RD セッションホストは、RAS ファーム内に公開リソース（アプリケーション、デスクトップ、ドキュメントなど）をホストするために使用されます。

RD セッションホストを管理するには、[インフラストラクチャ] > [RD セッションホスト] に移動しますメインリストには、既存の RD セッションホストが表示されます。管理機能（追加、削除、プロセスやセッションの表示など）を実行するには、省略記号メニュー、コンテキストメニュー（右クリック）、および場合によっては処理アイコンを使用します。

ナビゲーションバーで、[概要] を選択し、以下を指定します。

• サイト内のホストを有効化: ホストを有効または無効にします。無効化されたホストは、ユーザーに公開済みリソースを提供できません。ホストを無効にすると、メインリストでそのサーバー名がグレーアウトされます。

• ホスト: ホスト名を指定します。

• 説明: ホストの説明を指定します。

• ダイレクトアドレス変更: Parallels Client から RD セッションホストへの直接接続を確立するときに使用するダイレクトアドレスを変更する必要がある場合は、このオプションをオンにします。

FSLogix テクノロジーに基づいてホストのユーザープロファイルを構成したい場合は、[テクノロジー] ドロップダウンリストで [FSLogix] を選択し、ニーズに合わせて設定を指定します。Parallels RAS で FSLogix プロファイルコンテナーを設定する方法については、「FSLogix プロファイルコンテナー」を参照してください。

RD セッションホストを構成するには、次の手順を実行します。

1. [インフラストラクチャ] > [RD セッションホスト] に移動します。

2. リスト内のホストをクリックすると、ホスト情報を表示するビューが開きます。

3. ナビゲーションバーで、[プロパティ]（下部）をクリックします。以下に説明するように、RD セッションホストを構成します。

ユーザーに公開済みリソースを提供するには、RD セッションホストに Remote Desktop Service（RDS）役割をインストールする必要があります。

RD セッションホストをファームに追加するには、次の操作を実行します。

1. [インフラストラクチャ] > [RD セッションホスト] に移動します。

2. リスト内の任意の場所を右クリックして [追加] を選択します（省略記号メニューから [追加] を選択するか、プラス記号のアイコンをクリックすることもできます）。

3. 表示されたリストからホスト（または複数のホスト）を選択するか、[AD を参照] ボタンをクリックし、ホストを参照します。

4. [次へ] をクリックします。

5. 次のページで、以下のオプションを指定します。

   • ファイアウォールルールを追加: ホスト上で実行されている Windows で Parallels RAS が必要とするファイアウォールルールを追加します。詳細については、**「ポート参照」**を参照してください。

   • RDS 役割をインストール: インストールされていない場合は、RDS 役割をホストにインストールします。このオプションは常に選択する必要があります。

   • デスクトップエクスペリエンスを有効にする: ホスト上で実行されている Windows でデスクトップエクスペリエンス機能を有効にします。このオプションは、[RDS 役割をインストール] オプション（上記）が選択されている場合のみ有効です。このオプションは、デスクトップエクスペリエンス機能がデフォルトで有効にされていない、Windows Server 2008 R1/R2 および Windows 2012 R1/R2 に適用されます。

   • 必要な場合にサーバーを再起動: 必要な場合にホストを自動的に再起動します。必要に応じて、手動でホストを再起動することもできます。

   • ホストプールへホストを追加: ホスト（1 台または複数）をホストプールに追加します。このオプションの下にあるリストボックスで任意のホストプールを選択するか、名前を入力して [作成] をクリックして新しいホストプールを作成します。ホストプールの作成方法については、「RDSH ホストプール」を参照してください。

6. [次へ] をクリックします。

7. エンドユーザーが RD セッションホストで公開されているリソースにアクセスできるようにするには、対象のユーザーをホストで実行されている Windows のリモートデスクトップユーザーグループに追加する必要があります。これは、次のいずれかの方法で実行できます。

   • 標準の Windows 管理ツールを使用して、各ユーザーまたはグループをホストに直接追加します。

   • ActiveDirectory 経由でのユーザーまたはグループの追加。

   • ユーザーの利便性のために提供されている、以下で説明するウィザードページを使用します。

   特定のホストのリモートデスクトップユーザーグループにユーザーをすでに追加している場合（または何らかの理由で上記の他の方法のいずれかを使用する場合）、[次へ] をクリックするだけでこのページをスキップできます。

   ウィザードを使用して Remote Desktop Users グループにユーザーを追加するには、[参照] をクリックして、ユーザーまたはグループを指定します。

8. 次のページで、設定を確認し、[作成] をクリックします。

9. ホストに RAS RD セッションホスト Agent がインストールされていない場合、リモートインストールの認証情報を尋ねるダイアログが表示されます。ホストにエージェントソフトウェアをリモートでインストールするために使用するユーザー名とパスワードを入力します。[送信] をクリックし、画面上の指示に従います。

10. インストールが完了したら、[完了] をクリックします。エージェントをインストールできない場合、ホストをファームに追加することはできますが、使用はできませんのでご注意ください。エージェントは後からインストールすることができます。

インストールに成功すると、RD セッションホストリストにホストが表示されます。

追加情報

RD セッションホストサーバーからリソースを公開する方法については、「公開」を参照してください。

RD セッションホストの構成と管理方法については、以下を参照してください。

• RD セッションホストの構成

• RD セッションホストの管理

[デスクトップアクセス] カテゴリーでは、リモートデスクトップへのアクセスを特定のユーザーに制限できます。

デフォルトの設定を使用するには、[デフォルト設定を継承] オプションを選択します。上記の**「デフォルト設定を使用する」**サブセクションを参照してください。

デフォルトでは、RD セッションホストでリモートアプリケーションにアクセスできるすべてのユーザーが標準 RDP 接続経由でホストにも接続できます。リモートデスクトップへのアクセスを特定のユーザーに制限するには、次の手順を実行します。

1. [直接デスクトップアクセスを次のユーザーに制限する] オプションを選択します。[デフォルト設定を継承] オプションを選択している場合、[デフォルトを編集] リンクをクリックして、デフォルトの構成を表示し（必要な場合は変更し）ます。残りの手順は、[ホストプロパティ] ダイアログおよび [デフォルトホストのプロパティ] ダイアログの両方に適用されます。

2. プラス記号のアイコンをクリックします。

3. 希望するユーザーを選択します。複数のユーザーを含めるには、セミコロンで区切ります。

4. [OK] をクリックします。

このリストのユーザーは引き続き Parallels Client を使用してリモートアプリケーションにアクセスできますが、このホストへのリモートデスクトップアクセスは拒否されます。

管理者グループのメンバーは、このリストに含まれている場合でも引き続きリモートデスクトップにアクセスできることに注意してください。

RD セッションホストの管理タスクを実行するには、次の操作を実行します。

1. [インフラストラクチャ] > [RD セッションホスト] に移動します。

2. ホストをクリックして、ホストのプロパティビューを開きます。

3. ナビゲーションバーを使用して、追加情報の表示やアクションの実行が可能な異なるビューに切り替えます。これらのビューについて、以下に説明します。

[概要] 画面には、以下の情報が表示されます。

• [情報] セクションでは、メインの RD セッションホストリストに表示されるものと同様の RD セッションホスト情報が、単一のビューに分かりやすく表示されます。

• [処理] セクションには、ホスト上で実行できる処理が一覧表示されます（下記を参照）。なおホストを選択し、省略記号メニューからオプションを選択することによって、メインの RD セッションホストリストビューから処理を実行することもできます。

RD セッションホストでは、次の処理を実行できます。

• 全員にメッセージを送信: ホストに接続しているユーザーにメッセージを送信します。

• すべて切断: 現在のすべてのユーザーを切断します。

• すべてのセッションをログオフ: 現在のセッションをすべてログオフします。

• エージェントを更新: 必要に応じて RD セッションホストエージェントを更新します。

• エージェントを無効化: エージェントを一時的に無効にします。

[コントロール] サブメニューには、次の項目があります。

• ログオンを有効化: コンソールからではなく、クライアントセッションからのログオンを有効にします。このオプションは、change logon /enable コマンドと同じアクションを実行します。

• ログオンを無効化: コンソールからではなく、クライアントセッションからのそれ以降のログオンを無効にします。現在ログオンしているユーザーには影響しません。このオプションは、change logon /disable コマンドと同じアクションを実行します。

• ドレイン: 新しいクライアントセッションからのログオンを無効にします。ただし、既存のセッションへの再接続は許可します。ドレインは、再起動後も管理者がログオンを許可するまで保持されます。

  なお、ホストがドレインモードになっている場合でも、管理者は物理コンソールにログオンすることができます。また、MSTSC の /admin や /console コマンドラインオプションを使って、リモートでログオンすることもできます。これにより管理者は、[ツール] > [リモートデスクトップ] 経由で、RDS ホストをリモートでメンテナンスできます。

• 再起動までドレイン: コンピューターが再起動するまで、新しいクライアントセッションのログオンを無効にします。ただし、既存のセッションへの再接続は許可します。ドレインはホストが再起動されるまで保持されます。change logon /drainuntilrestart コマンドと同じアクションを実行します。

• 保留中の再起動をキャンセルする（スケジューラー）: 保留中の再起動をキャンセルします。

• 無効になっている状態をキャンセルする（スケジューラー）: 無効な状態を解除します。

• RDS 役割をインストール: ホストに RDS の役割をインストールできるようにします。

• 再起動: ホストを再起動します。

• シャットダウン: ホストをシャットダウンします。

[ログ] サブメニューには、次の項目があります。

• 構成: ログを構成することができます。ログレベルの説明については、以下を参照してください。

• 取得: ログファイルを含む ZIP アーカイブを指定したロケーションに取得します。

• クリア: 既存のログをすべてクリアします。

利用可能なログレベルは以下の通りです。

• 標準: もっとも重要なイベントのみを記録する標準のログレベルです。後述のいずれかのログレベルを使用するように Parallels RAS サポートから指定された場合以外は、常にこのレベルを使用してください。

• 拡張: このログレベルでは、標準ロギングよりも多くの情報が取得されます。ただし、収集する必要のある情報が増加するため、システムの速度が低下します。

• 詳細: 詳細ロギングでは拡張ロギングよりも多くの情報が取得されるため、システムの速度が大幅に低下する可能性があります。

パフォーマンスの低下を回避するには、拡張ロギングと詳細ロギングを（分析のために必要な情報を収集する上で十分な）限定的な期間のみ有効にする必要があります。この期間は [後で標準レベルにリセット] オプションを使用して設定できます。デフォルト値は 12 時間です。場合によっては、Parallels サポートエンジニアが、この期間に別の値を設定するようにアドバイスします。この期間が終了すると、ログレベルがリセットされて標準に戻ります。

残りの項目は以下の通りです。

• ホストプールに割り当て: ホストをホストプールに割り当てる

• ホストプールから削除: ホストプールからホストを削除します。

• 更新: 画面に表示されているホスト情報をリフレッシュします。

• サイトのデフォルト値: [RDSH サイトのデフォルト値] 画面を開き、サイトのデフォルト値を表示および構成することができます。

• 削除: RAS ファームからホストを削除します。

RD セッションホストのプロパティはカテゴリーに分かれており、中央のペインに表示されます。各カテゴリーには、独自のプロパティセットがあります。[概要] と [スキャン] を除くすべてのカテゴリーには、共通のリンクがあります。サイトのデフォルト値またはホストプールのデフォルト値では、デフォルトの設定を表示できます。特定のカテゴリーのプロパティにデフォルト設定を継承させる場合は、[デフォルト設定を継承] オプションを選択します。その場合、デフォルト設定は以下のいずれかから継承されます。

• ホストが RD セッションホストのホストプールに割り当てられている場合、ホストプールのデフォルト値。プールについては、**「RD セッションホストのグループ化と複製」**で説明されています。

• ホストが RD セッションホストのホストプールに割り当てられていない場合、サイトのデフォルト値。ホストプールにはサイトのデフォルトも継承されますが、[ホストプールプロパティ] ダイアログで指定するホストプール向けのカスタム設定によって上書きされます。

