4.1.2. Ericom Access Server¶
Ericom Access Server では AccessNow HTML5アクセスとBlaze RDP圧縮やアクセラレーションの機能が提供されています。 試用期間中はすべての機能が利用可能となり、試用期間終了後はアクティベーション・キーを使用してロック解除することで各機能が利用可能になります。 ホストには、Windows ターミナル・サーバ や Windows ワークステーションなどのRDP アクセスが有効となっている Windows システムを使用できます。Access Server はカスタマイズ可能なポートを使用しており、ポート番号のデフォルトは 8080 となります。 ポート 3399 は、古いバージョンのBlazeを使用してインストールされている場合に対応するために有効にされています。
Access Server は RDP ホストやプロキシとして機能する専用のシステムにインストールすることができます。 Access Serverを RDP ホスト自体に直接インストールすることをお勧めします。ファイル転送などの一部の機能は、Access Server が RDP ホスト自体にインストールされている場合においてのみ利用可能となります。Access Server は比較的軽快に動作するため、RDPホストのパフォーマンスや拡張性への影響は最小限にとどまります。
Ericom Access Server 要件¶
- Windows オペレーティング・システム(7/2008 以降)
- ホスト OS にて受信用 RDP 接続が有効である(例: ターミナル・サーバ)
- ハードディスク上の80MBの空き容量
- MMX および SSE2 対応 CPU
- Access Server による 8080 (または 3399)ポートのトラフィックが可能に設定されたファイアウォール
Access Server はアクセラレーションまたはHTML5 アクセスが必要とされる各サーバ/ホストにインストールする必要があります。 すべてのユーザのセッションをアクセラレーションするために、1つのターミナル・サーバのインストールが必要です。 各ワークステーションやデスクトップ(物理または仮想)にインストールが必要です。 Microsoft® Sysprep または Symantec® Ghost を使用してデプロイされるイメージの一部として、Access Server を含むことが可能です。
すべてのネットワーク・インターフェースに対するバインド・サービス¶
仮想ネットワーク環境において、1つの仮想 NIC のみを使用するのではなく、すべての仮想ネットワークのインターフェースを使用するために、Access Server をバインドすることをお勧めします。 対象とするエンドユーザが、Access Server で使用するネットワークのインターフェースに常時アクセス可能であることを確認してください。
ホストのファイアウォール設定¶
エンドユーザのデバイスから Ericom Access Server へのトラフィック通信を許可していることを確認してください。 ファイアウォールの設定が必要となる場合があります。
Windows オペレーティング・システムでは、Windows ファイアウォールが Access Server ポート(デフォルトは8080)を許可するよう設定されていることを確認してください。 このポート値は Access Server Configuration ユーティリティを使用して変更することも可能です。
注意
接続の問題を解決するには、一時的に Windows ファイアウォール を無効にします。ファイアウォールを無効にした場合のみで接続が可能となる場合、Access Server が使用するポートをブロックするルールが存在している可能性があります。
- 次へ をクリックし、接続を許可する を選択します
- 次へ をクリックし、ルールを適用するネットワークを選択します(すべて選択)
- 次へ をクリックし、規則 に名称(Ericom)を設定した後、完了 をクリックします
ポート転送の設定¶
Blaze が有効となっているホストへのポート転送するためにファイアウォールを設定する際には、Access Serverポート(デフォルト:8080)へ転送されていることを確認してください。
カスタム・ポートが使用されている場合、Communication ページで設定されているポート値に転送するようファイアウォールを設定します。
Eriocm Access Server のインストール¶
管理者権限で EricomAccessServer.msi を実行し、インストール・ウィザードの指示に従います。
EricomAccessServer は、管理者以外の権限でインストールできますが、自動再起動サービスと Windows ファイアウォールは自動的に構成されなくなります (これは、以前のバージョンからのアップグレードとしてのみ実行する必要があります) 。
License Agreement を確認し、同意します。
