19-6. パソコン制御とシンクライアント (1) パソコンのログオンと安全性 * Windows パソコンのログオン Windows パソコンのログオンについて一度ちゃんと調べておかないとまずい。Windows パ ソコンでは、マシンの起動時とマシンをロックして解除する際のユ−ザ認証のことをいう。 UNIX系のマシンなど Windows 以外はログインと言っている。 自分としては "ロッグ イン" と 'ッ' を入れたいところだが、まあ "ログイン" と呼ぶことにしようか。ログイ ンは Windows パソコンでは、プログラム(アプリケ−ションともいう) を利用する際のユ −ザ認証のことをいう。UNIX系のマシンの起動の仕組みは分かる。でも Windowsパソ コンの起動の仕組みはそう簡単には分からない。仕組みを解説しているのは普通には目に することはない。レジストリをいじるとか、いきなりディ−プな世界の話になってしまう。 * パソコンのログオン管理 以下、特に断わりのない限り Windows パソコン のOSは Windows XP Professional ということ。 パソコンのログオン 普通にログイン ------------ パソコンに登録している。 ネットワ−クログイン ------ どこか別なサ−バに登録している。 USBキ−の利用 --------- 何がしかの認証ソフト。 ICカ−ドやUSBToken ----- 何がしかの認証ソフト。 パソコンのログオン ドメインログオン ---------- ドメインの例えば keroyon。 ロ−カルログオン ---------- コンピュ−タの例えば keroyon。 パソコンの安全機能 BIOSパスワ−ド機能 ------- OS起動時にパスワ−ド。 ハ−ドディスク保護機能 ---- ハ−ドディスクにパスワ−ドを付ける。 セキュリティチップ搭載 ---- ノ−トパソコンにあるハ−ドディスクの暗号化。 * パスワ−ドを変更する Windows 2000 と XP では [Ctrl]+[Alt]+[Del]キ−を押すと、Windows OSのセキュリテ ィの画面が出て来る。ここで "パスワ−ドの変更" のメニュ−画面で行なう。 * 忘れたパスワ−ドを再設定する ・管理者で入ってそのユ−ザのアカウントのパスワ−ドを変更する。 ・パスワ−ドリセットディスクを使う。忘れる前作っておくこと。 ・コントロ−ルパネル、ユ−ザ−アカウント、パスワ−ドを忘れないように。 ・フロッピ−ディスクにパスワ−ドを再設定できる。 ・ログオン画面 パスワ−ドリセットディスクを使う。 * パソコンのロック 画面ロックとかコンピュ−タのロックとかいう。[Windowsキ−]+[L] でロックする。解除 は [Ctrl]+[Alt]+[Del] キ−を一緒におす。パソコンのキ−入力とマウスの反応をなくす。 スクリ−ン・セ−バ−にパスワ−ドによる保護をする。下のようにいろいろソフトがある。 イ−ジスロック AegisLock > パソコン用セキュリティソフト。おサイフケ−タイ、交通機関用ICカ−ドのSuica と かイコカとか、電子マネ−の Edy。ICカ−ドリ−ダ−ライタ− Type-B 方式、Felica 方式。Windows 2000/XP 対応 コムリンクスの無線認証型セキュリティデバイスカ−ド XyLoc > 認証用のバッジを胸ポケットに入れておいて、パソコンの前に座るとログオンする。席 を離れると自動的にロックがかかる。Ensure Technologies 社製の接近認証デバイス。 * ソニ−のノ−トパソコンの場合(BXタイプ) [ ユ−ザ認証の機能 ] ・パワ−オン・パスワ−ド : 以下3つのパスワ−ドを指紋認証で解除できる。 ・ハ−ドディスク・パスワ−ド : 指紋認証の指紋は10個まで登録できる。 ・Windows ログオン・パスワ−ド: アプリケ−ションランチャ−の設定ができる。 ・My Safeフォルダ : フォルダを暗号化してファイルを保存できる。指紋認 証でロックを解除して見れるようになる。 [ 入っていたソフト ] Edy Viewer、Felica ブラウザエクステンション、Protector Suite QL 5.3、Sony Felica リ−ダ−/ライタ− ソフトウェア、かざそう Felica、スクリ−ンセ−バ−ロック2。 [ いろんなモ−ドが ] ノ−トパソコンはいろんなモ−ドがある。スタンバイとかサスペンドモ−ドとか省電力モ −ドとか。スタンバイ状態とはモニタとハ−ドディスクの電源が切れた状態のこと。つま り省電力モ−ド、デスクトップを使用していた時点の状態に復元する。コンピュ−タの休 止状態とは節電のため一時的にシャットダウンする。その時の状態がハ−ドディスクに保 存される、デスクトップを使用していた時点の状態に復元する。 [ 電源の制御をする ] パソコンの電源が勝手に切れないようにするには。初期設定のままだといつの間にか電源 が切れている。[電源オプションのプロパティ]->[電源設定]の "VAIO標準設定" を "電源 管理オフ" に。[電源オプションのプロパティ]->[詳細設定]の {電源ボタン} の {ポ−タ ブル コンピュ−タを閉じたとき} の "スタンバイ" を "何もしない" に。 ポ−タブルコ ンピュ−タを閉じるとは、ノ−トパソコンのモニタ部でもある蓋を閉じることである。 * パソコンの起動制御 パソコンのリモ−トパワ−オン Wake on LAN。パソコンのネットワ−クインタ−フェ−ス カ−ド(NIC) にマジックパケットというのを送ると、パソコンのスタンバイ状態またはシ ャットダウン状態から電源を入れてパソコンを起動させることができる。「NETWORK MAGA ZINE」2005/01,"特集2:今日からはじめるリモ−トアクセス"。NIC の設定は次。 アイコンの [マイネットワ−ク] をクリックし {ロ−カル接続のプロパティ} などの画面 から [全般]->[構成]->[電源の管理] を出す。このメニュ−で多分、次の2つとも〆を入 れる。 "電力の節約のために、コンピュ−タでこのデバイスの電源をオフにできるように する"。"このデバイスで、コンピュ−タのスタンバイ状態を解除できるようにする"。 商用のリモ−トサ−ビス magicConnect に、専用の WOLコントロ−ラというのがある。モ デムぐらいの大きさ。マジックコネクトを差した外のパソコンから WOLコントロ−ラにア クセスして会社の自分のパソコンに電源を先ず入れるという話。コントロ−ラは常に稼働 している。バッファロ−の無線LAN WZR にも WOL 機能があると記事を見た。 * パソコンの遠隔操作 Windows XP Professional のリモ−トアシスタントとリモ−トデスクトップ機能。アクセ スしてくるユ−ザが管理者権限をもっていたら、これらの機能をオンにしているだけで使 えてしまう。またパソコンの機能の Wake on LAN がオンになっていると、 一見して止ま っているパソコンを勝手に起動して使われてしまう危険性がある。 便利な機能を知らずに設定していると危険なことになる。マジックパケットは結構インタ −ネットには流れているらしい。家で止めたパソコンが動いていたという話、聞いたこと がある。リモ−トデスクトップでアクセスできたら、リモ−トでパソコンの電源を切るこ ともできる。タスクマネ−ジャの {シャットダウン} から {コンピュ−タの電源をきる}。 * 参考 「日経SYSTEMS」2006/11, P.148〜151, "押えておきたい Windows サ−バ−のくせ > 第2回 ユ−ザ・アカウントとログオン認証"。どしょっぱつに書かれていることが面白 い。"Windows サ−バを構築運用していると,「何か不自然」「異様に複雑」と感じる場 面に遭遇することがあります。"。第1回の記事から全部目を通しておきたいが。 「NETWORK MAGAZINE」 2008/08, P.140 の記事 Windows Server 2008 でのログオンのこと。 > 表2ログインを試すユ−ザ−名。1) Administrator ユ−ザ−名のみ、2) CORP\Adminis trator NetBIOSドメイン名\ユ−ザ−名、3) Administrator@corp.example.com ユ−ザ −名@DNSドメイン名、4) Administrator@corp ユ−ザ−名@NetBIOSドメイン名。 (2) パソコン・ユ−ザのドメイン管理 `28〜`29 * Active Directory は流行か Active Directory は導入されるということで考える。 以下 Active Directory は AD と も言うことにする。どうも AD の利用は今後避けて通れそうにない。しかし、具体的にど ういう場合に必要になるのか。やってくる営業マンさんが皆、口にするのは AD はもうあ りますよね。ないといかん訳?。しかし実際はいうほど AD を使いこなしている訳ではな い。まだまだ十分こなれているとは言い難い。 UNIXのアカウントでも NIS とか LDAP とかはあるが、 結局ごく単純なことでしか実 際のところ使われていない。長い歴史があるにもかかわらずだ。翻って AD がどれだけの 歴史があるというのだ。AD は運用にすごい手間がかかるとよく聞く。 いろんなことがで きるのだが、それをやっていくと結局また特例のオンパレ−ドになって行くわけで、収支 がつかなくなっていくのは目に見えている。 Windows サ−バの AD が流行みたいである。どうもこの数年の傾向のようである。パソコ ンのログ監視とか資産管理とか個人情報漏洩対策のソフトとか、内部統制絡みのソフトは 何がしか AD が関係してくる。Windows 2000 からはドメインで セキュリティポリシ−が 導入された。