Portal Web d’Escriptori Remot

Publicat el Deixar un comentari Etiquetes: ,

Esta entrada también está disponible en: Castellà

Una de les característiques d’aquest entorn és poder publicar directament les aplicacions mitjançant un portal web. Són les conegudes RemoteApp. Una forma més senzilla pels usuaris de poder accedir a les aplicacions, sense realitzar complicades configuracions en els seus equips.

N’hi ha prou en accedir a una adreça URL i seleccionar l’aplicació que es vol executar o bé configurar el client de Windows perquè actualitzi directament aquestes aplicacions en el seu menú d’inici. Però al darrera d’aquest portal hi ha una configuració especifica que cal realitzar.

En aquesta entrada es mostren els passos a seguir perquè el portal funcioni correctament, sense avisos innecessaris, partint de la configuració realitzada en l’entrada d’Escriptori remot de sessió.

Publicar una RemoteApp al portal

Recuperant el punt de configuració de l’entrada d’Escriptori remot de sessió, des de l’escriptori, obrir l’Administrador del servidor.

portal-web-escriptori-remot-01

Al menú de l’esquerra, seleccionar Serveis d’Escriptori Remot.

portal-web-escriptori-remot-02

A la pàgina d’informació general, clicar a la col·lecció Ofimàtica que es va crear a l’entrada anterior.

portal-web-escriptori-remot-03

A l’apartat Programes RemoteApp, clicar el botó Tasques > Publicar programes RemoteApp.

portal-web-escriptori-remot-04

S’inicia un assistent per la publicació d’aplicacions. Per defecte el sistema treu un llistat del que li semblen aplicacions que estan instal·lades al servidor d’Escriptori Remot. No obstant, si l’aplicació que es vol publicar no apareix al llistat, es pot afegir manualment mitjançant el botó Afegir.

portal-web-escriptori-remot-05

Per fer un exemple senzill, publicaré el WordPad i el Paint. De la llista, marcar el piscu de les dues aplicacions. Clicar el botó Següent per continuar.

portal-web-escriptori-remot-06

Resum de les aplicacions que es publicaran com a RemoteApp. Si és correcte, clicar el botó Publicar.

portal-web-escriptori-remot-07

El sistema prepara l’entorn per publicar les dues aplicacions. portal-web-escriptori-remot-08

Un cop ha acabat, ens ensenya un resum del què ha fet. Comprovar que l’estat de les aplicacions és Publicades. Clicar el botó Tancar.

portal-web-escriptori-remot-09

A l’apartat Programes RemoteApp, apareixen les dues aplicacions publicades.

portal-web-escriptori-remot-10

Però, es pot personalitzar que una aplicació surti per uns usuaris i l’altre per uns altres? La resposta és si. Botó dret damunt de l’aplicació amb el ratolí, clicar a Editar propietats.

portal-web-escriptori-remot-11

Es pot personalitzar el comportament de l’aplicació RemoteApp:

  • GENERAL. Canviar el nom de l’aplicació per un de més amigable, si l’ensenyem o no a la llista d’aplicacions web. portal-web-escriptori-remot-12
  • PARÀMETRES. Si es poden passar paràmetres per la línia de comandes per fer quelcom al iniciar l’aplicació. portal-web-escriptori-remot-13
  • ASSIGNACIÓ D’USUARIS. Personalitza l’accés pels usuaris a l’aplicació. Per defecte hi tenen accés tots els usuaris de la col·lecció. Marcant l’opció Només els usuaris i grups especificats, es pot personalitzar el seu accés. Clicar el botó Afegir o Treure per afegir els usuaris o grups de seguretat de l’Active Directory que tindran o no accés a l’aplicació. A l’exemple només hi tindrà accés l’usuari Núria.portal-web-escriptori-remot-14
  • ASSOCIACIONS DE TIPUS DE FITXER.  Si l’usuari intenta obrir a la seva màquina un d’aquests tipus de fitxers, automàticament se li obre l’aplicació RemoteApp.portal-web-escriptori-remot-15

Clicar Aplicar o Afegir per acceptar els canvis.

Si s’accedeix al portal Web, a l’apartat de RemoteApp i Escriptoris apareixen les icones de les aplicacions que s’ha publicat.

portal-web-escriptori-remot-16

Però a l’obrir el portal o les aplicacions ens surten un munt d’advertències de confiança i seguretat! És el moment de passar a la segona part.

 

Configuració dels certificats

Al tractar-se d’un entorn web, cal assegurar que la connexió es farà el més segura possible. Per això s’utilitzen els certificats, per protegir la connexió i els publicadors dels enllaços. Per anar bé els certificats haurien de ser transparents als usuaris finals, que no hi hagi preguntes o clics de més.

Com ho fem? Configurant correctament els certificats i les confiances.

