

• パブリックドメインアドレス: エンドユーザーが外部から接続する時の接続先になる固有のアドレス（RAS.tenant.com、tenant1.MSP-FARM.com など）。詳細については、を参照してください。

• ゲートウェイモードのクライアントは、サーバー IP により公開済みのテナントリソースに接続します: このオプションを選択すると、クライアントは DNS 名の代わりにテナント IP アドレスを使用します。このオプションは、テナントファームがテナントブローカーファームと同じ DNS プロバイダーを共有していない場合に使用できます。

• 請求情報を表示しない: （インビテーションハッシュで参加したテナントのみ）これを選択した場合、テナントのに課金情報が表示されなくなります。

• サーバーの IP を使用してゲートウェイ経由のトンネリングでテナントセッションを転送する: 公開リソースをホストしているサーバーにクライアントセッションを転送するときに、サーバー名（FQDN、ホスト名）と IP アドレスのどちらかを使用できます。このオプションを選択すると（デフォルト）、セッションの転送のために内部で IP アドレスが使用されます。このオプションをクリアすると、構成されているホスト名が使用されます。

• 説明: テナントの説明（オプション）。テナントの説明は、テナントブローカーコンソールでだけ閲覧できるプロパティです。

• Connection Broker: テナントファームにインストールされている 1 つ以上の RAS Connection Broker の IP アドレス。これは読み取り専用フィールドです。

• テナント招待ハッシュ: テナントをテナントブローカーに接続したときに使用したハッシュ。これは読み取り専用フィールドです。

• アイドル状態のクライアント接続が自動的にログアウトするまでの時間: アイドル状態のクライアントをログアウトするまでの時間です。このプロパティの設定方法については、 を参照してください。

テナントに割り当てるパブリックドメインアドレスには証明書が必要です。テナントブローカー管理者がテナントブローカーコンソールで各テナントの証明書を作成しなければなりません。その後、その証明書を使用するように共有の RAS Secure Gateway を構成する必要があります。Parallels RAS でテナントの証明書を作成したり管理したりする方法は、他の証明書の場合と同じです。[ファーム] > [サイト] > [証明書] サブカテゴリーを使用してください。証明書を作成して RAS Secure Gateway や HALB に割り当てる方法の詳細については、「SSL 証明書の管理」の章を参照してください。

ユーザーがテナントのパブリックドメインアドレスに接続すると、対象のパブリックドメインアドレスに対応する共通名の証明書が接続のたびに自動的に選択されます。利用可能な最初の証明書が使用されますが、自己署名証明書でない場合もあります（すでに削除されている場合など）。

対応する証明書が見つからない場合は、デフォルトの自己署名証明書が使用されますが、ウェブブラウザーに証明書に関する警告が表示されます。

サードパーティのネットワークバランサーを共有の RAS Secure Gateway と併用する方法は、従来の（共有ではない） RAS Secure Gateway と併用する場合と同じです。

テナントブローカー管理者は、テナントブローカーコンソールからテナントコンソールを起動できます。そのためには、[ファーム] > [テナント] に移動し、テナントを右クリックして [テナントコンソールを開く] を選択します。RAS Console の新しいインスタンスが起動し、テナントファームにログインするための画面が表示されます。テナントファームでは、リモートコンソール接続を許可する設定を行っておく必要があります。つまり、対応するポートがテナントの Connection Broker で開くようにしておかなければなりません。テナントファーム管理者の資格情報も必要になります。

テナントブローカーコンソールからテナントにログインすると、テナントファームが [ロケーション] ドロップダウンリスト（RAS Console ウィンドウの左上隅）に自動的に追加されるので、[ロケーション] リストから選択するだけでテナントに接続できるようになります。

Parallels RAS Performance Monitor は、Parallels RAS の展開環境のボトルネックやリソース使用状況を分析するための RAS コンポーネントです。RAS Performance Monitor を使用すれば、テナントブローカーコンソールでテナントを監視して、それぞれのパフォーマンスメトリックを表示できます。

テナントの情報を収集できるように RAS Performance Monitor を構成するには、以下の手順を実行します。

1. RAS Performance Monitor をインストールします。方法については、を参照してください。

2. テナントブローカーコンソールにログインします。

3. コンソールで [管理]> [報告] に移動します。

4. [RAS Performance Monitor を有効にする] オプション（[RAS Performance Monitor の構成] セクション）を選択します。

5. [サーバー] フィールドと [ポート] フィールドで、RAS Performance Monitor のインストール先のサーバーの名前または IP アドレスを指定します。

6. [適用] をクリックします。

7. テナントコンソールを開いて、上記の手順 3 から 6 を繰り返し、テナントブローカーとテナントの両方が同じ RAS Performance Monitor を使用するように構成します。そうすれば、テナントがパフォーマンスデータを RAS Performance Monitor に送信したときに、テナントブローカーの側でもそのデータを確認できます。

