テナントファームの展開方法は、従来の Parallels RAS ファームの展開方法とほぼ同じです。唯一の違いは、ファームをインストールするときに、RAS Secure Gateway をインストールする必要はないということです。

注: ローカルの（プライベートの） RAS Secure Gateway を（ローカル接続などのために）テナントファームにインストールすることは可能ですが、テナントブローカーの HALB やゲートウェイとテナントファームの HALB やゲートウェイを混在させることはできません。テナントブローカーにインストールされる HALB アプライアンスは、そのようなシナリオをサポートしていません。

Parallels RAS ファームをテナントとして使用できるようにセットアップするには、以下の手順を実行します。

1. Parallels RAS インストーラーを実行します。

2. [インストールタイプの選択] ページで、[カスタム] を選択します。

3. [次へ] をクリックします。

4. インストール対象として以下のコンポーネントを必ず選択してください。

   • RAS Connection Broker

   • Parallels RAS Console（ただし、別のマシンにインストールすることも可能）

   その他のコンポーネントはオプションです。この時点でインストールすることも、後からインストールすることも可能です。

5. [次へ] をクリックし、画面上の指示に従ってインストールを実行します。

Parallels RAS のマルチテナントアーキテクチャを展開するための標準的なシナリオは、以下のようになります。

1. テナントブローカーを展開します。

2. 従来の RAS ファームをテナントとして運用できるように展開します。

3. テナントブローカーとテナントのネットワーク接続を設定して、以下の接続を可能にします。

   • 共有の RAS Secure Gateway とテナントの RAS Connection Broker の接続。

   • 共有の RAS Secure Gateway とリソースホストの接続。

   • テナントの RAS Connection Broker からテナントブローカーの RAS Connection Broker への接続。

   ポート番号については、「通信ポート」を参照してください。

4. テナントブローカーのコンソールで、テナントオブジェクトとそれに対応する招待ハッシュを作成するか、または秘密鍵を作成します（この章の後の方で詳しく説明します）。

5. 招待ハッシュまたは秘密鍵を使用して、テナントをテナントブローカーに接続します。

6. テナントにパブリックドメインアドレスを割り当てます。この作業は、この時点で（つまりテナントの接続後に）行うことも、後から行うこともできます。どちらにしても、この作業は必須です。そうしないと、クライアントがテナントファームに接続できません。

7. インターネットから共有の RAS Secure Gateway と HALB に入ってくるテナントの着信トラフィックのルーティングをセットアップします。

8. テナントの証明書を設定します。デフォルトでは、インストール時に作成される自己署名証明書が使用されます。

9. クライアント接続をテストします。

以下のサブセクションで、それぞれの手順を詳しく説明します。

招待ハッシュではなく秘密鍵を使用してテナントをテナントブローカーに接続することも可能です。前述の通り、秘密鍵を使用する場合は、同じテナントブローカーに接続できるテナントの数に制限がありません。

秘密鍵を作成するには、以下の手順を実行します。

1. テナントブローカーコンソールにログインします。

2. RAS Console で [ファーム] > [設定] に移動します。

3. [テナントブローカー] タブを選択します。

4. [秘密鍵によって RAS ファームをテナントブローカーに登録する操作を許可する] を選択します。

5. オプションで、[課金情報を表示しない] を選択すると、秘密鍵で参加したテナントの [ライセンス] カテゴリーの課金情報が非表示になります。

6. 秘密鍵が自動的に生成されます。別の鍵を生成する場合は、[生成] をクリックします。

7. テナントをサブドメインとして登録したい場合、[ドメイン] フィールドでホスト名のドメイン部分を指定してください。たとえば、テナントのホスト名として”subdomain.domain.com”を使用するには、”domain.com”を指定します。

鍵が生成されたら、その鍵を使用して 1 つ以上のテナントをテナントブローカーに接続できます。

注: 秘密鍵には使用制限がないので、テナントブローカー管理者だけが共有秘密鍵にアクセスできるようにしてください。秘密鍵は、テナントブローカー管理者がテナントファームを管理している場合に便利です。テナントごとにハッシュを生成する代わりに、1 つの秘密鍵ですべてのテナントをテナントブローカーに接続できます。

