Windows server 2008 r2 remoteapp без домена

Не все знают, что в дополнение к службе удаленных рабочих столов, в Windows Server 2008 R2 есть очень удобная служба удаленных приложений RemoteApp. Суть RemoteApp в том, что к любым приложениям, установленным на данном сервере, можно получить удаленный доступ  с любого компьютера подключенного к сети. В этом случае, выполняться программа будет на сервере, но её окно будет прорисовываться так, если бы пользователь запустил программу с локального компьютера. Возможно сворачивать и разворачивать окно программы запущенной через RemoteApp, изменять его размеры и запускать сразу несколько программ вместе со своими локальными приложениями. Это очень удобный механизм, который может существенно облегчить администрирование некоторых программ и сократить расходы на их покупку.

Ниже я расскажу как настроить Удаленные приложения RemoteApp в Windows Server 2008 R2 на примере программы 1с:Предприятие 7.7.

0. Оглавление

1. Что понадобится
2. Создание RDP-файла или установщика для удаленной программы
3. Настройка пользователей

1. Что понадобится

1. Компьютер с Windows Server 2008 R2 (об установке можно прочитать здесь)
2. Запущенный сервер терминалов на данном компьютере (об установке сервера терминалов читайте здесь)
3. Также, на этом компьютере должно быть установлено и настроено приложение, которое мы будем добавлять в RemoteApp, в моем случае это 1С:Предприятие 7.7 (об особенностях установки 1С:Предприятие 7.7 я писал здесь)

2. Создание RDP-файла или установщика для удаленной программы

Запускаем «Диспетчер удаленных приложений RemoteApp» («Пуск»  — «Администрирование» — «Службы удаленных рабочих столов» ) и в меню «Действия» слева нажимаем на «Добавить удаленные приложения RemoteApp» .

В запустившемся мастере нажимаем «Далее» , выбираем необходимое приложение, затем снова «Далее» и «Готово» .

После чего данная программа появится в списке удаленных приложений RemoteApp. Выделив его в таблице нажимаем на «Создать RDP-файл» в меню слева.

Запустится «Мастер удаленных приложений RemoteApp» , нажимаем «Далее» и попадаем на окно «Задание параметров пакета» . Здесь можно выбрать каталог, куда сохранится RDP-файл, задать параметры шлюза удаленных рабочих столов, а также параметры сертификата для защищенных соединений. Но главное, можно поменять имя сервера и порт. Изначально выставлены имя компьютера и порт RDP по умолчанию. С такими настройками приложение будет доступно только из локальной сети. Если необходимо, чтобы программа запускалась и со всех компьютеров, подключенных к сети Интернет, то имя сервера нужно заменить на внешний IP-адрес, а также, по необходимости, изменить порт, который проброшен на маршрутизаторе для данного сервера, как показано на скриншоте ниже.

Порт также следует поменять, если вы меняли порт по умолчанию для сервера терминалов (о том как это сделать, можно прочитать здесь). Завершаем работу мастера нажав «Далее» и «Готово» , после чего в указанном каталоге найдем файл с расширением rdp.
Аналогичным образом можно создать msi-установщик, нажав на «Создать пакет установщика Windows» . При запуске получившегося таким образом установщика, он будет создавать RDP-ярлык на рабочем столе и в меню пуск с иконкой выбранного приложения.
Теперь, если запустить получившийся RDP-файл с другого компьютера в сети, то появится окно ввода логина/пароля для входа на сервер.

После ввода данных увидим окно 1С:Предприятие так, как будто мы запустили его с локальной машины.

3. Настройка пользователей

Если приложение будут запускать несколько пользователей с одинаковыми настройками, то необязательно добавлять каждого на сервер. Достаточно создать только одного пользователя, скажем User_1C (о том как создать пользователя можно прочитать здесь), настроить все параметры (список баз, принтеры пр.) для этого пользователя и разрешить множественные сеансы.

Для того чтобы разрешить множественные сеансы заходим в «Пуск» — «Администрирование» — «Службы удаленных рабочих столов» — «Конфигурация узла сеансов удаленных рабочих столов» кликаем 2 раза по «Ограничить пользователя единственным сеансом» , в окне свойств снимаем галочку «Ограничить всех пользователей одиночными сеансами» .

Значение должно поменяться на «Нет» .

Кроме этого, надо знать еще об одном нюансе. Дело в том, что при закрытии приложения, запущенного через RemoteApp, пользователь не выгружается автоматически, а отключенная учетная запись так и продолжает «висеть» на сервере. Чтобы изменить это, в свойствах пользователей, которые будут запускать приложения через RemoteApp, на вкладке «Сеансы» устанавливаем «Завершение отключенного сеанса» через 1 минуту.