ホストプールのデフォルト値またはサイトのデフォルト値リンク（どちらか該当する方）をクリックすると、ホストプールまたはサイトのデフォルトプロパティペインが表示されます。デフォルト設定を変更するには（必要な場合）、[編集] をクリックします。

RD セッションホストのアクティブなセッションを表示および管理するには、ナビゲーションバーで [アクティブなセッション] をクリックします。セッションの詳細情報を表示するには、リストでユーザー名をクリックします。これにより、 セッション情報ビューが表示されます。セッションメトリクスの詳細については、「セッション情報」を参照してください。

セッション（または複数のセッション）に対して処理を実行するには、リストでセッションを選択し、省略記号メニューをクリックします。次の項目のいずれかを選択します。

• セッション情報を表示: セッション情報ビューを開きます。

• メッセージ: セッション所有者にメッセージを送信します。

• 切断: セッションを切断します。

• ログオフ: セッションをログオフします。

• リソースを表示: 実行中のリソースを表示するビューを開きます。

• 実行中のプロセスを表示: 実行中のプロセスを表示するビューを開きます。

• 監視設定: RD セッションホストのセッションメトリクス値のハイライト表示を設定する、監視設定ダイアログを開きます。このダイアログには利用可能なメトリクスが一覧表示され、任意のメトリクスに警告とクリティカルのしきい値を設定することができます。しきい値を設定するには、メトリクス名の前にあるチェックボックスを選択し、必要な値を指定します。RAS ファームの動作中、しきい値に達すると、セッションメトリクス値が以下のようにハイライト表示されます。警告のしきい値: オレンジ、クリティカルのしきい値: 赤。

  指定したしきい値の値をリセットするには、しきい値を選択して、省略記号メニューから [リセット] を選択します（または右クリックして [リセット] を選択します）。また、メトリクスのしきい値の色分けを有効または無効にすることもできます。これを実行するには、メトリクスを選択し、省略記号メニューから [有効] または [無効] を選択します。

• 更新: リストを更新します。

• エクスポート: CSV ファイルに情報をエクスポートします。

RD セッションホストで実行中のリソースを表示するには、ナビゲーションバーで [実行中のプロセス] 項目をクリックします。これにより、実行中の全プロセスを表示するビューが表示されます。

1 つまたは複数のプロセスを強制終了するには、リストでそれらのプロセスを選択し、省略記号のメニューから [プロセスの強制終了] を選択します。リストを更新するには、[更新] をクリックします。

印刷

[印刷] カテゴリーでは、リダイレクトされたプリンターの名前変更フォーマットを構成できます。フォーマットは、ホストのどのバージョンと言語を使用しているかによって異なる場合があります。

デフォルトの設定を使用するには、[デフォルト設定を継承] オプションを選択します。上記の**「デフォルト設定を使用する」**サブセクションを参照してください。

[RDP プリンター名のフォーマット] ドロップダウンリストでは、構成したホストに固有のプリンター名フォーマットを選択できます。

[プリンターからセッション番号を削除する] オプションを選択すると、プリンター名から対応する情報を除外できます。

スキャン

スキャンビューでは、ホストで有効にする画像インターフェイスを設定します。WIA、TWAIN、またはその両方を選択します。

RD セッションホストで実行中のリソースを表示するには、ナビゲーションバーで [実行中のリソース] 項目をクリックします。リソースの詳細情報を表示するには、リソース名をクリックします。リソースの基本情報（ID、名前、ターゲットなど）と対応するセッション情報を表示するビューが表示されます。セッションメトリクスの詳細については、「セッション情報」を参照してください。

リソースに対して処理を実行するには、リストでセッションを選択し、省略記号メニューをクリックします。次のいずれかを選択します。

• メッセージ: セッション所有者にメッセージを送信します。

• 切断: セッションを切断します。

• ログオフ: セッションをログオフします。

• 実行中のプロセスを表示: 実行中のプロセスを表示するビューを開きます。

• ユーザーセッション: セッションの情報を表示するビューを開きます。

• 情報の表示: リソース情報を表示するビューを開きます。

• 監視設定: 「アクティブなセッション」の説明を参照してください。

• 更新: リストを更新します。

• エクスポート: リストを CSV ファイルに保存します。

Virtual Desktop インフラストラクチャ

Parallels RAS VDI（仮想デスクトップインフラストラクチャ）では、サーバーの仮想化を使用して、公開済みリソースをホストするために必要な物理サーバーの数を減らすことができます。Parallels RAS VDI は、ハイパーバイザーやクラウドベースのプラットフォームなど、数多くの仮想化テクノロジーをサポートしています。

Parallels RAS VDI には、テンプレート機能も搭載されています。これは、事前に構成されたゲスト VM（仮想マシン）からテンプレートを作成し、そこからホストを自動的に複製する機能を備えています。

なおこの記事の執筆時点で、Parallels RAS 管理ポータルの VDI 機能は、既存の仮想デスクトップの表示、ホストの再作成、およびそれらの電源操作の実行に限定されています。その他の VDI タスクの場合は、デスクトップベースの Parallels RAS Console をご利用ください。

Virtual Desktop リスト

ファームに存在する仮想デスクトップのリストを表示するには、[インフラストラクチャ] > [仮想デスクトップ] の順に選択します。

[仮想デスクトップ] テーブルに列を追加または削除するには、歯車のアイコンをクリックして、必要な列を選択またはクリアします。

電源操作を実行するには、仮想デスクトップを選択し、省略記号のメニューから次のいずれかを選択します。

• 開始

• 停止

• 再起動 - 再起動操作（猶予）には 10 分間のタイムアウトがあります。この時間内に操作が完了しない場合は、リセット操作（強制）となります。

• リセット

• 中断

• 更新

• 再作成 - 詳細は以下を参照してください。

ホストを再作成する

テンプレートベースのホストに何かが発生し、使用不能になった場合、削除して新しいホストを作成する必要はありません。代わりに、名前と MAC アドレスはそのままで再作成することができます（VM が DHCP サーバーから同じ IP アドレスを取得することを保証するため）。このようにすれば、サイト設定が破損したホストに依存していた場合でも、他のサイト設定は影響を受けません。ホストを再作成するもう 1 つの理由は、（再作成コマンドを実行せずにメンテナンスを終了するときに）テンプレートに加えられた変更を適用するためです。MAC アドレスの保持は、ESXi、vCenter、Hyper-v、Hyper-v Failover Cluster でのみサポートされていることに注意してください。

注: ホストが RD セッションホストテンプレートから作成され、すでに RD セッションホストのホストプールに割り当てられている場合は、再作成できません。

ホストを再作成する場合:

• この手順により VM が削除され、同じテンプレートから新しい VM が作成されます。

• 新しいホストでは、置き換える対象と同じコンピューター名が保持されます。

• ホストが実行中である場合、そのメモリーの中にある保存されていないすべてのデータが失われます。そのため、重要なデータは外部ストレージに保存する必要があります。

以下も参照してください。

プロバイダー

Parallels RAS 管理ポータルには、お使いのすべての SSL 証明書を 1 か所で管理できる、証明書管理インターフェイスが含まれています。

証明書はサイトレベルで管理されます。証明書がサイトに追加されると、その証明書は同じサイト上の RAS Secure Gateway や HALB で使用できるようになります。

証明書を管理するには**、[インフラストラクチャ]** > [証明書] に移動します。証明書リストには、既存の証明書が表示されます。Parallels RAS をインストールすると、<デフォルト> の自己署名証明書が自動的に作成されるので、証明書のリストには少なくともデフォルトの証明書が表示されます。デフォルトの証明書も、自動的にすべての新しい RAS Secure Gateway や HALB に割り当てられます。

後続のセクションでは、証明書管理タスクについて詳しく説明し、証明書に関するその他の情報や指示を取り上げます。

Parallels RAS でリソースを公開するとき、リソースをホストする 1 つまたは複数のホストを指定する必要があります。RDSH ホストプールは、複数の RD セッションホストを組み合わせ、個々のホストを指定する代わりに、ホストプールからリソースを公開できます。

RD セッションホストのホストプールを使用する主な利点は次の通りです。

• 公開済みのリソースの管理が容易になります。マルチホスト環境での使用を強くお勧めします。

• VDI インフラストラクチャを活用して、テンプレートから作成される RD セッションホストを使用できます。これについてはこのセクションの後半で詳しく説明します。

1 つの RD セッションホストは 1 つのホストプールのメンバーにしかなれないことに注意してください。同じホストを複数のホストプールに追加することはできません。

ホストプールの作成

RDSH ホストプールを作成するには、次の操作を実行します。

1. [インフラストラクチャ] > [RD セッションホスト] > [ホストプール] に移動します。

2. 省略記号のメニューから [新規ホストプール] を選択します（またはプラス記号のアイコンをクリックします）。

3. ホストプール名を入力し、Enter キーを押します。

4. リストで新しいホストプール名をクリックし、ホストプール編集画面を開きます。

5. 中央のペインで [プロパティ] をクリックし、ホストプールの構成を行います。ここでの設定は、個別の RD セッションホストの設定と同様です。「RD セッションホストを構成する」を参照してください。

ホストプールのデフォルト値を使用する

ホストプールに割り当てられている RD セッションホストには、ホストプールのデフォルト値から継承される様々な設定があります。これにより、各ホストを個別に構成するのではなく、すべてのホストの設定を単一のセットを使用して簡単に構成できます。サイトには、独自のデフォルト設定もあります（サイトのデフォルト値）。さらに、RD セッションホストのホストプールは、これらのサイトのデフォルト値を継承できます。このため、デフォルトの設定を RD セッションホストに継承させる際には、次のような選択肢があります。

• サイトのデフォルト値を構成し、ホストプールにこれらの設定を継承させます。ホストプールに割り当てられている RD セッションホストもサイトのデフォルト値を継承します。新しいホストプールでは、これがデフォルトのシナリオです。

• 対象のホストプールのデフォルト設定を構成します。この方法によって、それぞれが独自にホストプールのデフォルト値（サイトのデフォルト値とは異なる）を持つ、複数のホストプールを設定できます。ホストプールに割り当てられるホストは、ホストプールのデフォルト値を継承します。

Parallels RAS を使用して Let's Encrypt 証明書を新規に作成する場合、以下の処理が実行されます。

1. ライセンスロールをホストする Parallels RAS プライマリ Connection Broker が、Let's Encrypt サーバーにアカウントを作成するための最初のリクエストを行います。

2. アカウント作成の確認を受け取ります。Parallels RAS は CSR を作成し、Let's Encrypt サーバーに送信します。

3. チャレンジのリストを受信して、Connection Broker で Let's Encrypt サーバーから送信された HTTP トークンの読み取りが行われます。

4. Secure Gateway または HALB は、Connection Broker からトークンを取得します。

5. 準備が整うと、Connection Broker から Let's Encrypt Server に通知が行われます。

6. Let's Encrypt から、Secure Gateway または HALB へのアクセスが行われ、トークンの有無の確認により検証プロセスが開始されます。

7. Secure Gateway または HALB が指定されたドメインに返信できることが確認され、チャレンジが完了します。

8. チャレンジが正常に完了したとの仮定に基づき、Parallels RAS は証明書を要求します。

9. 有効な証明書が Let's Encrypt サーバーから Connection Broker にダウンロードされます。

10. Connection Broker から、Secure Gateways または HALB に証明書が配信されます。

CSR を生成するには、以下の操作を実行します。

1. [インフラストラクチャ] > [証明書] を選択します。

2. 省略記号のメニューから [追加] > [証明書リクエストの生成] を選択し、必要な情報を指定します。この情報は、「自己署名証明書を作成する」で説明したものとまったく同じです。

3. 情報を入力したら、[作成] をクリックしてください。証明書情報ビューが表示されます。

4. 中央ペインの [証明書リクエスト] をクリックすると、リクエストデータが表示されます。証明書リクエストをコピーしてテキストエディターに貼り付け、記録用にファイルを保存します。このビューで同時に、パブリックキーをインポートすることもできます。ここでビューを開いたまま、証明書署名要求を証明書認証局に送信して、パブリックキーを取得しインポートしておくことも、または後で行うこともできます。

