RDS НА ОСНОВЕ СЕАНСОВ В WINDOWS SERVER 2012 R2. ЧАСТЬ 4 — РАСПРОСТРАНЕНИЕ ПРИЛОЖЕНИЙ REMOTEAPP И УДАЛЁННЫХ РАБОЧИХ СТОЛОВ
После того, как развёртывание служб RDS успешно выполнено (RDS на основе сеансов в Windows Server 2012 R2. Часть 1 — Развёртывание в домене), коллекции сеансов созданы и настроены необходимым образом (RDS на основе сеансов в Windows Server 2012 R2. Часть 2 — Создание и настройка коллекций сеансов) и во всех коллекциях опубликованы и сконфигурированы удалённые рабочие столы или приложения RemoteApp (RDS на основе сеансов в Windows Server 2012 R2. Часть 3 — Публикация и настройка удалённых приложений RemoteApp) перед системным администратором возникает задача распространения или, если угодно, доставки программ RemoteApp или удалённых рабочих столов конечным пользователям.
Простая, на первый взгляд, задача не так уж бесхитростна, как кажется на первый взгляд. Ведь пользователи могут получать доступ к опубликованным приложениям RemoteApp совершенно различными способами. Об этих способах и пойдет речь в этой статье.
Если вкратце, то рассмотрены следующие ключевые моменты:
- Использование веб-доступа
- Использование средств Панели инструментов в Windows 7/8/8.1
- Использование приложения Удалённый рабочий стол на Windows RT
- Использование средств групповой политики для доставки приложений RemoteApp клиентам с Windows 8/8.1 и Windows 7
- Доступ к приложениям RemoteApp из Windows XP
ИСПОЛЬЗОВАНИЕ ВЕБ-ДОСТУПА
Наиболее простым и очевидном способом доступа к приложениям RemoteApp является использование веб-доступа. Для того чтобы получить доступ к приложениям RemoteApp необходимо в строке браузера набрать адрес вида https://servername/rdweb и пройти процедуру аутентификации. В общем случае страница веб-доступа будет выглядеть примерно так как изображено на рисунке ниже.
Рис.1 — Страница веб-доступа к приложениям RemoteApp
Конечно, большинство системных администраторов вполне устроит такой вид страницы, а подавляющее количество пользователей даже не обратят внимания на вид этой страницы. Однако же существуют ситуации когда кастомизация страницы веб-доступа становится необходимостью.
НАСТРОЙКА ВНЕШНЕГО ВИДА СТРАНИЦЫ ВЕБ-ДОСТУПА
Изменение имени рабочей области. Первым делом хотелось бы поменять надпись Work Resouces на что-то другое, например, на Удалённые приложения RemoteApp. Эта надпись обозначает имя рабочей области (Workspace) и управлять ею можно средствами PowerShell.
На любом сервере фермы RDS запустим PowerShell от имени администратора. Я эту операцию выполняю на сервере посредника подключений —rdcb.domain.local. итак, для того, чтобы посмотреть идентификатор рабочей области и её имя используем командлет Get-RDWorkspace (синтаксис). Как видно на скриншоте ниже, имя текущей рабочей области Work Resources. Изменим его на Удалённые приложения RemoteApp с помощью командлета Set-RDWorkspace(синтаксис) и проверим результат, выполнив командлет Get-RDWorkspace.
Рис.2 — Изменение имени рабочей области коллекции сеансов RDS
Настройка элементов страницы веб-доступа. Значок, который расположен рядом с именем рабочей области, так же можно поменять на, скажем, логотип компании. Сделать это можно подредактировав файл Site.xsl, который находится на сервере веб-доступа в папке %WINDIR%\Web\RDWeb\Pages. Открыв этот файл с помощью любого текстового редактора в разделе Replaceable Company Logo Image указываем путь к файлу, содержащему логотип.
Рис.3 — Указание файла с логотипом
В этом же файле можно изменить и баннер, который является фоном для названия рабочей области и логотипа. Путь к фалу баннера можно изменить в разделеCustomizable banner and Text row. Фон страницы веб-доступа можно изменить в файле, содержащем таблицы стилей — tswa.css. Он расположен на сервере веб-доступа в папке %WINDIR%\Web\RDWeb\Pages\ru-RU. Если будет установлена локализация отличная от русской, то папка ru-RU будет называться согласно языку системы. Я строку с указанием файла изображения закомментирую. Это приведет к тому, что фон страницы установится в цвет определенный свойством background-color.