На этом настройка закончена. Мы выполнили ее таким образом, что несколько человек одновременно могут работать с программой 1С:Предприятие 7.7 под одной учетной записью (для удобства работы можно создать несколько учетных записей, например, User_1c_Buh, User_1C_Operator, User_1C_Sklad и т. д. или  же отдельную учетную запись для каждого пользователя).

Обновлено 30.08.2018

Всем привет! В первой части статьи мы рассмотрели, как устанавливать RemoteApp в Windows Server 2008 R2, в данный части мы рассмотрим методы распространения программы через RemoteApp. Вы укажите, какие программные продукты и приложения должны быть представлены, через данную технологию. Что здорово, что их можно запускать на любом android устройстве.

Настройка списка RemoteApp

Итак начнем настраивать RemoteApp в Windows Server 2008 R2. Открываем пуск-Администрирование-Службы удаленных рабочих столов-Диспетчер удаленных приложений RemoteApp.

Откроется оснастка «Диспетчер удаленных приложений RemoteApp». В правом верхнем углу жмем «Добавить удаленные приложения RemoteApp».

Откроется мастер добавления приложения. Жмем далее.

Выбираем из списка приложение, у меня это будет Ccleaner. Хочу отметить, что в данном списке будут присутствовать только программы, которые доступны всем пользователям, то что установлено в локальный профиль конкретно пользователя тут не появится и если даже принудительно, это добавить работать не будет.

Готово.

Теперь в пункте Удаленные приложения RemoteApp появилась программа Ccealner.

Теперь распространим наше приложение.

Распространить RemoteApp через RPD-файл.

Щелкаем правым кликом и выбираем создать RDP-файл.

Откроется мастер в нем жмем далее.

При желании вы можете задать альтернативное место создания пакета, указать сертификат если нужно.

Готово.

В итоге в c:Program FilesPackeged Programs у вас появился RDP файл.

Отдаем этот файлик клиенты, он его запускает. Нажимает подключить.

Вводит, логин и пароль

и у него открывается Ccleaner на сервере, но визуально он его видит как у себя, это полезно если есть ПО с одной лицензией а раздать его хочется многим.

Распространить RemoteApp через MSI-файл.

Тоже щелкаете правым кликом и выбираете Создать пакет установщика Windows.

В мастере жмем далее.

При желании вы можете задать альтернативное место создания пакета, указать сертификат если нужно.

Ставим галки где должен быть создан ярлык на ПО.

Готово.

Все в c:Program FilesPackeged Programs у вас появился MSI файл

Устанавливаем его на клиенте или через групповые политики. Щелкаем на ярлык на рабочем столе и нажимаем подключить.

и наша программа запущена на удаленном сервере.

Вы можете обратить внимание, что при установки через msi у вас в программы и компоненты появилась возможность деинсталляции это программы, а если заметите рядом стоит локальная ее копия.

Вот так легко настраивается RemotApp через RDp-файл или MSI. Читайте далее как настроить, тоже самое но через Web браузер в 3 части статьи Как установить и настроить RemoteApp в Windows Server 2008 R2-3 часть.

Материал сайта pyatilistnik.org

Это не совсем случай из практики, а небольшая шпаргалка, которую я сделал для себя и решил поделиться. Если, конечно, есть еще такие же фрики, как я.
Сразу замечу, я не пропагандирую использование RDP и Сертификатов без доменов, просто часто попадаются маленькие клиенты с разнесенной географически инфраструктурой. Например офис на 3 компьютера и 10 точек- магазинов, 4 склада, где просто нужен доступ к складской 1С, и пока нет домена (или он не нужен). Картинки можно увеличивать щелчком мыши.

Контрольный список
установки и настройки RemoteApp через RD Gateway
без домена AD и внешнего доменного имени

*Предполагается, что в сети имеется больше одного сервера, хотя все возможно реализовать и на одном сервере.

1. Установка и настройка роли RDS со службами RD Licensing, RDSH, RD Gateway.

2. Если подключение к интернету осуществляется через роутер — настроить проброс порта 443 на внутренний адрес RD Gateway.

3. Предварительная настройка RDSH. Предварительная настройка RemoteApp. Добавление приложения в список RemoteApp.

4. Настройка RD Gateway. Создание правил RD CAP и RD RAP.

