Product Documentation

リモートPCアクセス

Jul 08, 2016

リモートPCアクセス機能により、社内にある自分の物理的なWindows PCにどこからでもリモートアクセスできるようになります。 社内PC上にインストールするVirtual Delivery Agent(VDA)により、そのPCがDelivery Controllerに登録され、PCとクライアントデバイス間のHDX接続が管理されます。 リモートPCアクセス機能ではセルフサービス型の構成がサポートされており、管理者がホワイトリスト(ユーザーによるアクセスを許可するマシンの一覧)を作成しておくと、各ユーザーが管理者による介在なく自分の社内PCをサイトに追加できます。 クライアントデバイス上で動作するCitrix Receiverにより、リモートPCアクセスセッションから社内のPC上のアプリケーションやデータへのアクセスが可能になります。

ユーザーには、任意の数の物理PC、または物理PCと仮想デスクトップの組み合わせを含む、複数のデスクトップを割り当てることができます。

注:リモートPCアクセスのスリープモードおよび休止状態モードはサポートされていません。 リモートPCアクセスセッションではXenDesktopライセンスが使用され、ほかのXenDesktopセッションと同じ方法でライセンスが消費されます。

Active Directoryに関する注意事項

リモートPCアクセスの展開サイトを構成する前に、Active Directory組織単位(OU)とセキュリティグループをセットアップして、Active Directoryユーザーアカウントを作成してください。 これらのアカウントは、リモートPCアクセス用のデリバリーグループでユーザーを指定するときに使用します。

マシンカタログにマシンを追加した後でActive Directoryを変更しても、リモートPCアクセス機能には反映されません。 必要な場合は、マシンを手動で別のマシンカタログに再割り当てできます。

Active DirectoryのOUエントリを移動または削除すると、リモートPCアクセスに使用されるOUエントリで整合性の問題が発生して、 VDAとマシンカタログまたはデリバリーグループとの関連付けが解除されることがあります。

マシンカタログおよびデリバリーグループに関する考慮事項

リモートPCアクセスでは、1つのマシンを複数のマシンカタログやデリバリーグループに関連付けることはできません。

リモートPCアクセスのマシンカタログに複数のマシンを追加できます。

マシンカタログ用のマシンアカウントを選択するときは、ほかのマシンカタログ内のマシンとの競合を避けるため、最も低いレベルのOUを選択します。 たとえば、bank/officers/tellersのOUではtellersを選択します。

リモートPCアクセスのマシンカタログのすべてのマシンを、1つまたは複数のデリバリーグループで割り当てることができます。 たとえば、2つのユーザーグループに異なるポリシー設定を適用するには、それらのユーザーを異なるデリバリーグループに追加して、各デリバリーグループ用のHDXポリシーフィルターを構成します。

IT管理の責任分担がユーザーの地理的な場所、部署、またはそのほかのカテゴリによって細分化されている場合は、マシンやユーザーをカテゴリごとにグループ化して、委任管理を構成します。 各管理者には、そのカテゴリ内のマシンカタログと対応するデリバリーグループの両方に対する管理権限が正しく割り当てられていることを確認してください。

社内PCでWindows XPが動作している場合は、そのPC用に専用のマシンカタログおよびデリバリーグループを作成します。 この場合、Studioでマシンカタログのマシンアカウントを選択するときに、一部のマシンでWindows XPが動作していることを示すチェックボックスをオンにします。

展開に関する考慮事項

リモートPCアクセス展開を作成した後で、従来のVirtual Desktop Infrastructure(VDI)デスクトップまたはアプリケーションを追加することができます。 また、リモートPCアクセス展開を既存のVDI展開に追加することもできます。

社内のPC上にVDAをインストールするときに、[Windows Remote Assistance]チェックボックスをオンにすることを検討してください。 これにより、ヘルプデスク担当者がDirectorからWindowsリモートアシスタンスを使用して、ユーザーのセッションを表示したり操作したりできるようになります。

各社内PCへのVDAのインストール方法を検討します。 Active DirectoryスクリプトやMicrosoft System Center Configuration Managerなど、電子的なソフトウェアディストリビューションツールを使用することをお勧めします。 インストールメディアには、Active Directoryスクリプトのサンプルが収録されています。

リモートPCアクセス展開のセキュリティに関する考慮事項を確認してください。

セキュアブート機能は現在サポートされていません。 ワークステーションVDAを展開しようとする場合は、セキュアブートを無効にします。

各社内PCは、有線ネットワーク接続によりドメインに参加している必要があります。

社内PCでのWindows 7 Aeroがサポートされていますが、この機能を使用しなければならないということではありません。

キーボードやマウスは、社内のPCやラップトップに直接接続してください。電源がオフになることのあるモニターなどのデバイス経由で接続しないでください。 キーボードやマウスをモニターなどのデバイス経由で接続する必要がある場合は、そのデバイスの電源がオフにならないようにする必要があります。 

スマートカードを使用する場合は、「スマートカード」を参照してください。

リモートPCアクセスはほとんどのラップトップコンピューターでも使用できます。 いつでもアクセスできるように、ラップトップコンピューターの省電力設定を、デスクトップPCと同様に構成する必要があります。 次に例を示します。