テナントが統計データを RAS Performance Monitor に送信すると、テナントブローカーコンソールでそのデータを表示できます。RAS Performance Monitor ダッシュボードでデータを表示するときには、ファームとサイトを切り替えて特定のテナントを選択し、そのテナントのパフォーマンスメトリックを確認することも可能です。

RAS v16.x を実行する既存のファームをテナントとしてテナントブローカーに接続するには、以下の手順を実行します。

1. ファームを RAS 17.1 以降にアップグレードします。

2. ファームをテナントとしてテナントブローカーに接続する方法については、「テナントブローカーとテナントの展開」セクションを参照してください。

3. ローカル接続のためにローカルの RAS Secure Gateway を使用する計画がなければ、ファームの接続後に削除して構いません。その他の情報については、「実装の概要」を参照してください。

Parallels RAS を新しいバージョンに更新する場合、RAS マルチテナントアーキテクチャには次のルールが適用されます。

• Parallels RAS テナントブローカーは、最大で 2 つ前の RAS メジャーバージョンまで、古いテナントをサポートします。たとえば、RAS テナントブローカーを RAS 17 から RAS 18（または利用可能になった次のメジャーバージョン）にアップグレードすると、Parallels RAS 17 を実行しているテナントがサポートされます。

• 更新を行うときは、最初にテナントブローカーを更新して、RAS マルチテナントのインストールが完全に機能するようにする必要があります。テナントは、後で独自のメンテナンスウィンドウで更新できます。

テナントブローカーとテナントは、以下のポートを使用して相互に通信します。

• テナントの Connection Broker > テナントブローカーの Connection Broker: ポート 20003

• テナントブローカーのゲートウェイ > テナントブローカーの Connection Broker: ポート 20002

• テナントブローカーのゲートウェイ > テナントの Connection Broker: ポート 20002

• テナントブローカーのゲートウェイ > 公開リソースをホストしているサーバー: ポート 3389

上記のポートはどれも標準の RAS ポートです。詳細については、**「ポート参照」**セクションを参照してください。

テナントブローカーに存在する RAS Secure Gateway はすべて、テナント間で共有されます。共有ゲートウェイの動作は、標準の RAS Secure Gateway の動作とほぼ同じですが、違いがいくつかあります。その違いを次に説明します。

トンネリングポリシー

トンネリングポリシーを設定できます。トンネリング接続は、使用するパブリックアドレスにマッピングされているテナントファームに送られます。ただし、このポリシーは、[なし] と [サイト内の全サーバー] に限られています。

WYSE

WYSE はサポートされていません。

セッションカウンター

テナントブローカーコンソールでは、共有ゲートウェイごとにセッションカウンターが表示されます。ゲートウェイが実行しているセッションの数を確認するには、[ファーム] > [サイト] に移動し、[ゲートウェイ] セクションの [セッション] 列を調べます。

クライアント接続ルーティング

各共有ゲートウェイは、それぞれの既存テナントの構成を認識していて、テナントファームで稼働している正しい RAS Connection Broker にクライアント接続をルーティングできます。このルーティングは以下の流れで進みます。

1. 新しいクライアント接続が確立されます。

2. 共有ゲートウェイが、テナントの構成に基づいて、クライアントの所属先のテナントを判別します。

3. この接続のために、テナントファーム内の正しい RAS Connection Broker が選択されます。

4. 選択された RAS Connection Broker に二要素認証とアプリケーションリストの要求が転送されます。その後のクライアント操作も、その Connection Broker によって行われます。「ユーザー認証」も参照してください。

共有ゲートウェイの保守

共有の RAS Secure Gateway を保守作業のためにオフラインにする必要があるときには、従来の Parallels RAS ファームの場合と同じ要領でその操作を実行できます。ゲートウェイを無効にしてから、アクティブセッションがなくなるのを待ちます。ゲートウェイのアクティブセッションの数を確認するには、[ファーム] > [サイト] に移動します。セッションカウントが [セッション] 列に表示されます。

共有ゲートウェイを安全にオフラインにできます。Parallels Client は、同じセッションに自動的に再接続します。

システムイベント通知は、システムイベントをメールによって RAS 管理者に知らせる機能です。[ファーム] > [サイト] > [設定] > [通知] でシステムイベント通知を構成できます。この機能の詳細については、「システムイベント通知」を参照してください。このセクションでは、テナントブローカーとテナントに関する通知を取り上げます。