Рис.4 — Изменение фона страницы веб-доступа
Выполнив приведенные выше изменения, получим следующий вид страницы для организации веб-доступа.
Рис.5 — Изменённая страница веб-доступа
Следует обратить внимание на то, что если серверов веб-доступа несколько, то все операции по изменению внешнего вида страницы веб-доступа следует выполнять на всех серверах. Однако операцию смены названия рабочей области нужно выполнить единожды на любом сервере фермы RDS.
ДОБАВЛЕНИЕ СЕРТИФИКАТА ПОДЛИННОСТИ СЕРВЕРА
При попытке установления безопасного подключения по протоколу HTTPS к узлу веб-доступа пользователь будет проинформирован о том, что сертификат, который использует данный сервер не является доверенным.
Рис.6 — Ошибка сертификата безопасности
Для того, чтобы устранить эту проблему нужно создать для развёртывания RDS доверенный сертификат и установить его для службы веб-доступа к удалённым рабочим столам. Сделать это можно двумя способами. Первый — это получить сертификат от доверенного локального или доменного центра сертификации (более предпочтительный вариант) либо использовать самоподписанный сертификат. Поскольку создание и использование центра сертификации выходит за рамки этой статьи, рассмотрим создание наименее безопасного варианта сертификата — самоподписанного сертификата подлинности.
Сначала заходим в Диспетчер серверов, и последовательно переходим по вкладкам Службы удалённых рабочих столов и Коллекции. На панели Коллекции из меню Задачи выбираем пункт Изменить свойства развёртывания и в открывшемся диалоговом окне Настройка развёртывания переходим на вкладку Сертификаты.
Рис.7 — Настройка сертификатов для фермы RDS
Из перечня служб ролей RDS выбираем Веб-доступ к удалённым рабочим столам. Если будет использоваться сертификат от доверенного центра сертификации, путь к нему можно указать нажав на кнопку Выбрать существующий сертификат.
Т.к. мы будет создавать собственный самоподписанный сертификат, то нажимаем на кнопку Создать новый сертификат. Для того, чтобы создать новый сертификат, достаточно указать его имя (на чьё имя будет сформирован сертификат) и пароль.
Рис.8 — Создание нового сертификата
В связи с тем, что мы планируем распространять сертификат вручную, то отметим пункты Хранить этот сертификат, указав путь для хранения, и Разрешить добавление сертификата в хранилище «Доверенные корневые центры сертификации» на конечных компьютерах.
Аналогично можно создать сертификаты и для посредника подключений и для шлюза удалённых рабочих столов. Уровень сертификата Без доверия указывает на то, что мы используем самоподписанный сертификат.
Рис.9 — Сертификаты для служб RDS
Теперь, когда сертификат создан, нужно установить его на рабочих станциях домена. Для этого скопируем сертификат на локальную машину и в его контекстном меню выберем пункт Установить PFX.
Рис.10 — Инициация установки сертификата подлинности
После этого откроется окно мастера импорта сертификатов. На первом его шаге нужно выбрать хранилище сертификатов для размещения импортируемого сертификата подлинности. Т.к. планируется использование сертификата для всех пользователей локальной рабочей станции. то выбираем пункт Локальный компьютер.
Рис.11 — Выбор расположения хранилища для сертификата
Затем проверяем путь расположения файла сертификата и жмём Далее.
Рис.12 — Указание пути к устанавливаемому сертификату
Следующее окно позволяет ввести пароль для закрытого ключа сертификата и настроить некоторые параметры импорта. Пароль для закрытого ключа сертификата — это тот же пароль, который был введен нами при создании сертификата.
Рис.13 — Защита сертификата с помощь закрытого ключа
Далее указываем хранилище для импортируемого сертификата. Выбираем пункт Поместить все сертификаты в соответствующее хранилище и указываем Доверенные корневые центры сертификации.