秘密鍵を使用してテナントを接続するには、以下の手順を実行します。

1. テナントにログインします。

2. RAS Console で [ファーム] > [サイト] に移動します。

3. [タスク] > [テナントブローカーに参加する] をクリックします。

4. [テナントブローカーに参加] ダイアログで、以下のように指定します。

   • 最上部のフィールドにシークレットキーを入力します。テナントからテナントブローカーにアクセスできる場合、[テナントブローカー] フィールドに自動入力されます。

   • [テナント名] フィールドは、現在のサイト名に基づいて自動的に入力されますが、任意のテナント名を指定することもできます。ここで入力する名前が、対応するテナントオブジェクトの名前としてテナントブローカーで使用されます。

   • [パブリックドメインアドレス] フィールドでは、テナントへのアクセスに使用されるパブリックドメインアドレスを指定できます。この構成はオプションです。[ドメイン] フィールドがテナントブローカー設定（上記参照）で構成されている場合、完全なドメインアドレスではなく、サブドメインのみを入力できます。

5. [接続] をクリックします。

接続が成功すると、テナントブローカーに接続できたことを示すメッセージが表示されます。テナントファームのプライマリ Connection Broker がテナントブローカーにアクセスできない場合は、その趣旨のエラーメッセージが表示されます。プライマリ Connection Broker を実行しているマシンからテナントブローカーのコンピューターにアクセスできることを確認してください。

テナントブローカーの IP アドレスの上書き

テナントブローカーの IP アドレスは、秘密鍵の生成時に自動的に検出され、秘密鍵に埋め込まれます。テナントがそのアドレスでテナントブローカーにアクセスできない場合は、以下のようにしてアドレスを上書きできます。

1. テナントブローカーにログインします。

2. RAS Console で、[ファーム] > [設定] に移動し、[テナントブローカー] タブをクリックします。

3. [テナント招待ハッシュと秘密鍵のテナントブローカーアドレスを上書きする] オプションを選択します。

4. 対象のフィールドに IP アドレスを入力します。

テナントを展開したら、以下の通信を可能にするために、テナントブローカーとテナントのネットワーク接続を構成する必要があります。

• テナントの Connection Broker > テナントブローカーの Connection Broker: ポート 20003

• テナントブローカーのゲートウェイ > テナントブローカーの Connection Broker: ポート 20002

• テナントブローカーのゲートウェイ > テナントの Connection Broker: ポート 20002

• テナントブローカーのゲートウェイ > 公開リソースをホストしているサーバー: ポート 3389

上記のポートはどれも標準の RAS ポートです。詳細については、**「ポート参照」**セクションを参照してください。

テナントファームが稼働するようになったら、その中にある 1 つ以上のサイトをテナントブローカーに接続できます。

注: テナントとは、個別に展開する Parallels RAS ファームにあるサイトのことです。テナントをテナントブローカーに接続すると、サイトを接続することになります。ファーム全体を接続する場合は、サイトを 1 つずつ接続していきます。もちろん、ファームにサイトが 1 つしかなく、サイトを増やす計画もない場合は、そのサイトを接続するとファーム全体を接続したことになります。

テナントを接続するには、2 つの方法があります。（1）招待ハッシュを使用する方法と、（2）共有秘密鍵を使用する方法です。2 つの方法の違いは以下の通りです。

• 招待ハッシュ: 招待ハッシュとは、1 つのテナントをテナントブローカーに接続するのに使用できる自動生成暗号文字列のことです。招待ハッシュは、テナントオブジェクトのプロパティでもあるので、テナントブローカーコンソールで作成できます。そのハッシュをテナントファーム管理者にメールで送ると、管理者がそのハッシュを使用してテナントをテナントブローカーに接続できるようになります。1 度使用した招待ハッシュを別のテナントで再利用することはできません。

• 共有秘密鍵: 共有秘密鍵も招待ハッシュとよく似ていますが、1 つの重要な違いがあります。共有秘密鍵の場合は、接続できるテナントの数に制限がありません。秘密鍵に対応するテナントオブジェクトは、テナントブローカーで事前に作成されません。そうではなく、秘密鍵を使用してテナントを接続するときにオブジェクトが作成されます。秘密鍵には使用制限がないので、テナントブローカー管理者だけが共有秘密鍵にアクセスできるようにしてください。このシナリオは、複数のテナントがあって、そのすべてを同じテナントブローカー管理者が管理する場合に便利です。

