Настройка RemoteApp на платформе Windows Server 2012 R2

Пришло время обновить статью по RemoteApp. В новой версии сокращен объем, добавлены некоторые уточнения и рассмотрена публикация “в мир”.

Итак, предположим у нас развернуты AD DS и AD CS. В продуктивной среде, есть смысл подписать сервис коммерческим сертификатом.

Также есть примитивный шлюз, который умеет NAT и Port Forwarding. Это значит, что https будет занят только этим сервисом.

Для публикации “в мир” разумеется есть домен, в котором создана А запись указывающая на расположение сервиса.

Я не буду описывать прохождение шагов мастера, который устанавливает сервис, там все проще некуда. В любом случае, результат должен быть таков:

38

Я использовал Quick Deploy, а затем доустановил RDS-Licensing. RDS-Gateway я не использую, т.к. у меня единственный сервер обеспечивает работу сервиса.

Теперь о сертификатах. Т.к. я использую корпоративный ЦС, я запросил и установил сертификат с альтернативными именами (SAN), а именно: app, app.lab.local, app.mars.biz.ua

Все пользователи будут использовать подключение по имени app.mars.biz.ua, и поэтому я создал зону mars.biz.ua на DNS сервере обслуживающем доменную сеть, а в ней А запись, которая указывает на IP сервера app.lab.local:

48

 

49

Этот сертификат я разумеется установил на IIS, и теперь, используя mmc Certificates экспортирую его в .pfx:

39

Что ж, теперь подпишем этим сертификатом службы, для этого  перейдем в раздел Сертификаты, нажмем “Выбрать существующий сертификат..” , укажем ранее экспортированный сертификат, введем пароль, применим изменения:

40

По-умолчанию, подключения идут на FQDN сервера, и, например, пользователи “из мира” будут пытаться попасть на app.lab.local, что, разумеется, приведет только к ошибкам:

41

Для того, чтобы заменить FQDN на то имя, которое нам надо, воспользуемся известно чем. Убедимся в корректности действия заглянув в .rdp:

42

Теперь можно подключить приложения на “постоянной основе”, на пользовательском ПК откроем “Панель управления – Подключения к удаленным столам и приложениям RemoteApp” , нажмем “Создание нового подключения…” , введем ссылку https://%server_name%/RDWeb/Feed/WebFeed.aspx  и убедимся что все хорошо заглянув в меню Пуск:

45

Если ПК находится вне домена, нужно убедится в том, что сертификат которым подписан сервис будет валидным. В случае использования коммерческого сертификата проблем нет, ну а если используете корпоративный ЦС то сертификат можно импортировать в локальное хранилище:

46

Сервис будет работать аналогично:

47

На этом все, в следующий раз расскажу о том, как опубликовать несколько сервисов (Exchange, SharePoint, RemoteApp, PSWA и пр.) на одном IP адресе с помощью Application Proxy.

PS Во избежание неприятных сюрпризов, выполняйте действия на английской локализации и не используйте “Quick” сценарий.

Pin It

25 thoughts on “Настройка RemoteApp на платформе Windows Server 2012 R2

  1. Когда будет публикация в мир? Замучился искать как дать доступ через Интернет к ПО. Если есть возможность – сделайте поэтапный разбор, если нежно с ссылками на Ваши предыдущие материалы.

      • Спасибо за оперативный ответ, а то уже перерыл весь интернет, но данная тема не развернута в полной мере, либо указана вскользь. Попытки самостоятельного разбирательства приводят к непостоянному результату. Иногда работает все, иногда нет. Причину найти не могу.

      • Еще будет просьба, помимо более-менее подробного изложения материала, расписать вопрос необходимости, или вредности использования шлюза в данном вопросе и вариантах более-менее качественного внедрения на примере – какие варианты подключения возможны и как это произвести методами самой OS Windows Server 2012 R2, если это возможно, или стороннего ПО, что зачастую менее желательно. Спасибо.

  2. “Этот сертификат я предварительно запросил и установил через IIS.” – как то в этой фразе подробностей маловато… Есть ли возможность раписать?

  3. Доброе время суток Дмитрий!
    Интересует вопрос:
    “Теперь можно подключить приложения на «постоянной основе», на пользовательском ПК откроем…” под пользовательским ПК подразумевается ПК в домене или в мире?
    Заранее благодарен.

    • Можно и там, и там. Важно чтобы сертификат был валиден. Добавил скриншеты в статью.

  4. Если Вам не трудно разверните данную фразу поподробнее, либо дайте, пожалуйста ссылку: “Все пользователи будут использовать подключение по имени app.mars.biz.ua, и поэтому я создал зону mars.biz.ua на DNS сервере обслуживающем доменную сеть, а в ней А запись, которая указывает на IP сервера app.lab.local”

  5. Дмитрий, правильно я понял, что если коммерческого сертификата нет, то можно с помощью экспорта, который был описан в начале статьи сделать сертификат, который можно установить на удаленном, не входящем в домен, компьютере на другом конце Земли, и можно будет устанавливать приложения на постоянной основе?

    • Все так, только когда сертификат протухнет, нужно будет устанавливать новый.

  6. Поподробнее про сертификаты можно? не совсем понятно как его делать

  7. Дмитрий 20.06.2015 at 12:04 - Reply

    Дмитрий, расскажите пожалуйста как опубликовать RemoteApp через Web Application Proxy. Перепробовал много вариантов, но так ничего и не получилось.:( “preparing remote resources” и на этом всё заканчивается. Если делать Nat прямо на rdwa host минуя WAP,RemoteApp работает.

  8. Alexander Tkachenko 01.07.2015 at 17:21 - Reply

    Отвечу за Диму, внесите изменение в правило публикации на WAP сервере вот такое: Get-WebApplicationProxyApplication “RuleName” | Set-WebApplicationProxyApplication -DisableHttpOnlyCookieProtection

  9. Сергей 28.07.2015 at 16:43 - Reply

    Что-то Дмитрий не торопится с публикацией обещанной темы ))
    Вот ссылка, может кому пригодится: http://frozentundrait.blogspot.ru/2015/06/securing-rd-gateway-with-web.html
    Но вопрос остался, как заставить работать публикацию RemouteApp на рабочем месте?
    Это когда https://rdsfarm.domain.com/rdweb/feed/webfeed.aspx. Через pre-authentication ADFS не получается, работает при WAP ExternalPreauthentication = PassThrough.
    Может есть у кого свежие мысли? ))

Leave a Reply