ドメインに参加するパソコンに一括して適用できる。例えばスクリ−ンセ− バの時間とか、時間を変更するメニュ−をそもそも出さないようしたり設定できる。 * Windows パソコンのユ−ザ認証 ユ−ザ名は Administrator、Guest。グル−プ名はAdministrators(管理者)、Power Users (一般ユ−ザ)、グル−プポリシ−は Users(制限ユ−ザ)、Guests(一般利用者)。 一般ユ−ザのパソコンは Power Users か Users かどちらかに設定。Power Users はソフ トのインスト−ルはできるが、管理者のパスワ−ドが必要である。 Users グル−プには、Program Files フォルダへの書込み権限がない、つまりアプリケ− ションをインスト−ルできない。 {ロ−カルエリア接続} の {プロパティ}をクリックすると、権限がないと言って開くこと ができない。Power Users か Users かどちら。 ワ−クグル−プとは:パソコン単体で使う、ユ−ザのアカウントは自身のパソコンに保持。 ドメインとは:ドメインコントロ−ラ、ユ−ザのアカウントを集中管理する。 * マイクロソフトのライセンス Windows Server CAL( Client Access License ) [ CALの数と料金 ] ・同時使用ユ−ザ数モ−ド (英語では per Server mode という) ・使用デバイス数モ−ド または 使用ユ−ザ数モ−ド ・サ−バライセンスはパソコン1台に1つだけ。 Windows 2000 Server と 2003 Server の違いは、CAL の内容が変更になっている。 2003 Server ではサ−バにアクセスするデバイスまたはユ−ザ毎に CAL は必要である。ファイ ルプリンタ共有サ−ビス、Active Directory を利用する場合にいる。 2000 Server では 社内のWWWサ−バとして使うのは CAL はいらなかった、 2003 Server では必要である。 ともかく 2003 Server にアクセスするには CAL が必要だとみなしていい。 それで CALはだいたいなんぼする?。例えば Microsoft Windows Small Business Server 2003 日本語版 5 CAL MLP が 35,400円+税。5 CAL MLP 6万円とか、20 CAL 22万円と かいうのも調べたらあった。 接続デバイス数または接続ユ−ザ−数モ−ドのデバイスCAL とユ−ザCAL。それに同時使用ユ−ザ−数モ−ドでのデバイスCAL とユ−ザCALがある。パ ソコンの台数か人の数かということである。 サ−バ−ライセンス Windows Server, SQL Server, Exchange Server, System Management Server, Small Business Server, SharePoint Portal Server, Live Communication Server Standard Edition と Enterprise Edition がある。 クライアントアクセスライセンス それぞれのサ−バ−にアクセスするのに、この CAL がいる。 タ−ミナルサ−ビス Windows Server 2003 で XP と 2000 Professinal 以外からのアクセスには、この CAL がいる。 [ サ−バは1台、パソコン10台、内5台はメ−ルを使う、全部でログオン管理では? ] Windows Server サ−バ−ライセンス --- 1個 Windows Server CAL --- 10個 Exchange Server CAL --- 5個 * Active Directory と DNS の関係 PC△ DNS□ AD□ Windows Server ユ−ザ認証の流れ。パソコ | | | ンにログオンして認証する。 ---------------------------------------- PC から DNS に AD の SRV レコ−ドを問い合わせる。通常は Windows Server に、AD を 稼働さすようにしたら同時に DNS も動かすようにする。Windows Server でウィザ−ドで DNS の設定をすると、ル−トの DNS になる。 このままでは社内だけでしかパソコンは使 えない。インタ−ネットにはアクセスできない。インタ−ネットにアクセスできるように するには、ル−ト DNS であることを止めて、 分からないドメインの問い合わせはインタ −ネット用の DNS にフォワ−ドするようにする。 DNS設定 PC メインAD-1 サブAD-2 .2 △ □ DNS-1 □ DNS-2 .3 |.1 |.2 |.3 ---------------------------------------- * Active Directory についてメモ Active Directory には Windows NT のと Windows 2003 Server のがある。Windows NTの では PDC, BDC という。PDC と BDC は同じセグメントにあること。AD はファイル共有の フリ−ソフト Samba にあるドメインコントロ−ラ機能である程度は代替できる。 ただし あまり期待できそうにない。AD はただでさえ扱いが難しい。AD が必要なら AD がいる。 AD は Kerberos 認証を使う。 ドメインコントロ−ラとクライアントの時間が10分以上 ずれていると、認証ができない。 毎回 AD に尋ねにいくのではない。AD の Kerberos か らクライアントはチケットを発行してもらったら、それでしばらくはできる。通行手形み たいなものが発行されるのである。 Windows Server 2003 は 2003/06 販売開始、ライセンス版とパッケ−ジ版。 2003 R2 は 2006/02 に発売された。インタ−ネット経由でも Active Directory が利用できるように なった。Windows Server 2008 は 2008/02 販売開始、Active Directory も機能が新しく なったところがある。すでに Windows Server 2003 の方は手に入らないとか。 ドメインでログオンすれば AD を見つけるために、普通 Windows Server で DNSサ−バも 稼働させる。インタ−ネットはフォワ−ド DNS の設定をするしかない。AD は DNSサ−バ を使ってドメインコントロ−ラを探すが、DNS が見つからないと NBT で探す。NBTはブロ −ドキャストのパケットで Windows NT の時代からある機能。 AD の複数のドメインコントロ−ラの中でメインとなるのが、操作マスタという。PDC,BDC という言い方はしない。フォレスト、サイト、ドメイン単位でセキュリティポリシ−を変 えることができる。AD ドメインコントロ−ラ(という認証サ−バ) によって始めに認証さ れれば、その後ネットワ−クリソ−スにアクセスするのに再度の認証は不要である。 * Windows パソコンへのログオン -------------------------------------------- Windows のドメインに参加したパソ |Windows へログオン コンは。パソコンにログオンする時 |------------------------------------------- に、ドメインのユ−ザを使うか、コ | Windows 2000 Professional ンピュ−タのユ−ザを使うか選ぶこ | Built on NT Techonology とができる。 |------------------------------------------- | ユ−ザ名: [ ] | パスワ−ド: [ ] | | [ OK ] [キャンセル] [オプション] [オプション] をクリック。 -------------------------------------------- -------------------------------------------- |Windows へログオン |------------------------------------------- ドメインもこのコンピュ−タへもロ | Windows 2000 Professional グオンのアカウントは同じというこ | Built on NT Techonology とか?。 |------------------------------------------- | ユ−ザ名: [ ikken ] ▼をクリックすると "IKKEN"という | パスワ−ド: [ ***** ] コンピュ−タ名も下にでてくる。こ | ログオン先: [ apollo ▼] れで、どちらかでログオンする。 | | [ OK ] [キャンセル] [シャトダウン] [オプション] -------------------------------------------------------- ネットワ−クにつながっていなくても、パソコンへのログオンはできる。ドメインへログ オンしたら、Windows のサ−バから、このクライアント用、各自専用の領域を割り当てて もらえ、たとえばZドライブとして使える。 * 疑問 ドメインユ−ザアカウント/ロ−カルユ−ザアカウントと言う表現はおかしいかも。ドメ インもこのコンピュ−タへもログオンのアカウントは同じなら。ドメインとロ−カルのロ グオンで DNS のIPアドレスを違えることはできるのか。できそうもない、一緒だ。 ド メインは1つでいいか、複数に分けるべきか。フォレストとはどういうことか。グル−プ ポリシ−とは。