Tornant a l’Administrador del Servidor > Serveis d’Escriptori Remot > Informació general. A l’apartat Informació general de implementació, clicar a Tasques > Editar propietats de la implementació.

portal-web-escriptori-remot-17

Clicar a l’apartat Certificats.

portal-web-escriptori-remot-18

Per defecte, no es creen ni s’assignen certificats a l’entorn, és una operació que hem de realitzar nosaltres mateixos!

portal-web-escriptori-remot-19

Perquè no hi hagi confusions en la configuració de l’entorn de publicació i certificats, per accedir als serveis del portal web, treballaré amb el nom de servidor remot.solquer.cat. Recordar que el meu servidor d’Escriptori Remot és el srvRD.solquer.local.

En entorns productius NO és gens recomanable publicar el propi servidor intern a Internet.

Per tant, perquè tot funcioni cal tenir correctament configurada la resolució DNS. Normalment creant un alias (CNAME) remot.solquer.cat, cap al servidor d’Escriptori Remot srvrd.solquer.local.

La configuració del certificat la farem mitjançant l’entitat de certificació pròpia del domini. També pot ser d’una entitat comercial per evitar haver d’afegir l’entitat certificadora de confiança en els navegadors.

La manera més fàcil de crear un certificat d’aquestes característiques, a l’entitat certificadora del domini, és amb l’Internet Information Server. Des de l’Administrador del Servidor, en el menú superior de la dreta, clicar a Eines > Administrador d’Internet Information Services (IIS).

portal-web-escriptori-remot-20

S’obre la consola d’administració de Internet Information Server. En el tauler de l’esquerra, clicar al nom del servidor. Queda seleccionada la pàgina principal. En l’apartat IIS, clicar la icona Certificats del servidor.

portal-web-escriptori-remot-21

Es visualitzen els certificats instal·lats en l’equip (ull que no són els mateixos que els d’usuari). A la banda dreta, en l’apartat Accions, clicar a Crear certificat de domini.

portal-web-escriptori-remot-22

S’inicia l’assistent per crear un nou certificat pel servidor web. Després d’omplir les dades sol·licitades, el propi assistent s’encarrega de crear la clau privada, la sol·licitud, fa la sol·licitud a l’entitat certificadora, descarrega el certificat de l’entitat certificadora (si aquesta ho permet) i el casa amb la clau privada. Indicar:

  • Nom comú. El nom pel que es cridarà el servei web, en el meu cas, remot.solquer.cat
  • Organització. Nom de l’empresa o qualsevol altre nom comú que identifiqui el propietari.
  • Unitat organitzativa. Departament, per exemple IT.
  • Ciutat. Identifica la població on està ubicada l’empresa perquè no hi hagi confusió per part dels usuaris.
  • Estat o província. El mateix que per Ciutat.
  • País. El mateix que per Ciutat.

Clicar el botó Següent per continuar.

portal-web-escriptori-remot-23

Especificar l’Entitat certificadora del domini a qui fer la petició. En cas que no ens permeti seleccionar l’entitat, vol dir que no n’hi ha cap publicada a l’Active Directory. Si la volem utilitzar s’ha d’haver creat prèviament. Podeu donar una ullada a l’entrada sobre com crear l’entitat certificadora.

portal-web-escriptori-remot-24

Si pel contrari, l’entitat certificadora del domini està publicada, ens permet clicar el botó Seleccionar.

portal-web-escriptori-remot-25

Seleccionar l’entitat certificadora a qui demanar el certificat i clicar el botó Acceptar.

portal-web-escriptori-remot-26

Introduir un nom descriptiu del certificat només perquè sapiguem de què va, no té implicacions d’operativa. Personalment hi poso el nom comú seguit de la data. Clicar el botó Finalitzar per realitzar tot el procés de creació del certificat.

portal-web-escriptori-remot-27

Si tot és correcte, apareix el nou certificat a la llista de certificats del servidor.

portal-web-escriptori-remot-28

Clicant damunt d’ell es poden veure les propietats del mateix. El què interessa és que disposi de la clau privada, sinó no ens serveix per associar-lo als serveis Web. Clicar el botó Acceptar per tancar la finestra.

portal-web-escriptori-remot-29

Per poder-lo associar als serveis d’Escriptori remot ens cal el fitxer PFX (que conté el certificat amb la clau privada i pública). Cal exportar el certificat que hi ha al Internet Information Server a aquest format. Seleccionar el certificat, botó dret del ratolí i clicar a Exportar…

portal-web-escriptori-remot-30

Indicar la ruta i un nom de fitxer clicant el botó , indicar una contrasenya per protegir la clau privada. Clicar el botó Acceptar.

portal-web-escriptori-remot-31

Amb el certificat correctament creat i exportat amb la clau privada, ja es pot associar als diferents serveis. Tornar a l’administrador del servidor > Serveis d’Escriptori Remot > Informació general > Informació general de implementació > Tasques > Editar propietats de la implementació > Certificats.

