Настраиваем RemoteApps в Windows Server 2008 | Windows для системных администраторов

Что такое remoteapps?

RemoteApps являются частью роли служб терминалов в Windows Server 2008. Цель служб терминалов – обеспечение доступа клиентских систем к рабочему столу и приложениям, работающих на терминальном сервере. Как следует из названия, удаленный доступа к рабочему столу означает отображение всего рабочего стола сервера на экране локального клиента.

Такой подход позволяет пользователю выполнять различные  задачи на сервере,  в том числе запускать и взаимодействовать с приложениями на удаленном хосте. Функция RemoteApps помогает избегать предоставления пользователю доступа ко всему рабочему столу удаленной системы, в том случае если, ему необходимо всего одно приложение.

RemoteApps могут быть запущены с помощью специальной ссылки на веб-странице TS Web Access, или путем установки специального файла на компьютере клиента.

Добавление программ в список удаленных приложений remoteapp

Чтобы сделать программу доступной для пользователей удаленно через Диспетчер удаленных приложений RemoteApp, необходимо добавить ее в список Приложения RemoteApp.

Минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы (или эквивалентной ей группе) на сервере узла сеансов удаленных рабочих столов.

Чтобы добавить программу в список удаленных приложений RemoteApp:

1. Откройте диспетчер удаленных приложений RemoteApp на сервере узла сеансов удаленных рабочих столов. Для этого нажмите кнопку Пуск, откройте меню Администрирование, затем выберите пункты Службы удаленных рабочих столов
   и Диспетчер удаленных приложений RemoteApp. 

 2. В области Действия щелкните Добавить удаленные приложения RemoteApp.

 3. На странице Мастер удаленных приложений (RemoteApp) нажмите кнопку
Далее.

4. На странице Выберите программы для добавления в список удаленных приложений RemoteAppустановите флажки рядом с теми программами, которые следует добавить в список Удаленные приложения RemoteApp. Можно выбрать несколько программ, в нашей ситуации выбираем
DIRECTUM и Microsoft Office Application (Excel и Word). Нажмите на кнопку Далее.

5. На странице Мастер удаленных приложений RemoteAppнажмите на кнопку
Готов.

Доступ пользователей к remoteapps через ts web access

По умолчанию, приложение RemoteApps доступно через TS Web Access. Проверить этот факт можно, как указано выше, с помощью окна свойств RemoteApp и наличия в нем отмеченного чекбокса RemoteApp is available through TS Web Access. Естественно, этот параметр может быть изменен в любое время, для чего в списке приложений  RemoteApp нужно выбрать необходимое приложение и перейти в его свойства.

Итак, если ваши RemoteApps настроены для доступа через TS Web Access, просто откройте окно браузера и введите URL-адрес веб-страницы:

Запуск remoteapps с помощью .rdp файлов

Процесс создания RDP файла для RemoteApp полностью аналогичен  процессу создания пакета Windows Installer. Чтобы создать RDP файл для RemoteApp, щелкните правой кнопкой мыши по выбранному  RemoteApp в менеджере TS RemoteApp и выберите пункт меню  Create .rdp File.

В результате откроется мастер, который потребует от вас указать каталог, в котором будет создан .rdp файл, также можно будет определить порт протокола  RDP (Remote Desktop Protocol) для создаваемого RemoteApp, а также возможно установить защиту терминальной сессии при помощи цифровой подписи.

После завершения настроек, нажмите кнопку  Готово, и в результате в каталоге, который вы указали (по умолчанию это C:Program FilesPackaged Programs) появится новый .rdp файл. Этот файл нужно скопировать на любую систему, с которой предполагается воспользоваться удаленным приложением  RemoteApp.

Как и в случае с TS Web Access, пользователь может определить какие локальные ресурсы могут быть доступными в опубликованном терминальном приложении.

Как включить remoteapp на windows 10 professional. инструкция

Общее сведение

В режиме RemoteaApp, система DIRECTUM работает в полном режиме, это значит, что все компонентов системы доступны.  

 Для подключения к системе DIRECTUM в режиме RemoteApp:

Подготовка сервера  к установке remoteapps

Перед использованием технологии RemoteApps на сервере Windows Server 2008 необходимо выполнить ряд условий. В первую очередь на вашем сервере должна быть установлена и настроена роль служб терминалов.

Во-вторых, все приложения, которые планируется использовать с помощью RemoteApps должны быть установлены на терминал так, чтобы они поддерживали одновременную многопользовательскую работу. Как это сделать, вы можете прочитать в статье Установка приложений для Windows Server 2008 Terminal Services .