AD が必要なアプリケ−ションとは。 何らかのソフトが、あるユ−ザ名で利用しようとする場合に、そのユ−ザが存在している か、パスワ−ドがあって正当なユ−ザであるかをチェックする。ドメインコントロ−ラと クライアントの間はいろいろなプロトコルのパケットが流れる。Windows の DHCP サ−バ を使うのも CAL がいるのかな。いるんだろうな−、分かりません。 AD は中に LDAP の仕組みを内臓している。多分、LDAP 専用ソフトは汎用的でいろいろな 項目を扱えるのに対し、AD の LDAPはあらかじめ決められた項目しかないのでないか。そ のため LDAP でのユ−ザ管理としては不十分で、AD を使っていても、LDAP も必要という ように言われているのでないか。いや違う、AD はディレクトリの構造をLDAP の定義を用 いているだけであって、LDAP サ−バとしての仕様がある訳ではない。 Windows XP Home Edition はドメインにログオンする機能はない。これが企業では使えな いと言われていることか。でもドメインうんぬんでなく、そのまま自身でログオンするな ら、別に構わないのでないか。インタ−ネットでも何でも使えるのでないか。何か制約が 起きるのかな。相手が Windows XP Professional などであればリモ−ト デスクトップ接 続もできるし。ただ AD 管理下には入ることができない、と理解すればいいのでないか。 * 参考 [@IT総合トップ > テクノロジ− > Windows Server Insider > 運用] > "改訂 管理者のための Active Directory 入門"。プリントして勉強すること。 「マイクロソフト ライセンス まるごと 早わかりガイド」 > 第2版2003年11月 26ペ−ジ。必要ライセンスについて記載、価格は記載なし。 (3) PCからシンクライアントへ `28/12〜 * パソコンからシンクライアントへの移行 いきなり全パソコンをシンクライアントに置き換えることはできない。ハ−ドディスク付 きのパソコンが何百台もある。もったいないし、費用もかかる。移行プロセスを考えよう。 単体パソコンからの移行について。シンクライアントとユ−ザは?。シンクライアントに なっても、ユ−ザの認証は変わらないのか。いや、変わらない方式を考えるなり、見つけ るなり。検討しなければならない。LDAP との関係はどうなるか。疑問?。 例外、パソコ ンのディスクにインスト−ルしないと使えないソフトというのはあるか。パソコン数十台 でこそこそっとやる分には、あまり金はかからない。信頼性を増そうとすると、サ−バを デ−タセンタ−においたり、ファイルサ−バにEMCを採用したりで、コストがどんどん かさんでくる。パソコンサ−バは10万円ぐらいでもある。そんなのをシンクライアント のサ−バにすれば、端末も含めて全部で100万円ぐらいで、できてしまうのでないか。 * よく見かけるシンクライアント導入事例 大和証券および大和証券グル−プの事例が雑誌やセミナ−でよく取り上げられている。パ ソコン1万台をシンクライアント全面移行するプラン。2005年11月に検証用に10 台導入、2006年10月にプロジェクト発足、2007年8月に70台が導入。10月 まで1500台導入。ここまでの投資額は5億円強。プロジェクトのメンバ−は30人以 上が関わった。結果、シンクライアントはNECの US100を選んだ。プログラムの改造も 要求して実施してもらった。NECの仮想PC型 VirtualPC Center を採用。VMware ESX Server をデ−タセンタ−に設置する。 大がかりでともかくかなり費用がかかるというこ と。全社あげてのプロジェクトにしないことには、これだけの事はできないかも知れない。 参考「日経コンピュ−タ」2007/08/20と「日経コミュニケ−ション」2007/09/15。しかし 現実的には事務のある部門だけとりあえずとか、徐々に展開していくしかないと思う。 * シンクライアントの国内の普及の様子は シンクライアントの出荷台数は2007年は10万台。国内のパソコンの台数は3000 万台。まったく微々たるもの。よそがやっているから内もというわけにはいかない。シン クライアントはもう十分使える。これで情報漏洩対策も、BCP対策も、海外事務所も問 題の解決ができる。もはや、やるかやらないかという選択の時期にきている。しかしシン クライアントがどんどん採用されていかない背景には、シンクライアントを理解できてい る人が極めて少ないからでないのか。費用が単純に高いからという訳ではないのでないか。 理解できないから費用対効果を検討することもできない。どうもそんな気がしてならない。 2009年の日経のアンケ−トでも回答があった企業で、シンクライアントの導入済みは 10%もなかったのでないか。検討すらしてない企業も多々。そしてシンクライアントは お構いなくどんどん進化している。デスクトップ仮想化というのがいきなり出てきた。 * シンクライアントのベ−スソフト Citrix MetFrame は名称が Citrix Presentation Server になった。2009年、更に XenAppと いう名前に変わった。プロトコルは ICA( Independent Computing Architecture )という。 ICA は Metaframe の時代からそう呼ばれていた。数 10 Kbps しか使わない。 Microsoft の Windows OSに入っている RDP( Remote Desktop Protocol )と同じくリモ−トデスク トップのプロトコルでもある。パソコンには MetaFrameのクライアント用ソフトをインス ト−ルする。MetaFrame のサ−バソフトの管理下で Windowsのアプリケ−ションを動かす と、それらのアプリケ−ションが MetaFrame のクライアントソフトから ICA プロトコル で使うことができる。Microsoft 社はある時期 Citrix 社から技術供与を受け MetaFrame の一部の機能を取り入れて RDP を作ったという。 ここら辺りのいきさつは2002年に 出た MetaFrame の本の巻末に詳しく書かれている。 * 例えばシンクライアントの導入コストは MetaFrame のお値段は?。2000年頃、デルからきたFAXには20同時ユ−ザ使用ラ イセンスの20CAL が 854,500円とあった、パソコンは別。2002年10月の地元であ ったさる展示会で日本の Citrix 社のレディに尋ねた、5同時ユ−ザので38万円だった かのもあるとか。MetaFrame のライセンス代は非常に高い。パソコン1台につき7、8万 円もいる勘定になる。2005、6年ライセンス代は少しは安くなって4、5万円じゃな いのか。しかし高いと見えるライセンス代は、パソコンをお守する人件費を考えれば安い かも知れない。人件費を1人1千万円として3人がほぼかかり切りになっているとすれば、 1年で3千万円。5年では1億5千万円。3千万円あれば社内のパソコンはかなりの数シ ンクライアントにできるぞ。パソコンにかかるTCOは真剣に考える必要がある。社員は どっちに転んでも社内にいるから人件費はタダではだめである。 * シンクライアントの方式には幾つかある いくつかの方式がある。SunRay の場合、Blade Server の場合。シトリックスを使うとユ −ザ皆、同じ環境になる。少し前までシトリックスが一斉風靡したが、最近はあまりシト リックスは聞かなくなってきたという `28/05。それでシトリックス社は Xen を買収して、 仮想化の技術を手に入れた。ここら辺りのいきさつも調べておきたい。シンクライアント もどきというべき物もある、ディスク付きのパソコンをシンクライアントにする、USB キ−を差してパソコンを起動する。スペックの低いパソコンでもシンクライアントにする ことができる。それに流行のクラウドで2009年末ぐらいに出てきたシンクライアント のASPサ−ビスというのも選択肢になってきた。シンクライアントは基本的にはリモ− トデスクトップ接続であって、ASPサ−ビスはユ−ザ認証と RDP または ICA アクセス を仲介する。RDP は Windows のプロトコル、ICA は Citrix のプロトコルである。 画面転送型 Windows Server の CAL、大体5千円位、安いところで3千円。 タ−ミナルサ−ビス (TS)の CAL、1万2千円、雑誌のそのままかかせてもらって。 Presentation Server の CAL、5万円弱、旧 MetaFrame。アプリケ−ションをサ−バ側で実行し、その画面 イメ−ジを転送してくる。スクリ−ン・スクレイピング方式、これは画面のビットマ ップデ−タを送る。 仮想PC型 VMware OSもサ−バ側で実行し、その画面イメ−ジを転送してくる。VMware で1つ のサ−バの中で複数のクライアント用のOSを稼働させる。仮想的に。論理的にOS は別れているので、1つのOSがクラッシュしても他のOSには影響を与えない。こ れは、なかなかいいことだ。スクリ−ン・スクレイピング方式。 マウスコンピュ−タ GO-Global、アメリカ GraphOn 社開発の画面転送型シンクライアントのサ−バソフト。 MetFrameにライバルがでてきた。ライセンス料は2/3位。CADでもいける方式と のこと。14万8千円/5同時ユ−ザアクセス。TS CAL は不要。 サ−バライセンス 5万円。APIラッピング方式採用、スクリ−ン・スクレイピング方式より画面転送 デ−タが少ない。画像デ−タではなく描画命令を送るのでデ−タが少ない。 Windows SteadyState パソコンのハ−ドディスクに触らせない。