Настройка удаленных приложений RemoteApp в Windows Server 2008 R2
Не все знают, что в дополнение к службе удаленных рабочих столов, в Windows Server 2008 R2 есть очень удобная служба удаленных приложений RemoteApp. Суть RemoteApp в том, что к любым приложениям, установленным на данном сервере, можно получить удаленный доступ с любого компьютера подключенного к сети. В этом случае, выполняться программа будет на сервере, но её окно будет прорисовываться так, если бы пользователь запустил программу с локального компьютера. Возможно сворачивать и разворачивать окно программы запущенной через RemoteApp, изменять его размеры и запускать сразу несколько программ вместе со своими локальными приложениями. Это очень удобный механизм, который может существенно облегчить администрирование некоторых программ и сократить расходы на их покупку.
Ниже я расскажу как настроить Удаленные приложения RemoteApp в Windows Server 2008 R2 на примере программы 1с:Предприятие 7.7.
Этапы установки и настройки удаленных приложений
- настройка хост-сервера сеансов удаленных рабочих столов для размещения удаленных приложений RemoteApp ;
- добавление программ в список удаленных приложений RemoteApp ;
- создание RDP-файла и Создание пакета установщика Windows .
Существуют предварительные требования к установке, которые необходимо выполнить перед настройкой Удаленные приложения RemoteApp для использования. В следующих разделах рассматривается настройка сервера для работы с Удаленные приложения RemoteApp.
- установка службы роли хост-сервера сеансов удаленных рабочих столов;
- установка программ;
- проверка параметров удаленного подключения.
Установка службы роли хост-сервера сеансов удаленных рабочих столов
Диспетчер удаленных приложений RemoteApp устанавливается в составе службы роли Узел сеансов удаленных рабочих столов.
В этом разделе описывается порядок установки службы роли Узел сеансов удаленных рабочих столов.
Примечание: После установки службы роли Узел сеансов удаленных рабочих столов необходимо перезагрузить компьютер.
Минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы (или эквивалентной ей группе) на сервере узла сеансов удаленных рабочих столов.
Рекомендации по оборудованию сервера:
- процессор: Quad 3.00 GHz;
- память: 1000 Мб для windows + 350 Мб для каждого сеанса;
Установка службы роли хост-сервера сеансов удаленных рабочих столов
- На компьютере, на котором требуется установить службу роли Узел сеансов удаленных рабочих столов, откройте средство Диспетчер серверов. Чтобы открыть компонент «Управление сервером», нажмите Пуск, Администрирование, а затем Управление сервером.
2. В группе Сводка по ролям выберите Добавить роли.
3. На странице Прежде чем, приступить к работе мастера добавления ролей нажмите кнопку Далее .
4.На странице Выбор ролей сервера установите флажок Службы удаленных рабочих столов и нажмите кнопку Далее.
5. На странице Службы удаленных рабочих столов нажмите кнопку Далее .
6. На странице Выбор служб ролей установите флажок Узел сеансов удаленных рабочих столов, флажок лицензирование удаленных рабочих столов, флажок Веб-доступ к удаленным рабочим столам и нажмите кнопку Далее .
7. На странице Удаление и повторная установка приложений для определения совместимости нажмите кнопку Далее .
8. На странице Укажите метод подлинности для узла сеансов удаленных рабочих столов, выберите Не требовать проверку подлинности на уровне сети, нажмите на кнопку Далее .
9. На странице Укажите режим лицензирования, выберите нужный режим, рекомендуется режим «На пользователя», и нажмите кнопку Далее .
10. На странице Выберите группы пользователей, которым разрешен доступ к этому хост-серверу сеансов удаленных рабочих столов добавьте пользователей или группы, которые требуется добавить в группу «Пользователи удаленного рабочего стола», и нажмите кнопку Далее .,
11. На странице Настройка взаимодействия с пользователем выберите требуемый пользовательский интерфейс и нажмите кнопку Далее .
12. На странице Настроить область обнаружения для лицензирования удаленных рабочих столов, нажмите на кнопку Далее .
13. На странице Веб- сервер (IIS ) нажмите на кнопку Далее.
14. На странице Выбор служб ролей нажмите на кнопку Далее .
15. На странице Подтвердите выбранные элементы убедитесь, что служба роли Узел сеансов удаленных рабочих столов выбрана для установки, и нажмите кнопку Установить .
16. На странице Ход выполнения установки будет отображаться ход выполнения установки.
17. На странице Результаты установки будет предложено перезапустить сервер для завершения процесса установки. Нажмите кнопку Закрыть, а затем кнопку Да, чтобы перезапустить сервер.