Install をクリックします。(必要に応じて、セキュリティ権限を上げるリクエストを許可します)最後のスクリーンにて Finish をクリックし、インストールを完了します。
Access Server ポートが利用可能であり、ホスト・システムにアクセスが可能なことを確認します。 Access Server は自動的に必要な規則を Windows のファイアウォールに追加しますが、ネットワーク上でのファイアウォール設定の追加が必要になる場合があります。
インストールの後、Access Server はサービスとしてシステム上で実行されます。
Access Server は、Microsoft System Center のようなアプリケーション管理ツールを使用した、自動的なサイレント・インストールも可能です。
サイレント・インストールを実施するには、次を実行します: msiexec /I "EricomAccessServer.msi" /q
EricomAccessServer.msi は .msi ファイルへの有効なパスを表しています。
このコマンドはより権限の高い管理者の資格情報が必要とされる場合があります。
ヘルプ・ダイアログを表示するには、パラメータを指定せずに MSIEXEC を実行します。
注意
AccessNow Access Server は、ホスト名に英文字以外の文字が含まれるシステムにはインストールができません。
Ericom Access Server の使用¶
Access Server の設定を変更するには:
スタート | 全てのプログラム | Ericom Software | Access Server Configuration に進みます。
スタート メニューのないシステムでは、以下のコマンドラインを使用して GUI を開始することができます。
<ドライブ>:\Program Files (x86)\Ericom Software\Ericom Access Server\ServerConfiguration.hta
注意
Access Server は AccessNowと Blaze 製品の両方で使用されます。
Access Server の設定¶
Server Configuration コンソールは一連のタブを提供し、管理者がサーバ・サービスへの様々な設定を行うことが可能です。
Tips
ターミナル・サーバに Access Server をインストールする際、エンドユーザによる予期しない変更を避けるために、エンドユーザ向けには Server Configuration アプリケーションへのアクセスをブロックにすることをお勧めします。
General¶
このページは Access Server のサービスの再起動および停止の機能を提供します。 一部の設定変更では、サービスの再起動が必要です。 またこのページでは、システム上でアクティブな Ericom セッションの数が表示されます。
注意
Access Server のサービスが再起動される際、サーバ上のすべての AccessNow と Blaze のセッションの接続が解除されます。
Licensing Information¶
このページでは、AccessNow と Blaze のライセンス情報が表示されます。 Connected to licensing server の項目には、現在使用されているライセンス・サーバが表示されます。
注意
本番環境の VDI やターミナル・サーバ環境では、ライセンス・サーバは強固なシステム上で一元管理される必要があります。 詳細については、セントラル・サーバの設定のセクションを参照してください。
デフォルトでは、Access Server は DNS lookup を使用して Licensing Server を特定します。使用される DNS エントリは、ericom-license-server.<ドメイン名> または _ericom-license-server._tcp.<ドメイン名> となります。DNS エントリが存在しない場合には、 Access Server により同じコンピュータ上で実行されている ライセンス・サーバ への接続が試行されます。
その他の方法として、Licensing server address 内の Access Server Configuration で Licensing Server のアドレスを明示的に指定する方法があります。Licensing Server の アドレスを変更した後、 General タブから Access Server サービスを再起動します。
有効なライセンスが見つからない場合、Access Server は猶予期間が終了するまで実行が可能となります。 猶予期間の終了後、 Access Server は、ユーザ・セッションを許可しなくなります。 この「猶予期間」は 30日間の期間内で最大10日間有効となります。
ライセンス・サーバのポートを変更する¶
ライセンス・サーバは、デフォルトでポート 8888 を介して通信します。 同一システム上の他のアプリケーションがポート 8888 を使用している場合には、ライセンス・サーバのポート値をレジストリで変更することができます。
