# RDP
## 概要 KeeperでRDPプロトコルのサポートを管理するには、複数のパラメータを使用します。MySQLやPostgreSQLなどのデータベースを使用する場合、これらのパラメータはウェブインターフェースで表示されます。[暗号化されたJSON](https://newdocs.keeper.io/kcm-linux-rpm-method/using-keeper-connection-manager/dynamic-connections)や[LDAPスキーマの変更](/keeper-connection-manager/jp/authentication/authenticating-users-with-ldap/storing-connection-data-within-ldap.md)など、別のメカニズムを使用して接続を定義する場合、パラメータは内部パラメータ名を使用して指定します。 本ページでは、サポート対象パラメータをウェブインターフェース内と同じ方法でグループ化して網羅することを意図しています。ウェブインターフェースに表示されるフィールド見出しは、パラメータごとに表示され、各パラメータの内部名、そのパラメータの動作の詳細な説明と適正値も一緒に記載しています。 * [Keeperシークレットマネージャーのパラメータ](#id-.rdpv2.x-networkparameters) * [ネットワークパラメータ](#id-.rdpv2.x-networkparameters) * [認証/セキュリティパラメータ](#id-.rdpv2.x-authentication-securityparameters) * [リモートデスクトップゲートウェイパラメータ](#id-.rdpv2.x-remotedesktopgatewayparameters) * [基本設定](#id-.rdpv2.x-basicsettings) * [表示パラメータ](#id-.rdpv2.x-displayparameters) * [クリップボードのパラメータ](#id-.rdpv2.x-clipboardparameters) * [デバイスリダイレクトパラメータ](#id-.rdpv2.x-deviceredirectionparameters) * [パフォーマンスパラメータ/フラグ](#id-.rdpv2.x-performanceparameters-flags) * [RemoteAppのパラメータ](#id-.rdpv2.x-remoteappparameters) * [負荷分散パラメータ (接続ブローカー)](#id-.rdpv2.x-loadbalancingparameters-connectionbroker) * [事前接続PDU (Hyper-V)](#id-.rdpv2.x-preconnectionpdu-hyper-v) * [画面記録パラメータ](#id-.rdpv2.x-screenrecordingparameters) * [SFTPパラメータ (ファイル転送)](#id-.rdpv2.x-sftpparameters-filetransfer) ### Keeperシークレットマネージャーのパラメータ
| フィールド見出し | パラメータ名 | 説明 | | -------------------------------------------------------- | ------------------------- | ---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | Allow user-provided KSM configuration: (ユーザー提供のKSM設定を許可) | `ksm-user-config-enabled` | 「true」に設定すると、Keeper Connection Managerの各ユーザープロファイルを任意の接続のKeeper Secrets Manager設定に割り当てることができます。詳細は、[複数ボルトの連携](https://newdocs.keeper.io/kcm-linux-rpm-method/vault-integration/multiple-vaults-integration)画面をご参照ください。 | ### ネットワークパラメータ RDP接続は、TCPを使用して特定のポートと特定のホスト名またはIPアドレスに対して確立されます。**すべてのRDP接続にホスト名またはアドレスを指定する必要があります**が、ポートを指定する必要があるのは、標準のRDPポート (3389) を使用していない場合だけです。
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | ---------------------- | ---------- | ------------------------------------------------------------------------------------------------------------ | | ホスト名: | `hostname` | **必須:** Guacamoleが接続するRDPサーバーのホスト名またはIPアドレス。 | | ポート: | `port` | RDPサーバーの待ち受けポート。これを指定しない場合、選択したセキュリティモードに応じて、RDPの標準ポート (3389) またはVMConnect用のHyper-Vのデフォルトポート (2179) が使用されます。 | ### 認証/セキュリティパラメータ RDPは、ユーザー名、パスワード、オプションのドメインを使用して認証を提供します。すべてのRDP接続は、TLS形式の高水準の暗号化を使用して暗号化されます。 {% hint style="info" %} 必要なユーザー名およびパスワードが、Guacamoleへのログインに使用するユーザー名およびパスワードと同じである場合 (たとえば、[LDAPを使用してGuacamoleをActive Directoryと連携](/keeper-connection-manager/jp/authentication/authenticating-users-with-ldap.md)した結果)、`${GUAC_USERNAME}`トークンと`${GUAC_PASSWORD}`トークンをそれぞれ指定することで、**Guacamoleのユーザー名とパスワードを渡すことができます**。 {% endhint %}
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | ---------------------- | -------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | ユーザ名: | `username` | 認証に使用するユーザー名 (必要に応じて)。 | | パスワード: | `password` | 認証を試行するときに使用するパスワード(必要に応じて)。 | | ドメイン: | `domain` | 認証を試行するときに使用するドメイン(必要に応じて)。 | | セキュリティモード: | `security` |

RDP接続に使用するセキュリティモード。このモードで、データの暗号化方法と実行する認証の種類を指定します (必要に応じて)。デフォルトでは、セキュリティモードのネゴシエーションが実行されます。