5. Установка роли AD CS для создания сертификата на подключения к RD Gateway. При создании сертификата указываем внешний IP-адрес и внутренний IP-адрес сервера RD Gateway, чтобы сертификат проходил проверку подлинности, и мы могли бы подключиться к серверу шлюза терминалов по внешнему статическому адресу снаружи, и по внутреннему NetBIOS имени изнутри.

5.1 Установки роли AD CS в режиме Standalone на другом сервере (который будет центром сертификации, имя сервера после этого изменить будет нельзя).

5.2 Создание на сервере RD Gateway пользовательского запроса на сертификат:

то самое окошко, ради которого и устанавливалась роль AD CS

выбираем, как мы будем использовать ключ:

не забываем эту галочку, чтобы вместе с сертификатом экспортировался и личный ключ:

По окончании настройки запроса сохраняем запрос с расширением *.req.

5.3 Переходим на сервер с Центром сертификации. Для начала можно настроить время действия сертификата выданного Центром сертификации по умолчанию. В целях безопасности лучше оставить этот параметр равным 1 году. Я делаю это только потому, что я не буду находиться у клиента постоянно и возможны простои в работе. А через 5 лет ”или падишах помрет или осел… ”.

Открываем запрос в центре сертификации, и выпускаем новый сертификат (Issue).

Публикуем список отзыва (CRL).

5.4 Экспортируем сертификат в файл с расширением *.cer. Переходим в папку где хранятся сертификат Центра сертификации и список отзывов. Копируем личный сертификат и эти два файла на сервер RD Gateway (или на файловый сервер как удобнее).

5.5 Открываем личный сертификат на сервере RD Gateway и убеждаемся, что доверия к нему нет.

5.6 Устанавливаем: Сертификат центра сертификации в доверенные корневые центры сертификации, устанавливаем список отзывов. Устанавливаем личный сертификат. Открываем его и убеждаемся что цепочка доверия работает.

5.7 Изменяем само подписанный сертификат на вновь выпущенный в настройках RD Gateway, RD Web Access, ну и если надо в настройках RDSH, у него отдельный сертификат, который будет использоваться для внутренних подключений, имейте в виду, когда срок действия само подписанного сертификата закончится сервер в этом случае сам пере выпустит сертификат, если же для RDSH создать сертификат самодельный, то по истечении его срока действия зайти через удаленный рабочий стол не получится, надо отслеживать этот момент. Опять же здесь видны недостатки использования службы сертификации вне домена.

5.8 Создаем rdp-файл для пользователей.

6. Проверяем работу RemoteApp и RDC через RDGateway.

7. Нам нужно также будет создать must-have пакет для клиентов, который представляет архив с набором файлов:

— Инструкция по установке сертификатов, списка отзывов, установке обновлений (если клиент не Win7 и выше);

— Личный сертификат сервера RD Gateway;

— Сертификат Центра сертификации;

— Список отзывов (CRL);

— rdp-файл;

Инструкцию конечно можно и не писать, но тогда придется либо долго объяснять клиенту все по телефону, либо ехать собственной персоной.

Будет дополняться по мере возможности.

ЗЫ. В процессе тестирования, заметил интересную штуку- несмотря на то, что подключение рабочего стола к тестируемой системе осуществлялось успешно, порт 3389 был закрыт на роутере (т.е. подключение явно происходило через порт 443) и RD Gateway manager показывал мне что соединение осуществляется через него – заветный значок подключения через шлюз, у меня не появился на полоске RDC. Я попробовал подключить через RD Gateway к другому клиенту, где значок точно появлялся- в прошлом Случае из практики есть снимок экрана в подтверждение. Но у другого клиента также не было этого значка… Возможно это просто какой то глюк.

Статья опубликована в продолжение рубрики «Записки системного администратора» или «Случай из практики», материалами для которой любезно делится мой коллега из Белоруссии. Оригинал статьи он опубликовал в своём блоге RDP dog.

Applies to

This article is based on RDS 2008 (R2) and might not apply to newer versions

Introduction

With Windows 2008 R2 there is a common service used in the daily management of network: Terminal Services, aka Remote Desktop Service (RDS) in Windows 2008 R2. The Remote Desktop Connection is another tool that we use every day to manage our network remotely.
Now with RDS is also possible to use a type of application virtualization called RemoteApp. With it the application’s installation is done on the server and all its services, file, registry and hardware are used on the server itself. Users connect remotely
to the application using Remote Desktop Protocol with a real experience of the application running locally. This scenario is very interesting for applications that require enhanced hardware for centralized management and rapid provisioning and efficient.