レジストリ・エディタを使用して次に移動します。
このキーが存在しない場合、「ListeningPort」という名前の「文字列値(String Value)」を作成します。
上記の例では、ポートが 9999 へと変更されています。 値を設定した後、Ericom Licensing Server サービスを再起動します。 カスタム・ポートを使用してセントラル・ライセンス・サーバに接続する各Access Server において、アドレスの後ろにコロンを付けてポート値を指定する必要があります。
例:
ライセンスのアクティベーション¶
Licensing の下の Activation をクリックし、シリアル番号とアクティベーション・キーを製品の設定フィールドに入力します。 評価版で使用したインストールのアクティベーションには、シリアル番号と「key to send to Ericom」の内容を記載し ca@ericom.com へ送信し、処理を依頼します。 その後、アクティベーション・キーが返信されます。 そのアクティベーション・キーを入力した後、Activate License ボタンをクリックします。 ライセンスを有効にするために Access Server を再起動する必要はありません。 評価期間を延長するには、Ericom の営業担当者に「key to send to Ericom」の内容を送信し、処理を依頼します。 依頼が承認された後、標準的な30日間の延長キーが提供されます。
Communication¶
このページは、 Access Server のリスニング・ポートと RDP を実行しているホストのアドレスを変更する機能を提供します。
デフォルト(8080)以外のリスニング・ポートを使用している場合、ポート番号を Access Server のアドレスまたは Blaze Client の Computer フィールドで明示的に指定する必要があります。
(例: rdpdemo.ericom.com:22)
AccessNow web クライアント:
接続先のシステムが Access Server を実行していない場合、RDP ホストのアドレスが使用されます。 この場合では、Access Server はエンドユーザと接続先ホスト システム間でゲートウェイのプロキシとして動作します。 このタイプの設定により AccessNow と Blaze のパフォーマンスに悪影響が生じる場合があるため、お勧めしません。
両方の設定の変更には、サービスの再起動が必要です。 (General タブから)
複数のネットワーク・カードを備えたマシンにて Access Server を実行している場合は、RDP ホストのアドレスを localhost から、システムに RDP アクセス可能なネットワーク・カードの IP アドレスまたは DNS アドレスへ変更します。
Acceleration¶
このページはアクセラレーション/品質レベルを強制的に適用し、動的圧縮を無効にする機能を提供します。 Override client acceleration / quality settings チェックボックスがオンの場合、すべてのセッションで既存の設定が適用され、クライアントの設定は無視されます。 この設定を選択、または未選択とする場合、変更を適用するためにサービスを再起動する必要があります。 設定が有効にされている場合、アクセラレーション・レベルの変更にはサービスの再起動は必要ではありませんが、新たな設定を使用するにはアクティブ・ユーザの再接続が必要です。
Dynamic Compression はスクリーンの小さなグラフィカル・オブジェクト(ツールバーのアイコン、 スタートメニューのアイコン等)を識別し、Blaze の Quality 設定が Low の場合には High のク オリティを使用し、Blaze の Quality 設定が Low より高くなっている場合には Best のクオリティを使用してオブジェクトを圧縮します。その他のグラフィカル・オブジェクトは選択された品質で圧縮されます。これにより、リモート・デスクトップのセッションでの高画質な画面表示を提供します。 既定では、この機能は有効にされています。 無効するには、「Use dynamic compression」ボックスをオフとします。
圧縮なしで完全な精度を必要とするセッションの場合、次の設定を blaze.txt ファイルに追加します。 true lossless type:i:2
Security¶
このページでは Access Server のセキュリティ設定を構成します。
Ericom Access は統合された 128-bit SSL 暗号化を提供します。 パフォーマンスを向上するには、ホストの RDP Security Encryption レベルを低に設定し、Encrypt Blaze communication を Always に変更します。 この設定により、RDP 暗号化の代わりに Ericom SSL 暗号化が使用されます。 詳細については、このドキュメントの 「Ericom Optimization」 の章を参照してください。
