Remoteapp windows server 2008 r2 настройка
В данной статье рассмотрим вариант доступа к приложению, установленном на выделенном виртуальном сервере на площадке дата-центра.
Задача: организовать доступ к приложению через RemoteApp (RDP). Рассматривается на примере ОС Windows Server 2008R2, но актуально и для более новых версий серверных ОС.
- Устанавливаем Windows Server 2008R2;
- Устанавливаем обновления + Антивирус;
- Настраиваем сеть.
Архитектура сети:
Провайдер выделяет один статический IP с выходом в сеть Интернет. Наша задача максимально закрыть доступ к ресурсам сервера.
Для решения задачи создаём следующую архитектуру:
- Сетевому интерфейсу назначим еще один IP адрес из приватного пространства.
- Создадим VPN туннель для подключения к серверу (простой PPTP VPN c MS-CHAP2), 3. внутренними службами и ролями Windows Server 2008R2 (без затрат).
- Поднимем роль Удаленных рабочих столов (включая сервер лицензирования, поскольку он один в сети)
- Установим приложение.
1. Настройка сети
2. VPN туннель для подключения к серверу
Мы не поднимаем роль DHCP сервера, поэтому задачу по предоставлению IP адресов для VPN пользователей назначим самому серверу VPN. Для этого на вкладке IPv4 выберем «Статический пул адресов» и «Добавим» пул адресов.
Этих настроек достаточно, чтоб заработал наш VPN по PPTP. Запустим VPN сервер. Если необходимо закрыть порты подключения для VPN, то в свойствах вкладки «Порты» отключаем ненужные.
2.2. Создадим пользователей для подключения к серверу через VPN
И дадим права на подключение через VPN
2.3. Дополнительные настройки для сети
Для возможности пинговать нашу VPN подсеть, разрешим это в брандмауэре.
В свойствах правил убираем Публичные сети
И включаем правило.
В Центре управления сетями меняем настройку размещения на Сеть предприятия (Частная сеть).
Теперь 172.16.77.0/24 подсеть будет пинговаться.
3. Установим роль «Удаленных рабочих столов»
Выбираем тип лицензий на подключение (Пользователь или Устройство)
Пользователи или группы которые будут включены в группу «Пользовтаели удаленного рабочего стола». Это локальная группа, члены которой будут иметь доступ через удаленный рабочий стол. Если пользовтель не в группе Пользователей удаленного рабочего стола, то не сможет подключиться через RDP.
Поскольку у нас в сети больше нет серверов со службами Удаленных рабочих столов, то и роль сервера лицензирования Удаленных рабочих столов ставим на наш сервер.
Устанавливаем роль, перегружаемся.
Устанавливаем лицензии для Удаленных рабочих столов
Переходим к Мастеру активации сервера. Выбираем режим (у меня Авто, активация через Интернет)
Вводим персональные данные указанные при покупке лицензий. После активации запускается мастер установки лицензий. Выбираем программу лицензирования и вводим данные лицензионной программы.
Если возникают проблемы с сервером лицензирования, то задаем его вручную
Здесь будет значение не указано, открываем свойства и правим
Добавляем наш Сервер и проверяем
На этом сервер Удаленных рабочих столов готов!
4. Настройки безопасности
Закрываем доступ подключения на Удаленный рабочий стол напрямую через публичный IP адрес
Разрешаем подключение только с нашей подсети
И убираем правило подключения с публичных сетей
Теперь достучаться до сервера через RDP можно только получив локальный адрес через VPN.
Конечно, устанавливать на один сервер и VPN и остальные роли, с точки зрения безопасности, неправильно, но в данном случае у нас нет выбора.
5. Публикация приложения в RemoteApp
RemoteApp появился в Server 2008. Это одной из функций роли служб терминалов, которая позволяет не полностью отображать рабочее окружение на стороне клиента, а только область приложения. RemoteApp создает ощущение, что приложение запущено локально.
Откроется мастер удаленных приложений. Выбираем приложение для публикации (в данном случае Paint) и публикуем. Аналогично можно публиковать и другие установленные приложения.
Далее создаем RDP файл или пакет установщика Windows
Создаю rdp файл, поскольку я не хочу чтоб была установлена программа, а этот rdp файл можно передать для подключения.
Само создание файла rdp тоже тривиальна и проходит через мастера.
Итог:
Мы имеем сервер с приложениями доступ к которому можно получить только при подключении к нему через VPN. Для запуска приложений нет необходимости пользователю подгружать весь удаленный рабочий стол, а с помощью RemoteApp запускать приложения как на локальном компьютере.
Всем привет! В первой части статьи мы рассмотрели, как устанавливать RemoteApp в Windows Server 2008 R2, в данный части мы рассмотрим методы распространения программы через RemoteApp. Вы укажите, какие программные продукты и приложения должны быть представлены, через данную технологию. Что здорово, что их можно запускать на любом android устройстве.
Настройка списка RemoteApp
Итак начнем настраивать RemoteApp в Windows Server 2008 R2. Открываем пуск-Администрирование-Службы удаленных рабочих столов-Диспетчер удаленных приложений RemoteApp.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-01
Откроется оснастка "Диспетчер удаленных приложений RemoteApp". В правом верхнем углу жмем "Добавить удаленные приложения RemoteApp".
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-02
Откроется мастер добавления приложения. Жмем далее.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-03
Выбираем из списка приложение, у меня это будет Ccleaner. Хочу отметить, что в данном списке будут присутствовать только программы, которые доступны всем пользователям, то что установлено в локальный профиль конкретно пользователя тут не появится и если даже принудительно, это добавить работать не будет.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-04
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-05
Теперь в пункте Удаленные приложения RemoteApp появилась программа Ccealner.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-07
Теперь распространим наше приложение.