Procedure

To install the Remote Desktop Services, click on the Start menu and then click
Server Manager. Right click on Roles
and then Add Roles. Select the Remote Desktop Services and click Next.

Figure 1 — Installation of Remote Desktop Services

In the Select Role Services, select the option
Remote Desktop Session Host. To provide access through the web portal you must install the
Remote Desktop Web Access Role. Click Add Required Role to confirm the installation of IIS and then click Next.

Figure 2 — Installing the Role Services

For clients running Remote Desktop Connection Client version 6 and above you can create a connection to the server securely, protecting it against unauthorized access. Therefore, before connecting to the server the user must specify the username and password
and then have the connection made.

If all your clients have the RDS Client 6.0 and above, choose Require Network Level Authentication (see Figure 3). Otherwise, select the option below.

It is strongly recommended to use this feature, since it offers more security when connecting to servers.

To download the RDP Client 6, visit this link: http://support.microsoft.com/kb/925876

Figure 3 — Option to enable Network Level Authentication

You can choose the license type that will be used to receive connections from clients. A good example to explain them is a company that has five computers, but only 3 users using them. In this case the choice is paying only 3 per user licenses. In the case
of 6 users with different working hours using three computers the best option would be paying 3 Per Device. For more information on licensing of RDS, visit the link below: 

http://technet.microsoft.com/en-us/library/cc753650.aspx

Figure 4 — Licensing 

On the next screen you must specify the user groups that can use RDS to connect to their RemoteApps. In the example in Figure 5 the administrators group is

already added by default. The RD Users group makes reference to all users who will use the RemoteApp. Click Add, select the desired groups and click Next.

Figure 5 — RDS Access Group

If the server has audio and video resources available as a video card for example, you can enable some features to enhance user experience when using applications through the RemoteApp. Even programs that have graphics that use the Windows Aero may have
the same connection’s functionality from clients. Choose the options that suit your setting and click Next 3 times and restart the computer.

Figure 6 — Audio and video features

After installation, click Start, then right-click Computer and then Properties. Click
Remote Settings and enable the Remote Desktop Connection
in accordance

with Figure 7 to provide more security.

Figure 7 — Enabling Remote Desktop

After these procedures is possible to create applications to be available to customers. To start using RemoteApp Manager, click Start> Administrative Tools> Remote Desktop and Services and click
RemoteApp Manager.

In Figure 8 you can see some applications being accessed by the web portal, which can be accessed by the path https://servername/rdweb.

Figure 8 — RDWebr foneticameFFF

First published on TECHNET on Oct 14, 2009

Welcome back to our Launch Series.  It’s Day Fourteen which means that there’s just over a week to go!  Today we’re continuing on with our look at various Remote Desktop Services components.  Our subject: RemoteApp and Desktop Connection.  In Windows Server 2008

,

RemoteApp was introduced to deploy RDS applications to users, and to seamlessly integrate those applications into the users’ desktops so they would appear as if they were running locally.  In addition, TS Web Access provided a single web page to access all RemoteApp applications and session-based desktops.  Those capabilities have been expanded in Windows Server 2008 R2 and Windows 7 into a new framework for deploying RemoteApps, session-based desktops, and virtual machine-based desktops to users called “RemoteApp and Desktop Connection.

With RemoteApp and Desktop Connection, administrators can create an aggregated and customized view of RemoteApps and desktops and assign them to users.  Users can then access the RemoteApps and desktops from the RD Web Access portal, or subscribe to a web feed which will seamlessly integrate them into a Windows 7 Start menu and automatically update the list as published applications and desktops change.  Additionally, administrators can deploy the RemoteApps and desktops directly to users using a variety of methods.

There is no single component that provides RemoteApp and Desktop Connection functionality.  Rather, various aspects of RemoteApp and Desktop Connection functionality are provided by specialized RDS role services and other components including:

• 
  Remote Desktop Session Hosts
  
  – provide traditional session-based desktops and RemoteApps to users.  These resources can be published via RD Web Access, or deployed directly to users via .msi or .rdp files.  Administrators can assign RemoteApps to users.
• 
  Remote Desktop Virtualization Hosts
  
  – the new Virtual Desktop Infrastructure (VDI) of RDS in Windows Server 2008 R2 enables an administrator to provide access to virtual desktops through RemoteApp and Desktop Connection.  The desktops are virtual machines hosted on a Windows Server 2008 R2 system with the Hyper-V role and Remote Desktop Virtualization (RD Virtualization) role service installed.  A user can either be assigned a personal virtual desktop or a desktop from a virtual pool.
• 
  Remote Desktop Connection Broker
  