証明書署名要求を証明書認証局に送信し、パブリックキーをインポートするには、次の操作を実行します。

1. 証明書リクエストビューが閉じている場合、それを開きます（メインリストでリクエストをクリックし、[証明書リクエスト] をクリックします）。

2. リクエストをコピーして認証局のウェブページに貼り付けるか、電子メールで送信します（この場合は、後でこのビューに戻る必要があります）｡

3. 証明書認証局から証明書ファイルを取得します。

4. [パブリックキーのインポート] ボタンをクリックし、キーファイルと証明書ファイルを指定して、証明書の登録を完了します。

証明書をファイルに書き出すには、リストで証明書を選択し、省略記号のメニューから [証明書のエクスポート] を選択します。

その後、[証明書のインポート] を使用して、[プライベートキーファイル] フィールドで証明書ファイルを指定すれば、エクスポートした証明書を別のファームやサイトにインポートできます。

証明書を追加した後、作成時に指定した使用方法のタイプに応じて、証明書を RAS Secure Gateway と HALB のどちらか、あるいはその両方に割り当てることができます。証明書の [使用方法] オプションについては、以下に詳しく説明します。

証明書の使用方法

証明書の [使用方法] は、証明書を RAS Secure Gateway と HALB のいずれか、またはその両方で利用できるようにするかを指定するオプションです。「自己署名証明書を作成する」を参照してください。後で RAS Secure Gateway や HALB の SSL を構成する場合は、SSL 証明書を指定する必要があります。証明書を選択する際は、[使用方法] オプションが特定の証明書にどのように構成されているかに応じて、次のオプションを利用できます。

• 一致する使用方法すべて: これはデフォルトオプションで、いつでも利用できます。このオプションは、[使用方法] の選択内容がオブジェクトのタイプ（ゲートウェイや HALB）に一致する証明書が使用されるというものです。たとえば、ゲートウェイを構成していて、[使用方法] が「ゲートウェイ」に設定されている証明書がある場合、その証明書が使用されます。証明書の使用方法オプションでゲートウェイと HALB が両方とも選択されている場合も、その証明書は該当のゲートウェイで使用できます。これは、LB SSL ペイロードを構成する際の HALB でも同様です。なお、このオプションがゲートウェイや HALB で選択されているものの、一致する証明書が存在しない場合は、警告メッセージが表示されます。この場合、まず証明書を作成する必要があります。

• [証明書] ドロップダウンリストのその他の項目は個別の証明書ごとに扱われ、証明書の [使用方法] の設定に応じて、リストに表示されたり表示されなかったりします。たとえば、HALB の LB SSL ペイロードを構成していて、[使用方法] オプションが「HALB」に設定されている証明書がある場合、その証明書はドロップダウンリストに表示されます。一方、[使用方法] が「ゲートウェイ」に設定されている証明書はリストに含まれません。

また、1 つの証明書だけですべてのゲートウェイを使用したい場合は、証明書を作成し、その [使用方法] オプションを「ゲートウェイ」に設定する必要があります。その後、各ゲートウェイにこの証明書を使用するように構成するか、[一致する使用方法すべて] の選択内容をデフォルト値のままにすれば、証明書はゲートウェイによって自動的に取得されます。これは HALB についても同様です。

ゲートウェイ

証明書を RAS Secure Gateway に割り当てるには、次の操作を実行します。

1. [インフラストラクチャ] > [Gateway] を選択します。

2. リストで Gateway をクリックします。

3. 中央ペインで、[プロパティ] をクリックします。

4. SSL/TLS カテゴリーを選択します。

5. [証明書] ドロップダウンリストで、作成した証明書を選択します。

[一致する使用方法すべて] オプションを選択することもできます。そうすると、使用方法が Gateway あるいは Gateway と HALB の両方に設定されている証明書が使用されることになります。

HALB

この記事の執筆時点では、HALB を RAS 管理ポータルで管理することはできません。デスクトップベースの RAS Console ご利用ください。

ファイルから証明書をインポートするには、省略記号のメニューから [追加] > [証明書のインポート] を選択し、次のように指定します。

• 名称: 証明書の名前を入力します。

• 説明: オプションの説明。

• 使用方法: 証明書に RAS Secure Gateway と HALB のどちらを使用するか、あるいはその両方を使用するかを指定します。

• プライベートキーファイル: プライベートキーを含むファイルを指定します。ファイルを参照するには、[参照] をクリックします。

• 証明書ファイル: プライベートキーファイル（上述）を指定し、それに一致する証明書ファイルがある場合、そのファイルがこのフィールドに自動的に挿入されます。そうでない場合は、証明書ファイルを指定してください。

完了したら [OK] をクリックします。証明書はリストに表示され、[ステータス] 列には [インポート済み] であることが示されます。

自己署名証明書を生成するには、[インフラストラクチャ] > [証明書] に移動します。省略記号のメニューから [追加] > [自己署名証明書の作成] を選択し、以下のオプションを指定します。

• 名称: 証明書の名前を入力します。このフィールドは入力必須です。

• 説明: オプションの説明。

• 使用方法: 証明書に RAS Secure Gateway と HALB のどちらを使用するか、あるいはその両方を使用するかを指定します。この選択は必須です。

• キーサイズ: 証明書のキーサイズのビット数。ここでは、定義済みの値から選択できます。デフォルト値は、現在の業界標準で必要最小の長さとされる 2048 ビットです。

• 有効期限: 証明書の有効期限。

• 国コード: 国を選択します。

• 都道府県: 都道府県名。

• 市: 市の名前。

• 組織: 組織の名前。

• 部門: 部門名。

• メール: メールアドレス: このフィールドは入力必須です。

• コモンネーム: コモンネーム（CN）、または完全修飾ドメイン名（FQDN）とも呼ばれるもの。このフィールドは入力必須です。

• サブジェクト代替名: 1 つまたは複数のサブジェクト代替名（SAN）を追加します。モバイルの Parallels Client はサブジェクト代替名フィールドをサポートしないため、ほとんどのモバイルデバイスで使用される一般的な名前を選択することをお勧めします。

[生成] をクリックして、証明書を作成します。完了すると、作成した証明書は [証明書] リストに表示され、[ステータス] 列には自己署名であることが示されます。

証明書のプロパティを表示および変更するには:

1. [インフラストラクチャ] 以下の証明書ビューで、証明書名をクリックします。

2. 右側のペインで、[情報] セクションの証明書プロパティを確認します。

3. [処理] セクションで、証明書を有効または無効にすることができます。また、証明書をファイルにエクスポートすることもできます。証明書を削除するには、[削除] をクリックします。

4. 証明書のプロパティの一部を変更する場合は、中央ペインの [プロパティ] をクリックします。

5. 必要に応じて、左上の [編集] をクリックし、設定を変更します。証明書の名前と説明を変更したり、証明書の使用方法の設定（Gateway、HALB、またはその両方）を変更したりできます。

RAS Secure Gateway を構成するには、次の操作を実行します。

1. [インフラストラクチャ] > [Secure Gateway] を選択します。

2. リスト内の Gateway をクリックすると、Gateway 情報を表示するビューが開きます。

3. 中央のペインで [プロパティ] をクリックします。

以降のセクションで説明するように、 Gateway のプロパティを設定します。

RAS Secure Gateway は、すべての Parallels RAS データを 1 つのポート上でトンネリングします。また、RAS Secure Client Gateway は、セキュアな接続を提供し、Parallels RAS へのユーザー接続点となります。

単一テナントの環境では、Parallels RAS が機能するには、少なくとも 1 つの RAS Secure Gateway をインストールする必要があります。RAS サイトに Gateways を追加することで、さらに多数のユーザーやロードバランス接続に対応し、冗長性を実現することができます。

ここでは、RAS Secure Gateway がユーザーの接続要求を処理する方法について説明します。

1. RAS Secure Gateway は、ユーザーの接続要求を受信します。

2. その後、要求を登録先の RAS Connection Broker に転送します（デフォルトでの推奨 Connection Broker 設定）。

3. RAS Connection Broker は、ロードバランスチェックと Active Directory セキュリティ検索を実行し、セキュリティ権限を取得します。

4. 公開済みのリソースをリクエストしたユーザーが十分な権限を持っている場合、RAS Connection Broker はゲートウェイに応答を返します。応答には、ユーザーがどの RD セッションホストに接続できるかについての詳細が含まれます。

5. クライアントは、接続モードに応じて、ゲートウェイを介して接続するか、ゲートウェイを切断して RD セッションホストのホストに直接接続します。

RAS Secure Gateway の動作モード

RAS Secure Gateway は、次のいずれかのモードで動作します。

• 通常モード: RAS Secure Gateway は、ユーザー接続リクエストを受け取った後、RAS Connection Broker に対し、要求したユーザーにアクセス権があるかどうかを確認します。このモードで動作するゲートウェイを使用することで、より多くのリクエストをサポートすることができ、冗長性を向上させることができます｡

• 転送モード: RAS Secure Gateway は、ユーザー接続リクエストを、事前に構成された Gateway に転送します。ファイアウォールカスケードを使用する場合は、WAN 接続を LAN 接続から切り離すのに転送モードのゲートウェイが役立ちます。また、転送モードのゲートウェイを使用すると、問題発生時に LAN を中断することなく WAN セグメントを切断できます。

注: 転送モードを構成するには、RAS サイトに複数の RAS Secure Gateway が必要です。

高可用性のためのプラン

RAS Secure Gateway をサイトに追加する際、ユーザーに提供するサービスが中断しないよう、N+1 の冗長性を構成する必要があります。これは、Connection Broker や RD セッションホストなど、他の Parallels RAS コンポーネントにも当てはまります。

[ネットワーク] カテゴリーは、RAS Secure Gateway のネットワークオプションの構成に使用します。

サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。独自の設定を指定するには、このオプションをオフにして、次の項目を設定します。

• RAS Secure Gateway ポート: デフォルトでは、RAS Secure Gateway は TCP ポート 80 上で待機し、すべての Parallels RAS トラフィックをトンネリングします。このポートを変更するには、新しいポートを指定します。

• RDP ポート: 負荷分散された基本的なデスクトップセッションを必要とするクライアントでは、RDP ポート 3389 が使用されます。このポート上の接続では、公開済みのリソースはサポートされません。ゲートウェイの RDP ポートを変更するには、[RDP ポート] オプションを選択して、新しいポートを指定します。自分でポートを設定する場合、そのポートが標準の [RD セッションホストポート] 設定と重複していないことを確認してください

• 注: RDP ポートを変更した場合、ユーザーはリモートデスクトップクライアント内の接続文字列にポート番号を追加する必要があります（例: IP アドレス:ポート）。

• RAS Secure Gateway のアドレスをブロードキャストする: このオプションを使用して、ゲートウェイアドレスのブロードキャストを有効にすることができます。これにより、Parallels Client でプライマリゲートウェイを自動的に見つけることができます。このオプションは、デフォルトで有効になっています。

• RDP UDP データトンネリングを有効化: Windows デバイスで UDP トンネリングを有効にするには、このオプションを選択します（デフォルト）。UDP トンネルを無効にするには、このオプションをオフにします。

• デバイスマネージャーポート: このオプションは、Windows デバイスの管理機能を有効にする場合に選択します。このオプションは、デフォルトで有効になっています。

• RDP DOS アタックフィルターを有効にする: このオプションを選択すると、同一 IP アドレスからの一連の未完了セッションが拒否されます。たとえば、Parallels Client が各セッションで複数の連続したセッションを開始し、ユーザーからの資格情報の提供を待っている場合、Parallels RAS はこれ以上の試行を拒否します。このオプションは、デフォルトで有効になっています。