つまり記憶させないというのであればこん なのも昔からある。マイクロソフトが出している無償ソフトらしい。ほとんど紹介さ れることがないのだが、図書館に設置してある蔵書検索に用いられていたり、外で持 ち歩くパソコンを疑似的にシンクライアント化するという記事をちらっと見た。 [ シンクライアントのサ−バに Bladeサ−バを使う ] ブレ−ドは抜き差しできるたくさんのモジュ−ルを筐体に装着する。1個のモジュ−ルが 1台のパソコンになる。さらに昨今は仮想化の機能も対応するブレ−ド製品が出てきてい る。VMware でたくさんの仮想パソコンを作って、 それぞれが各ユ−ザ用のパソコンと言 うことになる。シトリックスは使わない。サ−バは仮想化である。 VMware とにたような のが幾つかあるが、やはり性能?つくりは VMware が優れているらしい。シンクライアン トのブレ−ドサ−バ型では、パソコン1台1台がブレ−ドにささっているイメ−ジ。仮想 型はそれぞれのパソコンが仮想的に動いている。 ※Sun Microsystems 社の Sun Ray は "4-5.ネットワ−クの再構築から,(5)再構築のネッ トワ−ク・モデル" の最後にところに参考として記述した。 * Citrix 社の XenApp と Windows の RDP 自宅で2002年に出た MetaFrame の本を読んでいる。2009年半ばの頃。 病院の待 合で1時間2時間待っている間にも読んだ。こういう時に読むと、結構一字一句追ってい けるので頭に入ってくる。巻末の MetaFrame の歴史はなかなか面白かった。 RDPのパソコン1台当たりの使用帯域は約 64Kbps。マウス、キ−ボ−ド、画面の差分デ− タをやり取りする。Windows 7 の RDP は動画もスム−ズにできるようにした。APIラッピ ング方式の技術も取り入れたのか?。 Citrix Secure Gateway は Secure Gateway に、 NFuse は Web Interface に名称が変わ った。Web Interface は直接に Citrix サ−バにアクセスするのでなく、専用のWeb画 面を通してアクセスする。単純にはポ−タルサイトだと思えばいい。 HTTPS を使う場合 Citrix のサ−バを暗号化するために、サ−バにデジタルIDが必要で ある。サ−バが複数ある場合は全部に必要となる。Secure Gateway を設ければ、 これだ けにデジタルIDを設ければいい。社内のそれぞれの Citrix のサ−バにはいらない。 DMZ上のサ−バに Secure Gateway と Web Interface ソフトを設定して、 外から社内 の Citrix サ−バを利用する場合に使う。これって SSL-VPN 経由で RDP アクセスするの と似たようなことだ。そう思ったら Citrix からそうした SSL-VPN 装置がでていた。 ICA 自体に暗号化機能がある。ただしどうも十分な暗号化強度はないみたい。それで外か らは HTTPS を使うようにということらしい。Microsoft の RDP も暗号化機能があるよう だが、どうもこれも十分な暗号化強度はないみたい。 Microsoft の RDP は Windows のOSによってもバ−ジョンによっても暗号化方式などが 細かく違っているようである。 RDP は Citrix の元になった MetaFrame を元にして作ら れている。それであやふやな感じも引き継いでいるみたいである。 ICA は RDP のアドオン。RDP はそのままベ−スとして使う。ICA は RDP をより強化する プログラムとして働く。RDP を脇においておいて ICAのプロトコルだけで動くということ ではない。これも ICA の歴史的な経緯が反映しているといえる。 FirePass のPWSで社内の自分のパソコンに RDP アクセスするのとか。SSL-VPN 装置の Citrix Access Gateway 1Uアプライアンス。 これを介して Citrix XenApp を利用する のって、SSL-VPN 装置で RDP アクセスするのと、ほとんど同じようなことだ。 * シンクライアントもどき --- ディスク付きPCをシンクライアントに変身 --- まっとうなシンクライアントというのは、ハ−ドディスクを搭載してない専用端末である。 これとは別に社内に大量に有るであろうハ−ドディスク付きのパソコンに、USBキ−を 差してシンクライアントにするやり方がある。2007/06/15 に FKEYというのを見て初めて 知った。FKEYでのUSBキ−には最小限のOSやソフトが入っていてパソコンを起動する、 Linux に RDP クライアントの rdesktop、Citrixエ−ジェントが入っている。手元にある もらってきていたパンフレットを見たら似たようなのが幾つかあることが分かった。日立 の PocketClient もそうで既存のPCをシンクライアント化する、専用のUSBキ−にユ −ザのデジタルIDが入っている。PocketClientを差さなければ通常のPCとして使える。 (株)応用電子の FKEY。 パソコンにUSBキ−を差し込むとシンクライアントになる。サ −バが必要で Windows 2003 Server など利用、タ−ミナルサ−ビスを Active Directory 配下で使う。これにより各ユ−ザの領域と作業プロファイルが作られる。Citrixは少ない 帯域で使えるのがメリットだが、社内では別に帯域をけちる必要はない。この手のソフト は少し前からあるが、FKEY には指紋認証の機能も加えている。パソコンにも FKEYにもデ −タを残さない。OSは Linux ベ−ス。http://www.aec1984.com/、国産製品。USBキ −はソニ−のPUPPY、三谷商事製の BioSlimDisk など使用。Windows 2003 Server のタ− ミナルサ−ビス(TS) と Active Directory の CAL がいる。TS が1.2、AD が 0.3〜0.5。 沖コンサルティングソリュ−ションズ(株) の Safario サファリオ。USB型シンクライ アントSecure Access Solution。USBキ−は防水仕様、抜き挿しも耐久性あり。USB デバイスの固有IDなどで認証し、更にPINによる所有者の認証を標準で装備。 パソコン の電源ONにより起動する "ブ−トモ−ド" はハ−ドディスクと完全に切り離されている。 Windows パソコン稼働中の状態で起動する "バ−チャルモ−ド" は Linuxベ−スの仮想環 境。両モ−ドはパソコンとは独立した独自OSで稼働するので、高いセキュリティが確保 できる。USBキ−内に Windowsとは別の秘匿領域がある。デ−タの取り出しはそのまま では不可能。RSA認証(SecurID)と連携可能。`28/05 ビッグサイトに参考出展していた。 a)ThinStick2.0 (株)三技協、http://www.sangikyo.co.jp/。`28/05 の東京での展示会で パンフレットをもらっていた。既存のPCをUSBキ−でシンクライアントに。 SSL-VPN などVPN装置をおく。b)もう1つ三技協の Platform V System 2.0。USB認証キ−を 差すだけで世界中どこのPCからでもインタ−ネット経由でオフィス内のPCを安全にリ モ−トコントロ−ル。専用のゲ−トウェイをおく。画面情報転送タイプ。c)NTTネオメ イトのシンクライアント専用モジュ−ル NBORN。パソコンのハ−ドディスクを取り外し代 わりのを入れるとシンクライアント端末に変身。d) 株式会社アイズ独自開発の IZE Thin Client、既存PCをセキュアに進化させる。安価で手軽なシンクライアントの新提案。 * RDP についてもう少し Windows パソコンのリモ−トデスクトップアクセスは、RDP( Remote Desktop Protocol )。 Windows XP Professional に入っているのがよく紹介される、XPでは同時に接続できるの は1人だけである。Windows 2000 Server なんかに入っているのはタ−ミナルサ−ビスと いい複数人が同時アクセスできる、確か2人まで。それ以上の同時アクセスをできるよう にするにはマイクロソフトの複雑なライセンス体系に基づく料金が必要である。IT用語 辞典 e-Words によれば、Windows XP 実装のは、タ−ミナルサ−ビスの機能限定版という ことである。RDP のプロトコルを使ってたクライアントアプリとして、リモ−トデスクト ップ接続するのを RDC( Remote Desktop Connection ) という。RDP は画面転送型であり プログラムはサ−バで実行され、画面表示がクライアントに転送される。転送デ−タは差 分画像のため軽量で、これがシンクライアントとしても利用されることになっている。 RDPクライアントソフトはマイクロソフトのサイトからダウンロ−ドできる。Downloads > Tools and Utilities の Remote Desktop Connection Software Download、msrdpci.exe。 Windows XP はプレインスト−ルされている。msrdpci.exe は Windows 95/98/Me/NT 4.0/ 2000 でも使える。Windows XP の CD-ROM からもインスト−ルができる。RDP のサ−バ側 は 3389/TCP 番ポ−トを開けること。 ここからメモ。Windows の RDP と PPTP の違いは。 PPTP はネットワ−クの暗号化での接続方法のこと。 RDP はネットワ−ク接続された上で 動くサ−ビスのこと。