Настройка RemoteApp на платформе Windows Server 2012 R2

Пришло время обновить статью по RemoteApp. В новой версии сокращен объем, добавлены некоторые уточнения и рассмотрена публикация «в мир».

Итак, предположим у нас развернуты AD DS и AD CS. В продуктивной среде, есть смысл подписать сервис коммерческим сертификатом.

Также есть примитивный шлюз, который умеет NAT и Port Forwarding. Это значит, что https будет занят только этим сервисом.

Для публикации «в мир» разумеется есть домен, в котором создана А запись указывающая на расположение сервиса.

Я не буду описывать прохождение шагов мастера, который устанавливает сервис, там все проще некуда. В любом случае, результат должен быть таков:

38

Я использовал Quick Deploy, а затем доустановил RDS-Licensing. RDS-Gateway я не использую, т.к. у меня единственный сервер обеспечивает работу сервиса.

Теперь о сертификатах. Т.к. я использую корпоративный ЦС, я запросил и установил сертификат с альтернативными именами (SAN), а именно: app, app.lab.local, app.mars.biz.ua

Все пользователи будут использовать подключение по имени app.mars.biz.ua, и поэтому я создал зону mars.biz.ua на DNS сервере обслуживающем доменную сеть, а в ней А запись, которая указывает на IP сервера app.lab.local:

48

 

49

Этот сертификат я разумеется установил на IIS, и теперь, используя mmc Certificates экспортирую его в .pfx:

39

Что ж, теперь подпишем этим сертификатом службы, для этого  перейдем в раздел Сертификаты, нажмем «Выбрать существующий сертификат..» , укажем ранее экспортированный сертификат, введем пароль, применим изменения:

40

По-умолчанию, подключения идут на FQDN сервера, и, например, пользователи «из мира» будут пытаться попасть на app.lab.local, что, разумеется, приведет только к ошибкам:

41

Для того, чтобы заменить FQDN на то имя, которое нам надо, воспользуемся известно чем. Убедимся в корректности действия заглянув в .rdp:

42

Теперь можно подключить приложения на «постоянной основе», на пользовательском ПК откроем «Панель управления — Подключения к удаленным столам и приложениям RemoteApp» , нажмем «Создание нового подключения…» , введем ссылку https://%server_name%/RDWeb/Feed/WebFeed.aspx  и убедимся что все хорошо заглянув в меню Пуск:

45

Если ПК находится вне домена, нужно убедится в том, что сертификат которым подписан сервис будет валидным. В случае использования коммерческого сертификата проблем нет, ну а если используете корпоративный ЦС то сертификат можно импортировать в локальное хранилище:

46

Сервис будет работать аналогично:

47

На этом все, в следующий раз расскажу о том, как опубликовать несколько сервисов (Exchange, SharePoint, RemoteApp, PSWA и пр.) на одном IP адресе с помощью Application Proxy.

PS Во избежание неприятных сюрпризов, выполняйте действия на английской локализации и не используйте «Quick» сценарий.

Pin It

25 thoughts on “Настройка RemoteApp на платформе Windows Server 2012 R2

  1. Когда будет публикация в мир? Замучился искать как дать доступ через Интернет к ПО. Если есть возможность — сделайте поэтапный разбор, если нежно с ссылками на Ваши предыдущие материалы.

      • Спасибо за оперативный ответ, а то уже перерыл весь интернет, но данная тема не развернута в полной мере, либо указана вскользь. Попытки самостоятельного разбирательства приводят к непостоянному результату. Иногда работает все, иногда нет. Причину найти не могу.

      • Еще будет просьба, помимо более-менее подробного изложения материала, расписать вопрос необходимости, или вредности использования шлюза в данном вопросе и вариантах более-менее качественного внедрения на примере — какие варианты подключения возможны и как это произвести методами самой OS Windows Server 2012 R2, если это возможно, или стороннего ПО, что зачастую менее желательно. Спасибо.

  2. «Этот сертификат я предварительно запросил и установил через IIS.» — как то в этой фразе подробностей маловато… Есть ли возможность раписать?

  3. Доброе время суток Дмитрий!
    Интересует вопрос:
    «Теперь можно подключить приложения на «постоянной основе», на пользовательском ПК откроем…» под пользовательским ПК подразумевается ПК в домене или в мире?
    Заранее благодарен.

  4. Если Вам не трудно разверните данную фразу поподробнее, либо дайте, пожалуйста ссылку: «Все пользователи будут использовать подключение по имени app.mars.biz.ua, и поэтому я создал зону mars.biz.ua на DNS сервере обслуживающем доменную сеть, а в ней А запись, которая указывает на IP сервера app.lab.local»

  5. Дмитрий, правильно я понял, что если коммерческого сертификата нет, то можно с помощью экспорта, который был описан в начале статьи сделать сертификат, который можно установить на удаленном, не входящем в домен, компьютере на другом конце Земли, и можно будет устанавливать приложения на постоянной основе?

  6. Дмитрий, расскажите пожалуйста как опубликовать RemoteApp через Web Application Proxy. Перепробовал много вариантов, но так ничего и не получилось.:( «preparing remote resources» и на этом всё заканчивается. Если делать Nat прямо на rdwa host минуя WAP,RemoteApp работает.

  7. Alexander Tkachenko 01.07.2015 в 17:21 - Ответить

    Отвечу за Диму, внесите изменение в правило публикации на WAP сервере вот такое: Get-WebApplicationProxyApplication «RuleName» | Set-WebApplicationProxyApplication -DisableHttpOnlyCookieProtection

  8. Что-то Дмитрий не торопится с публикацией обещанной темы ))
    Вот ссылка, может кому пригодится: http://frozentundrait.blogspot.ru/2015/06/securing-rd-gateway-with-web.html
    Но вопрос остался, как заставить работать публикацию RemouteApp на рабочем месте?
    Это когда https://rdsfarm.domain.com/rdweb/feed/webfeed.aspx. Через pre-authentication ADFS не получается, работает при WAP ExternalPreauthentication = PassThrough.
    Может есть у кого свежие мысли? ))

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

Этот сайт использует Akismet для борьбы со спамом. Узнайте как обрабатываются ваши данные комментариев.