Seleccionar Agent de connexió a Escriptori Remot – Habilitar inici de sessió únic. Clicar el botó Seleccionar certificat existent.

portal-web-escriptori-remot-32

Indicar la ruta i el nom del fitxer on hem exportat el certificat. Així com la contrasenya de la clau privada. Marcar el piscu de Permetre afegir el certificat al magatzem de certificats d’Entitats de certificació arrel de confiança en els equips de destí i clicar el botó Acceptar.

portal-web-escriptori-remot-33

Se’ns adverteix que només es pot afegir un certificat a un servei a la vegada. Clicar el botó Aplicar per afegir el que tenim actualment seleccionat.

portal-web-escriptori-remot-34

Comprovar que s’ha habilitat correctament com a certificat de confiança.

portal-web-escriptori-remot-35

Repetir el procés pels serveis d’Agent de connexió a Escriptori Remot – Publicació i d’Accés web a Escriptori Remot.

portal-web-escriptori-remot-36

En aquest punt, si provem la connexió remota mitjançant el navegador a l’adreça: https://remot.solquer.cat/RDweb. Se’ns ha de tancar el cadenat del certificat, identificant correctament el lloc com a remot.solquer.cat amb el certificat emès per l’entitat de confiança del domini!

portal-web-escriptori-remot-37

Iniciar la sessió al portal web amb el compte d’un usuari vàlid, seleccionar RemoteApp i Escriptori. Hi ha les icones de les aplicacions que s’han publicat.

portal-web-escriptori-remot-16

Però, al clicar a qualsevol de les aplicacions RemoteApp… Tenim una advertència de confiança sobre l’equip remot, que cal arreglar confiant amb l’Editor de l’aplicació RemoteApp, és a dir, nosaltres.

portal-web-escriptori-remot-38

 

Confiant amb l’Editor de les aplicacions RemoteApp d’Escriptori Remot dins el domini

Es tracta de crear una política de configuració (GPO) que reconegui el certificat editor com de confiança. L’operació és la mateixa pels equips fora del domini, diferenciant-se en que la política a modificar (GPO) és la local i no la del domini.

El primer que hem de fer abans que res, és obtenir l’empremta digital del certificat de l’editor. Clicar damunt l’enllaç de l’editor (remot.solquer.cat).

portal-web-escriptori-remot-39

En el certificat que se’ns mostra, clicar a la pestanya Detalls.

portal-web-escriptori-remot-40

Al final, hi ha el valor de l’empremta digital. Copiar el contingut del requadre de valor al porta-papers.

portal-web-escriptori-remot-41

Obrir una consola de PowerShell,

portal-web-escriptori-remot-42

Començar a escriure: (“ enganxar el contingut del porta-papers i continuar amb: “).replace(” “,””) executar la instrucció. Per posar un exemple clar:

("64 70 c2 79 8a 75 b9 28 af 8d db a0 b4 56 b5 e2 42 cd 5c e1").replace(" ","")

La consola retorna l’empremta digital sense espais, copiar aquest valor en un lloc que tinguem a mà.

portal-web-escriptori-remot-43

Des de l’administrador del servidor d’un controladora d’Active Directory, en el menú de la dreta, clicar a Eines > Administració de directives de grup.

portal-web-escriptori-remot-44

Desplegar l’arbre d’opcions de l’esquerra pel Bosc > Dominis > nom del domini > Objectes de directiva de grup. Botó dret del ratolí, clicar a Nou.

portal-web-escriptori-remot-45

Indicar un nom, per exemple, Escriptori Remot – Confiança editors. Clicar el botó Acceptar.

portal-web-escriptori-remot-46

Botó dret damunt la nova directiva, clicar a Editar.

portal-web-escriptori-remot-47

Desplegar les directives de Configuració d’usuari > Directives > Plantilles administratives > Components de Windows > Serveis d’Escriptori Remot > Client de connexió a Escriptori Remot.

portal-web-escriptori-remot-48

portal-web-escriptori-remot-49

Doble clic a la configuració Especificar empremtes digitals SHA1 de certificats que representen publicadors .rdp de confiança.

portal-web-escriptori-remot-50

Habilitar la directiva i enganxar el valor que hem guardat de l’empremta digital de l’editor. Clicar el botó Acceptar. Tancar l’editor de directives.

portal-web-escriptori-remot-51

Associar la nova directiva al domini o Unitat Organitzativa on hi hagi els usuaris. Botó dret, al domini o unitat organitzativa, clicar Vincular una GPO existent.

portal-web-escriptori-remot-52

Seleccionar la nova directiva i clicar el botó Acceptar.

portal-web-escriptori-remot-53

Recordar que per forçar l’actualització de les directives de l’usuari en qüestió cal fer un gpupdate en la consola de sistema amb privilegis d’administrador:

gpupdate /force

Tornem a fer la prova d’obrir una aplicació RemoteApp: el WordPad. Al ser el primer cop tarda una mica més perquè ha de preparar la sessió al servidor d’Escriptori Remot, però l’aplicació s’obre sense preguntar res ni treure cap advertència.

portal-web-escriptori-remot-54

Objectiu aconseguit, l’usuari accedeix a l’aplicació RemoteApp com si estigués instal·lada al seu equip de manera totalment transparent per ell.

portal-web-escriptori-remot-55

T’ha agradat l’article? El pots compartir a les xarxes socials. També pots deixar la teva opinió, comentari o suggeriment. Gràcies!

 

Deixa un comentari

L'adreça electrònica no es publicarà. Els camps necessaris estan marcats amb *