  – RD Connection Broker’s centralized publishing enables administrators to aggregate RemoteApp programs, session-based remote desktops and VM-based remote (virtual) desktops from various sources into a single customized view for users.
• 
  Remote Desktop Web Access
  
  – RD Web Access serves two main purposes in RemoteApp and Desktop Connection.  First, users can log in to the website and access RemoteApps, session-based and virtual machine-based desktops.  RD Web Access provides users with the ability to connect to resources from Windows Vista and Windows XP systems in addition to Windows 7 clients.  Users can also subscribe to a web feed which will integrate RemoteApp and Desktop Connection resources into their Start menu.  The menu is then updated automatically as the list of published applications and desktops changes.
• 
  Remote Desktop Gateway
  
  – Administrators can use RD Gateway to help secure remote connections in cases where access to the RD Web Access web page from the internet is needed.  RemoteApps and virtual desktops can be configured to use specific RD Gateway servers, no RD Gateway server or specific RD Gateway settings when users connect using RemoteApp and Desktop Connection.
• 
  Windows 7 client computers
  
  – Windows 7 client computers include a new RemoteApp and Desktop Connection control panel applet.  Using this applet, users can specify the URL of a web feed which will integrate all RemoteApp programs, session-based desktops and virtual machine-based desktops into the Start Menu under a new program group.
• 
  Remote Desktop Connection 7.0
  
  – provides a new notification area icon to show connectivity status

Let’s walk through the configuration of a RemoteApp and Desktop Connection web feed via the control panel.

The first step is to open the RemoteApp and Desktop Connection Applet:
Click on the link to “Set up a new connection …”
Specify the URL for the web feed:
Click Next and confirm your selection:
You receive confirmation that the connection was successfully added:
And you can then see the connection in the applet:
If you click on the Properties button, you can see the connection’s details and you also have an “Update Now” button that you can use to manually update the list of RemoteApps and Desktops:

Alternatively, administrators can configure a Workspace Configuration File (.wcx) from an RD Connection Broker server and distribute it to Windows 7 users in their organization.  The .wcx file can be distributed in a number of ways, including via login scripts.  Let’s quickly walk through the process to create a configuration file.  A quick note here — you will need to either be a member of the local Administrators group (or have equivalent privileges) on the RD Connection Broker server.  OK, let’s go through the steps:

1. On the RD Connection Broker server, open the Remote Desktop Connection Manager
2. In the left pane, click Remote Desktop Connection Manager: <server name> where <server name> is the name of the RD Connection Broker server
3. On the Action menu, click on Create Configuration File
4. In the Create Configuration File dialog (shown below), enter the information for the RemoteApp and Desktop Connection URL.  Use the Fully Qualified Domain Name (FQDN) of the RD Web Access server.
5. Click Save, specify a file name and folder location and click Save again
6. Distribute the configuration file to the users

After the RemoteApp and Desktop Connection web feed has been configured, a new Program Group – RemoteApp and Desktop Connections – appears in the Start menu.

So that’s how you configure the connection – let’s go over how you assign applications to users.  To assign users to a RemoteApp program, the Remote Desktop Session Host server on which the RemoteApp program is configured must be a member of an Active Directory domain.  You will need Administrator privileges on the RD Session Host server in order to configure the RemoteApp assignments.  In addition – to run the RemoteApp program the user’s account must be a member of the Remote Desktop Users group on the RD Session Host server.  OK – so here’s the breakdown:

• On the RD Session Host server, open RemoteApp Manager
• In the RemoteApp Programs list click the program to which you want to assign domain users / groups
• In the Actions pane for the program click Properties and then click the User Assignment tab

• Click Specified domain users and domain groups, then click Add

• Select the domain users and group that you wish to assign, then click OK to close the Select Users or Groups dialog box and then click OK to close the RemoteApp Properties dialog

Finally, as I mentioned earlier, RDC 7.0 provides a new notification area icon that shows the connectivity status to all of the active RemoteApp and Desktop Connections for a user.  The icon itself only appears when the users is currently connected to at least one RemoteApp and Desktop Connection.

Users can use the new icon to identify when they are connected to a RemoteApp and Desktop Connection, to disconnect from one or all of their RemoteApp and Desktop Connections, or to launch the control panel applet for RemoteApp and Desktop Connections as shown below:

And with that, we’ve come to the end of our post.  It looks like a long post, but there’s lots of screenshots!  Don Geddes will be here tomorrow with a look at RD Connection Broker.  See you tomorrow!

— Dane Smart

Share this post :