- 記事
- 09/24/2021
- 16 読むべき分
-
- D
- v
- s
この資料では、エンタープライズ環境でのターミナルサービスセッションの確立に影響する最も一般的な設定を理解するのに役立ちます。
適用対象:Windows Server2003
元のKB番号:2477023
ターミナルサーバー
ターミナルサーバーは、Windowsベースのプログラムまたはターミナルサービスクライアント用の完全なWindowsデスクトップをホ ユーザーはターミナルサーバーに接続して、プログラムの実行、ファイルの保存、およびそのサーバー上のネットワークリソースの使用を行うことができます。 ユーザーは、企業ネットワーク内またはインターネットからターミナルサーバーにアクセスできます。
管理目的のリモート接続
ターミナルサービスは、コンピュータへの二つの同時リモート接続をサポートしています。 これらの接続にはターミナルサービスクライアントアクセスライセンス(TS Cal)は必要ありません。
複数の管理接続または複数のユーザー接続を許可するには、ターミナルサービスの役割をインストールし、適切なTS Calを持っている必要があります。
ターミナルサービスセッションの確立のトラブルシューティング
次のセクションでは、発生する可能性のある問題について説明し、解決策を提供します。
ターミナルサービスセッションに同時に接続できるユーザーの数が制限される可能性があります
RDP接続の数が制限されているのは、ターミナルサービス デフォルトでは、接続は無制限の数のセッションがサーバーに接続できるように構成されています。 リモートデスクトップ接続(RDC)を作成しようとすると、次のエラーが表示されます:
リモートデスクトップが切断されました。
このコンピュータはリモートコンピュータに接続できません。
もう一度接続してみてください。 問題が解決しない場合は、リモートコンピュータの所有者またはネットワーク管理者に連絡してください。
リモートデスクトップが有効になっていることを確認
- システムツールを起動します。 システムツールを起動するには、スタート>コントロールパネル>システムアイコンをクリックし、OKをクリックします。
- リモートタブをクリックします。 [リモートデスクトップ]で、[このコンピューターでリモートデスクトップを有効にする]チェックボックスをクリックします。
ターミナルサービスの接続数の制限を確認するポリシー
- グループポリシースナップインを開始し、ローカルセキュリティポリシーまたは適切なグルー
- 有効をクリックします。
- “TS最大接続許可”ボックスに、許可する接続の最大数を入力し、”OK”をクリックします。
ターミナルサービスRDP-Tcpプロパティを確認し、ターミナルサービス構成を介して設定
- スタートをクリックし、コントロールパネルをクリックし、管理ツールをダ
- コンソールツリーで、”接続”をクリックします。
- 詳細ペインで、最大セッション数を指定する接続を右クリックし、[プロパティ]をクリックします。
- [ネットワークアダプター]タブで、[最大接続数]をクリックし、サーバーに接続できるセッションの最大数を入力し、[適用]をクリックします。
ターミナルServicesLogon権限の確認とリモートデスクトップユーザーグループの構成
ターミナルサーバー上のリモートデスクトップユーザーグループは、ユーザーとグループにターミナルサー
次の方法で、ユーザーとグループをリモートデスクトップユーザーグループに追加できます:
- ローカルユーザーとグループスナップイン
- RDセッションホストサーバーのシステムプロパティダイアログボックスのリモートタブで
- Active Directoryユーザーとコンピューターミナルサーバーのシステムプロパティダイアログボックス。
この手順を実行するには、構成する予定のターミナルサーバー上のローカルAdministratorsグループ、またはそれと同等のメンバーシップが最低限必要です。
リモートタブを使用して、ユーザーとグループをリモートデスクトップユーザーグループに追加します。
- システムツールを起動します。 システムツールを起動するには、スタート>コントロールパネル>システムアイコンをクリックし、OKをクリックします。
- システムプロパティダイアログボックスのリモートタブで、リモートユーザーの選択をクリックします。 ターミナルサーバーに接続する必要があるユーザーまたはグループを追加します。 追加したユーザーとグループは、リモートデスクトップユーザーグループに追加されます。
[リモート]タブで[ユーザーにこのコンピューターへのリモート接続を許可]を選択しないと、ユーザーがリモートデスクトップユーザーグループのメンバーであっても、このコンピ
ローカルユーザーとグループスナップインを使用して、リモートデスクトップユーザーグループにユーザーとグループを追加
- スタート>管理ツールをクリックし、コンピュー