Рис.14 — Выбор хранилища для сертификата
После этого будет отображено окно для сверки с правильностью указания основных параметров импорта. После нажатия на кнопку Готово, сертификат будет импортирован и при успешном выполнении операции будет выдано соответствующее сообщение.
Рис.15 — Окно подтверждения параметров импорта сертификата
Проверим правильность установки сертификата зайдя на страницу веб-доступа. Как мы видим на экране ниже, сообщение об ошибке сертификата исчезло.
Рис.16 — Окно веб-доступа после установки сертификата подлинности
ИСПОЛЬЗОВАНИЕ СРЕДСТВ ПАНЕЛИ ИНСТРУМЕНТОВ WINDOWS 7 И WINDOWS 8/8.1 ДЛЯ ДОСТАВКИ ПРИЛОЖЕНИЙ REMOTEAPP
Альтернативой использованию веб-страницы для доступа к приложениям RemoteApp и удалённым рабочим столам является использование средства доступа к удалённым приложениям RemoteApp и удалённым рабочим столам. Возможность его использования появилась еще в Windows 7 и получила логическое развитие в Windows 8/8.1. В пользу использования такого метода доступа к приложениям RemoteApp говорит тот факт, что пользователю нет необходимости заходить на специальную веб-страницу, а достаточно выбрать приложение на стартовом экране или в меню Пуск. Ещё одним достоинством такого способа доставки приложений является возможность ассоциировать определённые типы файлов с приложениями RemoteApp.
Перед тем, как использовать данное средство необходимо убедиться, что сертификат сервера находится в хранилище доверенных корневых сертификатов. Если он туда не был импортирован, то необходимо выполнить процедуру импорта сертификата, как было описано выше.
Для того, чтобы получить доступ к средству подключения приложений RemoteApp необходимо на локальной рабочей станции зайти в Панель управления и там выбрать пункт Подключения к удалённым рабочим столам и приложениям RemoteApp. Так же можно, воспользовавшись каноническим именем этого элемента, выполнить команду control /name Microsoft.RemoteAppAndDesktopConnections
Рис.17 — Окно подключений к удалённым рабочим столам и приложениям RemoteApp
В левой части окна кликнем по ссылке Доступ к удалённым приложениям RemoteApp и рабочим столам, которая запустит соответствующий мастер. На первом шаге предлагается выбрать способ подключения: с помощью прямой ссылки либо с помощью электронного адреса. Рассмотрим оба случая.
Вариант первый, указание прямой ссылки для подключения. В этом случае указываем ссылку вида https://servername/rdweb/feed/webfeed.aspx и жмём Далее.
Рис.18 — Подключение с помощью прямой ссылки
Далее откроется окно подтверждения правильности введённой ссылки. Если всё верно приступаем к созданию подключения нажав кнопку Далее.
Рис.19 — Проверка введённых данных
Вариант второй, использование электронного адреса. Этот вариант доступен на ОС Windows 8/8.1. Тут следует дать небольшое разъяснение. На самом деле вводить настоящий электронный адрес вовсе необязательно, т.к. по факту используется только лишь имя домена. Когда имя домена определено, на сервере DNS производится поиск текстовой записи _msradc, которая содержит ссылку для подключения приложений RemoteApp. Поэтому, прежде чем вводить в строку адреса какой-либо e-mail, следует создать в DNS новую текстовую запись с именем _msradc. Сделать это можно в диспетчере DNS, выбрав в меню Действие пункт Другие новые записи.
Рис.20 — Создание новой записи в DNS
В окне выбора типа записи отмечаем Текст (TXT) и нажимаем Создать запись
Рис.21 — Выбор типа создаваемой записи
В окне свойств создаваемой текстовой записи в поле Имя записи запишем _msradc, в поле Текст ссылку на страницу веб-доступа https://rdwh.domain.local/rdweb/feed Поле Полное доменное имя (FQDN) должно заполниться автоматически.
Рис.22 — Создание новой текстовой записи
Как видим, запись успешно создана и она присутствует в перечне всех записей. Кроме графического представления, эту запись можно проверить с помощью контекста SET TYPE=TXT утилиты NSLOOKUP.
Рис.23 — Успешное создание текстовой записи в DNS
После того, как подготовительный этап закончен, можно в поле адреса подключения ввести электронный адрес пользователя. Так как вводить настоящий адрес вовсе не обязательно, то перед @domain.local укажем абсолютно произвольные символы.