И, наконец, если планируется сделать доступ к приложениям через браузер с помощью роли TS Web Access, необходимо произвести настройки, описанные в статье Настройка TS Web Access в Windows Server 2008 .

После выполнения первых двух, а, если необходимо и третьего требования, можно переходить к процессу конфигурации RemoteApp.

Проверка параметров удаленного подключения

По умолчанию удаленные подключения включены сразу после установки службы роли Узел сеансов удаленных рабочих столов. Чтобы добавить пользователей и группы, которым требуется подключение к серверу Узел сеансов удаленных рабочих столов, и проверить
или изменить параметры удаленного подключения, можно использовать следующую процедуру.

Минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы (или эквивалентной ей группе) на сервере узла сеансов удаленных рабочих столов.

Чтобы проверить параметры удаленного подключения:

1. На сервере Узел сеансов удаленных рабочих столов запустите средство «Система». Чтобы запустить инструмент “Система”, нажмите кнопку Пуск, выберите пункт Выполнить, введите control system, а затем нажмите кнопку
   ОК.
2. В группе Задачи выберите Параметры удаленного рабочего стола.
3. В диалоговом окне Свойства системы на вкладке Удаленный выберите один из следующих вариантов, в зависимости от среды.

   3.1. Разрешать подключения от компьютеров с любой версией удаленного рабочего стола (менее безопасно)
   

   3.2. Разрешать подключения только от компьютеров с удаленным рабочим столом с сетевой проверкой подлинности (безопасность выше)
   

        3.3. Для получения дополнительных сведений о двух параметрах на вкладке Удаленный щелкните ссылку Помогите мне выбрать.

4. Чтобы добавить пользователей и группы, которые необходимо подключить к серверу Узел сеансов удаленных рабочих столов с помощью удаленного рабочего стола, выберите пункт Выбрать пользователей, а затем нажмите кнопку Добавить. Добавляемые
пользователи и группы добавляются в группу «Пользователи удаленного рабочего стола».

Создание пакета установщика windows(msi)

С помощью мастера RemoteApp можно создать пакет установщика Microsoft Windows (.msi) из любого приложения в списке Удаленные приложения RemoteApp.

Минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы (или эквивалентной ей группе) на сервере узла сеансов удаленных рабочих столов.

Чтобы создать пакет установщика Windows

1. Откройте диспетчер удаленных приложений RemoteApp на сервере узла сеансов удаленных рабочих столов. Для этого нажмите кнопку Пуск, откройте меню Администрирование, затем выберите пункты Службы удаленных рабочих столов и Диспетчер удаленных
   приложений RemoteApp.
2. В списке Приложения RemoteApp выберите программу, для которой необходимо создать пакет установщика Windows. Чтобы выбрать несколько программ, нажмите и удерживайте нажатой клавишу CTRL при выборе программ.
3. В области Действия для программы или выбранных программ щелкните Создание пакета установщика Windows.
4. На странице Мастер удаленных приложений (RemoteApp) нажмите кнопку Далее.
5. На странице Задание параметров пакета выполните следующие действия:

         5.1. В поле Введите расположение для сохранения пакетов примите расположение по умолчанию или нажмите кнопку Обзор, чтобы указать новое расположение для сохранения пакета установщика Windows.

         5.2. В разделе Параметры хост-сервера сеансов удаленных рабочих столов нажмите кнопку Изменить, чтобы изменить имя сервера или номер порта протокола удаленного рабочего стола (RDP). По завершении нажмите кнопку
ОК.

5.3. В области Параметры шлюза удаленных рабочих столов нажмите кнопку
Изменить, чтобы изменить текущую настройку или задать, будут ли клиенты использовать сервер Шлюз удаленного рабочего стола для подключения к
целевому серверу Узел сеансов удаленных рабочих столов через брандмауэр. По завершении нажмите кнопку
ОК.

       5.4. Для того, чтобы подписать файл цифровой подписью, в области Параметры сертификата нажмите кнопку
Сменить, чтобы выбрать или изменить сертификат. Выберите нужный сертификат и нажмите кнопку
ОК.

     6. По завершении нажмите кнопку Далее.

     7. На странице Настройка пакета распространения выполните следующие действия:

           7.1. В области Значки ярлыков укажите, где будет располагаться ярлык программы на клиентских компьютерах.

           7.2. В области Обрабатывать расширения файлов клиента укажите, будет ли данная программа обрабатывать расширения имен файлов клиентов.

Если сопоставить расширения имен файлов на клиентском компьютере с Удаленное приложение RemoteApp, все расширения имен файлов, обрабатываемые приложением на сервере Узел сеансов удаленных рабочих столов, также будут сопоставлены на клиентском компьютере
с Удаленное приложение RemoteApp.