カスタムまたは信頼された証明書を使用するには、証明書の拇印を Certificate Thumbprint のフィールドに入力し、Apply ボタンをクリックします。 上の画像で例示されている黒いボックスのように、GUIに証明書のプロパティが表示されます。 変更点を適用するためにサービスを再起動します。証明書がシステム上で有効でない場合、Access Server のサービスは起動しません (バージョン 8.4 以降)。
注意
信頼された証明書をインストールする際、Access Server の DNS アドレスが証明書の名前と一致する必要があります。ワイルドカード証明書を使用する場合、ドメインが一致する必要があります。 例えば、証明書が *.acme.com 用である場合は、サーバ名は acme.com で終わる必要があります。
Logging¶
このページでは特定のログ機能を有効化/無効化する機能が提供されます。 Ericom 社のサポートは、診断を目的としてデバッグのログを要求することがあります。 デバッグのログはここで有効にすることができます。
バージョン 9.2 以降、AccessNow はデフォルトでコンソール出力を生成しなくなりました。コンソール出力を有効にするには、localStorage 変数「EricomLogging」に値「true」を追加します。
Advanced (管理者用)¶
このページは、システムのレジストリに保存されている高度な Ericom Server 設定へのアクセスを提供します。
キープ・アライブ設定¶
Blaze の設定 | 説明 | 用途 | デフォルト |
---|---|---|---|
session heartbeat seconds:i: | クライアントがハートビートを送信する間隔(秒)。 | AccessServer は、ハートビートを使用してクライアントの切断を認識し、サードパーティのアイドル設定をオフセットします。ロードバランサおよび Secure Gateway とともに動作します。(AccessServer 7.3 以降が必要です) | 3 |
session heartbeat probes:i: | クライアントが切断状態であるとサーバにより判断される、欠落したハートビート数。 | AccessServer は、接続を切断状態と分類するタイミングを決定するために、この設定を使用します。(AccessServer 7.3 以降が必要です) | 5 |
- Blaze の設定は、次の場所に保存されています:
- C:\Program Files\Ericom Software\Ericom Access Server\WebServer\AccessNow\resources\blaze.txt
ゲートウェイ(ジャンプ)アーキテクチャ¶
Access Server を実行中のシステムと接続先(RDP)ホストが別の場合、「ゲートウェイ」サーバとして Access Server を展開することができます。 高可用性のために、ロードバランサの後ろに複数のゲートウェイサーバを構成することができます。AccessServer をゲートウェイとして使用する利点は以下のとおりです。
- RDP ホストへのインストールが不要になります
- RDP ホストからAccessServer のオーバーヘッドが取り除かされます
ゲートウェイ・アーキテクチャへの Access Server のインストールは、ホストでの展開と同様です。
Windows Server Core コンテナ¶
バージョン 8.3 以降の Access Server は、Docker コンテナを使用した Windows Server 2016 Core でテストされています。コンテナに Access Server をインストールするには、以下の手順を実行します。
- EricomAccessServer64.msi をWindows Server 2016 Core コンテナの c:\build\msi フォルダにコピーします。
- c:\build\Dockerfileを作成します。Dockerfile の内容は以下のとおりです。
FROM microsoft/windowsservercore
ADD MSI /MSI
RUN msiexec /i msi\ericomaccessserver64.msi /qn
- Access Server をインストールした windowsservercore に基づき、as-dockerfile という名前のイメージを作成します: docker build -t admin/as-dockerfile c:\build
- コンテナを作成し、実行します: docker run -d ‐‐name ascontainer -p 8080:8080 admin/as-dockerfile ping -t localhost
- 次を使用して、コネクタへの接続をテストします: <コンテナのアドレス>:8080
既知の制約¶