  • 休止機能を無効にする。
  • スリープ機能を無効にする。
  • カバーを閉じた場合の動作を[何もしない]に設定する。
  • 電源ボタンを押したときの操作を[シャットダウン]に設定する。
  • ビデオカードの省電力設定を無効にする。
  • インターフェイスカードの省電力設定を無効にする。
  • バッテリーの節電機能を無効にする。

以下のデバイスは、リモートPCアクセスでサポートされません。

  • ラップトップのドッキングおよびドッキング解除。
  • KVMスイッチ、またはセッションを切断する可能性のあるそのほかのコンポーネント。
  • ハイブリッドPC(オールインワンおよびNVIDIA OptimusラップトップおよびPCを含む)。

以下のXenDesktop機能は、リモートPCアクセスでサポートされません。

  • マスターイメージおよび仮想マシンの作成
  • ホストされるアプリケーションの配信
  • Personal vDisk
  • クライアントフォルダーのリダイレクト

社内PCにリモートアクセスする各クライアントデバイスにCitrix Receiverをインストールします。

同じ社内PCにリモートアクセスする複数のユーザーには、Citrix Receiverに同じアイコンが表示されます。 いずれかのユーザーがそのPCにリモートからログオンすると、ほかのユーザーにはそれを使用できないことを示すアイコンが表示されます。

デフォルトでは、ローカルユーザーがそのマシンでCtrl+Alt+Delキーを押してセッションを開始すると、リモートユーザーのセッションは自動的に切断されます。 自動的に切断されないようにするには、社内PCに次のレジストリエントリを追加してから、マシンを再起動します。

注意:レジストリエディターの使用を誤ると、深刻な問題が発生する可能性があり、Windowsの再インストールが必要になる場合もあります。 レジストリエディターの誤用による障害に対して、Citrixでは一切責任を負いません。 レジストリエディターは、お客様の責任と判断の範囲でご使用ください。 また、レジストリファイルのバックアップを作成してから、レジストリを編集してください。

HKLM\SOFTWARE\Citrix\PortICA\RemotePC "SasNotification"=dword:00000001

HKEY_LOCAL_MACHINE\SOFTWARE\Citrix\PortICA\RemotePCで、この機能の内容をよりカスタマイズするには

RpcaMode(dword):

1 =指定のタイムアウト期間にMessaging UIへ応答しない場合、リモートユーザーが常に獲得します。

2 =ローカルユーザーが常に獲得します。 この設定を指定しない場合、リモートユーザーがデフォルトで獲得します。

RpcaTimeout(dword):

適用されるモードの種類が決定される前に、ユーザーに対して与えられる秒数。 この設定が指定されない場合、デフォルト値は30秒です。 この最小値は、30秒とする必要があります。 これらの変更を有効にするには、ユーザーがマシンを再起動する必要があります。

ユーザーがコンソールへ強制的にアクセスできるようにするには、ローカルユーザーがCtrl+Alt+Delキーを2回、10秒の間に押して、リモートセッション上でローカルの制御を実行できるようにして、切断イベントを強制的に実行します。

    このレジストリ設定により、リモートユーザーが社内PCのセッションを使用しているときにローカルユーザーがCtrl+Alt+Delキーを押してそのPCにログオンすると、ローカルユーザーの接続を許可するかどうかを確認するメッセージがリモートユーザーに表示されます。 接続を許可すると、リモートユーザーのセッションは切断されます。

Wake on LAN

リモートPCアクセスではWake on LANがサポートされ、物理PCをリモートから起動できます。 この機能により、ユーザーが退社時にPCの電源をオフにできるようになるため、消費電力を節約できます。 また、停電や気象条件などにより電源がオフになったPCにもリモートアクセスできるようになります。

リモートPCアクセスのWake on LAN機能は、以下のデバイスでサポートされます。

  • Intel社のActive Management Technology(AMT)をサポートするPC。
  • BIOSでWake on LANオプションが有効になっているPC。

管理者は、Microsoft System Center Configuration Manager(ConfigMgr)2012のWake on LAN機能を構成する必要があります。 ConfigMgrでは、PCに対してAMTパワーコマンドを実行できます。また、ウェイクアッププロキシやマジックパケットがサポートされます。 さらに、StudioでリモートPCアクセス展開を作成するとき(またはリモートPCアクセス用の電源管理接続を追加するとき)に、電源管理機能を有効にして、ConfigMgrのアクセス情報を指定します。

さらに、以下を確認します。

  • セキュリティおよび信頼性の高いAMTパワーコマンドの使用が推奨されますが、AMTを使用せずにConfigMgrのウェイクアッププロキシやマジックパケットを使用する方法もあります。
  • AMTに対応したマシンでは、StudioやDirectorからそのマシンを強制シャットダウンまたは強制再起動することもできます。 また、StoreFrontおよびReceiverでは再起動操作も使用できます。