ここでは、招待ハッシュのシナリオを説明します。秘密鍵のシナリオについては、「秘密鍵による接続」を参照してください。

まず、招待ハッシュを生成することと、テナントブローカーの側でテナントオブジェクトを作成することが必要です。

1. テナントブローカーにログインします。

2. RAS Console で [ファーム] > [テナント] に移動します。

3. [タスク] > [追加] をクリックします。

4. [テナントのプロパティ] ダイアログで、以下のように指定します。

   • 名前: テナント名を入力します（どのような名前でも構いません）。

   • パブリックドメインアドレス: そのテナントにすでにパブリックドメインアドレスを割り当ててある場合は、そのアドレスを指定してください。そうでない場合は、ブランクのままにしておきます。そのアドレスは、テナントをテナントブローカーに接続するときには必要ありません。ただし、ここでアドレスを指定しておかないと、エンドユーザーがテナントに接続できないので、いずれにしても後から指定することが必要になります。詳細については、「パブリックドメインアドレスの割り当て」を参照してください。

   • ゲートウェイモードのクライアントは、サーバー IP により公開済みのテナントリソースに接続します: このオプションを選択すると、クライアントは DNS 名の代わりにテナント IP アドレスを使用します。このオプションは、テナントファームがテナントブローカーファームと同じ DNS プロバイダーを共有していない場合に使用できます。

   • 請求情報を表示しない: これを選択した場合、テナントのライセンスカテゴリーに課金情報が表示されなくなります。

   • 説明: 説明を入力します（オプション）。

   • Connection Broker: このフィールドは無効になっています。テナントがテナントブローカーに接続すると、値が自動的に設定されます。詳細については、「テナントの構成」を参照してください。

   • テナント招待ハッシュ: テナントファーム管理者がテナントブローカーに接続するときに、このハッシュが必要になります。このダイアログを開くと、ハッシュが自動的に生成されます。新しいハッシュを作成するには、[新しいハッシュを作成] をクリックします。

   • 電子メールで送る: 招待ハッシュをテナント管理者に直接渡すことも、このボタンを使用して電子メールで送ることも可能です。このボタンをクリックすると、ダイアログが表示されます。そのダイアログで受信者を入力し、電子メールメッセージを確認したり変更したりできます。デフォルトでは、テナントブローカーに接続する方法がそのメッセージに記されています。ただし、電子メールオプションを使用するには、RAS Console で SMTP 設定を構成しておく必要があります。まず SMTP を構成してから、この画面に戻って操作を実行してください。

5. [OK] をクリックして、[テナントのプロパティ] ダイアログを閉じます。新しいテナントがコンソールの [テナント] リストに表示されます。この時点では、テナントはまだ接続されていません。接続の方法についてこの後説明します。

テナントをテナントブローカーに接続するには、以下の手順を実行します。

1. テナントファームにログインします。

2. RAS Console で [ファーム] > [サイト] に移動します。ここでは、ファーム全体ではなく 1 つのサイトをテナントブローカーに接続します。複数のサイトがある場合は、1 つずつ接続する必要があります。

3. [タスク] > [テナントブローカーに参加する] をクリックします。

4. [テナントブローカーに参加する] ダイアログで、前の手順でテナントブローカーから取得した招待ハッシュ（テナントファーム管理者なら、招待メールで受け取った招待ハッシュ）を入力します。

5. [接続] をクリックします。

接続が成功すると、テナントブローカーに接続できたことを示すメッセージが表示されます。テナントファームのプライマリ Connection Broker がテナントブローカーにアクセスできない場合は、その趣旨のエラーメッセージが表示されます。テナントの RAS Connection Broker を実行しているマシンからテナントブローカーのコンピューターにアクセスできることを確認してください。

テナントブローカーの IP アドレスの上書き

テナントブローカーの IP アドレスは、招待ハッシュ（または秘密鍵）の生成時に自動的に検出され、ハッシュに埋め込まれます。テナントがそのアドレスでテナントブローカーにアクセスできない場合は、以下のようにしてアドレスを上書きできます。