18. После перезапуска сервера и входа в компьютер с использованием той же учетной записи пользователя установка завершится. При появлении страницы Результаты установки убедитесь, что установка сервера Узел сеансов удаленных рабочих столов выполнена
Установка программ
Приложения следует устанавливать на удаленный сервер после установки службы роли Узел сеансов удаленных рабочих столов. Приложения на сервер Узел сеансов удаленных рабочих столов устанавливаются так же, как и на локальный рабочий стол. Тем не менее следует убедиться, что приложения устанавливаются для всех пользователей, а все необходимые компоненты приложений устанавливаются локально на сервер Узел сеансов удаленных рабочих столов.
В нашем случае, мы будем устанавливать систему DIRECTUM и Microsoft Office.
Проверка параметров удаленного подключения
По умолчанию удаленные подключения включены сразу после установки службы роли Узел сеансов удаленных рабочих столов. Чтобы добавить пользователей и группы, которым требуется подключение к серверу Узел сеансов удаленных рабочих столов, и проверить или изменить параметры удаленного подключения, можно использовать следующую процедуру.
Минимальным требованием для выполнения этой процедуры является членство в локальной группе Администраторы (или эквивалентной ей группе) на сервере узла сеансов удаленных рабочих столов.
Чтобы проверить параметры удаленного подключения:
- На сервере Узел сеансов удаленных рабочих столов запустите средство «Система». Чтобы запустить инструмент «Система», нажмите кнопку Пуск, выберите пункт Выполнить, введите control system, а затем нажмите кнопку ОК .
- В группе Задачи выберите Параметры удаленного рабочего стола.
- В диалоговом окне Свойства системы на вкладке Удаленный выберите один из следующих вариантов, в зависимости от среды.
3.1. Разрешать подключения от компьютеров с любой версией удаленного рабочего стола (менее безопасно)
3.2. Разрешать подключения только от компьютеров с удаленным рабочим столом с сетевой проверкой подлинности (безопасность выше)
3.3. Для получения дополнительных сведений о двух параметрах на вкладке Удаленный щелкните ссылку Помогите мне выбрать.
4. Чтобы добавить пользователей и группы, которые необходимо подключить к серверу Узел сеансов удаленных рабочих столов с помощью удаленного рабочего стола, выберите пункт Выбрать пользователей, а затем нажмите кнопку Добавить. Добавляемые пользователи и группы добавляются в группу «Пользователи удаленного рабочего стола».
Изменение параметров приложения RemoteApp
Каждое приложение RemoteApp имеет ряд ключевых опций, которые можно изменить в соответствии с требованиями. Для того, чтобы зайти в меню настроек приложения достаточно в окне коллекции сеансов (в данном случае в окне Коллекция сеансов RDS) на панели Удалённые приложения RemoteApp вызвать контекстное меню приложения, параметры которого необходимо изменить, и там выбрать единственный пункт Изменить свойства.
На вкладке Общие окна свойств приложения доступны следующие настройки:
- Имя удалённого приложения RemoteApp. Позволяет задать произвольное имя для опубликованного приложения.
- Показывать удалённое приложение в службе веб-доступа к удалённым рабочим столам. Если выбрать пункт Нет, то приложение не будет отображаться списке приложений на странице веб-доступа и не будет доступно пользователям, хотя будет установлено на серверах узлов сеансов и будет иметь статус опубликованного.
- Папка удалённого приложения RemoteApp. Этот параметр позволяет упорядочивать приложения RemoteApp, раскладывая их по папкам.
Кроме настроек, в данном окне отображается информация о пути размещения приложения, его псевдониме и иконке.
Папку удалённого приложения RemoteApp можно либо задать вручную, написав в соответствующем поле желаемое имя папки, либо выбрав из существующего списка, если папки были созданы ранее.На вкладке Параметры можно задать параметры командной строки для приложения. Именно здесь можно разрешить использовать любые параметры командной строки или вообще запретить их использование. Помимо этого можно задать принудительное использование заранее заданных параметров.
Свойства вкладки Назначение пользователей позволяют настроить видимость приложения в системе веб-доступа для заданных пользователей или групп пользователей. Поскольку по умолчанию все пользователи коллекции сеансов имеют доступ ко всем опубликованным в ней приложениям, данная вкладка позволяет гибко настроить доступ пользователей к приложениям RemoteApp внутри самой коллекции.
На вкладке Сопоставление типов файлов можно задать типы файлов, которые автоматически будут открываться с помощью выбранного приложения RemoteApp.
Следует помнить об одном очень важном ограничении — данная опция не работает в случае веб-доступа к приложениям.
Как то исправить?