Чтобы просмотреть, какие расширения имен файлов сопоставлены с приложением на сервере Узел сеансов удаленных рабочих столов, нажмите кнопку Пуск, выберите пункт Панель управления, а затем дважды щелкните компонент Программы по умолчанию.

8. После того, как свойства пакета распространения настроены, нажмите кнопку
Далее.

9. На странице Просмотр параметров нажмите кнопку Готово.

После завершения работы мастера в новом окне будет открыта папка, в которой был сохранен пакет установщика Windows. Таким образом можно убедиться, что пакет установщика Windows (.msi) был создан.

Тестирование системы
DIRECTUMв режиме RemoteApp

Создание ярлыка для подключения к remoteapp

• Создать текстовый файл с именем “ProgramName.rdp” со следующим содержимым:

allow desktop composition:i:1
allow font smoothing:i:1
alternate full address:s:192.168.0.100:3389
alternate shell:s:rdpinit.exe
devicestoredirect:s:*
disableremoteappcapscheck:i:1
drivestoredirect:s:*
full address:s:192.168.0.100:3389
prompt for credentials on client:i:1
promptcredentialonce:i:0
redirectcomports:i:1
redirectdrives:i:1
remoteapplicationmode:i:1
remoteapplicationname:s:Microinvest Warehouse Pro
remoteapplicationprogram:s:|| Microinvest Warehouse Pro
span monitors:i:1
use multimon:i:1

Способ №1 (ручное добавление новой ветки в реестр)

• Перейти в редактор реестра (Win R, regedit)
• Перейти в реестра к ветке HKLMSOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerTSAppAllowListApplications
• Cоздать в ней новый раздел с названием нашей программы.

В созданной нами ветке создать несколько параметров:

Name: "C:\Program Files (x86)MicroinvestWarehouse ProWarehouse.exe" // Полный путь до .exe файла программы
Path: "C:\Program Files (x86)MicroinvestWarehouse ProWarehouse.exe" // Полный путь до .exe файла программы
VPath: "C:Program Files (x86)MicroinvestWarehouse ProWarehouse.exe" // Полный путь до .exe файла программы
RequiredCommandLine: ""
CommandLineSetting: 0x00000001
IconPath: "C:Program Files (x86)MicroinvestWarehouse ProWarehouse.exe"IconIndex: 0x00000000ShowInTSWA: 0x00000000

Способ №2 (создание файла .reg)

• Создать и запустить файл с расширением .reg со следующим содержимым:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESOFTWAREMicrosoftWindows NTCurrentVersionTerminal ServerTSAppAllowListApplicationsMicroinvest Warehouse Pro]
"Name" = "Microinvest Warehouse Pro"
"Path" = "C:\Program Files (x86)MicroinvestWarehouse ProWarehouse.exe"
""VPath" = "C:\Program Files (x86)MicroinvestWarehouse ProWarehouse.exe"
""RequiredCommandLine" = ""
""CommandLineSetting"= dword:00000001
""IconPath"="C:\Program Files (x86)MicroinvestWarehouse ProWarehouse.exe"
""IconIndex"= dword:00000000
""ShowInTSWA"= dword:00000000

Установка службы роли хост-сервера сеансов удаленных рабочих столов

Диспетчер удаленных приложений RemoteApp устанавливается в составе службы роли Узел сеансов удаленных рабочих столов.

В этом разделе описывается порядок установки службы роли Узел сеансов удаленных рабочих столов.

Примечание: После установки службы роли Узел сеансов удаленных рабочих столов необходимо перезагрузить компьютер.

Минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы (или эквивалентной ей группе) на сервере узла сеансов удаленных рабочих столов.

 Рекомендации по оборудованию сервера:

Установка службы роли хост-сервера сеансов удаленных рабочих столов

1. На компьютере, на котором требуется установить службу роли Узел сеансов удаленных рабочих столов, откройте средство Диспетчер серверов. Чтобы открыть компонент “Управление сервером”, нажмите Пуск, Администрирование, а затем Управление сервером.

    2. В группе Сводка по ролям выберите Добавить роли.

  3. На странице Прежде чем, приступить к работе мастера добавления ролей нажмите кнопку
Далее.

  4.На странице Выбор ролей сервера установите флажок Службы удаленных рабочих столов и нажмите кнопку
Далее.

    5. На странице Службы удаленных рабочих столов нажмите кнопку
Далее.