- コンソールツリーで、”ローカルユーザーとグループ”ノードをクリックします。
- 詳細ペインで、Groupsフォルダをダブルクリックします。
- [リモートデスクトップユーザー]をダブルクリックし、[追加]をクリックします。
- ユーザーの選択ダイアログボックスで、場所をクリックして検索場所を指定します。
- オブジェクトタイプをクリックして、検索するオブジェクトのタイプを指定します。
- 選択するオブジェクト名を入力します(例)ボックスに追加する名前を入力します。
- 名前の確認をクリックします。
- 名前が見つかったら、OKをクリックします。
注
- スリープ状態または休止状態のコンピュータには接続できないため、リモートコンピュータのスリープと休止状態の設定がNeverに設定されていることを確認 (休止状態は、すべてのコンピュータで使用できるわけではありません。)これらの変更の詳細については、”電源プラン(スキーム)の変更、作成、または削除”を参照してください。
- ローカルのAdministratorsグループのメンバーは、リストされていなくても接続できます。
ポート割り当ての競合がある可能性があります
この問題は、ターミナルサーバー上の別のアプリケーションがリモートデスクトッププロトコル(RDP)と同じTCPポートを使用していることを示している可能性があります。 RDPに割り当てられるデフォルトのポートは3389です。
この問題を解決するには、どのアプリケーションがRDPと同じポートを使用しているかを確認します。 そのアプリケーションのポート割り当てを変更できない場合は、レジストリを編集してRDPに割り当てられているポートを変更します。 レジストリを編集した後、ターミナルサービスサービスを再起動する必要があります。 ターミナルサービスサービスを再起動した後、RDPポートが正しく変更されたことを確認する必要があります。
ターミナルサーバーリスナーの可用性
リスナーコンポーネントはターミナルサーバー上で実行され、新しいリモートデスクトッププロトコル(RDP)クライアント接続をリッスンして受け入れることを担当し、ユーザーがターミナルサーバー上で新しいリモートセッションを確立できるようにします。 ターミナルサーバー上に存在する各ターミナルサービス接続のリスナーがあります。 接続は、ターミナルサービス構成ツールを使用して作成および構成できます。
これらのタスクを実行するには、以下のセクションを参照してください。
どのアプリケーションがRDPと同じポートを使用しているかを判断する
netstatツールを実行して、ポート3389(または割り当てられたRDPポート)がターミナルサーバー上の別
- ターミナルサーバーで、”開始”をクリックし、”実行”をクリックし、”cmd”と入力し、”OK”をクリックします。
- コマンドプロンプトで
netstat -a -o
と入力し、ENTERキーを押します。 - ステータスがListeningのTCPポート3389(または割り当てられたRDPポート)のエントリを探します。 これは、別のアプリケーションがこのポートを使用していることを示します。 そのポートを使用するプロセスまたはサービスのPID(プロセス識別子)が[PID]列の下に表示されます。
どのアプリケーションがポート3389(または割り当てられたRDPポート)を使用しているかを確認するには、tasklistコマンドラインツールとnetstatツールのPID情報を使用し
- ターミナルサーバーで、”開始”をクリックし、”実行”をクリックし、”cmd”と入力し、”OK”をクリックします。
tasklist /svc
と入力し、ENTERキーを押します。- ポートに関連付けられているPID番号のエントリを探します(netstat出力から)。 そのPIDに関連付けられたサービスまたはプロセスが右側に表示されます。
RDPに割り当てられたポートを変更する
このアプリケーションが別のポートを使用できるかどうかを判断する必要があります。 アプリケーションのポートを変更できない場合は、RDPに割り当てられているポートを変更する必要があります。
重要
マイクロソフトは、RDPに割り当てられたポートを変更することはお勧めしません。
RDPに割り当てられているポートを変更する必要がある場合は、レジストリを編集する必要があります。
この手順を実行するには、ローカルのAdministratorsグループのメンバシップを持っているか、適切な権限が委任されている必要があります。
RDPに割り当てられたポートを変更するには、次の手順を実行します:
注意
レジストリを誤って編集すると、システムに深刻な損傷を与える可能性があります。 レジストリに変更を加える前に、大切なデータをバックアップする必要があります。
-
ターミナルサーバーで、レジストリエディタを開きます。 レジストリエディタを開くには、”開始”をクリックし、”実行”をクリックし、”regedit”と入力し、”OK”をクリックします。
-