Для того, чтобы избавиться от этого, необходимо:
- При создании RDP файла для RemoteApp использовать цифровую подпись.
- Настроить соответствующим образом политику (локальную или в домене).
Процесс создания сертификата мы упустим, т.к. это не тема этой статьи. Считаем, что вы уже сгенерировали сертификат и подписали им опубликованное приложение, создав RDP файл вашего приложения. Далее нам необходимо открыть сертификат и получить из него так называемый «Отпечаток». Сделать это можно следующим образом:
Добавить или удалить оснастку > Сертификаты > Добавить:
В итоге получаем такое: Это и есть наш сертификат, который вы уже сгенерировали ранее.
Теперь нам нужно посмотреть его «Отпечаток». Для этого необходимо дважды щелкнуть мышкой на нужном сертификате:
Полученная последовательность символов и есть «Отпечаток».
Удаляем из нее все пробелы, чтобы строка приняла вид:
Далее в «Конфигурация компьютера/Политика/Административные шаблоны/Компоненты Windows/Службы удаленных рабочих столов/Клиент подключения к удаленному рабочему столу» включаем параметр «Указать отпечатки SHA1 сертификатов, представляющих доверенных издателей RDP» и вписываем туда нашу строку с «Отпечатком» без пробелов. В случае, если в «Отпечатке» содержится два нуля, т.е. 00, их необходимо удалить.
После применения политики на нужном компьютере, этого предупреждения не должно выскакивать.
Другие статьи:
Решение 3. Проверьте, разрешены ли удаленные подключения
Точно так же, как вам нужно разрешить удаленный рабочий стол через брандмауэр, вам также необходимо разрешить удаленные подключения на вашем компьютере, если вы впервые используете эту функцию.
Чтобы включить удаленные подключения на компьютере с Windows 10, выполните следующие действия.
- Перейдите в Поиск, введите параметры удаленного доступа и откройте Разрешить удаленные подключения к компьютеру .
- Установите флажок Разрешить удаленные подключения к этому компьютеру и нажмите ОК , чтобы сохранить изменения.
Удаленные подключения теперь включены, и вы должны попытаться подключиться снова. Мы также заметили еще одну возможную проблему, которая может помешать использованию удаленного рабочего стола.
Если компьютер, к которому вы хотите подключиться удаленно, находится в спящем режиме или в режиме гибернации, подключение будет невозможным, поэтому проверьте, не включен ли компьютер, и попробуйте снова подключиться.
Удаленное соединение заблокировано? Вот лучшие советы по решению проблемы!
Причины возникновения ошибки
Итак, вы запускаете RDP-клиент, чтобы соединиться с удалённым сервером, высвечивается обнадёживающее сообщение «Инициализация удалённого подключения», но затем ваш ПК отказывается от попытки, сообщая, что «Удалённому рабочему столу не удалось найти компьютер ».
Обычно это свидетельствует о том, что указанное вами имя сервера не удалось преобразовать в IP-адрес, то есть это проблема DNS сервера, находящегося на пути маршрута передачи данных. Здесь вы самостоятельно ничего поделать не сможете – придётся обращаться к сетевому администратору или провайдеру.
Но, как это обычно бывает, причины могут быть и другие:
- подключение к удалённому серверу заблокировано системным администратором в целях безопасности, то есть DNS сервер здесь ни при чём, доступ запрещён или ограничен настройками на стороне сервера;
- отсутствие пользовательского пароля. Соединяясь с удалённым компьютером, мы входим под своей учётной записью. Если на сервере для вашей учётки защита по паролю по какой-то причине не установлена, вы не сможете войти в систему;
- удалённый ПК в момент соединения находится в режиме гибернации (сна). Разумеется, находясь в таком состоянии, сервер не будет реагировать ни на какие внешние воздействия;
- иногда установлению соединения препятствует установленная на целевом компьютере антивирусная программа, реже – встроенный брандмауэр;
- к таким же результатам может привести обновление Windows под кодовым названием KB2992611, ответственное за устранение ошибки, связанной с шифрованием, то есть безопасностью;
- наконец, невозможность подключения к удалённому рабочему столу может связана с использованием на одном из компьютеров стороннего шифровального софта (например, КриптоПро, необходимый для работы с цифровой подписью).
Сервер
Установка роли
Службы удаленных рабочих столов (Remote Desktop Services), Далее, отмечаем чекбоксы: Лицензирование удаленных рабочих столов (Remote Desktop Licensing), Узел сеансов удаленных рабочих столов (Remote Desktop Session Host), со всем соглашаемся, установка, перезагрузка.