適正値は以下のとおりです。

| | 認証の無効化: | `disable-auth` |

true」に設定すると、認証が無効になります。これは、接続中に行われる認証を意味することにご注意ください。リモートデスクトップセッションを使用してサーバーが強制する認証 (ログインダイアログなど) はすべて、引き続き行われます。デフォルトでは、認証は有効になっており、サーバーが要求した場合にのみ使用されます。

NLAを使用している場合は、定義により認証を有効にする必要があります。

| | サーバー証明書を無視: | `ignore-cert` | 「true」に設定すると、その証明書を検証できない場合でも、サーバーから返された証明書は無視されます。これは、サーバーとサーバーへの接続を例外なく信頼し、サーバーの証明書を検証できないことがわかっている場合 (たとえば、自己署名の場合) に有効です。 | {% hint style="info" %} 信頼された企業CA証明書ルートがある場合、[keeper/guacd](/keeper-connection-manager/jp/installation/docker-compose-install/keeper-guacd.md)イメージの**`CA_CERTIFICATES`**環境変数を更新できます。 {% endhint %} ### リモートデスクトップゲートウェイパラメータ Microsoftのリモートデスクトップサーバーは、外部接続を本来ならアクセスできない内部のRDPサーバーに転送できる追加のゲートウェイサービスを提供します。Guacamoleを使用してこのようなゲートウェイ経由で接続する場合は、そのゲートウェイへの接続を記述する追加のパラメータと、必要なクレデンシャルを設定する必要があります。
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | ---------------------- | ------------------ | -------------------------------------------------------------------------------------------------- | | ホスト名: | `gateway-hostname` | リモートデスクトップ接続の中継として使用するリモートデスクトップゲートウェイのホスト名。**省略した場合、ゲートウェイは使用されません。** | | ポート: | `gateway-port` | リモートデスクトップ接続の中継として使用するリモートデスクトップゲートウェイのポート。デフォルトでは、ポート443が使用されます。 | | ユーザ名: | `gateway-username` | リモートデスクトップゲートウェイで認証するユーザーのユーザー名 (ゲートウェイを使用している場合)。これは、実際にリモートデスクトップ接続を使用しているユーザーと必ずしも同じであるとは限りません。 | | パスワード: | `gateway-password` | リモートデスクトップゲートウェイで認証する場合に設定するパスワード (ゲートウェイを使用している場合)。 | | ドメイン: | `gateway-domain` | リモートデスクトップゲートウェイで認証するユーザーのドメイン (ゲートウェイを使用している場合)。これは、実際にリモートデスクトップ接続を使用しているユーザーと同じドメインであるとは限りません。 | ### 基本設定 RDPセッションには通常、標準的なユーザーの完全なデスクトップ環境が含まれます。また、RDPサーバーのデフォルトシェルの代わりに使用するプログラムを手動で指定したり、管理コンソールに接続したりすることもできます。 Guacamoleはキーボードのレイアウトに依存しませんが、RDPは依存します。これは、GuacamoleがキーのID (「Enterキーを押す」) に基づいてキーを示すのに対し、RDPはキーの場所 (「2行目の右端のキーを押す」) に基づいて識別子を使用するためです。GuacamoleのキーイベントとRDPのキーイベントを変換するには、RDPサーバーのキーボードレイアウトをGuacamoleが前もって知っている必要があります。 デフォルトでは、米国英語のqwertyキーボードが使用されます。これがRDPサーバーのキーボードレイアウトと一致しない場合、キーが正しく変換されないため、接続設定で別のレイアウトを明示的に選択する必要があります。ご利用のキーボードレイアウトがサポートされていない場合は、ご利用のアカウントから[サポートチケット](https://www.keepersecurity.com/ja_JP/connection-manager.html)を作成してお知らせください。
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | -------------------------------- | ----------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | 初期化プログラム: | `initial-program` | 接続するとすぐに実行するプログラムへのフルパス。 | | クライアント名: | `client-name` |

RDPサーバーに接続する場合、Guacamoleは通常、独自のホスト名をクライアントの名前として設定します。このパラメータが指定された場合、Guacamoleは代わりにその値を使用します。

Windows RDPサーバーでは、この値はCLIENTNAME環境変数としてセッション内で開示されます。

| | キーボードレイアウト: | `server-layout` |

RDPサーバーが使用するキーボードレイアウト。適正値は以下のとおりです。

これはRDPサーバーのレイアウトであり、クライアントで使用されるキーボードレイアウトとは関係ありません。Guacamoleクライアントはキーボードのレイアウトに依存しません。RDPプロトコルはキーボードレイアウトと無関係ではないため、Guacamoleは、ユーザーが入力しているときに正しいキーを送信するためにサーバーのキーボードレイアウトを知っている必要があります。

現在サポートされていないキーボードレイアウトが必要な場合は、ご利用のアカウントからサポートチケットを作成してお知らせください。

| | タイムゾーン: | `timezone` |

サーバーのローカル時刻表示を設定するために、クライアントがサーバーに送信する必要のあるタイムゾーン。タイムゾーンの形式は、UNIX/Linuxで使用されている標準のIANAキーゾーン形式です。これはRDPによってWindows用の正しい形式に変換されます。