SSL-VPN にもリモ−トデスクトップアクセスの機能がある、A-Gate も FirePass もカタログに出ていた。これは RDP のことなのか。しかし SSL-VPN 装置で RDP を利用しているという話は聞いたことがないのだが。これについては `29/02 半ばに SI業者の人に教えてもらって実際に機能を確認した。19-6.(4) を参照のこと。 (4) シンクライアント理解の一歩 * Windows の RDP はシンクライアントの一つ MetaFrame の機能限定版が Windows 2003 Serverまでに入っているタ−ミナルサ−ビスで ある。MetaFrame は現在 Presentation Server という。 このタ−ミナルサ−ビスの機能 の一部が Windows XP のリモ−トデスクトップ接続である。このことを押えておくとシン クライアントのいろいろな方式が理解しやすくなると思う。ともかく Windows XP にある RDP 機能は、シンクライアントの一番の基本を試してみるのにちょうどよい。RDP も画面 転送型で画像デ−タの差分を転送する、ただし MetaFrame 程デ−タは小さくはない。 通常は Windows パソコンに入っている RDP ソフトを使う。Windows XP Professional に はサ−バとクライアント機能があるソフトが入っている。Windows 2000 Professional に は標準では入ってないが、Windows XP 用のソフトがクライアントのみ使える。RDP機能が 入っている SSL-VPN装置を使えば Windows 2000 Professionalでも、この RDPソフトが入 っていなくてもリモ−トデスクトップのアクセスができることになる。実は A-Gate にも RDP 機能は入っていた。でも SSL-VPN の RDP 機能はほとんど使われていない気がする。 Windows XP Windows XP Windows OSのヘルプでは "リモ−ト デ 私はココ □PC1 □PC2 スクトップ接続"と書かれている。半角の |Client |Server ブランクが入っている。本書では"リモ− ------------------------------------ トデスクトップ" でそう読むことにする。 2台の Windows XP Professional で RDP の動作確認するのが手っ取り早い。一方をクラ イアントに一方をサ−バにする。クライアントの設定画面は [アクセサリ]->[通信]->[リ モ−ト デスクトップ接続] で現われる。[オプション] をクリックし [全般] メニュ−で アクセスするパソコンのIPアドレスなどを記入する。[画面]と[エクスペリエンス]で転 送速度をどうするかの設定をする。先ずは低速条件からやってみるといいだろう。画面の サイズは 1024x768 にしてみた。モニタ画面一杯でなく表示した。 ------------------------------------------------------------- |リモ−ト デスクトップ接続 | |-----------------------------------------------------------| | コンピュ−タ名: [ ▼] | IPアドレス | [接続] [キャンセル] [ヘルプ] [オプション] | でもよろしい。 ------------------------------------------------------------- * FirePass の RDP 機能を試す --- アクセス図 社内の Windows XP Professional を RDPサ−バにする。RDPクライアントソフトは入って ない Windows 2000 Professional から FirePass 経由でアクセスができる。FirePass は RDPクライアントのエミュレ−ションをすると思われる。 PC1 では FirePass にアクセス するのにIPアドレスかURLで指定する。IPアドレスだといろいろ警告が出てくるの でURL指定の方がよろしい。https://firepass.nix.co.jj/ の様にURL指定するには Windows 2000 では C:\WINNT\system32\drivers\etc\hosts ファイルに仮想のIPアドレ スと firepass.nix.co.jj を書くこと。URLは自社のDNSサ−バに登録しておくこと。 Windows 2000 PC1△https://202.241.128.6 : 外のパソコン PC1 から FirePassに / ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄\ アクセスする。 ROUD は関係しない。 \__________________/ テストでは予備のインタ−ネット回 : 線を使った。あるいは社内の別なパ ■ ◇ 仮想IP ソコンから FirePass にアクセスし | |202.241.128.6 nix.co.jj てもテストすることはできる。 ----------------------------------------- | | □FirePass FirePassから社内の自分のパソコン | ||192.168.2.6 PC2 に RDP を FireWallで許可する。 FireWall□--|-------------------------- PC2 に相当するパソコンがどんどん | | 増えると FireWall にどんどん穴を | ――→ △PC2 自分のパソコン 開けなければならない。これはちょ | RDP |Windows XP っとばかり安全上いやらし話だ。 ----------------------------------------- RDPクライアントから RDP サ−バである Windows Terminal Server へは 3389/TCP でア クセスする。FirePass から PC2 へのパケットで、このポ−トを FireWall で開ける必要 がある。FireWall-1 を見たら 3389/TCP オブジェクトは定義されていなかった。RDPとい うのはあるのだが、内容が違っていた。新しく FireWall-1 でオブジェクトを作った。 パソコン PC2 の設定は。 画面アイコンの [マイコンピュ−タ] をマウス右クリックして {プロパティ} クリックして [システムのプロパティ] 画面を出す。[リモ−ト] をクリッ クして {リモ−ト デスクトップ} のところで、{このコンピュ−タにユ−ザがリモ−トで 接続することを許可する} に〆する。[リモ−トユ−ザの選択] の中はとりあえず空で。 PC2 の Windows XP のファイアウォ−ル機能はデフォルトで働いている。PC2 で RDPパケ ットを通すようにしたい。それには上の {リモ−ト デスクトップ}の設定で許可するに〆 を入れると、自動的に RDP が許可される。 確認は [コントロ−ル パネル] の [Windows ファイアウォ−ル] の [例外] の {リモ−ト デスクトップ} に〆があることを見る。 * FirePass の RDP 機能を試す --- PC1 の設定 最初にパソコン PC1 でやることは FirePass で必要とする ActiveX をダウンロ−ドする。 FirePass のWWWサ−バのデジタルIDをダウンロ−ドする。 初めて FirePass にアク セスすると、FirePass から ActiveX をダウンロ−ドしてこようとする。ブラウザの画面 が出て上の所に "F5 networks' からの 'InstallerControl.cab'。インスト−ルするには、 ここをクリックしてください"。 クリックすると {セキュリティ警告} の画面が出てきて、 "このソフトウェアをインスト−ルしますか" と聞いてくる。[インスト−ルする] をクリ ックして作業を進める。これで自分の場合は5個の ActiveX が入った。 プロテクテッドワ−クスペ−スうんぬんという画面が出てくる。 {プロテクテッドワ−ク スペ−スに入る} をクリックする。{新しいプロファイルの準備中} という小さな画面が 出て、モニタ全体が赤の画面になる。そしてセキュリティ証明書うんぬんという {セキュ リティの警告} の画面が出てくる。[証明書の表示] をクリックして、 次の画面が出たら [証明書のインスト−ル] をクリック。ハイを押していく。 これでIEブラウザの [イン タ−ネットオプション]->[コンテンツ] の [証明書] と [発行元] の "信頼されたうんぬ ん" のところに firepass.nix.co.jj というデジタルIDが入るはずである。 * FirePass の RDP 機能を試す --- RDP アクセス 基本的に自分は外出していて、社内の Windows XP パソコンは直接には触れることができ ないという状況を想定。Windows 2000 で RDP アクセスした瞬間に Windows XP の画面は 固まる。Windows XP の使用が Windows 2000 に乗っ取られる。 画面は固まるというので はなく、ログオンしていたら強制的にログオフさせられる。 目の前で見ていて、XP には 何も触れていないのに勝手に画面がログオフになっていく。もし社内のパソコンを誰かが ログオンしたら、外のパソコンはログオフさせられる。シ−ソ−みたいなことになる。実 際の運用ではリモ−トのパソコンは、起動するだけでログオンしないようした方がいい。 ロ−カルのパソコン PC1 にログオン << ログオンのアカウント名は何でも構わない。 ↓ PC1 から FirePass にアクセス << URLまたはIPアドレスでアクセス。 ↓ プロテクテッドワ−クスペ−スに入る << 赤い画面になる。ログオン処理を続行と出る。 ↓ IEの画面でリモ−トアクセスログオン << FirePass に登録したアカウントを入れる。 ↓ メニュ−が出る、タ−ミナルサ−バ << PC2 へのリモ−トデスクトップ接続。 ↓ 社内のパソコン PC2 にログオン << PC2 で登録されている admin でログオン。 ----------------------------------------- [リモ−トユ−ザの選択]が空の場合でも | \_____________________X/ | admin は入ることができる。これを確認 | | したら XP パソコンの自分のユ−ザ名で | | 利用できるよう[リモ−トユ−ザの選択] | ☆ | に自分のユ−ザ名を記入する。 | ◎ | | @ | RDP アクセスすると画面の上部にちょっ ↑ | とあいそで出てくる。 右はじの X をク {プロテクテッドワ−クスペ−スの終了} | リックすると、RDP アクセスから抜ける。 アイコンをクリックすると元のロ−カル | まだ赤い画面の所にいる。元のロ−カル の Windows画面に戻る。これで作業終了。 | のパソコンに戻るには@をクリックする。 シンクライアントは画面転送して画像を手元のパソコンのモニタに映しているだけなので デ−タの内容はディスクに保存されることはない。それが情報漏洩の対策にもなるという こと。FirePass のプロテクテッドワ−クスペ−スにして、その上で RDP アクセスすると いうのは、どういう意味があるのか。RDP アクセスでは、USBキ−にデ−タをコピ−で きるのかな、できないようには制御できないのかな。プロテクテッドワ−クスペ−スだと 制御できるというのことで、メリットがあるということなのかな。多分そういうことです。 [アプリケ−ションアクセス]->[タ−ミナルサ−バ]->[リソ−ス] の {リソ−スグル−プ} [henomohe] の {タ−ミナルサ−バお気に入り} の項目のところ。RDPアクセス先のパソコ ンの名前やホスト(IPアドレスを書いた)などを記入する。ここの"ロ−カルリソ−ス(ド ライブ,プリンタ,COMポ−ト)をリダイレクト:" の〆は外すこと。 〆有りがデフォルトの ようである。〆有りだと RDP アクセスした状態で、{マイコンピュ−タ} をクリックして 見ると、"その他" でロ−カルのパソコンのドライブがアクセスできる状態になっている。 * RDP 画面のこと ここクリックすると下のような部分表示になる。 モニタ画面一杯で表示 ↓ ---------------------------------------------------------- | ☆ \ 127.0.0.5 _ □ ×/ | 1台のパソコンでテス | ごみ箱 ------------------------------------ | トしているのだが常に | | 127.0.0.5 とでて来る。 | | モニタ画面部分で表示 部分表示の場合は画面上部の \___/ 表示はない。 -------------------------------------------------------------------------------- | F5アプリケ−ションアクセス - Microsoft Internet Explorer _ □ ×| |------------------------------------------------------------------------------| | 丸々君の会社パソコン 800*600 | |スクロ−ルバ−をトグルする| 閉じる| |------------------------------------------------------------------------------| | ☆ ↑ | | ごみ箱 これあまり意味はなさそう。 * 参考 マイクロソフトのサイト Windows Server 2003 R2、"タ−ミナル サ−ビスに関してよく > 寄せられる質問"。新しい Windows のOSには RDP に暗号化機能が入った?。 マイクロソフトのサイト Windows XP Professional、"ビジネス エンドユ−ザ向け情報 > Windows XP 機能別紹介のリモ−トデスクトップ編"。 「日経SYSTEMS」2008/08, P.100〜105, "検証ラボ Windows Server 2008 タ−ミナ > ル サ−ビスを徹底検証"。メモリ−使用量は大幅増も、新 RDP のデ−タ圧縮効果は大。 (5) シンクライアントを試してみたい * シンクライアントを試すのに `2a/01 ここはシンクライアントを試すのにどうしたらいいか、最初の頃に考えたこと。VMwareで の仮想PC方式でのシンクライアントをテストする。ユ−ザは2人で、同じ人が社内では デスクトップでシンクライアントを使用、社外ではノ−トパソコンでシンクライアントを 利用するものとする。ノ−トパソコンは共同で使用する場合も想定してテストする。通信 プロトコルは RDP または VMware が出してきた PCoIP を利用する。ユ−ザ認証は指紋認 証のDDSを利用する。パソコン自体の認証を更にやるならMACアドレス認証でよしと する。これら認証は SSL-VPN装置と連携させる。DDSの製品は UBF-neo を2個、 新た に購入する。以前買った UBF-blue と UBF-mini は認識の反応がすこぶる鈍いのでテスト でも使用しない。印象を悪くしては導入できる物もできなくなってしまう。それでも癖を 飲み込めば使えるのだが。すでに多くの企業や官公庁で導入実績はあるのだから。 ・モバイル用シンクライアントのノ−トパソコンを2台。 ( ノ−トパソコン用のモバイルカ−ドを2個。携帯電話か WiMAXの。) ・シンクライアントのデスクトップを2台。 ( デスクトップ用の無線LAN子機をそれぞれのパソコンに付ける。) ・シンクライアント用のサ−バを1台。 ( この製品の検討が一番やっかい、SI業者さんに提案してもらう。) ---------- ---------- |ノ−トパ|□指紋認証装置 |デスク | |ソコン |■モバイルカ−ド |トップ |■無線子機 (内臓機種もある) ---------- ---------- [ 無線LAN装置と管理ソフト ] 社内LAN用には無線LAN装置の親機を購入する。無線の干渉とロ−ミングのテストを する。干渉テストに2台は必要である。デスクトップのパソコン用に無線LANの子機も 2つは購入する。ノ−トパソコンは無線LAN機能は入っているのを使う。それにモバイ ル用に WiMAX カ−ドを買う。携帯電話用のカ−ドは総務などから支給してもらうか。 `2a/06 懇意にしているSI業者に改めて無線LANのお勧めを尋ねた、即座に Cisco か Aruba ですねとのこと。一日調べてみて Aruba が分かりやすくてよさそうだ。 NEC系 の会社がキャンペ−ンをやっている。 Aruba 620無線LANコントロ−ラ + AP-105アク セスポイント4台のセットで 45.4万円+税。案外安い。基本はこんなんでいいだろう。 [ シンクライアント用パソコン ] パソコンはHP社でどうか。「HPプロダクトセレクション2010.2号」で調べた。デスク トップ機は無線LANがついたモデルでどうか。"HP t5730w Thin Client" 69,300円 (税 込)、Windows Embedded Standard 正規版。 ノ−トパソコンは "HP Compaq 2533t Mobile Thin Client" 89,250円でどうか、OSは Windows XP Embedded Service Pack 2 正規版。 HPのパソコンの通信カ−ド&VPNソフトの使える一覧がある。2533t 動作検証済みの デ−タ通信カ−ド 2009年12月1日現在では、UQコミュニケ−ションズのUD01SS WMX-U01、 SSL VPN の FirePass1200 は接続時自動インスト−ルOK。残るは指紋認証のDDSだけ だ、ちらっと対応リストを見せてもらったところ、HPのシンクライアントは可みたい。 [ シンクライアント用のサ−バ ] 仮想PC型ではどんなマシンを使うのか。早い話が何でも構わない。NECなら10年以 上サ−バとして実績のある Express5800 シリ−ズ。富士通のPCサ−バ PRIMERGY RX300 S6 2Uサイズの2WAYラックマウント、VMware vSphere 4 バンドルタイプとか。HP だと HP ProLiant DL360 が1Uで、起動時に少し音がするがその後はそこそこ静か。 マシンは1台購入。VMware VMotion や HA はやらない。VMware はスタ−トライセンスを 購入。VMware View 4 でシンクライアントができるようにする。RDP と PCoIPでテストす る。Windows のテストライセンスで Windows 2003 Server、Windows XPなどを仮想的に動 かす。VMware View 4 を利用するには Active Directory が必要。 * 各社のシンクライアント製品 2008年から2009年にかけてシンクライアントのセミナ−にでてみた。だいたいメ −カは固まってきたか。HP、NEC、日立かというところだ。シンクライアントの検討。 いろいろ方式があって検討は難しい。一つ切り口としてモバイルシンクライアントを検討 してみる。これで候補が絞られてくると思う。NECはだめかも。