この記事では、ドメイン、フォレスト、または作業グループ間でリモート デスクトップ (RD) ライセンスを設定する場合のサポート可能性 (または推奨されるアプローチ) に関する質問について説明します。
元の KB 番号: 2473823
注意
Windows Server 2008 R2 では、ターミナル サービスの名前がリモート デスクトップ サービス (RDS) に変更されます。
質問
RD ライセンス サーバーは、次のいずれかの条件で RD セッション ホスト (ターミナル サーバー) サーバーに接続しているユーザーまたはデバイスにクライアント アクセス ライセンス (CAL) を発行できますか?
- RD セッション ホスト サーバーはActive Directory ドメインにあり、RD ライセンス サーバーは作業グループ環境にあります。
- RD セッション ホスト サーバーは作業グループ内にあり、RD ライセンス サーバーはActive Directory ドメイン内にあります。
- RD セッション ホスト サーバーと RD ライセンス サーバーは、別のフォレストにあります。 これらのフォレスト間には信頼関係(一方向または双方向の信頼関係)は存在しません。
- RD セッション ホスト サーバーと RD ライセンス サーバーは、同じ作業グループ内にあります。
答え
デバイスごとの CAL とユーザーごとの CAL の発行の両方を機能させるには、次の 3 つの構成のいずれかで RD セッション ホストと RD ライセンス サーバーを使用します。
- 両方とも同じ作業グループ内
- 同じドメイン内の両方
- 信頼された (双方向の信頼) の Active Directory ドメインまたはフォレスト内の両方で
これらのシナリオの詳細を次に示します。
RD セッション ホストと RD ライセンス サーバーが同じ作業グループ内にある
作業グループ環境で RDS および RD ライセンス サーバーを構成する際には、次の点を考慮してください。
- ワーク グループ環境では、デバイスごとの CAL のみを使用できます。 そのため、RD ライセンス サーバーにはデバイスごとの CAL のみをインストールする必要があります。
- ユーザーごとの CAL の追跡とレポートは、作業グループ モードではサポートされていません。
- RD セッション ホストと RD ライセンス サーバーの役割の両方を同じサーバーにインストールできます。
- RD ライセンス サーバーを作業グループ内の別のサーバーにインストールする場合は、RDS サーバーが RD ライセンス サーバーにアクセスできることを確認します。
Windows 2008 R2 では、RD セッション ホスト サーバーでライセンス サーバーの自動検出がサポートされなくなりました。 リモート デスクトップ セッション ホスト構成スナップインを使用して使用する RD セッション ホスト サーバーのライセンス サーバーの名前を指定する必要があります。 詳細については、「 使用する RD セッション ホスト サーバーのライセンス サーバーを指定するを参照してください。
RD セッション ホストと RD ライセンス サーバーが同じドメイン内にある
Active Directory ドメイン のシナリオでは、同じサーバーまたは異なるサーバーに RD セッション ホストと RD ライセンス サーバーを配置できます。 ドメイン シナリオで RDS 環境を構成する際には、次の点を考慮してください。
RD ライセンス サーバーには、(デバイスごととユーザー単位の) CAL の両方をインストールできます。
ライセンス サーバーのコンピューター アカウントは、AD DS のターミナル サーバー ライセンス サーバー グループのメンバーである必要があります。 ライセンス サーバーがドメイン コントローラーにインストールされている場合、ネットワーク サービス アカウントもターミナル サーバー ライセンス サーバー グループのメンバーである必要があります。
RDS CAL の発行を制限するには、RD ライセンス サーバーのターミナル サーバー コンピューター グループに RD セッション ホスト サーバーを追加し、RD ライセンス サーバーのライセンス サーバー セキュリティ グループ ポリシー設定を有効にします。
ライセンス サーバーのセキュリティ グループ ポリシー設定は、コンピューターの構成\ポリシー\管理用テンプレート\Windows コンポーネント\リモート \RD ライセンスにあり、ローカル グループ ポリシー エディターまたはグループ コンソール (GPMC) を使用して構成できます。
RD セッション ホスト サーバーが 1 つのドメイン/フォレストにあり、RD ライセンス サーバーが別のドメイン/フォレストにある
この種のシナリオでは、次の点を考慮する必要があります。
これらのドメイン/フォレスト間には双方向の信頼が必要です。 フォレスト トラストまたは外部トラストのいずれかを指定できます。
必要なすべてのポートをファイアウォールで開く必要があります。 開く必要があるポートについて不明な点がある場合は、「 Service overview and network port requirements for Windows」を参照してください。
RDS Per User CAL を他のドメインのユーザーに発行するには、ドメイン間に双方向の信頼が必要です。ライセンス サーバーは、それらのドメインのターミナル サーバー ライセンス サーバー グループのメンバーである必要があります。
RDS CAL の発行を制限するには、RD セッション ホスト サーバーを RD ライセンス サーバーのターミナル サーバー コンピューター グループに追加します。
各ドメイン/フォレスト内のすべての RD セッション ホスト サーバーで RD ライセンス サーバーを構成します。 これを行うには、グループ ポリシーを使用します。
RD ライセンス サーバーのローカル管理者に、各ドメイン/フォレストの管理者グループを追加します。 これにより、信頼されたドメイン/フォレストで RD セッション ホスト構成スナップインを開くときに、資格情報の入力を求めるプロンプトは表示されません。
データ収集
Microsoft サポートからのサポートが必要な場合は、ユーザー エクスペリエンスの問題に TSS を使用して、 Gather 情報に記載されている手順に従って情報を収集することをお勧めします。