サイト内の RAS Secure Gateway を有効化] を選択またはクリアします。

• ホスト: 必要に応じて、別のホストを選択します。

• 説明: オプションの説明を設定または変更します。

• パブリックアドレス: Gateway サーバーのパブリックアドレスを指定します。

クライアント接続用の IP アドレスの設定

次の IP オプションを指定します。

• 次の IP バージョンを使用: 使用する IP バージョンを選択します。RAS Secure Gateway は IPv4 と IPv6 の両方を認識します。デフォルトでは、IPv4 が使用されます。

• IP: 1 つ以上の IP アドレスをセミコロンで区切って指定するか、[解決] をクリックして IP アドレスを自動解決します。それらのアドレスを Gateway サーバーで使用できます。クライアント接続で使用する IP アドレスを指定する場合は、[IP にバインド] セクションを使用します（下記参照）。

• IP にバインド: クライアント接続で Gateway が待機する IP アドレス（複数の場合もあり）を指定するには、このセクションを使用します。特定のアドレスを指定できます。または、利用できるすべてのアドレスを指定して、[IP] フィールドに指定されたすべての IP を使用することもできます。

• 次の…システムバッファを削除: このオプションを使用すると、この Gateway と Parallels Client 間の接続で高遅延が発生した場合（インターネットなど）に、トラフィックが最適化されます。このオプションによりトラフィックが最適化され､Parallels Client 側の操作性が向上します。1 つまたは複数の特定のアドレスを選択できますし、利用できるすべてのアドレスを選択することもできます。また、選択しないこともできます。このオプションは、外部ソケットのパフォーマンスにマッチさせるために内部ソケットを遅延させます。内部ネットワークが速く、外部ネットワークが遅い場合、RDP が速い内部ソケットを検出し、大量のデータを送信します。問題は、データを Gateway からクライアントに十分な速度で送信できず、ユーザーエクスペリエンスが悪化することです。このオプションを有効にすると、データのやり取りが最適化されます。

RAS Secure Gateway は、次のいずれかのモードで動作します。

• 通常モード: RAS Secure Gateway は、ユーザー接続リクエストを受け取った後、RAS Connection Broker に対し、要求したユーザーにアクセス権があるかどうかを確認します。このモードで動作するゲートウェイを使用することで、より多くのリクエストをサポートすることができ、冗長性を向上させることができます｡

• 転送モード: RAS Secure Gateway は、ユーザー接続リクエストを、事前に構成された Gateway に転送します。ファイアウォールカスケードを使用する場合は、WAN 接続を LAN 接続から切り離すのに転送モードのゲートウェイが役立ちます。また、転送モードのゲートウェイを使用すると、問題発生時に LAN を中断することなく WAN セグメントを切断できます。

注: 転送モードを構成するには、RAS サイトに複数の RAS Secure Gateway が必要です。

サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。

通常モードの設定

通常モードを設定するには、[ゲートウェイモード] ドロップダウンリストで [通常] を選択します。

[推奨 Connection Broker] ドロップダウンリストでは、ゲートウェイが接続する必要がある RAS Connection Broker を指定できます。これは、サイトコンポーネントが、WAN で通信する複数の物理的な場所に設置されているときに役立ちます。より適切な Connection Broker を指定することによりネットワークトラフィックを減らすことができます。ゲートウェイで自動的に Connection Broker が選択されるようにするには、[自動] オプションを選択します。

[HTTP サーバーにリクエストを転送] オプションを使用すると、RAS Secure Gateway（HTML5 トラフィック、Wyse、および URL スキームを処理するゲートウェイ）に属していないリクエストを転送できます。複数のサーバーを指定するには、それらをセミコロンで区切ります。必要な場合、IPv6 アドレスを使用して HTTP サーバーを指定できます。リクエスト元のブラウザーと同じ IP バージョンが HTTP サーバーでサポートされていることが必要です。

転送モードの設定

転送モードを設定するには、[Gateway モード] ドロップダウンリストで [転送] を選択して、1 つまたは複数の Gateway を指定します。転送モードのゲートウェイは、すべてのユーザー接続リクエストを、事前に構成されたゲートウェイに転送します。ファイアウォールカスケードを使用する場合は、WAN 接続を LAN 接続から切り離すのに転送モードの Gateway が役立ちます。また、転送モードの Gateway を使用すると、問題発生時に LAN を中断することなく WAN セグメントを切断できます。

トラブルシューティングの情報とタスクについては、ナビゲーションバーで [トラブルシューティング] を選択します。

トラブルシューティングビューに表示されるデータは、RAS Connection Broker を介さずに、RAS 管理ポータルにより、RD セッションホストから直接取得されます。エージェントが、RAS Connection Broker からアクセスできない場合や、現在別の RAS Connection Broker に登録されている場合でも、RAS RD セッションホスト Agent の問題をトラブルシューティングするのに必要なデータを表示できます。

次のデータが表示されます:

• ホスト: RD セッションホスト名です。

• Agent: Agent のステータスです（例: OK）。

• バージョン: Agent のバージョンです。

• RDS 役割: RD セッションホストで RDS 役割が有効になっているかどうかを示します。

• OS の種類: ホストにインストールされているオペレーティングシステムの種類です。

• ステータス: エージェントの状態を長いバージョンで表示します。エージェントに問題がない場合は、そのように表示されます。問題がある場合、このフィールドで、エージェントに発生している問題が説明されます。この情報を使って、問題のトラブルシューティングを行うことができます。

また、トラブルシューティングビューでは、以下の処理を実行できます。

• ログを取得: ホストログを単一の ZIP アーカイブとして取得します。

• ログを構成: Parallels RAS コンポーネントのログレベルを指定できます。拡張レベルおよび詳細レベルはトラブルシューティングについてのみ使用可能です。これらのレベルを選択する場合、ログレベルが標準に戻るまでの期間も設定できます。

• ログをクリア: 既存のログをすべてクリアします。

• エージェントを再起動: RAS RD セッションホスト Agent を再起動します。

• エージェントをアンインストール: エージェントをアンインストールします。

• 更新: エージェント情報を更新します。

ファーム内の各 RD セッションホストには RAS RD セッションホスト Agent がインストールされており、他の Parallels RAS コンポーネントと通信します。エージェントを構成するには、[Agent 設定] カテゴリーを使用します。

デフォルトの設定を使用するには、[デフォルト設定を継承] オプションを選択します。詳細については、「サイトまたはグループのデフォルト値を使用する」を参照してください。特定のホストにカスタム設定を指定する場合は、[デフォルト設定を継承] オプションをオフにして、次の各 Agent プロパティを指定します。

アプリケーションセッションの痕跡

このセクションの設定は、アプリケーションを実行していないセッションにのみ適用されます。

• アクティブなセッションを中断するまでの時間: ユーザーがリモートアプリケーションを閉じた後、各セッションがバックグラウンドで接続状態を保持する時間を指定します。このオプションを使用して、ホストへの不必要な再接続を回避します。

• 切断済みセッションをログオフするまでの時間: この設定では、“切断” とマークされた後、セッションのログオフにかかる時間を管理できます。

他の設定

• ポート: ホストでデフォルト以外のポートが構成されている場合、別のリモートデスクトップ接続ポート番号を指定します。

• セッション最大数: セッションの最大数を指定します。

• Client URL/メールのリダイレクションを許可: ユーザーがリモートアプリケーションで URL または HTML Mailto リンクを開くと、リンクはクライアントコンピューターにリダイレクトされ、リモートホストのアプリケーションではなく、ローカルのデフォルトアプリケーション（ウェブブラウザーまたはメールクライアント）で開かれます。このオプションではリダイレクトを有効化または無効化できます。次のオプションから選択できます。

  1. 有効化 - このオプションを選択するとリダイレクトが有効化されます。その後 [Windows シェル URL の名前空間オブジェクトをサポート] オプション（ドロップダウンボックス以下）を選択します。これは、一般的なシナリオで動作するデフォルトのリダイレクト設定です。シェル URL 名前空間オブジェクトをサポートするということは、Parallels RAS がシェル名前空間 API を使用する公開済みアプリケーションでの操作を中断して、リンクを開くことができるということを意味します。これは多くのアプリケーションでの標準的な動作です。シェル URL 名前領域オブジェクトのサポートを無効する機能は、Parallels RAS の旧バージョンとの互換性のために備えられています。Parallels RAS の旧バージョン（RAS バージョン 16.2 以前）で動作させたい場合、このオプションを無効化できます。

  2. 有効化（登録済みアプリケーションを置換） - このオプションでは、リンクのリダイレクトの代替メソッドを使用します。これにより、リモートホスト側でデフォルトの Web ブラウザーとメールクライアントを”ダミー”アプリと置換します。これを行うことで、リンクを開く操作を中断し、クライアントコンピューターにリダイレクトできます。公開済みのアプリケーションで上述のデフォルトオプションが動作しない場合、このオプションを試してみることができます。

  3. 無効化 - このオプションにより、URL/メールのリダイレクトを無効化します。つまり URL または Mailto リンクは常にリモートホストで開くようになります。

• Windows シェル URL の名前空間オブジェクトをサポート:

• ドラッグ & ドロップ: ドラッグ & ドロップ機能が Parallels Client 内でどのように機能するかを設定できます。[無効]（ドラッグ & ドロップ機能をまったく使用しない）、[サーバーからクライアントのみ]（ローカルアプリケーションへのドラッグ & ドロップのみ許可し、逆方向は許可しない）、[クライアントからサーバーのみ]（リモートアプリケーションへのドラッグ & ドロップのみ許可）、[双方向]（デフォルト）から選択できます。Parallels RAS 17.1 以降ではこのオプションが変更されたことに注意してください。それ以前はドラッグ & ドロップを有効化または無効化するチェックボックスであり、[クライアントからサーバーのみ] モードでのみ動作していました。Parallels RAS の以前のバージョンからアップグレードする際、このチェックボックスがオンになっていれば、デフォルトで [クライアントからサーバーのみ] が選択されます。オフになっていた場合は、[無効] オプションが設定されます。必要に応じて、どの新しいオプションに切り替えることも可能です。

• 注: この文書の作成時点では、ドラッグ・ドロップ機能が利用できるのは Parallels Client for Windows および Parallels Client for Mac のみです。

• 任意の Connection Broker: RD セッションホストが接続する Connection Broker を選択します。これは、サイトコンポーネントが、WAN で通信する複数の物理的な場所に設置されているときに役立ちます。より適切な Connection Broker を指定することによりネットワークトラフィックを減らすことができます。

• 2XRemoteExec がクライアントにコマンドを送信することを許可: ホストで実行されているプロセスにより、クライアント側でのアプリケーションの展開をクライアントに指示することを許可するには、このオプションをオンにします。詳細については、以下の**「RemoteExec の使用」**サブセクションを参照してください。

• [RemoteApp を使用]（利用できる場合）: このオプションを有効にすると、シェル関連の問題でアプリが正しく表示されない場合に、リモートアプリを使用できます。この機能は、Windows 用 Parallels Client でのみサポートされています。

• [アプリケーションの監視を有効にする]。ホストでのアプリケーションの監視を有効または無効にします。アプリケーションのモニタリングを無効にすると、RAS Connection Broker に情報を転送しているときに、ホストでの CPU 使用率とネットワークの使用率を減らすための WMI モニタリングが停止します。このオプションが有効な場合、収集された情報が対応する RAS レポートに表示されます。このオプションが無効な場合、このホストからの情報はレポートに記載されません。

• RDP 転送プロトコルの管理。Parallels Client とホスト間の接続に使用されるトランスポートプロトコルを選択します。

• ファイル転送コマンドを許可（Web および Chrome クライアント）: リモートセッションでのファイル転送を有効化します。ドロップダウンリストで必要なオプションを選択します。詳細については、以下の**「リモートファイル転送を構成する」**を参照してください。

• ファイル転送のロケーション: デフォルトのアップロード先として使用するフォルダーの UNC パスです。ここで指定されたパスは、ユーザーがリモートホストからファイルをダウンロードしようとしたときの、デフォルトのソースロケーションとしても使用されます。ドロップダウンリストであらかじめ定義されているロケーションから選択するか、独自のロケーションを指定することができます。Windows の標準的な環境変数である、%USERNAME%、%USERDOMAIN%、%USERPROFILE% を使用することができます。アップロードまたはダウンロードの実行中にロケーションが見つからない場合は、標準（デフォルト）のダウンロードロケーションが使用されます。

• 位置情報の変更を許可しない: [ファイル転送のロケーション] フィールドで指定された UNC パスの変更を禁止します。このオプションを有効にすると、ファイルのアップロードまたはダウンロードを行う際に、ユーザーが別のロケーションを選択できなくなります。このオプションを無効にすると、ユーザーは別のロケーションを指定できるようになります。

• ドライブリダイレクトのキャッシュを有効化: リダイレクトされたドライブ上でのファイルの参照とナビゲーションをより高速にすることで、ユーザーエクスペリエンスを向上させます。

2XRemoteExec の使用

2XRemoteExec は、ホストからクライアントへのコマンドの送信を容易に行えるようにするための機能です。そのために、コマンドラインユーティリティ 2XRemoteExec.exe を使用します。次のコマンドラインオプションが用意されています。

2XRemoteExec の例:

次のコマンドを実行すると、使用できるパラメーターの説明がメッセージボックスに表示されます。

2XRemoteExec -?