次のレジストリサブキーを見つけてクリックします:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations
デフォルトの接続名はRDP-TCPです。 ターミナルサーバー上の特定の接続のポートを変更するには、WinStationsキーの下にある接続を選択します。
- 右ペインで、PortNumberレジストリエントリをダブルクリックします。
- Rdpに割り当てるポート番号を[値データ]ボックスに入力します。 PortNumberは16進値として入力されます。
- OKをクリックして変更を保存し、レジストリエディタを閉じます。
- ターミナルサーバーを再起動します。
RDPポートが変更されたことの確認
RDPポートの割り当てが変更されたことを確認するには、netstatツールを使用します。
- ターミナルサーバーで、”開始”をクリックし、”実行”をクリックし、”cmd”と入力し、”OK”をクリックします。
- コマンドプロンプトで
netstat -a
と入力し、ENTERキーを押します。 - RDPに割り当てたポート番号のエントリを探します。 ポートがリストに表示され、Listeningのステータスが表示されます。
リモートデスクトップ接続とターミナルサーバー Webクライアントは、デフォルトでポート3389を使用してターミナルサーバーに接続します。 ターミナルサーバーのRDPポートを変更する場合は、リモートデスクトップ接続とターミナルサーバー Webクライアントで使用されるポートを変更する必要があります。
ターミナルサーバー上のリスナーが正常に動作していることを確認します
注
RDP-TCPはデフォルトの接続名で、3389はデフォルトのRDPポートです。 ターミナルサーバー構成に固有の接続名とポート番号を使用します。
-
方法1:リモートデスクトップ接続などのRDPクライアントを使用して、ターミナルサーバーへのリモート接続を確立します。
-
方法2:Qwinstaツールを使用して、ターミナルサーバー上のリスナーの状態を表示します。
- ターミナルサーバーで、”開始”をクリックし、”実行”をクリックし、”cmd”と入力し、”OK”をクリックします。
- コマンドプロンプトで”qwinsta”と入力し、ENTERキーを押します。
- RDP-TCPセッション状態はListenである必要があります。
-
方法3:ターミナルサーバー上のリスナーの状態を表示するには、netstatツールを使用します。
- ターミナルサーバーで、”開始”をクリックし、”実行”をクリックし、”cmd”と入力し、”OK”をクリックします。
- コマンドプロンプトで
netstat -a
と入力し、ENTERキーを押します。 - TCPポート3389のエントリがListenされている必要があります。
-
方法4:telnetツールを使用して、ターミナルサーバーのRDPポートに接続します。
- 別のコンピューターから、”スタート”をクリックし、”実行”をクリックし、cmdと入力し、”OK”をクリックします。
- コマンドプロンプトで、
telnet <servername> 3389
と入力します。<servername>はターミナルサーバーの名前で、ENTERキーを押します。
telnetが成功すると、telnet画面とカーソルが表示されます。
telnetが成功しない場合、このエラーが表示されます:
servernameに接続します。..ポート3389でホストへの接続を開けませんでした:接続に失敗しました
Qwinsta、netstat、およびtelnetツールもWindows XPに含まれています。 また、Portqryなどの他のトラブルシューティングツールをダウンロードして使用することもできます。
認証と暗号化の設定が正しく構成されていない可能性があります
ターミナルサービスの構成を使用した認証と暗号化の構成
-
管理ツールで、ターミナルサービスの構成を開きます。
-
コンソールツリーで、”接続”をクリックします。
-
[詳細]ペインで、変更する接続を右クリックし、[プロパティ]をクリックします。
-
[全般]タブの[セキュリティ層]で、セキュリティ方法を選択します。 選択するセキュリティ方法によって、ターミナルサーバーがクライアントに対して認証されるかどうか、および使用できる暗号化のレベルが決まります。 次のセキュリティ方法から選択できます:
-
NEGOTIATEメソッドは、TLSがサポートされている場合、TLS1.0を使用してサーバーを認証します。 TLSがサポートされていない場合、サーバーは認証されません。
-
RDPセキュリティ層方式では、ネイティブのリモートデスクトッププロトコル暗号化を使用して、クライアントとサーバー間の通信を保護します。 この設定を選択した場合、サーバーは認証されません。
-
SSL方式では、サーバーを認証するためにTLS1.0を使用する必要があります。 TLSがサポートされていない場合、接続は失敗します。 この方法は、手順6で説明されているように、有効な証明書を選択した場合にのみ使用できます。