クライアントのタイムゾーン転送のサポートは、RDPサーバーの実装によって異なります。たとえば、Windowsでは、タイムゾーンの転送は、リモートデスクトップサービス (RDS、旧称ターミナルサービス) がインストールされているWindows Serverでのみサポートされます。管理者モードのWindows ServerインストールとWindowsワークステーションバージョンは、タイムゾーンを転送できません。XRDPなどの他のサーバー実装では、この機能がまったく実装されていない場合があります。この機能がサポートされているか否かは、RDPサーバーのドキュメントを参照してください。

| | Enable multi-touch: (マルチタッチを有効化) | `enable-touch` |

RDP接続でマルチタッチサポートを有効にする必要がある場合は「true」。RDPのマルチタッチサポートを有効にすると、タッチイベントをリモートデスクトップに渡すことができますが、RDPサーバーがRDPEIチャネルをサポートしている必要があります。

このパラメータによって、Guacamole自体がタッチイベントをサポートするかどうかを制御するのではありません。Guacamoleは常にタッチイベントをサポートしており、デフォルトでマウスをエミュレートするためにタッチイベントを使用します。このパラメータによって制御するのは、タッチイベントをRDPサーバーに直接渡すか否かのみであって、マウスのエミュレーションを制御するのではありません

| | 管理者コンソール: | `console` | 「true」に設定すると、RDPサーバーのコンソール (管理者) セッションに接続されます。 | ### 表示パラメータ Guacamoleは、ブラウザウィンドウのサイズとデバイスのDPIに基づいて、RDP接続の適切な表示サイズを自動的に選択します。表示サイズは、幅または高さの値を明示的に指定することで強制的に設定できます。帯域幅の使用量を減らすために、サーバーに色深度の低減を要求することもできます。
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | ------------------------------------- | ---------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | 幅: | `width` | 表示幅の指定 (ピクセル単位)。この値が指定されていない場合、接続するクライアントの表示幅が代わりに使用されます。 | | 高さ: | `height` | 表示の高さの指定 (ピクセル単位)。この値が指定されていない場合は、接続するクライアントの表示の高さが代わりに使用されます。 | | 解像度 (DPI): | `dpi` | クライアントの表示に必要な有効解像度 (DPI)。この値が指定されていない場合、クライアントの表示の解像度とサイズから、RDPセッションの適切な解像度を探ります。 | | カラー深度: | `color-depth` | 色深度の指定 (ピクセルあたりのビット数)。適正値は8、16、または24です。ここでどのような値が選択されているかにかかわらず、Guacamoleは常に画像伝送を最適化しようとし、ピクセルあたりの使用ビット数を下げても画質が目に見えて変化しない場合は、自動的に下げます。 | | Force lossless compression: (可逆圧縮を強制) | `force-lossless` | この接続で可逆圧縮のみを使用するか否か。「true」に設定すると、すべての画像更新で可逆圧縮アルゴリズムが使用されます。デフォルトでは、非可逆圧縮の方が無損失圧縮よりも優れている可能性が高いことをGuacamoleが検出すると、自動的に非可逆圧縮が使用されます。 | | サイズ変更方法: | `resize-method` |

クライアントの表示の幅または高さが変更されたときに、RDPサーバーを更新するために使用する方法。この値が指定されていな場合、クライアントの表示サイズが変更されてもアクションは実行されません。

通常、RDPセッションの表示サイズは一定であり、最初に接続するときにのみ変更できます。RDP 8.1以降、「表示更新」チャネルを使用して、サーバーに表示サイズの変更を要求できるようになりました。古いRDPサーバーでは、一旦切断して再接続し、新しいサイズにするしかありません。