SSL-VPN 装置はNEC 製の SecureBranch 使用とある、でも他社の SSL-VPN装置でも使えるのでないかと思いた いが、SecureBranch のユ−ザ認証はちょっと特殊だったりするのでだめだと思う。 仮想 PC型のサ−バとしては使える。 SecureBranch を使わずに Citrix や VMware のシンク ライアント用のゲ−トウェイにすれば、別にNECでも構わないということになる。 [ NEC ] US10Na 仮想PC型/画面転送型 シンクライアント端末、ノ−トパソコン。VPN接続対 応 L2TP/IPSec 方式に加え SecureBranch( Etherner over SSL 方式)に対応。L2TP/IPSec 接続時にはプリインスト−ルのワンタイムパスワ−ド認証の SECUREMATRIX と連携できる。 HDDなし。Internet Explorer(Windows CE5.0版) 搭載。フラッシュメモリ256MB、メイ ンメモリ 128MB、Windows CE 5.0、132,000円。 管理サ−バの VirtualPC Center で一括してバ−ジョンアップ、パッチ当てができる。ど この端末でも自分のとして使うことができる。仮想PC型は VirtualPC Center。 画面転 送型方式は Citrix XenApp。対応プロトコルは RDP5.5 で Windows Server 2003 Termina lService と Windows XP RemoteDesktop で使える。ICA10.1 は Citrix XenApp で使える。 もう一度改めてNECの仮想PC型は RDP を使う、画面転送型は Citrixの XenApp を使 う。2008年5月付けのパンフレットをみたら、シンクライアントシステムの導入コス トを削減したサ−バセットモデルというのがでていた、シンクライアント用としてサ−バ は Express5800/120Rj-2 VPCC仮想PCサ−バ 2U。シンクライアント端末が US110E など。 [ HP ] フラッシュメモリに Windows XP Embedded が入っている。起動すると Windows XPの画面 みたいなのがでてくる。HP社のブレ−ドPC bc2200 Blade PC, bc2800にブレ−ドPC と仮想PCの両方に対応する XenDesktop 3.0 ライセンスをバンドルする。2009年4 月発表。"HP BladeSystem bc2200 Blade PC" ら2009年3月販売開始。 ノ−トパソコンは2機種ある。"HP Compaq 2533t Mobile Thin Client" 89,250円、RDPと ICA と Internet Explorer 等が入っている。"HP Compaq 4410t Mobile Thin Client" は 79,800円、RDP と XenApp と VMWare View と Microsoft の Firewall などが入っている。 両者ともOSは Windows XP Embedded Service Pack 2 正規版を搭載する。 HP t5740 Thin Client の説明に HP Easy Config Utilityで最初にどれを使うか選ぶこと、 VMware View/Citrix XenDesktop/Web専用端末か。HP t5730w Thin Client は Citrix ICA 11.0、VMware View 3.0、PDF Viewer など搭載。69,300円(税込)、 Windows XP Embedded Standard正規版、スタンドアロ−ン環境でのインタ−ネット端末としても使える。 [ 日立 ] 日立のブレ−ドPCは FLORA bd100,bd500。シンクライアント用のブレ−ドである。ブレ −ドは1枚が1個のパソコンである。それが bd100 なら14枚刺さるという代物。 クラ イアントPCの機能をブレ−ド型装置に凝縮とパンフレットには書かれている。電源ユニ ッット、筐体ファン、内臓LANスイッチが共有できる。クライアントモジュ−ルとよん でいる。ブレ−ドサ−バの BladeSymphony SP とは別物である、注意したい。 シンクライアント用ノ−トパソコンは日立は変なデザインのUSBキ−を使う KeyMobile という。半透明でCPUチップが見える。USBキ−を使わないのもできる。 KeyMobile にはクライアント用のデジタルIDが入っている。ソニ−の PUPPYもデジタルIDを入れ てユ−ザ認証ができる、これと同じことである。KeyMobile を使わずにパスワ−ドでログ オンすることもできる。さて、デジタルIDはどこで生成するのかな。 指静脈認証装置がついたノ−トパソコンがあったが、いつのまにかなくなった。どうも認 証の精度があまりよろしくなかった。光を当てるので病院のCTスキャナ−みたいなド− ム型の格好でないといけないみたいで、持ち運びにはかさばる代物だった。DDSの指紋 認証のドライバがシンクライアント用ノ−トパソコンに入るかは、日立の展示会で立って いた技術の人に聞いたところでは不明だった。自分は扱ったことはないとは言っていた。 * HP社のシンクライアント追加 2008年12月号の雑誌を `2a/05 にぱらぱらみていた。HPのシンクライアント製品 が2つ紹介されていた。t5545。Linuxベ−スの独自OS搭載 HP ThinPro, RDP, ICA。2.8 万円。Citrix XenDesktop DDC, VMware VDM などデスクトップ仮想化ソフトウェアに対応。 もう1つ t5630、4.6万円。Windows XP EmbeddedスタンドアロンPCとしても使えると書 かれてあった。t5730 と t5630 は2009年7月に販売されている。 こんなのもHPには1機種ある。2009/12調べ HP Internet Appliance t5730wi。4.6万円。 Windows Embedded Standard 正規版搭載。ウィルスやキ−ロガ−などによる情報漏洩をブ ロック。P2P ソフトの利用は不可。USBインタ−フェ−スの利用制限ができる。クラウ ドコンピュ−ティング用インタ−ネット端末。全部仕事はWeb上でやりましょうという こと。あらかじめ入っているソフトが t5740 などにくらべ半分である。 HPには"webOS"搭載という機種もあった。タブレットの TouchPad、2011年8月、撤 退するとのアナウンスがあった。かなり先進的だったようだ。WebOSとしては世に出 たのが少し早かったためか、市場で受け入れられなかった。OSの使い勝手のカスタマイ ズは index.html ファイルを編集していくという。オブジェクト指向でいうところのごち ゃまぜ言語のC++ではなく、純粋な Smalltalk といった感じか。 * シンクライアントの進化? Windows Embedded のパソコンには、Internet Explorer や Outlook Express などはあら かじめインスト−ルしておかないけない?。あるいはしなくてもいい?。シンクライアン トとして本社のサ−バに回線トラブルなどでアクセスできない場合。オフラインでもブラ ウザが使えるようにしておくということ。外から社内にアクセスできない状況では、何も 仕事ができない。インタ−ネットには接続できる状況であれば、マシンにこれらのソフト が入っていればブラウジングはできる、 メ−ルも外部のサ−ビス Gmail とかなら読みか きできる。多分この時のメ−ルを読み込んで来たのはメモリに入る。マシンをシャットダ ウンしたら消える。マシンに入れたこれらのソフトは個別にパッチあてやバ−ジョンアッ プをすることになる。そういうパソコン毎の保守が大変なので、シンクライアントを導入 する訳で、まるでお勧めできるものではない。 そうこうする内にデスクトップ仮想化ソフトウェアというのがでてきた。2010年の5 月頃に出たセミナ−で聞いた。シンクライアントでサ−バにアクセスできない場合に作業 ができるようにする機能が入ってきている。シンクライアントではともかくネットワ−ク につながってサ−バにアクセスできないことには何ともならない。ただWindows Embedded に Word, Excel, Outlook が入っていればいいというものではない。シンクライアントで あるにも関わらずこれらのソフトを入れる。ネットワ−クに繋がっていなくてもこれら作 業ができ、作成したファイルも入るようにしておく。そしてネットワ−クに繋がった際に サ−バに作ったファイルなんかをアップロ−ドするのである。USBキ−を利用するのも ある。シンクライアントの安全であるという意味合いがなしになってしまう。サ−バを本 社に集中させると、こういうことになる。クラウドのサ−ビスでも同じである。 * IIJ のシンクライアントのパッケ−ジ 仮想デスクトップサ−バパック。自分がイメ−ジしている業者さんに提案してもらいたい 内容にかなり近いモデルのパッケ−ジがこれ。`29/10のパンフレットで。デ−タセンタ− にある Citrix XenServer 上で仮想デスクトップが稼働し、オフィスのシンクライアント のパソコンから利用する。Citrix HDX technology で軽い画面差分デ−タを利用。パンフ レットには約750万円が限定20セット、約330万円とある。IIJ のデ−タセンタ− にIAサ−バはあり、仮想PCサ−バとプロビジョニングサ−バ−が稼働する。IAサ− バ1台で30ユ−ザと想定。必要に応じて増設ができる。モバイルシンクライアント、ス トレ−ジ、プロビジョニングサ−バ、Active Directory認証サ−バ等を加えて、システム を拡張して行ける。サ−バパックには VDI ソフトウェアの Citrix XenDesktop Standard Edition 30 Userライセンス、41万円。