Рис.24 — Доступ к приложениям RemoteApp с помощью электронного адреса
В окне подтверждения правильности ввода данных, в этом случае, будет отображаться электронный адрес, который был введён на предыдущем шаге, а в качестве URL-адреса подключения — адрес, который был использован при создании текстовой записи в DNS.
Рис.25 — Проверка правильности введённых данных
В случае успешной установки будет отображено окно с информацией о созданном подключении. Здесь можно ознакомиться с именем подключения (именем рабочей области), URL-адресом подключения и числом доступных приложений RemoteApp либо удалённых рабочих столов.
Рис.26 — Информация о добавленных приложения RemoteApp
Если подключение осуществлялось на клиентской ОС Windows 8/8.1 приложения можно найти на стартовом экране.
Рис.27 — приложения RemoteApp на стартовом экране Windows 8/8.1
Если подключение осуществлялось на рабочей станции с ОС Windows 7, то приложения можно найти в меню Пуск.
Рис.28 — Приложения RemoteApp в меню Пуск Windows 7
После успешной операции добавления удалённых приложений RemoteApp в панели Подключения к удалённым рабочим столам и приложениям RemoteApp можно посмотреть список установленных приложений, а так же даты установки и последнего обновления.
Рис.29 — панель подключений к приложениям RemoteApp
Окно свойств вызывается одноимённой кнопкой и содержит в себе список свойств подключения (таких как имя, URL-адрес и дату создания) и информацию об обновлении приложений и кнопку для немедленного обновления.
Рис.30 — Окно свойств приложений RemoteApp
Если нажать на ссылку Просмотр ресурсов, то мы увидим ярлыки, которые ссылаются на непосредственно RDP файлы, которые используются для подключения к программам RemoteApp. В общем случае найти эти файлы можно в папке %APPDATA%\Roaming\Microsoft\Workspaces\{GUID}\Resource. А в соседней папке %APPDATA%\Roaming\Microsoft\Workspaces\{GUID}\Icons можно найти иконки приложений RemoteApp.
Рис.31 — Файлы подключений к приложениям RemoteAppИспользование приложения Удалённый рабочий стол на Windows RT
ИСПОЛЬЗОВАНИЕ ПРИЛОЖЕНИЯ УДАЛЁННЫЙ РАБОЧИЙ СТОЛ НА WINDOWS RT
На Windows RT так же можно использовать удалённые приложения RemoteApp способом отличным от веб-доступа. Для этого из магазина Windows Storeнеобходимо установить приложение Удалённый рабочий стол (Remote Desktop).
Рис.32 — Приложение Удалённый рабочий стол в магазине Windows Store
После установки приложения, на первом его экране предлагаются различные варианты подключения. Нас интересует подключение приложений RemoteApp, потому переходим по ссылке Получить доступ к подключениям к удалённым приложениям RemoteApp и рабочим столам.
Рис.33 — Главное окно приложения Удалённый рабочий стол.
В качестве адреса подключения введём вымышленный электронный адрес, принадлежащий нашему домену, хотя, как мы видим, можно использовать и полный адрес.
Рис.34 — Создание подключения к приложениям фермы RDS
Затем, вводим учётные данные пользователя приложений RemoteApp. Можно поставить галочку Запомнить учётные данные, что повысит удобство использования, но снизит безопасность.
После успешного выполнения установки, отобразится экран содержащий информацию о количестве установленных приложений RemoteApp и удалённых рабочих столов.
Рис.35 — Экран с информацией о добавленных приложениях RemoteApp
После процедуры добавления, программы RemoteApp доступны как со стартового экрана так непосредственно из приложения Удалённый рабочий стол.
Рис.36 — Доступ к программам RemoteApp с помощью приложения Удалённый рабочий стол
ИСПОЛЬЗОВАНИЕ СРЕДСТВ ГРУППОВОЙ ПОЛИТИКИ
Удобнейшим способом доставки приложений RemoteApp и удалённых рабочих столов является использование групповых политик. Однако, штатная распространяется политика только на клиентские системы с Windows 8/8.1.
