Пришло время обновить статью по RemoteApp. В новой версии сокращен объем, добавлены некоторые уточнения и рассмотрена публикация «в мир».

Итак, предположим у нас развернуты AD DS и AD CS. В продуктивной среде, есть смысл подписать сервис коммерческим сертификатом.

Также есть примитивный шлюз, который умеет NAT и Port Forwarding. Это значит, что https будет занят только этим сервисом.

Для публикации «в мир» разумеется есть домен, в котором создана А запись указывающая на расположение сервиса.

Я не буду описывать прохождение шагов мастера, который устанавливает сервис, там все проще некуда. В любом случае, результат должен быть таков:

Я использовал Quick Deploy, а затем доустановил RDS-Licensing. RDS-Gateway я не использую, т.к. у меня единственный сервер обеспечивает работу сервиса.

Теперь о сертификатах. Т.к. я использую корпоративный ЦС, я запросил и установил сертификат с альтернативными именами (SAN), а именно: app, app.lab.local, app.mars.biz.ua

Все пользователи будут использовать подключение по имени app.mars.biz.ua, и поэтому я создал зону mars.biz.ua на DNS сервере обслуживающем доменную сеть, а в ней А запись, которая указывает на IP сервера app.lab.local:

Этот сертификат я разумеется установил на IIS, и теперь, используя mmc Certificates экспортирую его в .pfx:

Что ж, теперь подпишем этим сертификатом службы, для этого  перейдем в раздел Сертификаты, нажмем «Выбрать существующий сертификат..» , укажем ранее экспортированный сертификат, введем пароль, применим изменения:

По-умолчанию, подключения идут на FQDN сервера, и, например, пользователи «из мира» будут пытаться попасть на app.lab.local, что, разумеется, приведет только к ошибкам:

Для того, чтобы заменить FQDN на то имя, которое нам надо, воспользуемся известно чем. Убедимся в корректности действия заглянув в .rdp:

Теперь можно подключить приложения на «постоянной основе», на пользовательском ПК откроем «Панель управления — Подключения к удаленным столам и приложениям RemoteApp» , нажмем «Создание нового подключения…» , введем ссылку https://%server_name%/RDWeb/Feed/WebFeed.aspx  и убедимся что все хорошо заглянув в меню Пуск:

Если ПК находится вне домена, нужно убедится в том, что сертификат которым подписан сервис будет валидным. В случае использования коммерческого сертификата проблем нет, ну а если используете корпоративный ЦС то сертификат можно импортировать в локальное хранилище:

Сервис будет работать аналогично:

На этом все, в следующий раз расскажу о том, как опубликовать несколько сервисов (Exchange, SharePoint, RemoteApp, PSWA и пр.) на одном IP адресе с помощью Application Proxy.

PS Во избежание неприятных сюрпризов, выполняйте действия на английской локализации и не используйте «Quick» сценарий.