В Диспетчере серверов, в пункте меню Средства, появилась закладка Terminal Services (или Remote Desktop Services для 2016).
Настройка параметров RDP
Настройка всех параметров RDP теперь в групповых политиках. Отдельной графической оснастки, как было раньше, нет:
- Win+R — gpedit.msc — Конфигурация компьютера (Computer Configuration);
- Административные шаблоны (Administrative Templates) —
Компоненты Windows (Windows Components); - Службы удаленных рабочих столов (Remote Desktop Services) —
Узел сеансов удаленных рабочих столов (Remote Desktop Session Host) — Лицензирование (Licensing).
Редактируем два параметра:
- Использовать указанные серверы лицензирования удаленных рабочих столов (Use the specified Remote Desktop license servers) — включено — указываем имя сервера;
- Задать режим лицензирования удаленных рабочих столов (Set the Remote licensing mode) — включено — на пользователя.
В соседних ветках настраиваются все параметры подключения клиентов.
Далее: Диспетчер серверов — Службы удалённых рабочих столов (Terminal Services) — правой кнопкой на сервере — Диспетчер лицензирования удаленных рабочих столов (Remote Desktop Licensing Manager) — Активировать сервер. Сведения об организации: обязательно нужно заполнить первую страницу, вторую можно оставить пустой.
После активации запускается Мастер установки лицензий:
- Выбираем Enterprise Agreement — Далее (бессмысленный набор цифр ищем в интернете, ищется легко, буквально вторая/третья ссылка) — вводим номер — Далее — выбираем число лицензий и тип На пользователя. Заходим Диспетчер серверов — Все серверы — правой кнопкой на сервере — Средство диагностики лицензирования удалённых рабочих столов, проверяем, что нет ошибок.
Создаем файл RDP
На примере 1С предприятия: открываем блокнот и помещаем туда следующую информацию, заменяя имя_сервера на действительное имя сервера или IP:
Сохраняем файл, меняем расширение на rdp, раздаём пользователям.
Реестр
Главный шаг, от которого будет зависеть заработает или нет. Правим реестр на сервере через блокнот:
Проверяем правильность путей, сохраняем с раcширением reg, закидываем в реестр. Проверяем. Если не работает, смотрим ветку 1cestart. Значения из reg-файла должны перенестись. И на всякий пожарный ветку TSAppAllowList там же, у меня это:
Возможные проблемы
Когда недавно делал по своей же инструкции, то получил сообщение, что приложения 1С нет в списке разрешенных.
Или вот такое ещё может быть:
Посмотрел на сервере ветку 1cestart:
Она пустая. При копировании текста с сайта могут неправильно переноситься кавычки, ещё что-то. Поэтому нужно подправить/проверить вручную.
- Path — для 1С 8.3 будет 1cv8common1cestart.exe ,для 1С 8.2 1cv82common1cestart.exe
- ShortPath— то же самое
Подключение через интернет
В файлике rdp вместо имя_сервера, можно использовать IP-адрес (или даже IP-адрес с портом через двоеточие, или же указать порт в соответствующей строке). Это позволяет подключать клиентов через интернет и NAT:
- Пробросить на роутере рандомный внешний порт на внутренний 3389 сервера;
- Вбить в файлик внешний реальник офиса с портом.
Конструкцию с RD Gateway считаю излишней. Тем более если делается с пробросом 443 порта на внутренний ресурс, тем более что RD Gateway требует установки роли Web Server, то есть потребляет ресурсы — чем проще, тем надежнее. После настройки роли RDP и проверки работоспособности смело можно удалить даже фичи для администрирования RDP, они больше не нужны.
Вот и все.
Конечно же мы помним, что Prof выпуски Windows позволяют только одному пользователю наслаждаться удаленным рабочем столом…
То есть когда кто-то подключиться к RemoteApp службе — рабочий стол компьютера заблокируется….
Но ведь продвинутый администратор, способный пользоваться такими уловками всегда помнит про программы типа RDP Wrapper Library.
Легальность использования такой программы явно под большим сомнением.
А еще многие отдают предпочтение программам SHUTLE TSPlus / Thinstuff / ViTerminal — это уже платные программы, которые кроме изъятия некоторой суммы денег сообщат вам много доводов, почему вы должны считать этот способ легальным.
Но вы должны помнить, что пункт 2а . В рамках настоящего соглашения мы предоставляем вам право установить и запустить один экземпляр программного обеспечения на устройстве (лицензированное устройство) для одновременного использования одним лицом.
А потому (ИМХО) использование любых средств (в том числе платных) для увеличения количества терминальных подключений без покупки Windows Server и пакета терминальных лицензий является грубым нарушением лицензионного соглашения.