テナントイベント通知

テナントブローカー管理者は、以下のテナントイベントに関する通知を受け取れます。

• 新しいテナントの登録: 新しいテナントがテナントブローカーに登録されたときに発生します。

• テナントがブローカーから離脱: 登録済みのテナントがテナントブローカーから離脱したときに発生します。

• テナントステータスのアラート: テナントファームの RAS Connection Broker がオフラインになったときに発生します。

テナントイベントが発生すると、テナントブローカー管理者は、以下の情報を含むメールを受け取ります（情報はイベントのタイプによって異なります）。

• テナント名。

• テナントブローカー名。

• テナントの登録方法（招待ハッシュまたは秘密鍵）。

• テナントのステータス。

• 日付。

テナント通知を有効にするには、以下の手順を実行します。

1. テナントブローカーにログインします。

2. RAS Console で、[ファーム] > [サイト] > [設定] > [通知] に移動します。

3. [通知ハンドラー] セクションで、[タスク] > [新規] > [テナントイベント] をクリックします。

4. [テナントイベント通知ハンドラーのプロパティ] ダイアログで以下の項目を指定します。

   • [一般] タブで [RAS 管理者にメールを送信] オプションを選択し、メールアドレスを指定します。複数指定する場合は、セミコロンで区切ってください。

   • [設定] タブで、[デフォルト設定を使用] オプションを選択するか（サイトのデフォルトを使用する場合）、そのオプションをクリアして独自の設定を指定します。

5. [OK] をクリックし、設定を保存してダイアログを閉じます。

テナントブローカーイベント通知

テナントファーム管理者は、テナントブローカーが使用不可の状態になったときに通知を受け取れます。その状態になるのは通常、テナントブローカーの RAS Connection Broker がオフラインになったときです。この通知ハンドラーの構成方法は上記の方法と同じですが、この場合はテナントブローカーではなくテナントファームで構成します。

共通のイベント通知

テナントイベントのハンドラー以外に、共通のイベント（CPU 使用率、メモリ使用率、RAS Agent イベントなど）に関する通知も構成できます。ただしテナントブローカーになる際の制限として、テナントブローカーでは、限られたシステムイベントの通知ハンドラーしか構成できないというものがあります（この後に記す使用可能なハンドラーのリストを参照）。テナントブローカーには、RD セッションホスト、プロバイダー、ライセンス制限、公開リソースなどがないからです。一方、テナントファームには通知ハンドラーが完全にそろっているので、テナント管理者はその種の通知ハンドラーも構成できます。

テナントブローカーでは以下の通知ハンドラーを使用できます。

• CPU 使用率

• メモリ使用率

• ゲートウェイでトンネリングされたセッション数

• ゲートウェイでトンネリングされたセッションの失敗

• RAS Agent イベント

その他の情報については、「システムイベント通知」を参照してください。

RAS マルチテナントアーキテクチャの重要な機能の 1 つは、テーマの使用に関する機能です。共有のユーザーポータル（RAS Secure Gateway の一部）をすべてのブラウザーベースの接続で使用しながら、テナント側で定義されているテナント固有の Web Client テーマを使用できるようになっています。従ってサービスプロバイダーは、テナントごとに固有のカスタムテーマを作成してホワイトレーベルを実装できます。

Web Client テーマは、テナントファームで作成します。ユーザーインターフェイスや機能は、従来の Parallels RAS ファームの場合と同じです。テナントがテナントブローカーに接続すると、そのテナントの RAS Connection Broker からテーマが取り込まれ、それぞれの共有の RAS Secure Gateway の構成にそのテーマが追加されます。

Web Client 経由でテナントファームに接続する場合は、ゲートウェイのアドレスではなくテナントのパブリックドメインアドレスを入力する必要があります。そうすると、共有ゲートウェイによって正しいテーマが使用されます。

• ユーザーがデフォルトの URL（https://<public-tenant-address>）を入力した場合は、デフォルトのテナントテーマが使用されます。

• ユーザーがテナントのアドレス（https://<public-tenant-address>）の後にテーマ名を追加した場合は、そのテーマが使用されます。<Theme-name>

Web Client の構成

Web Client は通常、RAS Secure Gateway のレベル（ゲートウェイの [プロパティ] ダイアログの [ユーザーポータル] タブ）で構成します。テーマを構成するときに、テナントファーム内で特定のテーマのゲートウェイ設定を指定して、ゲートウェイ設定を上書きすることも可能です。そのためには、テナントの RAS Console でテーマを選択し、プロパティを開いて、[ゲートウェイ] カテゴリを選択します。そのカテゴリで独自の設定を指定できます。詳細については、「Web Client テーマ設定」>「Secure Gateway」を参照してください。

テナントブローカーでのテナントテーマの表示

テナントブローカー管理者は、テナントブローカーコンソールからテナントテーマを表示できます。

1. テナントブローカーコンソールで [ファーム] > [テナント] を選択します。

2. テナントを選択し、[タスク] > [テナントのテーマを表示する] をクリックします。

3. 表示されるダイアログでテーマを表示できます。テナントから取り込まれて、テナントブローカーのすべての RAS Secure Gateway の構成に追加されたテーマです。

この機能を使用すれば、テナントブローカーの側ですべてのテナントテーマを正しく同期できます。そうすれば、ユーザーがテナントブローカー経由でテナントに接続するときに、正しいテーマが使用されます。