1. テナントブローカーにログインします。

2. RAS Console で、[ファーム] > [設定] に移動し、[テナントブローカー] タブをクリックします。

3. [テナント招待ハッシュと秘密鍵のテナントブローカーアドレスを上書きする] オプションを選択します。

4. 対象のフィールドに IP アドレスを入力します。

招待ハッシュまたは秘密鍵の生成時に自動的に検出されたアドレスの代わりに、ここで指定した IP アドレスが使用されます。テナント側からそのハッシュを使用してテナントブローカーに接続するときに、そのアドレスでテナントブローカーに接続することになります。

テナント側でそのアドレスを使用すると、招待ハッシュによってテナントファームがテナントブローカーのテナントオブジェクトにバインドされ、テナントの関係が有効になります。

エンドユーザーがテナントブローカー経由でテナントに接続するには、各テナントが固有のパブリックドメインアドレスを持っていなければなりません。どのテナントにも固有のパブリックドメインアドレスが必要ですが、各テナントが固有の IP アドレスを持つ必要はありません。テナントブローカーの共有ゲートウェイにアクセスするために、別々のパブリックドメインアドレスが同じ IP アドレスに解決されるように構成することも可能です。その場合もテナントブローカーは、エンドユーザーから要求されるホスト名に基づいて、正しいテナントにトラフィックを転送できます。

パブリックドメインアドレスを選択する方法は、いろいろあります。例えば、サーバープロバイダーがサブドメイン（Tenant1.Service-Provider.com など）を登録し、そのドメインをテナントに割り当てる、といった方法があります。また、プライベートドメインアドレス（RAS.Tenant1.com など）を使用し、テナントブローカーでそのルーティング先を RAS Secure Gateway にする、といった方法も考えられます。テストのために IP アドレスを使用することも可能です。

[パブリックドメインアドレス] は、テナントブローカーコンソールに表示されるテナントオブジェクトのプロパティでもあります。テナントをテナントブローカーに接続したら、そのプロパティに正しいアドレスが入っていることを確認してください。そうでないと、エンドユーザーは、テナントブローカー経由でテナントに接続できません。

テナントのパブリックドメインアドレスを確認するには、以下の手順を実行します（必要に応じて設定することも可能です）。

1. テナントブローカーにログインします。

2. RAS Console で [ファーム] > [テナント] に移動します。

3. テナントを右クリックし、[プロパティ] を選択します。

4. [プロパティ] ダイアログの [パブリックドメインアドレス] フィールドに正しいアドレスが入っていることを確認します。

テナントに割り当てるパブリックドメインアドレスには証明書が必要です。テナントブローカー管理者がテナントブローカーコンソールで各テナントの証明書を作成しなければなりません。その後、その証明書を使用するように共有の RAS Secure Gateway を構成する必要があります。Parallels RAS でテナントの証明書を作成したり管理したりする方法は、他の証明書の場合と同じです。[ファーム] > [サイト] > [証明書] サブカテゴリーを使用してください。証明書を作成して RAS Secure Gateway や HALB に割り当てる方法の詳細については、「SSL 証明書の管理」の章を参照してください。

ユーザーがテナントのパブリックドメインアドレスに接続すると、対象のパブリックドメインアドレスに対応する共通名の証明書が接続のたびに自動的に選択されます。利用可能な最初の証明書が使用されますが、自己署名証明書でない場合もあります（すでに削除されている場合など）。

対応する証明書が見つからない場合は、デフォルトの自己署名証明書が使用されますが、ウェブブラウザーに証明書に関する警告が表示されます。

テナントをテナントブローカーに接続した後に、もう 1 つ実行しなければならない作業があります。それは、インターネットから共有の RAS Secure Gateway や HALB に届く着信トラフィックのルートをセットアップする作業です。

RAS マルチテナントアーキテクチャのユーザー認証は、テナントファームで稼働している RAS Connection Broker が行います。Connection Broker は、共有の RAS Secure Gateway によってランダムに選択されます。利用可能な Connection Broker がない場合は、その趣旨のマークが設定され、一定の時間、同じ共有ゲートウェイからの通信が行われなくなります。ゲートウェイは、周期的に Connection Broker の状況を確認し、利用可能になったらすぐに通信を再開します。