適正値は以下のとおりです。

| | 読み取り専用: | `read-only` | この接続を読み取り専用にするか否か。「true」に設定すると、接続で入力が一切できなくなります。ユーザーはデスクトップやアプリケーションを表示できますが、操作はできません。 | ### クリップボードのパラメータ Guacamoleは、RDP接続でクリップボードへの双方向アクセスをデフォルトで可能にします。この動作は接続ごとにオーバーライドでき、クリップボードへのアクセスを制限できます。
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | ---------------------- | --------------- | ------------------------------------------------------------------------------------------------------------------------------------- | | リモートデスクトップからのコピーを無効化: | `disable-copy` | 「true」に設定すると、RDPセッション内でコピーされたテキストは、Guacamoleセッションのブラウザ側ではユーザーからアクセスできなくなり、リモートデスクトップ内でのみ使用できるようになります。デフォルトでは、ユーザーはコピーしたテキストにアクセスできます。 | | クライアントからの貼り付けを無効化: | `disable-paste` | 「true」に設定すると、Guacamoleセッションのブラウザ側でコピーされたテキストは、RDPセッション内でアクセスできなくなります。デフォルトでは、ユーザーはRDPセッション内でブラウザ以外からデータを貼り付けることができます。 | ### デバイスリダイレクトパラメータ デバイスリダイレクトとは、RDPを介してディスプレイのないデバイスを使用することを指します。現在、GuacamoleのRDPサポートでは、オーディオ (出力と入力の両方)、印刷、およびディスクアクセスのリダイレクトが可能であり、その一部は適切に機能するために以下の追加設定が必要です。 * オーディオ出力はデフォルトで常に有効になっています。オーディオ出力の設定変更は、これを無効にすべき場合にのみ行う必要があります。 * オーディオ入力を有効にすると、リモートデスクトップセッション内でデバイスのマイクを使用できるようになります。これを有効にするには通常、Windows内で追加の設定も必要になります。これを無効にするグループポリシーが設定されている場合が多いからです。古いバージョンのWindowsでは、リモートデスクトップ経由のオーディオ入力がまったくサポートされていない場合があります。 * 印刷を有効にすると、任意のドキュメントをPDFに直接出力できるようになります。ドキュメントがリダイレクトされたプリンターに印刷されると、ユーザーはウェブブラウザでそのドキュメントのPDFダウンロードを受信します。 * ファイル転送は、有効にすると、仮想ディスクドライブをエミュレートすることによって実現されます。このドライブは、指定されたドライブパス内に限定されて、Guacamoleサーバー上で保持されます。
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | ---------------------- | -------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------ | | コンソールでの音声サポート: | `console-audio` | 「true」に設定すると、RDPサーバーのコンソール (管理者) セッションでオーディオが明示的に有効になります。このオプションを「true」に設定した場合は、\_`console`\_パラメータも「true」に設定しないと意味がありません。 | | オーディオの無効化: | `disable-audio` | オーディオ出力はデフォルトで常に有効になっています。帯域幅の使用量が心配な場合、またはオーディオによる問題が発生している場合は、このパラメータを「true」に設定することで、オーディオ出力を明示的に無効にできます。 | | 入力オーディオ(マイク)の有効化: | `enable-audio-input` | 「true」に設定すると、RDPの標準「AUDIO\_INPUT」チャンネルを利用して、オーディオ入力サポート (マイク) が有効になります。デフォルトでは、RDP内のオーディオ入力サポートは無効になっています。 | | 印刷の有効化: | `enable-printing` | 「true」に設定すると、リダイレクトされたプリンターがRDPセッション内で使用可能になり、ユーザーはこれを使用してPDFに出力できます。PDFはユーザーのブラウザによって受信され、自動的にダウンロードされます。デフォルトでは、印刷は無効になっています。 | | リダイレクトされたプリンタ名: | `printer-name` | RDPセッションに渡されるリダイレクトされたプリンタデバイスの名前。これは、ユーザーのアプリケーションとコントロールパネルのデバイスとプリンター内に表示される名前です。プリンターのリダイレクトが有効になっていない場合、このパラメータは無効です。 | | ドライブを有効化: | `enable-drive` | 「true」に設定すると、リダイレクトされたドライブがRDPセッション内で使用可能になり、ユーザーはこれを使用してファイルを転送できます。仮想ドライブの内容は、Guacamoleサーバーの「`drive-path`」パラメータで指定されたディレクトリ内に保持されます。デフォルトでは、ドライブのリダイレクトは無効になっています。 | | ドライブ名: | `drive-name` |

RDPセッションに渡すときに使用されるファイルシステムの名前。これは、ユーザーのコンピュータ/マイコンピュータ領域にクライアント名と共に表示される名前であり、ネットワークの特別な場所である\tsclientにアクセスするときの共有の名前でもあります。

ドライブのリダイレクトが有効になっていない場合、このパラメータは無視されます。

| | ドライブパス: | `drive-path` |

転送されたファイルを保存するGuacamoleサーバー上のディレクトリ。guacdサービスのユーザーまたはグループこのディレクトリにアクセスできる必要があります

ドライブのリダイレクトが有効になっていない場合、このパラメータは無視されます。

| | ドライブの自動作成: | `create-drive-path` |

「true」に設定すると、指定したドライブのパスの末尾のディレクトリがまだ存在しない場合、自動的に作成されます。デフォルトでは、ドライブのパスの一部が自動的に作成されることはなく、存在しないディレクトリを使用しようとすると、必ずエラーになります。

自動的に作成されるのは、パス内の末尾のディレクトリのみです。パスの末尾以外の先頭の方のディレクトリが存在しない場合、エラーで失敗します。

ドライブのリダイレクトが有効になっていない場合、このパラメータは無視されます。

| | 静的チャネル名: | `static-channels` |

パイプとして開いたり、開示したりする静的チャネル名のコンマ区切りのリスト。リモートデスクトップで実行されているアプリケーションとJavaScriptの間で通信したい場合は、この方法が最適です。Guacamoleは、静的チャネルの名前を持つ発信パイプを開きます。JavaScriptが別の方向に返信する必要がある場合は、同じ名前のパイプをもう1つ開いて応答する必要があります。