詳しくは、「Configuration ManagerとリモートPCアクセスのWake on LAN」を参照してください。

Wake on LANソリューションを有効にして、System Center 2012 R2を必要とすることなくコネクタを作成できるようにするWake on LAN SDKについて詳しくは、CTX202272を参照してください。

構成順序と考慮事項

リモートPCアクセスサイトを作成する前に、以下を実行します。

リモートPCアクセスの電源管理機能(リモートPCアクセスのWake on LAN機能) を使用する場合、StudioでリモートPCアクセス展開を作成する前に、接続先のPCとMicrosoft System Center Configuration Manager(ConfigMgr)での構成を完了しておく必要があります。 詳しくは、「 Configuration ManagerとリモートPCアクセスのWake on LAN 」を参照してください。

サイトの作成ウィザードで、以下を実行します。

  •  リモートPCアクセス サイトの種類を選択します。
  • 管理者は、 [電源管理] ページで、デフォルトのリモートPCアクセスマシンカタログのマシンの電源管理機能を有効または無効にできます。 電源管理を有効にする場合は、ConfigMgr接続の情報を指定します。
  •  [ユーザー および マシンアカウント] ページで、ユーザーおよびマシンアカウントを指定します。

リモートPCアクセスサイトを作成すると、 「リモートPCアクセスマシン」 という名前のデフォルトマシンカタログと、 「リモートPCアクセスデスクトップ」という名前のデフォルトデリバリーグループが作成されます。

リモートPCアクセス用のマシンカタログを追加する場合は、以下の操作を行います。

  •  [オペレーティングシステム] ページで [リモートPCアクセス] を選択し、電源管理接続を選択します。 電源管理機能を無効にすることもできます。 構成済みの電源管理接続がない場合は、マシンカタログの作成ウィザードを完了した後で接続を作成し(接続の種類は[Microsoft Configuration Manager Wake on LAN])、マシンカタログを編集してその接続を指定します。
  •  [マシンアカウント] ページで、一覧からマシンアカウントまたは組織単位(OU)を選択するか、マシンアカウントおよびOUを追加します。

Install the VDA on the office PCs used for local and remote access。 一般的にはパッケージ管理ソフトウェアを使用してVDAを自動的に展開します。ただし、検証用または小規模な展開の場合は、各社内PC上にVDAを手動でインストールできます。

VDAをコマンドラインでインストールする時に、/remotepcオプションを含めます。 デスクトップ(ワークステーション)OSで次のコンポーネントのインストールを無効にします。 

  • App V Component - Citrix Personalization for App-V - VDA
  • UpmComponent - Citrix User Profile Manager
  • UpmVdaPlugin Component - Citrix User Profile Manager WMI Plugin
  • Mps Component - Machine Identity Service
  • VDisk Component - Personal vDisk

アップグレード中、これらのコンポーネントがインストールされるとインストーラーが検出してアップグレードします。

VDAをインストールした後で、その社内PCのコンソールセッションに(ローカルまたはRDP経由で)最初にログオンしたドメインユーザーにそのリモートPCアクセスデスクトップが自動的に割り当てられます。 そのコンソールセッションにさらにほかのドメインユーザーがログオンすると、それらのユーザーもデスクトップユーザーの一覧に追加されます。ただし、これらのユーザーには管理者が構成した制限事項が適用されます。

XenApp/XenDesktop環境外でRDP接続を使用するには、ユーザーまたはグループをDirect Access Usersグループに追加する必要があります。

社内PCへのリモート接続で使用するすべてのユーザーデバイスにCitrix Receiverをダウンロードおよびインストールするようユーザーに指示します。 Citrix Receiverは、 http://www.citrix.com またはモバイルデバイスでサポートされるアプリケーション配布システムで入手できます。

接続の詳細設定の構成

電源管理接続を編集して、詳細設定を変更できます。 以下の機能を有効にできます。

  • ConfigMgrのウェイクアッププロキシ。
  • Wake on LAN(マジック)パケット。 Wake on LANパケットを有効にする場合は、パケットの転送方法としてサブネット向けのブロードキャストまたはユニキャストを選択できます。

社内PCではAMTパワーコマンド(サポートされる場合)と、有効にした詳細設定が使用されます。 AMTパワーコマンドが使用されない場合は、詳細設定が使用されます。

トラブルシューティング

Delivery Controllerは、リモートPCアクセスに関する以下の診断情報をWindowsのアプリケーションイベントログに書き込みます。 情報メッセージは調整されません。 エラーメッセージは重複メッセージの破棄により調整されます。

  • 3300(情報) — マシンカタログへのマシンの追加
  • 3301(情報) — デリバリーグループへのマシンの追加
  • 3302(情報) — ユーザーへのマシンの割り当て
  • 3303(エラー) — 例外の発生

リモートPCアクセス用の電源管理を有効にすると、サブネット向けのブロードキャストでのマシンの起動に失敗することがあります。この問題は、Controllerとマシンが異なるサブネット上に存在する場合に発生します。 AMTがサポートされない場合に異なるサブネット間でサブネット向けのブロードキャストを使用するには、ウェイクアッププロキシまたはユニキャストを使用してください。これらの詳細設定は、電源管理接続のプロパティで有効にできます。