    6. На странице Выбор служб ролей установите флажок Узел сеансов удаленных рабочих столов, флажок лицензирование удаленных рабочих столов, флажок Веб-доступ к удаленным рабочим столам и нажмите кнопку
Далее.

    7. На странице Удаление и повторная установка приложений для определения совместимости нажмите кнопку
Далее.

    8. На странице Укажите метод подлинности для узла сеансов удаленных рабочих столов, выберите Не требовать проверку подлинности на уровне сети, нажмите на кнопку
Далее.

   9. На странице Укажите режим лицензирования, выберите нужный режим, рекомендуется режим «На пользователя», и нажмите кнопку
Далее.  

    10. На странице Выберите группы пользователей, которым разрешен доступ к этому хост-серверу сеансов удаленных рабочих столов добавьте пользователей или группы, которые требуется добавить в группу «Пользователи удаленного рабочего стола»,
и нажмите кнопку Далее.,

    11. На странице Настройка взаимодействия с пользователем выберите требуемый пользовательский интерфейс и нажмите кнопку
Далее.

    12. На странице Настроить область обнаружения для лицензирования удаленных рабочих столов, нажмите на кнопку
Далее.

    13. На странице Веб- сервер (IIS) нажмите на кнопку Далее.

    14. На странице Выбор служб ролей нажмите на кнопку Далее.

    15. На странице Подтвердите выбранные элементы убедитесь, что служба роли Узел сеансов удаленных рабочих столов выбрана для установки, и нажмите кнопку
Установить.

    16. На странице Ход выполнения установки будет отображаться ход выполнения установки.

    17. На странице Результаты установки будет предложено перезапустить сервер для завершения процесса установки. Нажмите кнопку Закрыть, а затем кнопку Да, чтобы перезапустить сервер.

18.  После перезапуска сервера и входа в компьютер с использованием той же учетной записи пользователя установка завершится. При появлении страницы Результаты установки убедитесь, что установка сервера Узел сеансов удаленных рабочих столов выполнена

Шаг второй. и снова вопросы доверия

Для избавления от этого сообщения нам снова понадобится групповая политика. На этот раз дорога лежит в раздел Конфигурация компьютера — Политики — Административные шаблоны — Компоненты Windows — Службы удаленных рабочих столов — Клиент подключения к удаленному рабочему столу — Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP.

Нужная нам политика.

В политике достаточно добавить уже знакомый нам отпечаток с предыдущего шага.

Стоит отметить, что эта политика перекрывает политику «Разрешать RDP-файлы от допустимых издателей и пользовательские параметры RDP, заданные по умолчанию».

Настроенная политика.

Шаг нулевой. подготовка и вопросы доверия

Итак, наш пользователь тыкает на сохраненный файл с расширением .rdp и получает такой вот запрос:

«Зловредное» подключение.

Для избавления от этого окна используется специальная утилита под названием RDPSign.exe. Полная документация доступна, как обычно, на официальном сайте, а мы разберем пример использования.

Для начала нам нужно взять сертификат для подписывания файла. Он может быть:

• Публичным.
• Выданным внутренней службой Certificate Authority.
• Вовсе самоподписанным.

Самое главное, чтобы сертификат имел возможность подписывать (да, можно отобратьу бухгалтеров ЭЦП), а клиентские ПК ему доверяли. Здесь я буду использовать самоподписанный сертификат.

Напомню, что доверие самоподписанному сертификату можно организовать при помощи групповых политик. Чуть больше подробностей — под спойлером.

Если проблемы с доверием решены, переходим непосредственно к вопросу подписи.

Шаг первый. размашисто подписываем файл

Сертификат есть, теперь нужно узнать его отпечаток. Просто откроем его в оснастке «Сертификаты» и скопируем на вкладке «Состав».

Нужный нам отпечаток.

Лучше сразу его привести к должному виду — только большие буквы и без пробелов, если они есть. Это удобно сделать в консоли PowerShell командой:

("6b142d74ca7eb9f3d34a2fe16d1b949839dba8fa").ToUpper().Replace(" ","")

Получив отпечаток в нужном формате, можно смело подписывать файл rdp:

rdpsign.exe /sha256 6B142D74CA7EB9F3D34A2FE16D1B949839DBA8FA .contoso.rdp

Где .contoso.rdp — абсолютный или относительный путь к нашему файлу.

После того как файл подписан, уже не получится изменить часть параметров через графический интерфейс вроде имени сервера (действительно, иначе смысл подписывать?) А если поменять настройки текстовым редактором, то подпись «слетает».

Теперь при двойном клике по ярлыку сообщение будет другим:

Новое сообщение. Цвет менее опасный, уже прогресс.

Избавимся же и от него.