Guacamoleでは、任意の数の静的チャネルを開くことができますが、RDPプロトコルの制限により、各チャネル名のサイズは最大7文字です。

| ### パフォーマンスパラメータ/フラグ RDPには、見た目の良さのためにパフォーマンスを低下させ、帯域幅を増加させる、壁紙、ウィンドウテーマ、メニュー効果、滑らかなフォントなどの機能を使用するか否かを制御するフラグがいくつか用意されています。これらの機能は、帯域幅の使用が最小限に抑えられるように、Guacamole内ではデフォルトですべて無効になっていますが、必要に応じて接続ごとに手動で再度有効にすることができます。
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | ------------------------ | ---------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | 壁紙の有効化: | `enable-wallpaper` | 「true」に設定すると、デスクトップの壁紙の表示が有効になります。デフォルトでは壁紙は無効になっており、デスクトップの再表示に不要な帯域幅を無駄にせずに済みます。 | | テーマの有効化: | `enable-theming` | 「true」に設定すると、ウィンドウとコントロールのテーマ設定の使用が有効になります。デフォルトでは、RDPセッション内のテーマ設定は無効になっています。 | | クリアタイプフォントの有効化: | `enable-font-smoothing` | 「true」に設定すると、テキストの縁が滑らかに表示されます。デフォルトでは、RDP上のテキストの縁の表示は粗くなります。粗くすることで、テキストで使用される色の数が減り、接続に必要な帯域幅が減少するためです。 | | フルウィンドウドラッグの有効化: | `enable-full-window-drag` | 「true」に設定すると、ウィンドウの移動中にウィンドウの内容が表示されます。デフォルトでは、RDPサーバーはウィンドウがドラッグされている間は、ウィンドウの境界線しか表示しません。 | | デスクトップコンポジション(Aero)の有効化: | `enable-desktop-composition` | 「true」に設定すると、透明なウィンドウや影などのグラフィック効果が有効になります。デフォルトでは、このような効果は使用可能な場合でも無効になっています。 | | メニューアニメーションの有効化: | `enable-menu-animations` | 「true」に設定すると、メニューの開閉アニメーションが有効になります。メニューアニメーションは、デフォルトでは無効になっています。 | | ビットマップキャッシュの無効化: | `disable-bitmap-caching` |