このコマンドを実行すると、クライアントでメモ帳が起動します。

2XRemoteExec C:\Windows\System32\Notepad.exe

この例のコマンドを実行すると、クライアントのメモ帳で C:\readme.txt ファイルが開きます。メッセージは表示されず、2XRemoteExec は 6 秒間、またはアプリケーションが起動するまで待機します。

2XRemoteExec C:\Windows\System32\Notepad.exe “C:\readme.txt”

リモートファイル転送を構成する

Parallels RAS を使用して、エンドユーザーはリモートでファイルをリモートホストに転送またはリモートホストから転送することができます。

注: この文書の作成時点では、ファイル転送が利用できるのは、Parallels ユーザーポータルおよび Parallels Client for Chrome のみです。なお双方向のファイル転送は、Parallels ユーザーポータルのみでサポートされています。

リモートファイル転送機能を柔軟に設定できるように、Parallels RAS では以下の 3 つのレベルを設定することができます。

• RD セッションホスト、プロバイダー、またはリモート PC

• ユーザーポータル

• クライアントポリシー

各レベルで設定したファイル転送設定の優先順位は、上述の順序になります。たとえば、ファイル転送をユーザーポータルで有効にし、RD セッションホストで無効にしている場合、所定のユーザーポータルから所定の RD セッションホストに接続するすべてのユーザーについて、ファイル転送が無効になります。また、RD セッションホストでファイル転送を有効にし、特定のクライアントポリシー（またはユーザーポータル）で無効にすることもできます。このように、ファイル転送を利用できるクライアントと利用できないクライアントを制御することが可能になります。

リモートファイル転送を構成するには、次の操作を実行します。

1. [ファイル転送コマンドを許可] ドロップダウンリストで、次のオプションのいずれかを選択します。

   • 無効: リモートファイル転送は無効です。

   • Client からサーバー: クライアントからサーバーへのファイル転送のみ。

   • サーバーから Client: サーバーからクライアントへのファイル転送のみ。

   • 双方向: 双方向のファイルを転送が可能。

2. [ファイル転送のロケーション] フィールドには、デフォルトのアップロード先として使用するフォルダーの UNC パスを指定します。ここで指定されたパスは、ユーザーがリモートサーバーからファイルをダウンロードしようとしたときの、デフォルトのソースロケーションとしても使用されます。Windows の標準的な環境変数である、%USERNAME%、%USERDOMAIN%、%USERPROFILE% を使用することができます。アップロードまたはダウンロードの実行中にロケーションが見つからない場合は、標準（デフォルト）のダウンロードロケーションが使用されます。

3. [位置情報の変更を許可しない] オプションにより、[ファイル転送のロケーション] フィールドで指定された UNC パスをユーザーが変更することを禁止します。このオプションを有効にすると、ファイルのアップロードまたはダウンロードを行う際に、ユーザーが別のロケーションを選択できなくなります。このオプションを無効にすると、ユーザーは別のロケーションを指定できるようになります。

重要: なお、[位置情報の変更を許可しない] オプションでは、ユーザーが指定したリモートロケーションへの直接的なアクセスを禁止することはできません。たとえば、ユーザーがファイルをアップロードしようとするときに、デフォルトのロケーションの UNC パス（自分がアクセスできるパス）をメモし、ファイルエクスプローラーで該当のファイルを開き、プロファイルの任意のフォルダーにコピーすることができます。このような操作を防止するために、ここで指定したロケーション以外のロケーションも制御できるようにする追加の方法を導入する必要があります。

RAS Secure Gateway を追加するには、次の操作を実行します。

1. [インフラストラクチャ] > [Secure Gateway] を選択します。

2. 右側ペインで、省略記号のメニューから [追加] を選択します。[Gateway] - [新規追加] ウィザードが開きます。

3. サーバーの FQDN または IP アドレスを入力するか、[AD を参照] ボタンをクリックして、リストからサーバーを選択します。IP アドレスと FQDN を双方向に解決するには、[IP を解決する] または [名前を解決する] をクリックします。

4. [次へ] をクリックします。

5. [モード] ドロップダウンメニュー（通常または転送）からゲートウェイモードを選択します。

6. 前の手順で [転送] モードを選択した場合は、[転送先] ドロップダウンリストで転送先のゲートウェイを選択します。ゲートウェイサーバーに複数の IP アドレスがある場合は、[オン IP] ドロップダウンリストで特定の IP アドレスを選択することもできます。

7. Gateway の説明（オプション）を追加します。

8. RAS ユーザーポータルのサポート（Parallels RAS に接続し、公開済みリソースを起動するために使用できるブラウザーベースのクライアント）を有効にするには、[ユーザーポータルを有効化] オプションを選択します。

9. ゲートウェイをホストしているサーバー上のファイアウォールを自動的に構成するには、[ファイアウォールルールの有効化] を選択します。

10. [次へ] をクリックします。

11. 設定を確認し、[作成] をクリックして Gateway をサイトに追加します。

追加情報

RAS Secure Gateway の構成と管理方法については、以下を参照してください。

Parallels RAS ユーザーと RAS Secure Gateway 間のトラフィックは暗号化できます。[SSL/TLS] カテゴリーでは、データ暗号化オプションを構成できます。

サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。

HSTS

[HSTS] セクションを利用すると、HTTP Strict Transport Security（HSTS）を適用できます。これは、安全な HTTPS 接続のみを使用して、ウェブブラウザーにウェブサーバーと通信させるメカニズムです。HSTS が RAS Secure Gateway に適用されると、すべてのウェブリクエストが HTTPS を使用するように強制されます。これは、通常 HTTPS リクエストのみを受け入れることができるユーザーポータルに特に影響します。

• HTTP Strict Transport Security（HSTS）を適用する: ゲートウェイに対し、HSTS を有効化または無効化します。

• 最大期間: 最大期間を指定します。これは、ウェブブラウザーとゲートウェイとの通信に必ず HTTPS が使用されるという設定が適用される（月単位の）期間です。デフォルト値（および推奨値）は 12 か月です。設定可能な値は 4〜120 か月です。

• サブドメインを含む: サブドメインを含めるかどうかを指定します（該当する場合）。

• 事前読み込み: HSTS の事前読み込みを有効化または無効化します。これは、SSL/TLS をサイトで適用するホストのリストがウェブブラウザーにハードコーディングされるメカニズムです。リストは Google によりコンパイルされ、Chrome、Firefox、Safari、Edge といったブラウザーにより使用されます。HSTS の事前読み込みが使用されると、ウェブブラウザーは HTTP でリクエストを送信せず、常に HTTPS が使用されます。以下に重要な注意点がありますのでこちらもお読みください。

注: HSTS のプリロードを使用するには、Chrome の HSTS プリロードリストに含めるドメイン名を送信する必要があります。ドメインはリストを使用するウェブブラウザーにハードコードされます。重要: プリロードリストへ含めるアクションは簡単には取り消せません。サイト全体およびそのすべてのサブドメインで長期的に（通常 1〜2 年）HTTPS をサポートできることが確実な場合にのみ、リクエストを含めてください。

次の要件にも注意してください。

• ウェブサイトに有効な SSL 証明書が存在している必要があります。

• すべてのサブドメイン（サブドメインがある場合）が SSL 証明書でカバーされている必要があります。ワイルドカード証明書を要求することを検討してください。

暗号化

デフォルトでは、ゲートウェイのインストール時に、自己署名証明書が RAS Secure Gateway に割り当てられます。RAS Secure Gateway ごとに専用の証明書の割り当てが必要です。また、セキュリティ警告を回避するため、クライアント側の信頼できるルート認証局に追加する必要があります。

SSL 証明書はサイトレベルで作成されます。作成された証明書は、RAS Secure Gateway に割り当てることができます。証明書の作成と管理については、「証明書」を参照してください。

暗号化を構成するには、次の操作を実行します。

1. [ポートで SSL 有効化] オプションを選択し、ポート番号を指定します（デフォルトは 443）。

2. [許可される SSL バージョン] ドロップダウンリストで、SSL バージョンを選択します。

3. [暗号強度] フィールドで、希望する暗号強度を選択します。

4. [暗号] フィールドに暗号を指定します。強い暗号を使用すれば、暗号化の強度が増し、破るのに必要な労力も増大します｡

5. [サーバー環境に応じて暗号を使用] オプションは、デフォルトで有効になっています。このオプションを無効にすることで、クライアントの環境設定を使用することができます。

6. [証明書] ドロップダウンリストで任意の証明書を選択します。[一致する使用方法すべて] オプションでは、構成されたすべての証明書がゲートウェイによって使用されます。証明書を作成する場合、”ゲートウェイ”、”HALB”またはその両方を選択できる場所で”使用”プロパティを指定します。このプロパティで [ゲートウェイ] オプションが選択されていれば、ゲートウェイに使用できます。このオプションを選択していても、一致する証明書が存在しない場合には、警告が表示され、先に証明書を作成することになります。

追加情報

Client およびサーバーの構成

ゲートウェイへのユーザーアクセスを MAC アドレスに基づいて許可または拒否できます。これは、[RAS Secure Gateway のプロパティ] ダイアログの [セキュリティ] タブを使用して実行できます。

サイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。

許可または拒否する MAC アドレスのリストを構成するには、[セキュリティ] タブで次のいずれかのオプションを選択します。

• 以外を許可: このリストに含まれる MAC アドレスを除き、ネットワーク上のすべてのデバイスがゲートウェイへの接続を許可されます。[タスク] > [追加] をクリックし、デバイスを選択するか、MAC アドレスを指定します。

• のみを許可する: リストに含まれる MAC アドレスを持つデバイスのみがゲートウェイへの接続を許可されます。[タスク] > [追加] をクリックし、デバイスを選択するか、MAC アドレスを指定します。

Gateway MAC アドレスフィルタリングは ARP に基づいているため、フィルタリングが機能するには、クライアントとサーバーが同じネットワーク上にある必要があります。ネットワークの境界を超えて機能しません。

Wyse thinOS を使用してアプリケーションを Parallels RAS からシンクライアントに公開するには、[Wyse ThinOS サポートを有効化する] オプションを選択します。

注: [Wyse] カテゴリーは、Gateway モードが [通常] に設定されている場合にのみ使用できます。

このオプションを有効にすると、RAS Secure Gateway が Wyse Broker として機能します。このゲートウェイからブートしようとしているシンクライアントについては、DHCP サーバー上で DHCP オプション 188 がこのゲートウェイの IP アドレスに設定されていることを確認する必要があります｡DHCP サーバーを構成したら、[テスト] ボタンをクリックして、DHCP サーバーの設定を確認します。

ホスト名が証明書と一致しないために、RAS Secure Gateway への接続時に Wyse デバイスで SSL 警告が表示される場合、[サーバー証明書認証の警告を表示しない] オプションを選択（有効化）できます。このオプションを選択すると、Gateway は、wnos.ini ファイル内の次のパラメーターを Wyse クライアントに送信します: SecurityPolicy=low TLSCheckCN=no（これにより SSL の確認が無効化）。なお、証明書に以下の項目がある場合、このオプションは必要ありません:

• CNAME が RAS Secure Gateway の FQDN に設定されている。

• SAN が RAS Secure Gateway の IP アドレスに設定されている。

ゲートウェイ上の”C:\Program Files (x86)\Parallels\ApplicationServer\AppData\wnos”フォルダーにあるカスタムの wnos.ini を使用する場合、Gateway が SSL 確認パラメーターを送信することはありません。ご注意ください。

Parallels ユーザーポータルは、RAS Secure Gateway に組み込まれています。これにより、ユーザーはウェブブラウザーから Parallels RAS に接続し、公開済みリソースを開くことができます。

注: ユーザーポータルを使用するには、RAS Secure Gateway で SSL を有効にする必要があります。クライアントを有効にする場合は、[SSL/TLS] カテゴリーまたはネットワークロードバランサーで SSL が有効になっていることを確認してください。[ユーザーポータル] カテゴリーは、Gateway モードが通常に設定されている場合にのみ使用できます。

ユーザーポータルの URL の構成方法と、ウェブブラウザーからクライアントにアクセスする方法については、「ウェブ」 セクションを参照してください。

• [ユーザーポータル] タブでサイトのデフォルト設定を使用するには、[デフォルト設定を継承] オプションをクリックします。固有の設定を指定するには、オプションをクリアします。

• RAS ユーザーポータルを有効化/無効化するには、[ユーザーポータルを有効化] オプションを選択/クリアします。

Client

[Client] セクションでは、ユーザーポータルの起動方法やその他の設定を指定できます。

• 以下を使用してセッションを起動: 公開済みリソースを開くために使用する Parallels Client を指定します。ユーザーポータルまたはプラットフォーム固有の Parallels Client を使用できます。ユーザーポータルに比べ、プラットフォーム専用の Parallels Client は機能がさらに豊富で、全体的なユーザーエクスペリエンスにも優れています。次のいずれかを選択します。

  1. ブラウザーのみ: ユーザーは Web Client のみを使用してリモートアプリケーションとデスクトップを実行できます。ユーザーにプラットフォーム固有の Parallels Client をインストールさせたくない場合は､このオプションを使用します。

  2. Parallels Client のみ: ユーザーは Parallels Client のみを使用してリモートアプリケーションとデスクトップを実行できます。ユーザーが Parallels Web Client を使用して Parallels RAS に接続すると、リモートアプリケーションとデスクトップを起動する前に、プラットフォーム固有の Parallels Client をインストールするように求められます。ユーザーには、Parallels Client のダウンロードリンクが含まれるメッセージが表示されます。ユーザーが Parallels Client をインストールした後も、Web Client でリモートアプリケーションまたはデスクトップを起動できますが、リソースは Parallels Client で開かれます。

  3. Parallels Client とブラウザーへのフォールバック: Parallels Client とブラウザー（HTML5）の両方を使用して、リモートアプリケーションとデスクトップを起動できます。Parallels Client が主要な方法になります。何かの理由で公開済みのリソースを Parallels Client では起動できない場合、バックアップとして Parallels Web Client が使用されます。Parallels Client を使用できない場合、ユーザーに通知され、代わりにブラウザーで開くことができます。

• ユーザーが起動方法を選択することを許可: このオプションを選択すると、ブラウザーまたは Parallels Client でリモートアプリケーションを開くかどうかを選択できます。このオプションは、[以下を使用してセッションを起動:] オプション（上記）が [Parallels Client とブラウザーへのフォールバック] に設定されている場合（つまり両方の方法が許可されている場合）にのみ､有効にできます。

• 新規タブでアプリケーションを開く: 選択されている場合、ユーザーは、ウェブブラウザーの新しいタブでリモートアプリケーションを開くことができます。

• （ブラウザーおよび Parallels Cient にフォールバックおよび Parallels Client のみ）また、[構成] ボタンをクリックして Parallels Client の検出を設定することもできます。

  • Client を検出します Parallels RAS がプラットフォーム固有の Parallels Client を検出しようとするタイミングを選択します。

    • サインイン時に自動で: Parallels RAS はプラットフォーム固有の Parallels Client を即時に検出しようとします。

    • ユーザープロンプトで手動で: Parallels RAS で、プラットフォーム固有の Parallels Client を検出するかどうかを選択するプロンプトが表示されます。

  • Client 検出タイムアウト: Parallels RAS がプラットフォーム固有の Parallels Client の検出を試行する期間です。

• Client IP 検出サービスを使用: 選択した場合、IP 検出サービスを構成して、接続されている Parallels Web Client アプリケーションの IP アドレスの報告を行えます。クライアント IP 検出サービスを有効にするには、このオプションを選択し、[構成] ボタンをクリックします。開いたダイアログで、使用する IP 検出サービスの URL を入力します。[テスト] ボタンを押して、API が期待通りに動作することを確認できます。[テスト] ボタンをクリックすると、Connection Broker がクライアントの役割を果たし、API が呼び出されます。成功すると、Connection Broker の IP アドレスを示すウィンドウが表示されます。

ネットワークロードバランサーへのアクセス

[ネットワークロードバランサーへのアクセス] セクションは、Amazon Web Services（AWS）の Elastic Load Balancer（ELB）などのサードパーティー製ロードバランサーを使用する展開シナリオでの利用を意図したものです。ネットワークロードバランサー（NLB）で使用する代替ホスト名とポート番号を構成できます。TCP 通信と HTTPS 通信が実行されるホスト名およびポートを別々にしておくことが必要です。AWS ロードバランサーでは、同じポート上で 2 つの個別のプロトコルをサポートすることはないためです。

次のオプションを利用できます。

• 代替ホスト名を使用する: このオプションを選択し、代替ホスト名を指定します。代替ホスト名を有効化すると、プラットフォーム別の Parallels Client では RAS ファームまたはサイトへの接続にそのホスト名が使用されます。

• 代替ポートを使用する: このオプションを選択し、代替ポート番号を指定します。ポート番号は、RAS ファームまたはサイトの他のコンポーネントで使用されていないことが必要です。ポート番号をデフォルトに戻すには、[デフォルト] をクリックします。代替ポートを有効化すると、プラットフォーム別の Parallels Client では RAS ファームまたはサイトへの接続にそのポートが使用されます。Web Client の RDP セッションでは引き続き標準 SSL ポート（443）で接続されることに注意してください。

さらに、Parallels Web Client で必要な HTTP/HTTPS トラフィックを処理する AWS アプリケーションロードバランサー（ALB）では、通常自動的に生成される特定の Cookie のみがサポートされています。ロードバランサーは、クライアントからのリクエストを最初に受信すると、リクエストをターゲットにルーティングし、「AWSALB」という Cookie を生成します。これは、選択されたターゲットの情報をエンコードしたものです。ロードバランサーはこの Cookie を暗号化してクライアントへの応答に含めます。スティッキーセッションが有効になっている場合、ロードバランサーは同じターゲットが正しく登録され、正常な状態にあると想定し、クライアントから受信した Cookie を使用してトラフィックをそのターゲットにルーティングします。デフォルトでは、Parallels RAS は「_SessionId」という名前の専用 ASP.NET Cookie を使用します。ただし、上記のスティッキーセッション用 AWS Cookie を指定して Cookie をカスタマイズすることが必要です。これは、[ユーザーポータル] > [ウェブ] サブカテゴリーの、[ウェブ Cookie] フィールドを使用して設定できます。

制限

[制限] セクションは、ユーザーポータルの以下の機能を許可または制限するために使用されます。

• 以前の Windows 2000 ログイン形式を使用: レガシー（Windows 2000 以前）のログインフォーマットを有効化します。

• Parallels ユーザーポータルを他のウェブページに埋め込むことを許可: これを選択すると、Parallels ユーザーポータルのウェブページを他のウェブページに埋め込むことができます。これは、クリックジャックと呼ばれる攻撃による潜在的なセキュリティ上のリスクになる可能性があることに注意してください。

• ファイル転送コマンド: リモートセッションでのファイル転送を有効化します。ドロップダウンリストで必要なオプションを選択します。詳細については、以下の**「リモートファイル転送を構成する」**を参照してください。

• クリップボードのリダイレクト: クリップボードオプション: リモートセッションで許可するクリップボードオプションを選択します。[Client からサーバーのみ]（クライアントからサーバーへのコピー/ペーストのみ）、[サーバーから Client のみ]（サーバーからクライアントへのコピー/ペーストのみ）、[双方向]（双方向のコピー/ペースト）から選択します。

• オリジン間リソース共有（CORS）を有効化: オリジン間リソース共有（CORS）を有効化します。CORS を有効化するには、このオプションを選択してから、リソースへのアクセスを許可する 1 つまたは複数のドメインを指定します。ドメインを指定しない場合、このオプションは自動的に無効になります。[ブラウザーのキャッシュ時間] フィールドで、エンドユーザーのブラウザーでリソースがキャッシュされる時間を指定します。

リモートファイル転送を構成する

Parallels RAS を使用して、エンドユーザーはリモートでファイルをリモートサーバーに転送またはリモートサーバーから転送することができます。

リモートファイル転送機能を柔軟に設定できるように、Parallels RAS では以下の 3 つのレベルを設定することができます。

• RD セッションホスト、プロバイダー、またはリモート PC

• ユーザーポータル

• クライアントポリシー

各レベルで設定したファイル転送設定の優先順位は、上述の順序になります。たとえば、ファイル転送をユーザーポータルで有効にし、RD セッションホストで無効にしている場合、ユーザーポータルから所定の RD セッションホストに接続するすべてのユーザーについて、ファイル転送が無効になります。また、RD セッションホストでファイル転送を有効にし、特定のクライアントポリシー（またはユーザーポータル）で無効にすることもできます。このように、ファイル転送を利用できるクライアントと利用できないクライアントを制御することが可能になります。

ユーザーポータルのリモートファイル転送を構成するには、[ファイル転送コマンド] ドロップダウンリストで次のオプションのいずれかを選択します。

• 無効: リモートファイル転送は無効です。

• Client からサーバー: クライアントからサーバーへのファイル転送のみ。

• サーバーから Client: サーバーからクライアントへのファイル転送のみ。

• 双方向: 双方向のファイルを転送が可能。

サイトにインストールされた RAS Connection Broker を表示するには、 [インフラストラクチャ] > [Connection Broker] に移動します。

サイトには、少なくともプライマリ Connection Broker がインストールされている必要があり、その [プライオリティ] 列にはプライマリであることが記されています。冗長性を確保するため、セカンダリエージェントを追加することもできます。

Connection Broker の構成を変更するには、リストでそれをクリックし、中央ペインの [プロパティ] をクリックします。[編集] をクリックして、以下のオプションを指定します。

• 有効: Connection Broker を有効または無効にします。

• IP: サーバーの IP アドレスを指定します。

• 代替の IP: 1 つ以上の代替 IP アドレスをセミコロンで区切って指定します。これらのアドレスは、RAS Secure Gateway が、[IP] フィールドに指定されたアドレスを使用して RAS Connection Broker に接続できなかった場合に使用されます。これは、Active Directory に参加していないネットワークから Gateway が接続している場合などに起こる可能性があります。

• スタンバイ: 選択されている場合、セカンダリ Connection Broker をスタンバイモードにします。つまり、別の Connection Broker がオフラインになるまで、どのエージェントもこの Connection Broker に接続しません。このオプションは、すでに存在する 3 つを超えるすべての新しいセカンダリ Connection Broker で自動的に有効になります。システムパフォーマンスが低下する可能性があるため、3 つを超えるアクティブな Connection Broker を使用することは推奨されません。このオプションを使用して、3 つを超える Agent を使用することができますが、必要になるまでスタンバイモードにしておきます。詳細については、「セカンダリ Connection Broker を追加」を参照してください。