シンクライアントのパソコン HP t5630w、Windows Embedded Standard 搭載、5台、29万円。IAサ−バは HP Proliant DL180 G6、187万円。 設置などのプロフェッショナルサ−ビスの費用 498万円。 モバイルシンクライアントクイックスタ−トパッケ−ジ。 `29/07 の1枚のパンフレット。 HP Compaq 2533t Mobile Thin Cleint 5台、 通信カ−ド5契約などを含む、値引きで初 期費用29.8万円、月額9.6万円。`28/04 に始めた IIJモバイルにより、社内の自分のパソ コンか仮想サ−バに RDP 接続する話である。ID Gateway と呼ばれる専用のVPN装置を DMZ上におく、サ−ビスアダプタともいうようだ。WiMAX には対応してない。シンクラ イアントのクラウドサ−ビスというのも出してきた。IIJ GIO というクラウドサ−ビスの 一つとして仮想デスクトップサ−ビス。IIJ のサイトでなく http://www.citrixandmicro soft.jp/partner/iij.html に参考価格が出ていた。"オフィスはすべて GIO になる"、と いうキャッチフレ−ズ。"図表1:コンセプト IIJ GIOオフィス"、"図表2:お見積り構成例" 100ユ−ザで月額約45万円。2010年5月現在の仕様。XenApp サ−バ、Windows ベ−ス のファイルサ−バ、ADサ−バ、Sharepointあり。`2a/02 から開始、Microsoftリモ−トデ スクトップサ−ビス(RDP)、Citrix XenApp それに XenDesktop などで DaaS として提供。 * オ−プンソ−スの VMWare View Open Client オ−プンソ−スの VMWare View Open Client というのがある。 仮想デスクトップのクラ イアントのソフトとのこと。このソフトを Windows XP などのパソコンに入れれば PCoIP を試すことができるのでないか。Windows XP Embedded が入ったパソコンを用意しなくて も、PCoIP のテストができるのでないか。 ただし相手側であるサ−バも PCoIP を話すの が必要である。確認のこと、RDP と PCoIP 両方ともサポ−トされているか。VMWare View Open Client が出たのは `29/02/03。ソ−スプログラムは Google Codeというコミュニテ ィで公開されている。SUSE Linux Enterprise Thin Client や Debian で活発にテストさ れている。詳しくは http://code.google.com/p/vmware-view-open-client/ここの[Wiki] の "SystemRequirements" を見ると RDP はサポ−トしていそうである。MMR, USB, PCoIP は Non-Free で別途ライブラリを付け加えてくれとあり、ただではなさそう。 * Linux の rdesktop という RDP クライアント Techinical Note の "Using the View Cleint Protocol, View Manager 4.5" PDF の "Si mple Client Code" の記述、The VMware View Open Client allows you to connect from a Linux desktop to remote Windows desktops that are managed by View Manager. * メモしていたことだが本当かな シンクライアントではパソコンにロ−カルのユ−ザはいらない。いらんこともないがその パソコンの使用者としてのロ−カルのユ−ザは作ることはできない。ディスクがないので。 ------------------------------------------------------------------------------------ [ 付録 ] Sun Microsystems 社の Sun Ray はどうだ `22/06〜 弁当箱程度の箱の Sun Ray 1 は 48,000 円、キ−ボ−ドも込み。 ディスプレイはそこら にある DOS/V のが使える。Sun Ray はX端末ではない。サ−バで全部処理し、 その結果 の画像を差分ピクセルで受ける仕組みになっている。 箱には CPU もディスクもファンも OSもない。あるのはICカ−ドを差し込むスロットで、ICカ−ドを入れないと使えな い。ICカ−ドを抜いてワ−クグル−プ内の別な端末にいき、カ−ドを入れるとパッと先 の作業していた画面が出る。それにIPアドレスもいらない。これはすごい。1年ぐらい 前に営業マンさんがパンフレットを置いていったが、やはり現物を見ないと分からないも のだ。2002/06/21、住商エレクトロニクスのブロ−ドバンド・セミナ−で見た。大学の計 算機センタ−なんかにどんどん導入されているとのこと。これだけで企業のパソコン全部 が置きかえれるとは思えないが、これで済むところはどんどん入れて行けばいいのでない か。1024x768 dot, TFT 液晶モニタ−も一体型の Sun Ray 150 は 171,000 円である。 弁当箱程度の箱の Sun Ray 1 は 48,000 円、キ−ボ−ドも込み。 ディスプレイはそこら にある DOS/V のが使える。Sun Ray はX端末ではない。サ−バで全部処理し、 その結果 の画像を差分ピクセルで受ける仕組みになっている。 箱には CPU もディスクもファンも OSもない。あるのはICカ−ドを差し込むスロットで、ICカ−ドを入れないと使えな い。ICカ−ドを抜いてワ−クグル−プ内の別な端末にいき、カ−ドを入れるとパッと先 の作業していた画面が出る。それにIPアドレスもいらない。これはすごい。1年ぐらい 前に営業マンさんがパンフレットを置いていったが、やはり現物を見ないと分からないも のだ。2002/06/21、住商エレクトロニクスのブロ−ドバンド・セミナ−で見た。大学の計 算機センタ−なんかにどんどん導入されているとのこと。1024x768 dot, TFT 液晶モニタ も一体型の Sun Ray 150 は 171,000 円である。 サ−バ側はどうかというと、先ずある程度のスペックの Sunのマシンが必要である。これ に中核となるソフト Sun Ray Enterprise Server を入れる、 1999年9月に日米で発 表されている。ユ−ザ認証、セッション管理をする。ICカ−ドは ISO-7816-1 タイプの もの。Sun から買うと高いので、シュルンベルジュなどそこらで売っているもので構わな いとか、説明していたお兄さんが言ってました。 それに Word/Excel/PowerPoint 互換ソ フトで Sun 開発の StarSuite 6.0、2002年5月から販売を、入れればいい。 もう実 用レベルで互換性があるという話だ。ワ−プロ Writer、表計算 Calc、プレゼン Impress。 教育機関での利用はタダ、企業ユ−スでは1万何某。 Microsoft Office だとバ−ジョン アップで4万円はいるとか。StarSuite のフリ−ソフト版の OpenOffice というのもある。 Linux、Windows でも動く。企業ユ−スでは互換性を考え製品版を使うのが無難とのこと。 否、ちゃんと Microsoft 社の Office ソフトを使いたい。 そのためには、Sun のマシン の中で Windows NT や DOS アプリケ−ションを実行させるため、SunPCi COPROCESSOR の PCI カ−ドをスロットに差し込む。これ自体がコンピュ−タと思っていい。OSはDR-DOS で、ライセンスは含まれている。ただしWindows OSのライセンスは別途必要である。さ らに Citrix 社の MetaFrame というソフトも入れる。 このソフトが、Windows のアプリ ケ−ションを Windows 2000 サ−バで管理する。 Word なら Word の実行をサ−バで行い、 その画面イメ−ジのビットマップを転送する。この時も画像の差分をとるようにして、転 送するデ−タを極力少なくしている。64 Kbps 程度のWAN回線越しでも問題ないという。 5同時ユ−ザで85万円位から。ちょっと高目の価格である。NetWorld+Interop 2002 で の説明では 10 Kbps でOKといっていた。MetaFrame 今後、伸びて行く感じである。 MetaFrame のお値段はいかに。CTCの2000年7月の総合カタログでは、20ライセ ンス 98.6 万円からとあった。デルからきたFAXには85万円と書かれていた。えらく 高い、パソコン込みの値段じゃなかったのか。その後、確認しました。20同時ユ−ザ使 用ライセンスの 20 CAL が最低で、854,500 円でした。それからしばらく経って、さる展 示会 2002/10 で日本の Citrix 社のレディに尋ねたところ、 5同時ユ−ザので38万円 だったかのもあるとのことだった。どっちにせよ結構お高いです。以下参考で MetaFrame の本が手元にある。誰かセミナ−に行ってもらってきたらしい。その後、MetaFrame とい う名称は Presentation Server に変わった?。「テクインフォ」1999/09, VOL.21,"新製 品紹介:Sun Ray 1 Enterprise Appliance"、サ−バと専用ネットワ−クで接続すると書い てあったが、どういうことか要確認のこと。