「true」に設定すると、RDPのビットマップキャッシュは使用されません。デフォルトでは、ビットマップのキャッシュ保存は有効になっています。

一般的にこの設定が役に立つのは、ビットマップキャッシュの実装に既知のバグがあるRDPサーバーを使用する場合のみで、ほとんどの場合は有効のままで大丈夫です。

| | オフスクリーンキャッシュの無効化: | `disable-offscreen-caching` |

「true」に設定すると、画面の現在表示されていない領域のキャッシュが無効になります。デフォルトでは、オフスクリーン領域のキャッシュは有効になっています。

一般的にこの設定が役に立つのは、オフスクリーンキャッシュの実装に既知のバグがあるRDPサーバーを使用する場合のみで、ほとんどの場合は有効のままで大丈夫です。

| | グリフキャッシュの無効化: | `disable-glyph-caching` |

「true」に設定すると、RDPのグリフキャッシュは使用されません。デフォルトでは、グリフのキャッシュ保存は有効になっています。

一般的にこの設定が役に立つのは、グリフキャッシュの実装に既知のバグがあるRDPサーバーを使用する場合のみで、ほとんどの場合は有効のままで大丈夫です。

| ### RemoteAppのパラメータ Windows ServerにはRemote Desktop Services (RDS) ロールを通じて提供されるRemoteAppという機能があり、フルデスクトップ環境にアクセスさせることなく、RDP経由で個別のアプリケーションを利用できます。Windows Serverでこの機能が有効化・設定されている場合、あるいは別の方法でRemoteAppが構成・有効化されている場合は、Keeperコネクションマネージャーを利用してそれらの個別アプリケーションを使用するように構成できます。 KCMオンプレミスを利用してRemoteAppにアクセスする主な利点 * **集中管理:** 管理者は単一の画面からアプリ、更新、権限を制御可能 * **シームレスなユーザー体験:** RemoteAppはブラウザ上で動作し、ユーザーにネイティブアプリのように感じさせます * **コスト効率:** エンドポイントごとのインストールやプラグイン不要。デスクトップソフトの展開・保守やセキュリティ対応を軽減 * **強化されたセキュリティ:** データやアプリはセキュアなサーバー上に留まり、RBAC、MFA、セッション録画をサポート * **クロスプラットフォームアクセス:** macOS、Linux、モバイルのユーザーも、RDP/SSH/VNC/DB経由でWindows専用アプリや他のシステムにアクセス可能
### 1. Program (プログラム) これはRemoteAppで構成されたRDSホストまたは対象システム上で起動するリモートアプリケーションです。接続を開始すると、このアプリケーション **のみ** がユーザーに提供されます。通常、アプリケーションを利用可能にするには、まず「コレクション」で「RemoteApp」プログラムとして公開する必要があります。 「Alias」として設定したRemoteAppを指定できます (例: `||cmd`)。または、エイリアスではなくフルパスを使用してプログラムを起動することもできます (例: `C:\Windows\system32\cmd.exe` や `%windir%\system32\cmd.exe`)。 RemoteApp用のRemote Desktop Servicesコレクションに関する詳細情報については、[こちら](https://learn.microsoft.com/en-us/windows-server/remote/remote-desktop-services/rds-create-collection)のMicrosoft公式のドキュメントをご参照ください。 ### 2. Working Directory (作業ディレクトリ) これは、リモートアプリケーションが利用する作業ディレクトリです (サポートされている場合)。すべてのアプリケーションが作業ディレクトリをサポートしているわけではありません。例えばメモ帳 (Notepad) ではサポートされていません。 Microsoft RemoteAppのコンテキストでは、作業ディレクトリとはリモートアプリケーションがファイルを開いたり保存したりする際の既定のフォルダを指します。特定の場所にデータや設定ファイルが存在することを前提とするレガシーアプリケーションにとっては特に重要です。 「Working Directory」を指定するには、`C:\remoteworkingdir\` のようにディレクトリパスを入力します。 ### 3. Parameters (パラメータ) ここには、リモートアプリケーションに渡すコマンドライン引数を入力します (必要な場合のみ)。すべてのアプリケーションがコマンドライン引数を持っているわけではありません。アプリケーションごとの「コマンドライン引数」と使用方法については、そのアプリケーションのコマンドラインドキュメントをご参照ください。 例えば、RemoteAppとして `cmd.exe` を起動する際に、コマンド拡張の有効化、背景色/前景色の変更、作業ディレクトリ内の内容一覧を自動的に実行したい場合、以下のようにコマンドライン引数を指定します。 ``` /e:on /t:06 /k dir ``` これは「cmd.exe」専用の例です。その他の「cmd.exe」用コマンドライン引数の例についても、必要に応じてテストに利用できるものが公開されています。 以下のスクリーンショットは、RemoteAppとして「C:\Windows\system32\cmd.exe」を起動し、RemoteAppのパラメータに上記のコマンドライン引数 `/e:on /t:06 /k dir` を設定した結果、接続開始時に自動的に実行される様子を示しています。
### 負荷分散パラメータ (接続ブローカー) リモートデスクトップサーバーがロードバランサー (別名、「接続ブローカー」または「TSセッションブローカー」) の背後にある場合、ロードバランサーは接続プロセス中に、着信接続のルーティング方法を決定するための追加情報を必要とする場合があります。RDPはこの情報の形式を指定しません。形式は、使用中のバランサーに固有です。 ロードバランサーを使用していて、そのような情報が必要かどうかがわからない場合は、**バランサーのドキュメントを確認する必要があります**。利便性を考慮して、バランサーに`.rdp`ファイルが用意されている場合は、それらのファイルの中身を調べて「`loadbalanceinfo`」という文字列フィールドを見つけます。このフィールドに必要な情報/cookieが指定されます。
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | ---------------------- | ------------------- | ---------------------------------------------------------------- | | ロードバランス情報/クッキー: | `load-balance-info` | 接続ブローカーに提供する負荷分散情報またはcookie。**接続ブローカーを使用していない場合は、空白のままにしてください。** | ### 事前接続PDU (Hyper-V) 一部のRDPサーバーは、1つのTCPポートで待ち受ける1台のサーバーの背後で複数の論理RDP接続を提供します。これらの論理接続を選別するには、RDPクライアントは「事前接続PDU」 (別名、「RDPソース」) という宛先を一意に識別する値を含むメッセージを送信する必要があります。このメカニズムは、RDPプロトコルの[「Session Selection Extension」](https://msdn.microsoft.com/en-us/library/cc242359.aspx)によって定義され、MicrosoftのHyper-Vハイパーバイザーによって実装されています。 Hyper-Vを使用している場合は、接続先仮想マシンのIDを 「事前接続BLOB」 として指定する必要があります。この値は、PowerShellを使用して設定できます。 ``` PS C:\> Get-VM VirtualMachineName | Select-Object Id Id -- ed272546-87bd-4db9-acba-e36e1a9ca20a PS C:\> ``` 事前接続PDUは意図的に使用法が限定されていません。主にHyper-Vの背後にある仮想マシンを選別する手段として使用されますが、他のRDPサーバーでも使用される場合があります。事前接続ID、BLOB、またはその両方を使用するかどうか、およびその値の意味は、RDPサーバー自体の設定次第です。 Hyper-Vの使用が確定している場合は、組み込みのRDPサーバーが使用するパラメータが認証とポート番号の両方とも若干異なり、Guacamoleのデフォルトでは機能しないことにご注意ください。ほとんどの場合、Hyper-Vに接続するときに以下の手順を実行する必要があります。 1. ユーザー名とパスワードの両方を適切に指定し、セキュリティモードを「`vmconnect`」に設定します。「`vmconnect`」セキュリティモードを選択すると、Hyper-Vでのサポートが確認されているセキュリティモードを自動的にネゴシエートするようにGuacamoleが設定され、Hyper-VのデフォルトRDPポート (2179) が自動的に選択されます。 2. 必要に応じて、Hyper-Vで使用されるTLS証明書を無視します (自己署名の可能性)。
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | ---------------------- | -------------------- | --------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | RDPソースID: | `preconnection-id` | RDPソースの数字のID。これは、場合によっては複数ある論理RDP接続のうち、どれを使用するかを指定する負でない整数値です。このパラメータが必要なのは、RDPサーバーが必要とすると記載されている場合のみです。**Hyper-Vを使用している場合は、空白のままにしてください。** | | 事前接続BLOB (VM ID): | `preconnection-blob` | RDPソースを識別する任意の文字列 - 同じRDPサーバーによって提供された、場合によっては複数ある論理RDP接続の1つ。このパラメータが必要なのは、RDPサーバー (Hyper-Vなど) が必要とすると記載されている場合のみです。いずれにせよ、このパラメータの意味はRDPプロトコル自体に対して明確ではなく、RDPサーバーによって決まります。**Hyper-Vの場合、これは接続先仮想マシンのIDになります。** | ### 画面記録パラメータ RDPのセッションは画像で記録できます。これらの記録は、Guacamoleプロトコルのダンプ形式を取り、指定したディレクトリに自動的に記録されます。その後、[player.glyptodon.com](https://player.glyptodon.com/)でホストされている[Keeper Connection Manager Session Recording Playerアプリケーション](https://player.glyptodon.com/)を使用して (またはこのアプリケーションのローカルデプロイを使用して)、記録を再生できます。 このプレーヤーは静的なウェブアプリケーションであり、作成された記録の再生にはJavaScriptのみを使用します。この機能は厳密にローカルで実行され、**記録がリモートサービスにアップロードされて処理されることはありません**。このアプリケーションの独自のデプロイを使用したい場合、またはソースコードを調査したい場合は、[こちらのGithub](https://github.com/glyptodon/glyptodon-enterprise-player)にてKeeper Connection Manager Session Recording Playerの完全なソースコードとローカルデプロイの手順をご参照ください。 {% hint style="info" %} Keeperコネクションマネージャーの最新バージョンでは、記録したセッションを画面上で再生できます。詳しくは、[セッションレコーディング](https://newdocs.keeper.io/kcm-linux-rpm-method/using-keeper-connection-manager/session-recording)のページをご参照ください。 {% endhint %}
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | ---------------------------------- | -------------------------- | ------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- | | ログ保存ディレクトリ: | `recording-path` | 画面記録ファイルを作成するディレクトリ。**画像記録の作成が必要な場合は、このパラメータが必要です。**このパラメータを指定すると、画像による画面記録が有効になります。このパラメータを省略した場合、画像記録は作成されません。 | | ログファイル名: | `recording-name` |