テナントをテナントブローカーに接続したら、操作が成功したかどうかを確認します。

まず、テナントコンソールでテナントブローカーの状況を確認してください。

1. テナントファームにログインします。

2. RAS Console で、[ファーム] > [サイト] に移動し、右ペインの [サイト] タブを選択します。

3. [テナントブローカー] セクションの [ステータス] 列が [OK] になっていることを確認します。ステータスが [未確認] になっている場合は、テナントブローカーが稼働しているかどうかを確認してください（テナントブローカー管理者でない場合は、テナントブローカー管理者に連絡してください）。

テナントブローカーを右クリックして [プロパティ] を選択すると、テナントブローカーの追加情報を表示できます。以下のような情報です。

• 名称: テナントブローカー名。

• プライマリアドレス: プライマリ RAS Connection Broker のアドレス。

• セカンダリアドレス: セカンダリ RAS Connection Broker のアドレス（利用可能な場合）。

次に、テナントブローカーコンソールでテナントの状況を確認してください。

1. テナントブローカーにログインします。

2. RAS Console で [ファーム] > [テナント] に移動します。

3. [テナント] タブで対象のテナントを見つけて、[ステータス] 列を確認します。テナントが正常に接続されていれば、[OK] になっているはずです。[ステータス] 列に表示される他の値については、「テナントの構成」を参照してください。

テナントをテナントブローカーから切断するには、以下の手順を実行します。

1. テナントファームにログインします。

2. RAS Console で [ファーム] > [サイト] に移動します。

3. [タスク] > [テナントブローカーから離脱する] をクリックします。

テナントがテナントブローカーから切断されます。その結果、テナントユーザーは、テナントブローカー経由でテナントファームに接続できなくなります。

最初に、テナントブローカーを専用サーバーにインストールする必要があります。テナントブローカーをインストールするコンピューターに Parallels RAS がすでにインストールされている場合は、まずそれをアンインストールすることが必要です。2 つのインストールバージョンを同じマシンに共存させることはできません。

テナントブローカーをインストールするには、以下の手順を実行します。

1. 標準の Parallels RAS インストーラーを実行します。

2. [インストールタイプの選択] ページで [Parallels RAS テナントブローカー] を選択します。

3. [次へ] をクリックし、画面上の指示に従います。

インストールが完了したら、Parallels RAS Console を起動します。

コンソールが起動すると、標準の RAS Console とは別のカテゴリや管理対象オブジェクトが表示されます。テナントブローカーコンソールの目的は、共有リソースとテナントを管理することです。RD セッションホストや VDI などの標準 RAS リソースを管理するためのものではありません。そうしたリソースは、テナントファームごとに展開して管理します。

テナントブローカーコンソール

テナントブローカーコンソールでは、以下のカテゴリとオブジェクトを管理できます。

• ファーム: このカテゴリーでは、テナント、ゲートウェイ、Connection Broker、HALB、証明書を管理できます。[設定] サブカテゴリーでは、グローバルログやテナントブローカー自体を管理できます。

• 管理: 標準の RAS Console と同じような管理タスクを実行できます。アカウント、設定、メールボックス、レポート、設定監査などです。

• 情報: テナントブローカーで実行されているサービスやコンポーネントの状況を確認できます。

標準の RAS Console の場合と同じく、いずれかのオブジェクトを変更したら、その変更を構成データベースに保存するために [適用] ボタンをクリックしてください。

RAS Secure Gateway のインストール

デフォルトでは、テナントブローカーに RAS Secure Gateway はインストールされません。ゲートウェイを追加するには、テナントブローカーコンソールにログインし、[ファーム] > [Secure Gateway] に移動し、[タスク] > [追加] をクリックします。どの RAS ファームでも使用されていない RAS Secure Gateway 1 つ以上あれば、そのゲートウェイをテナントブローカーに追加することも可能です。ただし、既存の RAS Secure Gateway のインストール環境は、RAS バージョン 17.1 以降でなければなりません。それより古い RAS バージョンのゲートウェイは、共有ゲートウェイとして使用できません。

新しいゲートウェイをインストールするには、対象のサーバーで Parallels RAS インストーラーを実行し、[カスタム] を選択し、[RAS Secure Gateway] コンポーネントを選択します。インストールが完了したら、テナントブローカーコンソールに戻って、そのゲートウェイをテナントブローカーに追加します。