リモートデスクトップのセットアップ

リモートデスクトップの許可

以前、Fortigateのリモートデスクトップの設定方法を記載しましたので、今回は、Windowsでのリモートデスクトップの設定方法を記載します。

Windows7 Professional,Ultimate,Enterpreiseには標準で「リモートデスクトップ」がついています。以下にリモートデスクトップのWindowsの設定方法を記載していきたいと思います。

1. Windows7のスタート画面から「コンピュータ」を右クリック、プロパティをクリックします。

2. 左のコントロールパネルから「システムの詳細設定」をクリック

3. 「システムのプロパティ」の「リモートタブ」をクリック

4. 「このコンピュータへのリモートアシスタント接続を許可する」にチェックを入れる

5. 「リモートデスクトップを実行しているコンピュータからの接続を許可する」にチェックを入れる

6. 最後にOKをクリックすれば、ホストコンピュータの設定は終わりです。

ユーザーアカウントの設定

リモートデスクトップはWindows OSの「ユーザーアカウント」でログオンしますので、既存の「管理者権限」のユーザーアカウントをそのまま利用したい場合には、特に設定を行う必要はありませんが、標準(制限)ユーザーには別途設定が必要となります。

1. 先ほどのシステムのプロパティの「ユーザーの選択」をクリックします。

2. 「リモートデスクトップユーザー」ダイアログで「追加」ボタンをクリックします。

3. 「ユーザーの選択」ダイアログで詳細設定をクリック

4. 「検索」ボタンをクリックします。

5. 検索結果から接続を許可する標準(制限)ユーザーを選択

6. OKボタンをクリックします。

7. 再び「ユーザーの選択」ダイアログに戻りますので、許可するユーザー名を確認してOKをクリックして下さい。

※尚、接続許可したいユーザーがいない場合は、ユーザーアカウントの作成から行って下さい。

ポート番号変更の必要性

「リモートデスクトップ」が利用する標準のポート番号は「ボート3389番」です。ローカルエリアでしか「リモートデスクトップ」を利用しないのなら、ポート番号を変更する必要はありません。

しかし、「リモートデスクトップ」をインターネット経由で利用したいと考えた場合は、必ず標準のポート番号を変更して下さい。標準のポートのままでは、リモートデスクトップホストの存在を知っている者は簡単に、ログオンの画面までたどり着くことができます。

実際のログオンはユーザー名とパスワードが必要ですが、世界中の不特定多数の人が「ログオンの手前」まで容易にたどり着ける状態は、セキュリティの面で好ましくありません。

ポート番号の変更方法

「リモートデスクトップ」のポート番号は、基本設定では変更できません。コンピューターのレジストリを変更する必要があります。レジストリの変更には「レジストリエディタ」を利用します。

尚、実際に変更するポート番号は、他のネットワークで利用するポート番号と重複しないようにして下さい。

※レジストリ操作について

レジストリを不用意に操作したり設定を誤ったりすると、最悪の場合Windowsが起動しなくなったりする可能性がありますので、この点を十分に理解し、リスクを承知した上で以下の設定操作を行って下さい。

1. 「スタート」メニューの「プログラムとファイルの検索」ボックスに「REGEDIT」と入力し、Enterキーを押して下さい。

2. 「レジストリエディタ」が起動したら、左ペインのツリーから「HKEY_LOCAL_MACHINE¥SYSTEM¥CurrentControlSet¥Control¥Terminal Server¥WinStations¥RDP-Tcp」と展開していきます。

3. 右ペインの「PortNumber」をダブルクリックします。

4.「表記」欄で、「10進」を選択し、「値のデータ」に任意のポート番号を入力します。ポート番号は0~1023迄は標準化されていますので、1024~65535の間で選択して下さい。

5. 設定を変更したらWindowsを再起動します。

6. 再起動後、コントロールパネルから「Windowsファイアウォール」を選択します。

7. 詳細設定をクリックします。

8. 左ペインの受信の規則をクリックします。

9. 右ペイン(操作)の新しい規則をクリックします。

10. 「新規の受信規則の規則ウィザード」ダイアログでポートを選択し、次へをクリックします。

11. TCPにチェック

12. 特定のローカルポートにチェック

13. 新しく作成するポート番号(先程作成したポート番号)を入力します。

14. 次へをクリックします。

15. 接続を許可するを選択して、次へをクリックします。

16. 「この接続はいつ適用しますか?」のダイアログで全てチェックがついているのを確認して次へをクリックします。

17. 「名前」は自分でわかるように適宜に付けて下さい(例:リモートデスクトップ用)。

18. 完了ボタンをクリックすれば指定したポート番号による通信が許可されます。

タグ

リモートデスクトップとは

リモートコントロール

リモートデスクトップの設定方法を記載してきましたが、基本に立ち戻って「リモートデスクトップとは何?」というところから書いていきたいと思います。

パソコンから他のパソコンを操作できるのを「リモートコントロール」と言います。リモートコントロールは、コントロールされる側を「ホスト」、コントロールする側を「クライアント」と言います。