作成されたすべての記録に使用するファイル名。省略した場合、各記録のファイル名は単に「recording」となります。

Guacamoleは既存の記録を上書きしません。必要に応じて、「.1」、「.2」、「.3」などの数字のサフィックスをファイル名に付加して、既存の記録が上書きされないようにします。数字のサフィックスを付加しても区別できない場合は、セッションは記録されず、エラーがログに記録されます。

このパラメータは、画像の記録が有効になっている場合にのみ機能し、記録のパスを指定することで制御できます。記録のパスが指定されていない場合、セッションの画像による記録は有効にならず、このパラメータは無視されます。

| | 画像/ストリームの除外: | `recording-exclude-output` |

「true」に設定すると、通常サーバーからクライアントにストリーミングされる画像出力やその他のデータが記録から除外され、ユーザー入力イベントのみを含む記録が生成されます。デフォルトでは、画像出力は記録に含まれます。

このパラメータは、画像の記録が有効になっている場合にのみ機能し、記録のパスを指定することで制御できます。記録のパスが指定されていない場合、セッションの画像による記録は有効にならず、このパラメータは無視されます。

| | マウス動作の除外: | `recording-exclude-mouse` |

「true」に設定すると、ユーザーのマウスイベントが記録から除外され、マウスカーソルが表示されない記録が作成されます。デフォルトでは、マウスイベントは記録に含まれます。

このパラメータは、画像の記録が有効になっている場合にのみ機能し、記録のパスを指定することで制御できます。記録のパスが指定されていない場合、セッションの画像による記録は有効にならず、このパラメータは無視されます。

| | Exclude touch events: (タッチイベントを除外) | `recording-exclude-touch` |

「true」に設定すると、ユーザーのタッチイベントが記録から除外され、タッチ操作の正確な詳細が不足した記録が作成されます。これは、リモートデスクトップサーバーがタッチ操作を独自に表示することもできるため、この設定によって、必ずしもタッチイベントが表示されなくなるとは限りません。デフォルトでは、タッチイベントは記録に含まれます。

このパラメータは、画像の記録が有効になっている場合にのみ機能し、記録のパスを指定することで制御できます。記録のパスが指定されていない場合、セッションの画像による記録は有効にならず、このパラメータは無視されます。

| | キーイベントの取得: | `recording-include-keys` |

「true」に設定すると、ユーザーキーイベントが記録に含まれます。その後、記録をguaclog ユーティリティに渡して、セッション中に押されたキーを人間が判読できるように変換できます。デフォルトでは、プライバシー保護のため、キーイベントは記録に含まれ「ません」。