NegotiateまたはSSLを選択した場合、TLSが正常に機能するには、暗号化レベルもHighに設定するか、グループポリシーまたはターミナルサーバー構成を使用してFIPS準拠の暗号化 追加のサーバーとクライアントの構成要件も満たす必要があります。 TLS認証をサポートするようにターミナルサーバーを構成するための要件とタスクの詳細については、”認証と暗号化の構成”を参照してください。
-
-
[暗号化レベルEncryption level]で、目的のレベルをクリックします。 [Low]、[Client Compatible]、[High]、または[FIPS準拠]のいずれかを選択できます。 これらのレベルの詳細については、このトピックの最後にある”注意事項”を参照してください。
-
TLS1.0を使用してサーバーを認証するには、[証明書Certificate]で[参照Browse]をクリックし、[証明書の選択Select Certificate]をクリックしてから、使用する証明書をクリックします。 証明書はXである必要があります。対応する秘密キーを持つ509証明書。 証明書に対応する秘密キーがあるかどうかを確認する方法については、このトピックの最後にある”注意事項”を参照してください。
-
クライアントが既定のWindowsログオンダイアログボックスに資格情報を入力してターミナルサーバーにログオンするように指定するには、標準のWindowsログオ
注
- この手順を実行するには、ローカルコンピューターのAdministratorsグループのメンバーであるか、適切な権限が委任されている必要があります。 コンピューターがドメインに参加している場合は、Domain Adminsグループのメンバーがこの手順を実行できる場合があります。 セキュリティのベストプラクティスとして、Run Asを使用してこの手順を実行することを検討してください。
- ターミナルサービスの構成を開くには、スタートをクリックし、コントロールパネルをクリックし、管理ツールをダブルクリックし、ターミナルサービスの構成をダ
- グループポリシーで構成した暗号化レベルの設定は、ターミナルサービス構成ツールを使用して設定した構成よりも優先されます。 また、システム暗号化を有効にした場合: 暗号化、ハッシュ、および署名にFIPS準拠のアルゴリズムを使用するグループポリシー設定では、この設定はクライアント接続の暗号化レベルの設定グルー
- 暗号化レベルを変更すると、ユーザーが次回ログオンしたときに新しい暗号化レベルが有効になります。 1つのサーバーで複数のレベルの暗号化が必要な場合は、複数のネットワークアダプターをインストールし、各アダプターを個別に構成します。
- 証明書に対応する秘密キーがあることを確認するには、ターミナルサービスの構成で、証明書を表示する接続を右クリックし、[全般]タブをクリックし、[編集] [General]タブの下部に、この証明書に対応する秘密鍵が表示されます。 証明書スナップインを使用してこの情報を表示することもできます。
- FIPS準拠の設定(システム暗号化: グループポリシーの暗号化、ハッシュ、および署名設定にFIPS準拠のアルゴリズムを使用するか、ターミナルサーバー構成のFIPS準拠の設定を使用する)Microsoft暗号モジュー 詳細については、”Windows Server2003テクニカルリファレンスのターミナルサービス”を参照してください。
- 高設定は、強力な128ビット暗号化を使用して、クライアントからサーバーへ、およびサーバーからクライアントへ送信されるデータを暗号化します。
- Client Compatible設定は、クライアントとサーバーの間で送信されるデータを、クライアントがサポートする最大キー強度で暗号化します。
- 低設定は、56ビット暗号化を使用してクライアントからサーバーに送信されるデータを暗号化します。
ターミナルサーバー接続を完全に切断することはできません
ターミナルサーバークライアントがターミナルサーバーへの接続を失った後、ターミナルサーバー上のセッ クライアントが同じターミナルサーバーに再度ログインすると、新しいセッションが確立され、元のセッションがアクティブのままである可能性があり
この問題を回避するには、次の手順を実行します:
- スタートをクリックし、実行をクリックし、gpeditと入力します。mscをクリックし、[OK]をクリックします。
- コンピューターの構成を展開し、管理用テンプレートを展開し、Windowsコンポーネントを展開し、ターミナルサービスをクリッ
- 右ペインで、Keep-Alive Connectionsをダブルクリックします。
- “有効”をクリックし、”OK”をクリックします。
- グループポリシーオブジェクトエディタを閉じ、OKをクリックし、Active Directoryユーザーとコンピュータを終了します。
RDPサービスが現在ビジー状態