Найти нужную политику можно в узле Конфигурация пользователя \ Политики \ Административные шаблоны \ Компоненты Windows \ Службы удалённых рабочих столов \ Подключения к удалённым рабочим столам и приложениям RemoteApp. Параметр называется Указать URL-адрес подключения по умолчанию. Включаем его и в качестве параметра URL-адрес подключения по умолчанию задаем адрес доступа к приложениям. В общем случае он выглядит так https://servername/rdweb/feed/webfeed.aspx.
Рис.37 — указание адреса подключения к приложениям RemoteApp с помощью средств GPO
В случае с клиентскими ОС Windows 7, дело обстоит несколько сложнее, но распространять приложения средствами GPO все же можно. Для этого понадобится скачать PowerShell скрипт Install-RADCConnection.ps1 с TechNet. Кроме самого скрипта понадобится создать файл для передачи скрипту параметров подключения и сохранить его в той же директории, что и сам скрипт. Имя файла с параметрами может быть произвольным, но расширение должно быть WCX.
Содержание файла параметров должно быть примерно таким:
<?xml version=”1.0″ encoding=”utf-8″ standalone=”yes”?>
<workspace name=”Удалённые приложения RemoteApp”
xmlns=”http://schemas.microsoft.com/ts/2008/09/tswcx”
xmlns:xs=”http://www.w3.org/2001/XMLSchema”>
<defaultFeed url=”https://rdwh.domain.local/RDWeb/Feed/webfeed.aspx”/>
</workspace>
Оранжевым цветом подсвечены параметры имени рабочей области и ссылки для веб-доступа к приложениям.
После того, как файл скрипта сохранён и файл параметров настроен, перейдём к созданию групповой политики. Для этого перейдём в узел Конфигурация пользователя \ Политики \ Конфигурация Windows \ Сценарии \ Вход в систему и в окне добавления скрипта перейдём на вкладку Сценарии PowerShell.
Рис.38 — Добавление нового скрипта PowerShell, исполняемого при входе пользователя в систему
В этом окне укажем месторасположение сценария нажав на кнопку Добавить. В открывшемся окне указываем наш скрипт не забывая в поле Параметры сценария указать созданный ранее файл с параметрами.
Рис.39 — Параметры добавления сценария PowerShell
После того, как все данные указаны, закрываем окно добавления сценария входа и привязываем групповую политику к необходимому контейнеру.
ДОСТУП К ПРИЛОЖЕНИЯМ REMOTEAPP ИЗ WINDOWS XP
Тем клиентам, у которых до сих пор установлена Windows XP, штатно доставлять приложения предлагается только средствами веб-доступа. Однако же, никто не запрещает самому создавать RDP-файлы и распространять их. Сразу же возникает вполне резонный вопрос — где же их взять?
Ну во-первых, можно забрать с любого компьютера с Windows 7/8/8.1 из папки %APPDATA%\Roaming\Microsoft\Workspaces\{GUID}\Resource. Во-вторых, в том случае, если позаимствовать файлы неоткуда, то можно скачать их со страницы веб-доступа используя для этого браузер отличный от IE или же в самом IE отключив использование всех элементов ActiveX.
Рис.40 — Приложения RemoteApp в Windows XP
Для того, чтобы Windows XP могла взаимодействовать с фермой RDS необходимо обновить клиент RDC до седьмой версии, включить поддержку NLA и установить .NET Framework 3.5 SP1, если необходимо использовать технологию EasyPrint. Если у вас развёрнут только один сервер RDS, то обновлять клиент RDC не обязательно.
Напомню, что для того чтобы включить поддержку NLA на клиентской машине с Windows XP SP3 можно использовать Microsoft Fix it 50588 либо внести необходимые изменения в реестр вручную, как описано тут.
Как мы видим, использовать удалённые приложения RemoteApp можно на всех современных клиентских платформах Windows. Конечно, на более современных Windows 7, Windows 8/8.1 и Windows RT развёртывание таких приложений значительно менее трудоёмкий процесс, но и на устаревшей Windows XP всё ещё возможно запускать приложения RemoteApp. Не без глюков, конечно, но об этом как-нибудь в другой раз.
Только полноправные пользователи могут оставлять комментарии. Аутентифицируйтесь пожалуйста, используя сервисы.