変更が完了したら、[保存] をクリックし、[すべての変更の適用] をクリックします。

メイン Connection Brokers ビューの省略記号のメニューには、次の項目が含まれています。

• 追加: RAS Connection Broker をサイトに追加します。セカンダリ Connection Broker の追加方法の詳細については、続くセクションを参照してください。

• エージェントを更新: エージェントをアップデートします。

• エージェントを無効化/有効化: エージェントを有効または無効にします。

• ログ: ロギングの管理を有効にします。

• プライマリへの昇格: セカンダリ Connection Broker をプライマリに昇格します。

• 優先順位を上げる: セカンダリ Connection Broker の優先順位を上げます。（優先順位リストで上に移動します）。

• 優先順位を下げる: セカンダリ Connection Broker の優先順位を下げます（優先順位リストで下に移動します）。

• 更新: Connection Broker リストを更新します。

• 削除: セカンダリ Connection Broker をサイトから削除します。現在のプライマリ Connection Broker を削除するには、まずセカンダリ Connection Broker をプライマリに昇格させる必要があります。

追加情報

• セカンダリ Connection Broker を追加する

• RAS Connection Broker を管理する

RAS Secure Gateway の管理タスクを実行するには、次の操作を実行します。

1. [インフラストラクチャ] > [Secure Gateway] を選択します。

2. ここから、Gateway を選択し、省略記号のメニューを使用して管理タスクを実行できます。また、Gateway をクリックすると、Gateway の詳細を表示するビューが開き、同様のタスクを実行できます。このタスクについて、以下に説明します。

コントロール

Gateway を有効化または無効化できます。

ログ

RAS Secure Gateway は監視され、ログは関連情報を含めた状態で作成されます。ロギングを構成するには、次のいずれかをクリックします。

• 構成: ログを構成することができます。ログレベルの説明については、以下を参照してください。

• 取得: ログファイルを含む ZIP アーカイブを指定したロケーションに取得します。

• クリア: 既存のログをすべてクリアします。

利用可能なログレベルは以下の通りです。

• 標準: もっとも重要なイベントのみを記録する標準のログレベルです。後述のいずれかのログレベルを使用するように Parallels RAS サポートから指定された場合以外は、常にこのレベルを使用してください。

• 拡張: このログレベルでは、標準ロギングよりも多くの情報が取得されます。ただし、収集する必要のある情報が増加するため、システムの速度が低下します。

• 詳細: 詳細ロギングでは拡張ロギングよりも多くの情報が取得されるため、システムの速度が大幅に低下する可能性があります。

パフォーマンスの低下を回避するには、拡張ロギングと詳細ロギングを（分析のために必要な情報を収集する上で十分な）限定的な期間のみ有効にする必要があります。この期間は [後で標準レベルにリセット] オプションを使用して設定できます。デフォルト値は 12 時間です。場合によっては、Parallels サポートエンジニアが、この期間に別の値を設定するようにアドバイスします。この期間が終了すると、ログレベルがリセットされて標準に戻ります。

他の処理

• 更新: 表示されている Gateway 情報を更新します。

• サイトのデフォルト値: サイトのデフォルトビューを開きます。

• 削除: ファームから Gateway を削除します。

注: [ウェブ] サブカテゴリーは、ゲートウェイモードが [通常] に設定されている場合にのみ使用できます。

[ウェブ] カテゴリーでは、特定のシナリオでロードバランスに必要な設定を微調整できます。ここでウェブリクエストのリダイレクト URL とセッションの Cookie 名を指定して、クライアントとサーバー間のパーシスタンスを維持できます。

リダイレクト URL

元のウェブリクエストは、以下の 2 種類の方法のいずれかでゲートウェイに到達します。

• IP アドレスまたは FQDN を使用して、リクエストがローカルネットワーク経由で直接 Gateway に送信される。例: https://192.168.10.10。

• リクエストがファーム内でそのゲートウェイと他のゲートウェイとの負荷を分散する HALB デバイスに送信される。HALB デバイスは多くの場合インターネットに接続している（DMZ 内に位置している）ため、元のリクエスト URL 内ではその DNS 名を使用できる。たとえば、https://ras.msp.com のようになります。その後、HALB デバイスによってリクエストがゲートウェイに分配される。

ゲートウェイは、ウェブリクエストを受信すると、[ウェブ] カテゴリーで指定された URL を使用してリダイレクトするよう、ウェブブラウザーに応答します。

理論的には、ここにはどのような URL でも入力でき、元のウェブリクエストがその URL にリダイレクトされます。ただし、このフィールドの主要な目的はユーザーがウェブブラウザーからユーザーポータルに簡単にアクセスできるようにすることです。その仕組みを説明します。

1. ユーザーがロードバランサーの DNS 名をウェブブラウザーに入力します。たとえば、https://ras.msp.com のようになります。

2. ロードバランサーは、受信したリクエストを負荷の最も小さい RAS Secure Gateway に分配し、処理させます。

3. ゲートウェイは元の URL を受信し、その URL を [デフォルト URL] フィールドで指定された URL に置き換えます。以下の**「デフォルトの URL フォーマット」**サブセクションを参照してください。

4. 置換後の URL がウェブブラウザーに返送され、ブラウザーはその URL を使ってユーザーポータルのログインページを開きます。

デフォルトの URL フォーマット

デフォルトの URL フォーマットは以下のようになっています。

https://%hostname%/userportal

• 変数 %hostname% は、元のリクエストを受信したサーバーの名前に置き換えられます。この例ではロードバランサーの DNS 名になります。必要であれば、この変数を特定のホスト名や IP アドレス（このゲートウェイや別のゲートウェイなど）に置き換えることもできます。（例: https://192.168.5.5/userportal）。この方法では、常時ウェブリクエストが指定のホストに転送され、ユーザーポータルがそこで開かれます。ホストをハードコーディングしてしまうことはあまり実用的ではありませんが、そうすることは可能です。

• userportal は定数で、ユーザーポータルログインページへのパスになります。

この例では次の URL が、ウェブブラウザーからユーザーポータルへのアクセスに使用される最終的な URL になります。

https://ras.msp.com/userportal

実際のところ、ユーザーは最初から上記 URL を使うことも可能ですが、リダイレクト機能のおかげで、URL 全体を入力しなくても、サーバーの DNS 名（またはローカルネットワーク上の FQDN/IP アドレス）を入力するだけでアクセスできます。

特定のユーザーポータルテーマを開く

ユーザーポータルのテーマは、ユーザーのグループに合わせてユーザーポータルのデザインや操作性をカスタマイズできる機能です。

デフォルトのウェブリクエスト URL では、デフォルトのテーマが開きます。特定のテーマを開くようにするには、URL 末尾にテーマ名を追加します。

https://%hostname%/userportal/?theme=<theme-name>

の <theme-name> をテーマの名前に置き換えます。かっこや引用符は不要です。

ユーザーが特定のテーマを開く場合、ウェブブラウザーに入力する URL にテーマ名を含める必要があります。ただし、この場合は次のように非常にシンプルなフォーマットになります。

https://<server-name>/<theme-name>

上述のロードバランサー DNS 名を例にすると、次のような URL になります。

https://ras.msp.com/Theme-E1

詳細については、「ユーザーポータルテーマ設定」 > 「URL」 を参照してください。

ユーザーポータルを開く

[ユーザーポータルを開く] ボタンは、指定されたゲートウェイアドレスを使用し、この特定のゲートウェイ上のユーザーポータルを新しいタブで開きます。このボタンを使用して、展開のテストを実行できます。

ウェブ Cookie

ウェブ Cookie フィールドは、セッションの Cookie 名の指定に使用します。RAS HTML5 セッションのパーシスタンスは、通常、ユーザーの IP アドレス（ソースアドレス指定）により設定されます。ソースアドレス指定が使用できない環境では（セキュリティポリシーで許可されない場合など）、セッション Cookie を使用して、クライアントとサーバーの間のパーシスタンスを維持できます。そのためには、パーシスタンスにセッションクッキーを使用できる負荷分散機能を設定する必要があります。デフォルトの Cookie 名は ASP.NET_SessionId です。

Amazon Web Services（AWS）など、サードパーティーのロードバランサーを使用している場合、専用の Cookie 名を指定する必要があります。AWS では、ロードバランサーは、クライアントからのリクエストを最初に受信すると、リクエストをターゲットにルーティングし、AWSALB という Cookie を生成します。これは、選択されたターゲットの情報をエンコードしたものです。ロードバランサーはこの Cookie を暗号化してクライアントへの応答に含めます。スティッキーセッションが有効になっている場合、ロードバランサーは同じターゲットが正しく登録され、正常な状態にあると想定し、クライアントから受信した Cookie を使用してトラフィックをそのターゲットにルーティングします。

RAS Connection Broker の管理タスクを実行するには、次の操作を実行します。

1. [インフラストラクチャ] > [Connection Broker] を選択します。

2. リストで Connection Broker を選択し、省略記号をクリックします。

3. メニューで、以下に説明するオプションのいずれかを選択します。

追加

**「セカンダリ Connection Broker を追加する」**を参照してください。

エージェントの更新、エージェントの無効化/有効化

Connection Broker を更新、無効化、または有効化します。

ログ

ロギングを構成するには、次のいずれかを選択します。

• 構成: ログを構成することができます。ログレベルの説明については、以下を参照してください。

• 取得: ログファイルを含む ZIP アーカイブを指定したロケーションに取得します。

• クリア: 既存のログをすべてクリアします。

利用可能なログレベルは以下の通りです。

• 標準: もっとも重要なイベントのみを記録する標準のログレベルです。後述のいずれかのログレベルを使用するように Parallels RAS サポートから指定された場合以外は、常にこのレベルを使用してください。

• 拡張: このログレベルでは、標準ロギングよりも多くの情報が取得されます。ただし、収集する必要のある情報が増加するため、システムの速度が低下します。

• 詳細: 詳細ロギングでは拡張ロギングよりも多くの情報が取得されるため、システムの速度が大幅に低下する可能性があります。

パフォーマンスの低下を回避するには、拡張ロギングと詳細ロギングを（分析のために必要な情報を収集する上で十分な）限定的な期間のみ有効にする必要があります。この期間は [後で標準レベルにリセット] オプションを使用して設定できます。デフォルト値は 12 時間です。場合によっては、Parallels サポートエンジニアが、この期間に別の値を設定するようにアドバイスします。この期間が終了すると、ログレベルがリセットされて標準に戻ります。

プライマリへの昇格

このオプションは、セカンダリ Connection Broker のみで有効になります。プライマリ Connection Broker に障害があり、復元できない場合、セカンダリ Connection Broker をプライマリに昇格できます。

優先順位を上げる/優先順位を下げる

このオプションは、セカンダリ Connection Broker のみで有効になります。各セカンダリ Connection Broker には優先順位が与えられます。優先順位を変更するには、[優先順位を上げる] または [優先順位を下げる] を選択します。Connection Broker が、メインリスト内で上下に移動します。リスト内で上に配置されている Agent ほど、優先順位が高くなります。

更新

現在のビューを更新します。

削除

ファームから Connection Broker を削除します。

RAS Connection Broker では、公開済みのアプリケーションおよびデスクトップのロードバランスが実行されます。RAS Connection Broker は、Parallels RAS のインストール先のサーバーに自動的にインストールされ、プライマリ Connection Broker として指定されます。プライマリ RAS Connection Broker は各サイトに必須ですが、セカンダリ Connection Broker も追加できます。セカンダリ Connection Broker の目的は、プライマリ RAS Connection Broker の障害のためにサービスが中断し、ユーザーに影響を及ぼすのを防ぐことです。

Let's Encrypt は、グローバルな認証局（CA）です。この組織は非営利団体であり、証明書の発行に費用は一切発生しません。各証明書の有効期限は 90 日間です。RAS Console では、Let's Encrypt の証明書の発行、自動更新、取り消しを行うことができます。