WINDOWS Server2003でSNP機能がオンになっていると、次の問題が発生する可能性があります:
現象
VPN接続を使用してサーバーに接続しようとすると、次のエラーメッセージが表示されます:
エラー800:接続を確立できません。
- サーバーへのリモートデスクトッププロトコル(RDP)接続を作成することはできません。
- ローカルエリアネットワーク上のコンピューターからサーバー上の共有に接続することはできません。
- クライアントコンピューターをドメインに参加させることはできません。
- Microsoft Outlookを実行しているコンピューターからExchangeサーバーに接続することはできません。
- Exchangeサーバーへの非アクティブなOutlook接続がクリーンアップされない可能性があります。
- ネットワークのパフォーマンスが低下します。
- Windows Vistaベースのコンピューターと通信すると、ネットワークパフォーマンスが低下することがあります。
- サーバーから送信FTP接続を作成することはできません。
- 動的ホスト構成プロトコル(DHCP)サーバーサービスがクラッシュします。
- ドメインにログオンするとパフォーマンスが低下します。
- Windows Small Business Server2003またはInternet Security and Acceleration(ISA)サーバーの背後にあるネットワークアドレス変換(NAT)クライアントでは、断続的な接続障害が発生します。
- 断続的なRPC通信障害が発生します。
- サーバーが応答を停止します。
- 非ページプールメモリでサーバーが不足しています
証明書が破損している可能性があります
ターミナルサービスクライアントは、ターミナルサーバーへのアク ターミナルサービスクライアントを使用してターミナルサーバーにログオンしている場合は、次のいずれかのエラーメッセージが表示されることがあります:
-
エラーメッセージ1
セキュリティエラーのため、クライアントはターミナルサーバーに接続できませんでした。 ネットワークにログオンしていることを確認したら、サーバーに再度接続してみてください。
-
エラーメッセージ2
リモートデスクトップが切断されました。 セキュリティエラーのため、クライアントはリモートコンピューターに接続できませんでした。 ネットワークにログオンしていることを確認してから、再度接続してみてください。
重要
このセクション、メソッド、またはタスクには、レジストリを変更する方法を示す手順が含まれています。 ただし、レジストリを誤って変更すると、重大な問題が発生する可能性があります。 したがって、これらの手順を慎重に実行することを確認します。 保護を強化するには、レジストリを変更する前にバックアップします。 その後、問題が発生した場合は、レジストリを復元できます。 レジストリをバックアップおよび復元する方法の詳細については、”Windowsでレジストリをバックアップおよび復元する方法”を参照してください。
この問題を解決するには、X509証明書レジストリキーをバックアップして削除し、コンピューターを再起動してから、ターミナルサービスライセンスサーバーを再 これを行うには、次の手順に従います。
注
各ターミナルサーバーで次の手順を実行します。
-
ターミナルサーバーレジストリが正常にバックアップされていることを確認します。
-
レジストリエディタを起動します。
-
次のレジストリサブキーを見つけてクリックします:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\
-
レジストリメニューで、レジストリファイルのエクスポー
-
“ファイル名”ボックスにexported-parametersと入力し、”保存”をクリックします。
注
将来このレジストリサブキーを復元する必要がある場合は、Exported-parametersをダブルクリックします。この手順で保存したregファイル。
-
Parametersレジストリサブキーの下で、次の各値を右クリックし、”削除”をクリックし、”はい”をクリックして削除を確認します:
- 証明書
- X509証明書
- X509証明書ID
-
レジストリエディタを終了し、サーバーを再起動します。
-
ライセンスウィザードの電話接続方法を使用して、ターミナルサービスのライセンスサーバーを再アクティブ化します。
-
Windows Serverを実行するターミナルサーバー上の接続数を制限する方法2003
-
一般的なリモートデスクトップエラーメッセージのトラブルシューティング
-
セキュリティエラーのため、クライアントはターミナルサーバーに接続できませんでした
この資料で問題の解決に役立たない場合、またはこの資料に記載されている症状とは異なる症状が発生した場合は、Microsoftサポートを検索してください。 次に、表示されるエラーメッセージのテキストを入力するか、[サポートの検索(KB)]ボックスに問題の説明を入力します。