Enterprise agreement number 2012 r2

Появился некий удаленный терминальный сервер на Windows Server 2012 R2, входящий в какой-то домен, мне предоставили только учетную запись локального администратора. Доменного админа спрашивать не стал, решил быстрее и проще решить вопрос.
Нужно было лишь опубликовать RemoteAPP приложение (необходимых средств и оснасток не было установлено) для подключения с Windows 7 (x23/x64) sp1 Pro

При попытке подключиться и запустить нужное приложение выдавалась ошибка:
Ошибка удаленного приложения RemoteApp
Windows не удается запустить удаленное приложение RemoteApp.
Следующее удаленное приложение RemoteApp отсутствует в списке разрешенных программ: ПО2
Обратитесь к системному администратору.

Как это решить:
В разделе реестра HKLM\Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\TSAppAllowList создаем раздел Applications, там для каждого публикуемого remoteApp приложения создается по разделу и в них должно быть по 2 строковых параметра — Name и Path

В данном случае нужно запускать пользователям приложение ClientLoader.exe, находящееся в папке C:\Client на терминальном сервере
Создаю HKLM\Software\Microsoft\WindowsNT\CurrentVersion\TerminalServer\TSAppAllowList\Applications\ClientLoader
Name=ClientLoader
Path=c:\Client

Потом в разделе TSAppAllowList меняем значение параметра fDisableAllowList на 1

Далее приступаем к организации RDP-ярлыка (я взял ярлык, сгенерированный когда-то для другого приложения и подправил)

redirectclipboard:i:1
redirectposdevices:i:0
redirectprinters:i:1
redirectcomports:i:1
redirectsmartcards:i:1
devicestoredirect:s:*
drivestoredirect:s:*
redirectdrives:i:1
session bpp:i:32
prompt for credentials on client:i:1
span monitors:i:1
use multimon:i:1
remoteapplicationmode:i:1
server port:i:3389
allow font smoothing:i:1
promptcredentialonce:i:1
authentication level:i:2
gatewayusagemethod:i:2
gatewayprofileusagemethod:i:0
gatewaycredentialssource:i:0
full address:s:terminalserver01.local
alternate shell:s:||ClientLoader
remoteapplicationprogram:s:»c:\Client\ClientLoader.exe»
gatewayhostname:s:
remoteapplicationname:s:ClientLoader
remoteapplicationcmdline:s:

Ссылки по теме:
https://social.technet.microsoft.com/Forums/ru-RU/ae744b60-5211-4d1c-99bb-e27a4fb4014e/remoteapp-windows-2012-foundation?forum=WS8ru

Службы удаленных Рабочих столов Windows Server 2008 R2

Опубликовал admin

Ноябрь 30, 2011

В состав Windows Server 2008 R2 входит полнофункциональная и высокопроизводительная версия службы удаленных Рабочих столов (служб терминалов), обеспечивающая поддержку 32-битного изображения, передачу звука, перенаправление локальных принтеров и COM-портов, сопоставление дисков, повышенную масштабируемость и отказоустойчивость. Организация удаленного безопасного многопользовательского доступа к приложениям для администратора уже не станет сложной задачей.
Еще в Windows Server 2008 появились службы Terminal Services RemoteApp (Удаленные приложения служб терминалов), Terminal Services Web Access (Веб-доступ к службе терминалов) и Terminal Services Gateway (шлюз служб терминалов). Многие вопросы управления и доступа упрощены. Например, пользователь, выполняющий печать из RemoteApp (об этом чуть ниже) или из сеанса подключения к удаленному Рабочему столу, имеет доступ ко всем функциям локального или любого другого доступного на сервере или домене принтера.
В итоге после подключения к удаленному Рабочему столу пользователь получал два Рабочих стола — локальный и удаленный. Часто это запутывало и раздражало новичков, например, сохраненный файл пропадал, что обычно заканчивалось вызовом администратора и поиском пропажи. Технология удаленных приложений RemoteApp позволяет запускать приложения с помощью служб удаленного Рабочего стола, которые внешне выглядят и ведут себя так, как обычные настольные приложения. Удаленные приложения RemoteApp устанавливаются как часть роли сервера, затем администратор создает и распространяет специальный RDP-файл, щелчком мыши на котором пользователь может запустить приложение на сервере терминалов.

После запуска RemoteApp приложение будет выполняться в отдельном окне и внешне ничем не отличаться от локальной программы. В качестве клиентских операционных систем поддерживаются в том числе и устаревшие версии — Windows Server 2003 с пакетом обновления SP1, Windows XP с пакетом обновления SP2 и др.
В Windows Server 2008 R2 связанные роли получили новые названия:

  • Узел сеансов удаленных рабочих столов (Remote Desktop Services, RD Services; ранее — служба сервера терминалов, Terminal Services) — обеспечивает доступ пользователей к удаленным Рабочим столам или программам;
  • Лицензирование удаленных рабочих столов (RD Licensing) — установка, выдача и отслеживание клиентских лицензий (ранее — лицензирование служб терминалов, Terminal Services Licensing, TS Licensing);
  • Шлюз удаленных рабочих столов (RD Gateway) — позволяет подключаться к RD Services и удаленным Рабочим столам c любого устройства через небезопасные сети (раннее — шлюз служб терминалов, TS Gateway);
  • Посредник подключений к удаленному рабочему столу (RD Connection Broker) — является упрощенной альтернативой службы балансировки, обеспечивает балансировку нагрузки, распределяя новые сеансы между наименее загруженными серверами в составе фермы и обеспечевая переподключения пользователей к прерванному сеансу (ранее — посредник служб терминалов, TS Session Broker);
  • Веб-доступ к удаленным рабочим столам (RD Web Access) — обеспечивает доступ к удаленным приложениям при помощи браузера или ярлыка в меню Пуск (ранее — веб-доступ к службам терминалов, TS Web Access);
  • Узел виртуализации рабочих столов (RD Virtualization Host) — новый компонент, появившийся в Windows Server 2008 R2, обеспечивает подключение к виртуальным машинам при помощи подключения к удаленным Рабочим столам или RemoteApp.

Назначение некоторых служб понятно другие разберем. Так, шлюз удаленных Рабочих столов дает возможность подключаться к RD Services через Интернет. Шлюз туннелирует RDP-сеансы через защищенное HTTPS-соединение и создает безопасный канал между компьютерами, даже если те располагаются за NAT.
Шлюз RD Gateway заменяет применение технологии виртуальных частных сетей при подключении к корпоративной сети, а использование стандартного порта 443 снимает необходимость в перестройке правил межсетевого экрана (этот порт используется HTTPS и обычно разрешен). Кроме того, конфигурирование настроек и возможность подключения к нескольким RD Services через одну консоль управления заметно упрощают процедуру администрирования. Теперь не возникнет путаницы с организацией доступа к нескольким серверам удаленного Рабочего стола, достаточно лишь правильно настроить RD Gateway. Если задействуется сервер сетевых политик NPS, то его также можно использовать для проверки политик.

Рекомендуется размещать сервер RD Gateway и RD Web Access в периметре сети, а сам узел сеансов удаленных Рабочих столов защитить межсетевым экраном.

Веб-доступ к удаленным Рабочим столам — еще одна полезная возможность, позволяющая подключаться к RD Services, используя веб-браузер, а также получать список доступных приложений RemoteApp. Это в итоге также упрощает работу пользователей, находящихся в другой сети или, например, гостям организации.
Технология единого входа (Single Sign On, SSO) избавляет пользователя от необходимости многократного ввода логина и паролей для доступа к разным сервисам. Для перехода от одного ресурса к другому повторно вводить учетные данные больше не требуется.

Возможность SSO доступна только клиентам Windows Vista, Windows 7, Windows Server 2008 и R2.

Понравилась статья? Оставьте комментарий или подпишитесь на RSS рассылку.


Задача: Установить и настроить на одиноком (standalone) удаленном сервере (не входящим ни в какие домены и рабочие группы и не имеющем ни одного компьютера в сетевом окружении):

  1. Microsoft Windows 2012
  2. Microsoft Exchange 2013
  3. Microsoft Remote Desktop Services и настроить на работу с определенным количеством пользователей.

Симптом и трудность: Установка Exchange 2013 требует наличия установленного Active Directory, в то же время RDS как полный набор служб и компонентов не ставится на контроллер домена.

Решение:

Установить Windows Server 2012 в стандартном объеме

Установить Active Directory и сопутствующие службы (DNS), завести пользователей.

Установить и настроить MS Exchange 2013 в стандартном объеме, протестировать его работоспособность

Установить несколько компонентов RDS:

  • Remote Desktop Licensing (Лицензирование удаленных рабочих столов)
  • Remote Desktop Session Host (Узел сеансов удаленных рабочих столов)
  • Remote Desktop Web Access (Веб-доступ к удаленным рабочим столам) (https://<ip-адрес сервера или имя>/rdweb)

Настроим лицензирование:

  • консоль RD Licensing Manager (Диспетчер лицензирования Удаленных рабочих столов) – Активация сервера (следуем указаниям мастера).
  • Расскажем серверу, где ему найти сервер лицензий с помощью групповой политики

Можно также воспользоваться методом: http://social.technet.microsoft.com/wiki/ru-ru/contents/articles/16879.windows-server-2012.aspx

 

Создаем группу в AD (используем стандартную группу “Пользователи удаленного рабочего стола”), куда поместим всех пользователей, которые будут иметь доступ к удаленному рабочему столу.

В локальной политике:

И последний нюанс, настройка профиля пользователя: “Требовать смены пароля при следующем входе в систему” по умолчанию при попытке входа пользователя на сервер удаленных рабочих столов порождает ошибку  “Произошла ошибка проверки подлинности. Не удается установить связь с локальным администратором безопасности.”
Решаем через отключение NLA в групповой политике:

 

Для сервера, который не входит в состав домена, данный способ развертывания RDS тоже подойдет. Причем, в этом случае у нас остается возможность в случае надобности установить на нем AD и сделать его контроллером домена.

.

.

Добавить комментарий

Закрыть меню