このパラメータは、画像の記録が有効になっている場合にのみ機能し、記録のパスを指定することで制御できます。記録のパスが指定されていない場合、セッションの画像による記録は有効にならず、このパラメータは無視されます。

| | ログの保存ディレクトリを自動的に作成する: | `create-recording-path` |

「true」に設定すると、指定した記録のパスの末尾のディレクトリがまだ存在しない場合、自動的に作成されます。デフォルトでは、記録のパスの一部が自動的に作成されることはなく、存在しないディレクトリを使用しようとすると、セッションは記録されず、エラーがログに記録されます。

自動的に作成されるのは、パス内の末尾のディレクトリのみです。パスの末尾以外の先頭の方のディレクトリが存在しない場合、セッションは記録されず、エラーがログに記録されます。

このパラメータは、画像の記録が有効になっている場合にのみ機能し、記録のパスを指定することで制御できます。記録のパスが指定されていない場合、セッションの画像による記録は有効にならず、このパラメータは無視されます。

| ### SFTPパラメータ (ファイル転送) リモートデスクトップが通常ならSSHではなくRDP経由でアクセスされている場合でも、Guacamoleではファイル転送にSFTPを使用できます。このサポートは、RDP独自の 「ドライブリダイレクト」 (RDPDR) によって実装されるファイル転送とは関係がなく、RDPDRをサポートしないRDPサーバーで特に有効です。SFTPサーバーは、RDPサーバーと同一のサーバーである必要はありません。
| フィールド見出し (ウェブインターフェース) | パラメータ名 | 説明 | | ---------------------- | ---------------------------- | ----------------------------------------------------------------------------------------------------------------------------------- | | SFTPの有効化: | `enable-sftp` | ファイル転送を有効にするか否か。「true」に設定すると、ユーザーは指定されたサーバーからSFTPを使用してファイルをアップロードまたはダウンロードできるようになります。省略した場合、SFTPは無効になります。 | | ホスト名: | `sftp-hostname` | SFTPを提供するサーバーのホスト名またはIPアドレス。省略した場合、RDPサーバーの指定したホスト名またはアドレスが使用されます。 | | ポート: | `sftp-port` | SFTPを提供するSSHサーバーの待ち受けポート (通常は22)。省略した場合、標準のポート22が使用されます。 | | パブリックホストキー (Base64): | `sftp-host-key` | SFTPを提供するSSHサーバーのknown hostsエントリ。OpenSSHの`known_hosts`ファイル内で指定されるのと同じ形式 。設定しない場合、ホストIDの検証は実行されません。 | | ユーザ名: | `sftp-username` | SFTP用に指定したSSHサーバーに接続する場合と同様に、認証するユーザー名。**SFTPが有効な場合、このパラメータは必須です。** | | パスワード: | `sftp-password` | SFTP用に指定したSSHサーバーで認証する場合に使用するパスワード。 | | 秘密鍵: | `sftp-private-key` | 公開鍵認証に使用する秘密鍵のすべての内容。このパラメータを指定しない場合、公開鍵認証は使用されません。秘密鍵は、OpenSSH形式である必要があります。OpenSSHの`ssh-keygen`ユーティリティによって生成されるのと同様です。 | | パスフレーズ: | `sftp-passphrase` | 公開鍵認証で使用する秘密鍵を復号するために使用するパスフレーズ。秘密鍵がパスフレーズを必要としない場合、このパラメータは必要ありません。 | | ファイルブラウザのルートディレクトリ: | `sftp-root-directory` | Guacamoleのファイルブラウザを使用して接続ユーザーに公開するディレクトリ。省略した場合、デフォルトでルートディレクトリが使用されます。 | | デフォルトアップロードディレクトリ: | `sftp-directory` | ファイルを単にドラッグアンドドロップした場合に、ファイルがアップロードされるディレクトリ。ドラッグアンドドロップ以外の方法では、アップロード場所を指定する必要があります。省略した場合、SFTPを提供するSSHサーバーのデフォルトのアップロード場所が使用されます。 | | SFTPキープアライブ間隔: | `sftp-server-alive-interval` | SFTP接続のためにキープアライブパケットをSSHサーバーに送信する間隔 (秒単位)。ここで「0」 は、キープアライブパケットを一切送信しないことを意味します (デフォルトの動作)。適正な最小値は「2」です。 | --- # Agent Instructions: Querying This Documentation If you need additional information that is not directly available in this page, you can query the documentation dynamically by asking a question. Perform an HTTP GET request on the current page URL with the `ask` query parameter: ``` GET https://docs.keeper.io/keeper-connection-manager/jp/supported-protocols/rdp.md?ask= ``` The question should be specific, self-contained, and written in natural language. The response will contain a direct answer to the question and relevant excerpts and sources from the documentation. Use this mechanism when the answer is not explicitly present in the current page, you need clarification or additional context, or you want to retrieve related documentation sections.