可能な限り Access Server を RDP のホストにインストールすることをお勧めします。Access Server が RDP ホストに対して Gateway として使用されている場合、複数ユーザで障害が発生する原因となります。以下の機能も利用できなくなる可能性があります。
- ファイル転送のアップロードとダウンロード
- キーボード自動検出はモバイル・デバイスでは利用できません。
- 指定ライセンス (TSAgentはRDPホスト上に必要です)
- TSAgent 自動ログオフ検出
- Lexmark ドライバがターゲットホストにインストールされていない場合のAccessNowの印刷
ビルトインのログイン・スクリプト¶
公開アプリケーションや公開デスクトップへ接続するタイミングや切断するタイミングで任意のスクリプトを実行させることができます。
機能概要¶
以下のタイミングで指定した任意のスクリプトを1つ実行することができます。
- RDSサーバログオン時
- RDSサーバからのセッション切断時
- RDSサーバへのセッション再接続時
また、プログラムを起動させたい対象ユーザや公開アプリを指定することも可能です。例えば
- ユーザAが公開アプリを起動した場合だけ実行させたい
- ワードパッドを起動した場合だけ実行させたい
ということも可能です。
※ ユーザAがワードパッドを起動した場合のみ実行させたいということはできません。あくまでユーザ単位、公開アプリ単位指定となります。
設定手順¶
- AccessServerのインストールディレクトリ配下にScriptsフォルダを作成
- Scriptsフォルダへ実行させたいファイルを以下例のファイル名で作成
- RDSサーバログオン時に実行させたい場合
- RDSサーバからのセッション切断時に実行させたい場合
- RDSサーバへのセッション再接続時に実行させたい場合
- ユーザA(user01)ログオン時のみ実行させたい場合
- 特定の公開アプリ(Wordpad)起動時のみ実行させたい場合
新しいファイルを作成する VB スクリプトのサンプル¶
RDP ホストアクセスのホワイトリスト¶
- V9.4 以降では、Access Server のレジストリ構成により、接続可能な RDP ホストが構成されます:
- HKEY_LOCAL_MACHINE\SOFTWARE\Ericom Software\Access Server\SERVER Side\AllowedDestinationsInNonManagedMode
これは、ポート値 (オプション。デフォルトは 3389) に接続できるマシンセミコロン区切りリストです。任意のポートを指定するには「*」を使用します。 マシン名には、ワイルドカードを表す「*」を名前に含めることができます。値は使用する度に読み取られます。この値が欠落している場合、ローカルホストが許可されます。この機能を設定すると、認証されていない SSRF を防ぐことができます。
- 例:
localhost;127.0.0.1;192.168.1.2:3389;*.ericom.com
KEY_LOCAL_MACHINE\SOFTWARE\Ericom Software\Access Server\SERVER Side の下にある AllowedClientAddresses という名称のオプションの文字列値は、AccessServer に接続できるマシンのセミコロン区切りリストです。値は開始時に読み取られるため、値を変更する度にサービスを再起動してください。値が欠落しているか、構成されていない場合、すべてのホストが許可されます。IP アドレスのみがサポートされています。
Web リクエストとセキュリティのためのヘッダ¶
セキュリティを強化するために、HKEY_LOCAL_MACHINE\SOFTWARE\Ericom Software\Access Server\SERVER Side\CustomHttpHeaders のオプションのヘッダーがすべての Web リクエストに追加され、HKEY_LOCAL_MACHINE\SOFTWARE\Ericom Software\Access Server\SERVER Side\CustomCacheControlHeaders 下のヘッダーがキャッシュ可能なリクエストに追加されます。
- CustomCacheControlHeaders の値:
- Cache-Control: no-cache, no-store, must-revalidate
- CustomHttpHeaders の値:
- X-Content-Type-Options: nosniff
- X-Frame-Options: SAMEORIGIN
- X-XSS-Protection: 1; mode=block
Eriocm Access Server のアンインストール¶
コントロール・パネルの「プログラムの追加と削除」を使用して Ericom Access Server をアンインストールします。
Ericom Access Server を選択し、アンインストール または 削除 をクリックし、アンインストール・プロセスを開始します。