この「リモートコントロール」の中で、Windows OSに標準機能としてついているのが、「リモートデスクトップ」です。但し、これは利用できるWindows OS(Professionnal以上)が限られていますので、フリーウェアの「Real VNC」を利用する方法もあります。「Real VNC」を利用したリモートコントロールでは、Windows OSを選ばず動作させることができます。「Real VNC」についてはそのうち利用する機会があれば書いていきたいと思います。「Real VNC」を利用したい方は、こちらのサイトからどうぞ。

リモートコントロールのメリットとデメリット

「リモートデスクトップ」はリモートコントロール機能としていくつもの優れた機能を持ちますが、最大のメリットはレスポンスの良さです。プログラムそのもの(描画エンジン)が優れているほか、Windows OSの標準機能なので親和性が高いといえます。

また、「リモートデスクトップ」はWindows OS設定の「ユーザーアカウント」と完全に連動しますので、ホストコンピューターにログオンするのと同様の感覚で、リモートコントロールができますし、接続ユーザーがあらかじめデスクトップ装飾や解像度設定を行うことができます。

リモートコントロールはローカルエリア内では優れた機能ですが、社内サーバーなどに外部から接続する「遠隔リモートコントロール」では、セキュリティの面でかなりのデメリットを含んでいることを認識して下さい。たとえば、ルーター設定画面にアクセスすることも可能ですし、他のパソコンの共有フォルダにアクセスすることも可能です。

そのため、以前書いたようにリモートデスクトップの接続ポートは変更するようにして下さい。又、接続ポートの番号もパスワードをきちんと管理できる者にのみ教えるようにして下さい。

リモートデスクトップの接続

さて、リモートデスクトップが理解できたところで、リモートデスクトップの接続方法を説明したいと思います。

1. 「スタート」メニューから「すべてのプログラム」 → 「アクセサリ」 → 「リモートデスクトップ接続」と選択します。

2. 「リモートデスクトップ接続」ダイアログのコンピューター名のところにローカルエリア内で使用する場合は、「【ホストのコンピュータ名】:【ポート番号】」と入力します。レジストリでポート番号を変更していない場合は、:(コロン)から先は省略して構いません。

3. ログオン画面が出ますので、ユーザー名とパスワードを入力します。

4. リモートデスクトップ接続が実現します。

ホストで別のユーザーがログオンしている場合

別のユーザーが既にログオンしている場合は、クライアント側ではまず接続を続行するかどうかの警告画面が表示されます。続行する場合は「はい」ボタンをクリックします。

この時、ホスト側でも「切り替えてよいか」の警告が表示されます。ホスト側の接続を許可するか、そのまま放置しているとクライアントから「デスクトップ接続を行うことができるようになります。

リモートデスクトップの操作

Windows OSの操作は通常のデスクトップと同様ですが、ホストが「フルウィンドウ表示」の場合、デスクトップの上部にマウスを近づけるととコンピュータ名を表示したタイトルバーが表示されます。

ホストパソコンの電源操作

「リモートデスクトップ」では、「電源操作」を行うことができません。これは、「クライアントから勝手にパソコンをシャットダウンしてしまうと困ることが起こるので、制限をかけています。しかし、この状態でも「SHUTDOWN」コマンドは有効ですので、コマンドプロンプトから「SHUTDOWN」コマンドによる電源操作は可能です。

リモートデスクトップの終了

「リモートデスクトップ」を終了する場合は、「切断」と「ログオフ」の二つの方法があります。

「切断」は「スタート」メニューの「切断」ボタンをクリックするか、ウィンドウの閉じるボタンをクリックします。「ログオフ」は「スタート」メニューの「ログオフ」をクリックします。

「切断」と「ログオフ」の違いはクライアントユーザーの状態を保持するかどうかの違いがあります。「切断」はクライアントの状態を保持しますので、セキュリティの面を考えると「ログオフ」が好ましいと思います。

インターネット経由でのリモートデスクトップ接続

ローカルエリアでリモートデスクトップ接続するには「ホストのコンピュータ名」を指定しましたが、インターネット経由でリモートデスクトップホストに接続するには「【ドメイン名(又は、グローバルIPアドレス)】:【ポート番号】」と言う形で指定します。


グローバル固定IPを取得していない場合は、ダイナミックDNSで遠隔アクセスドメインを取得して利用する方法もあります。
遠隔アクセスドメインの取得方法はいずれ書きたいと思います。

※尚、インターネット経由での「リモートデスクトップ」の操作は絶対に他人のコンピュータ(ましてやネットカフェ)では行わないようにして下さい。リモートデスクトップ接続は、履歴が残りますので、一度ログオンすると「パスワード」のみで簡単に接続できてしまいます。又、最悪の場合、オプションの「資格情報を保存できるようにする」にチェックが入っていたりすると、パスワードも無しでアクセスすることができます。

タグ

リモートデスクトップでサーバーをリモートからシャットダウンする方法

Windows7では、リモートデスクトップ接続画面のスタートメニューからは、サーバーをシャットダウンできないように設定されています。

セキュリティの面からこういう仕様になっていると思うのですが、コマンドプロンプトで指定すれば簡単にシャットダウンすることができます。

本当にセキュリティの面からこういう仕様になっているのなら、コマンドプロンプトでもシャットダウンできないようにするのが本当だと思うのですが、その辺の開発者の意図はわかりません。

この投稿の続きを読む »

タグ

このページの先頭へ