Let's Encrypt 証明書の発行

新しい Let's Encrypt 証明書を発行するには、次の手順を実行します。

1. [インフラストラクチャ] > [証明書] を選択します。

2. 省略記号のメニュー（[...] アイコン）をクリックし、**[Let's Encrypt 設定]**を選択します。

3. [Let's Encrypt EULA を読んで同意しました] オプションを選択します。

4. Lets Encrypt から通知を受領するメールアドレスを、[期限切れのメール] フィールドのリストで指定します。

5. オプションとして、[期限切れの前に自動的に証明書を更新] フィールドで、証明書が自動的に更新される時間を変更できます。

6. [インフラストラクチャ] > [証明書] に戻ります。

7. [...] メニューから [追加] > [Let's Encrypt 証明書を発行] を選択し、以下のオプションを指定します。

   • 名称: 証明書の名前です。

   • 説明: 証明書の説明です。

   • 使用方法: HALB または Secure Gateway を指定できます。

   • キーサイズ: キーサイズです。

   • 国コード: お住まいの国のコードです。

   • 都道府県: お住まいの都道府県です。

   • 市: お住まいの市区町村です。

   • 組織: 所属している組織の名前です。

   • 部門: 所属している組織の部署です。

   • メールアドレス: 所属組織のメールアドレスです。

   • コモンネーム: HALB または Secure Gateway の有効なドメイン名です。

   • 代替名: HALB または Secure Gateway の有効なドメイン名です。

8. [証明書を発行する] をクリックします。

Lets Encrypt 証明書を手動で更新する

Lets Encrypt 証明書を手動で更新するには、次の手順を実行します。

1. [インフラストラクチャ] > [証明書] を選択します。

2. 更新する証明書を選択します。

3. [...] メニューから、[コントロール] > [更新] を選択します。

Let's Encrypt 証明書を取り消す

Let's Encrypt 証明書を取り消すには、次の手順を実行します。

1. [インフラストラクチャ] > [証明書] を選択します。

2. 更新する証明書を選択します。

3. [...] メニューから、[コントロール] > [取り消し] を選択します。

Parallels Client の接続の暗号化

デフォルトで、暗号化される接続のタイプは、Gateway とバックエンドサーバーの間の接続だけです。Parallels Client と Gateway の間の接続を暗号化するには、クライアント側でも接続プロパティを構成する必要があります。これを行うには、Parallels Client で、接続プロパティを開き、接続モードを [ゲートウェイ SSL] に設定します。

Parallels Client の構成を簡素化するために、サードパーティーの信頼できる認証局またはエンタープライズ認証局（CA）のいずれかによって発行された証明書を使用することをお勧めします。エンタープライズ CA 証明書が使用されている場合、Windows クライアントは Active Directory からルートまたは中間エンタープライズ CA 証明書を受け取ります。他のプラットフォームのクライアントデバイスには、手動で設定する必要があります。既知の信頼できる認証局によって発行された第三者証明書が使用される場合、クライアントデバイスは、そのプラットフォームに対し、信頼できる認証局の更新を信頼して使用します。

Parallels Client の構成

証明書が自己署名されている場合、またはエンタープライズ CA によって発行された証明書の場合、Parallels Client は以下のように構成する必要があります。

1. Base-64 でエンコードされた X.509（.CER）形式で証明書をエクスポートします。

2. メモ帳やワードパッドなどのテキストエディターでエクスポートした証明書を開き、内容をクリップボードにコピーします。

クライアント側で信頼できる認証局のリストを含む証明書を追加し、Parallels Client が組織の認証局から発行された証明書と SSL で接続できるようにするには､次の操作を実行します。

1. クライアント側のディレクトリ”C:\Program Files\Parallels\Remote Application Server Client\”に、trusted.pem というファイルが存在している必要があります。このファイルには、共通の信頼できる認証局の証明書が含まれています。

2. エクスポートされた証明書の内容を貼り付けます（他の証明書のリストに添付されています）。

RDP-UDP 接続の保護

通常、Parallels Client は RAS Secure Gateway と TCP 接続経由で通信します。最近の Windows クライアントでも、UDP 接続を使用して WAN のパフォーマンスを向上することができます。UDP 接続を SSL で保護するには、DTLS を使用する必要があります。

RAS Secure Gateway で DTLS を使用するには、次の操作を実行します。

1. [SSL/TLS] カテゴリーで、[ポートで SSL 有効化] オプションが選択されていることを確認します。

2. [ネットワーク] カテゴリーで、[RDP UDP データトンネリングを有効化] オプションが選択されていることを確認します。

Parallels Client は、[Gateway SSL モード] を使用するよう構成する必要があります。このオプションは、クライアント側の [接続設定] > [接続モード] ドロップダウンリストで設定できます。

上記オプションが適切に設定されると、TCP および UDP 接続が SSL 上でトンネリングされます。

SSL サーバー構成

RAS Secure Gateway を構成して、SSL 暗号化を使用するには、発生する可能性のあるトラップやセキュリティの問題を回避するために SSL サーバーの構成方法に注意する必要があります。具体的には、次の SSL コンポーネントをレーティングし、構成が適切であるかどうかを特定する必要があります。

• 有効で信頼できる証明書。

• プロトコル、鍵の交換、暗号がサポートされている必要があります。

SSL について特定の知識がない場合、査定を行うのは困難かもしれません。Qualys SSL Labs の SSL Server Test の使用をお勧めするのはそのためです。これは、公衆インターネットで SSL ウェブサーバーの構成の分析を実行する無料のオンラインサービスです。RAS Secure Gateway でテストを実行するには、公衆インターネットにそれを一時的に移動する必要が生じる場合があります。

プロバイダーは、仮想マシンを仮想デスクトップとして使用するために RAS ファームに追加できるハイパーバイザーまたはクラウドベースの仮想化ソリューションです。

なおこの記事の執筆時点では、RAS 管理ポータルで使用可能なプロバイダー機能は、利用可能なプロバイダー、ホスト、およびアクティブなセッションの表示に限定されています。その他のプロバイダー関連タスクを実行する場合、デスクトップベースの Parallels RAS Console をご利用ください。

プロバイダーのリスト

プロバイダーのリストを表示するには、[インフラストラクチャ] > [プロバイダー] に移動します。

[プロバイダー] テーブルで列を追加または削除するには、歯車のアイコンをクリックして、必要な列を選択またはクリアします。

タスクを実行するには、リストでプロバイダーを選択し、省略記号のメニューから次のいずれかを選択します。

• ホステッド VDI デスクトップを表示: を開き、フィルターを適用してこのプロバイダーに属するデスクトップのみを表示します。

• アクティブなセッションの表示: を開き、フィルターを適用してこのプロバイダーに属するセッションのみを表示します。

冗長性を確保するためにセカンダリ Connection Broker がサイトに追加されます。これにより、プライマリ Connection Broker に障害が発生しても、セカンダリ Connection Broker がリクエストを処理できるようになります。Connection Broker は、高可用性を確保するために、アクティブ/アクティブ構成で動作します。Connection Broker に障害が発生しても、負荷に対応可能な予備の Agent が常に待機しています。一般的に、N+1 の冗長構成をサイトごとに使用する必要があります。自動昇格に 3 つを超える Connection Broker を設定することはできません（自動昇格は本セクションで後ほど説明します）。

セカンダリ Connection Broker を 1 つ以上インストールしておけば、ランタイムデータが各 Agent に複製され、サービスに障害が発生した場合にもダウンタイムを最小限に抑えられます。さらに、いずれかのアクティブな Connection Broker が、AD および使用される二要素認証プロバイダーの両方の認証に使用されます。

プライマリ Connection Broker はセカンダリ Connection Broker と同じタスクを実行しますが、それ以外の役割も担います。つまり、単一の Connection Broker による管理が必要な特定のプロセスを管理します。次の表は、プライマリ Connection Broker とセカンダリ Connection Broker によって管理されるプロセスのリストです。

複数の Connection Broker の間で負荷分散がどのように機能するかを示すために、次の例を考えてみましょう。

• Connection Broker が 2 つあるとします。その内訳は、PA1（プライマリ）と PA2（セカンダリ）です。

• また、RD セッションホストが 10 台あるとします。RDS1、RDS2 ...RDS10 です。

発生する負荷は次のように分散されます。

• RDS1 から RDS5 は、PA1 を優先 Connection Broker として使用します。

• RDS6 から RDS10 は、PA2 を優先 Connection Broker として使用します。

セカンダリ Connection Broker のプランニング

同じサイトで実行されている RAS Connection Broker は、相互に通信し、負荷を分担します。1 つの Agent から別の Agent に伝送されるデータ量は膨大なため、信頼性の高い高速通信チャネルが求められます（例: Connection Broker の通信用にサブネットワークを構成できます）。

セカンダリ Connection Broker をサイトに追加して、その IP アドレスを指定します。すべての Agent の IP アドレスが、必ず同じネットワークセグメントに属するようにします。Connection Broker が相互の通信に使用するポートは、TCP 20030 です。

サイトに追加できる Connection Broker の数に物理的制限はありません。ただし、最も優れた結果が得られるのはエージェント数が 2〜3 のときです。特に、プロバイダーが存在し、VDI の高可用性を有効にしたい場合は、エージェント数を 3 個にするシナリオを強くお勧めします。2〜3 を超える数のセカンダリ Connection Broker をサイトに追加すると、逆の効果が生じ、実際にはシステムのパフォーマンスが低下する可能性があります。ただし、これはスタンバイモードのセカンダリ Connection Broker には当てはまりません。スタンバイモードのセカンダリ Connection Broker については、**「RAS Connection Broker の構成」**で説明されています。

RAS Connection Broker をサイトに追加する

セカンダリ Connection Broker を追加するには、次の操作を実行します。

1. [インフラストラクチャ] > [Connection Broker] を選択します。

2. 省略記号のメニューから [追加] を選択します（またはプラス記号のアイコンをクリックします）。[新規を追加] ウィザードが開きます。

3. [ホスト] ページで、以下を指定します。

   • ホスト名: RAS Connection Broker をホストするホストの FDQN です。ホストの IP アドレスを自動的に取得するには、[IP の解決] をクリックします。

   • IP アドレス: ホストの IP アドレスホストの FQDN を自動的に取得するには、[名前解決] をクリックします。

4. [Agent 設定] ページで、以下を指定します。

   • 代替 IP アドレス: 1 つまたは複数の代替 IP アドレスをセミコロンで区切って指定します。これらのアドレスは、RAS Secure Gateway が、FQDN または前のページで指定されたアドレスを使用して RAS Connection Broker に接続できなかった場合に使用されます。これは、Active Directory に参加していない別のネットワークから Gateway が接続している場合などに起こる可能性があります。

   • 説明: 説明を追加します（オプション）。

   • ファイアウォールルールを有効にする: ホストでファイアウォールを自動的に設定する場合に選択します。

   • 必要な場合にホストを再起動: インストール後にホストの再起動が必要な場合、自動的に再起動します。

   • Connection Broker を使って Secure Gateway をイントール: 指定したホストに RAS Secure Gateway もインストールする場合は、このオプションを選択します。このオプションを選択している場合、[HTML5 Gateway を有効化] オプションを選択して、Gateway でユーザーポータルを自動的に有効にすることもできます。

5. [概要] ページで、設定を確認し、[作成] をクリックします。

この時点から、画面上の指示に従って Connection Broker をファームに追加します。

追加情報:

[サイトのデフォルト値] カテゴリーでは、さまざまな RAS コンポーネントおよびサービスのデフォルト設定を構成できます。この記事の執筆時点では、以下の項目についてサイトのデフォルト値を構成できます。

• 公開 - を参照してください。

• Gateway - を参照してください。

• RD セッションホストとホストプール - を参照してください。

• 多要素認証 - を参照してください。

RAS ファームにコンポーネントを追加するとき、またはリソースを公開するとき、サイトのデフォルト値が使用されるので、毎回値を手動で入力する必要はありません。必要に応じて、独自の値でデフォルト値を簡単に上書きできます。

サイトのデフォルト値を表示するには、利用可能なカテゴリーのいずれかをクリックします。デフォルトの設定を変更するには、サイトのデフォルト値ビューで [編集] をクリックします。