Распространить RemoteApp через RPD-файл.
Щелкаем правым кликом и выбираем создать RDP-файл.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-08
Откроется мастер в нем жмем далее.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-09
При желании вы можете задать альтернативное место создания пакета, указать сертификат если нужно.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-10
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-11
В итоге в c:\Program Files\Packeged Programs у вас появился RDP файл.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-12
Отдаем этот файлик клиенты, он его запускает. Нажимает подключить.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-14
Вводит, логин и пароль
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-15
и у него открывается Ccleaner на сервере, но визуально он его видит как у себя, это полезно если есть ПО с одной лицензией а раздать его хочется многим.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-16
Распространить RemoteApp через MSI-файл.
Тоже щелкаете правым кликом и выбираете Создать пакет установщика Windows.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-17
В мастере жмем далее.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-18
При желании вы можете задать альтернативное место создания пакета, указать сертификат если нужно.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-19
Ставим галки где должен быть создан ярлык на ПО.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-20
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-21
Все в c:\Program Files\Packeged Programs у вас появился MSI файл
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-22
Устанавливаем его на клиенте или через групповые политики. Щелкаем на ярлык на рабочем столе и нажимаем подключить.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-23
и наша программа запущена на удаленном сервере.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-24
Вы можете обратить внимание, что при установки через msi у вас в программы и компоненты появилась возможность деинсталляции это программы, а если заметите рядом стоит локальная ее копия.
Как установить и настроить RemoteApp в Windows Server 2008 R2-2 часть-25
Вот так легко настраивается RemotApp через RDp-файл или MSI. Читайте далее как настроить, тоже самое но через Web браузер в 3 части статьи Как установить и настроить RemoteApp в Windows Server 2008 R2-3 часть.
Не все знают, что в дополнение к службе удаленных рабочих столов, в Windows Server 2008 R2 есть очень удобная служба удаленных приложений RemoteApp. Суть RemoteApp в том, что к любым приложениям, установленным на данном сервере, можно получить удаленный доступ с любого компьютера подключенного к сети. В этом случае, выполняться программа будет на сервере, но её окно будет прорисовываться так, если бы пользователь запустил программу с локального компьютера. Возможно сворачивать и разворачивать окно программы запущенной через RemoteApp, изменять его размеры и запускать сразу несколько программ вместе со своими локальными приложениями. Это очень удобный механизм, который может существенно облегчить администрирование некоторых программ и сократить расходы на их покупку.
Ниже я расскажу как настроить Удаленные приложения RemoteApp в Windows Server 2008 R2 на примере программы 1с:Предприятие 7.7.
0. Оглавление
1. Что понадобится
- Компьютер с Windows Server 2008 R2 (об установке можно прочитать здесь)
- Запущенный сервер терминалов на данном компьютере (об установке сервера терминалов читайте здесь)
- Также, на этом компьютере должно быть установлено и настроено приложение, которое мы будем добавлять в RemoteApp, в моем случае это 1С:Предприятие 7.7 (об особенностях установки 1С:Предприятие 7.7 я писал здесь)
2. Создание RDP-файла или установщика для удаленной программы
После ввода данных увидим окно 1С:Предприятие так, как будто мы запустили его с локальной машины.
3. Настройка пользователей
Если приложение будут запускать несколько пользователей с одинаковыми настройками, то необязательно добавлять каждого на сервер. Достаточно создать только одного пользователя, скажем User_1C (о том как создать пользователя можно прочитать здесь), настроить все параметры (список баз, принтеры пр.) для этого пользователя и разрешить множественные сеансы.
На этом настройка закончена. Мы выполнили ее таким образом, что несколько человек одновременно могут работать с программой 1С:Предприятие 7.7 под одной учетной записью (для удобства работы можно создать несколько учетных записей, например, User_1c_Buh, User_1C_Operator, User_1C_Sklad и т. д. или же отдельную учетную запись для каждого пользователя).
Смотрите также:
Здесь будет рассказано как изменить политику паролей в Windows Server 2008. По умолчанию все пароли в Windows должны отвечать политике безопасности, а именно: Не содержать имени учетной записи пользователя…
Ниже будет рассказано о том, как добавить новое правило в Брандмауэр Windows Server 2008 R2. А конкретнее, будем добавлять разрешающее правило для порта 1433, который использует Microsoft SQL Server 2008 R2 или, как…
Иногда, при установке или запуске некоторых (часто устаревших) программ в Windows Server 2008 (справедливо и для Windows 7), можно наткнуться на ошибку вида: "Версия этого файла несовместима с используемой версией…
Итак всем привет и хорошего дня, сегодня я покажу на практике, как сделать следующее:
Задача: на терминальном сервере активировать службу RemoteAPP и опубликовать приложение клиента 1С на подключение к развернутому кластеру 1C.
На сервер установлен гипервизор ESXi, а уже внутри него под каждую задачу развернуты виртуальные системы:
- Имеется доменnemdomb.local
- Имеется развернутый терминальный сервер
- Имеется сервер базы данных и кластер1с (все на одной машине, то лучше разделять по отдельным системам
- и отдельная рабочая станция.
Но пока как заготовка, терминальный сервер я разверну на сервере базы данных и кластере 1С (все на одной машине).
На терминальном сервере рекомендую пользовательский профили вынести на отдельный диск вместо системного:
Для чего нужен RemoteAPP – это технология расширения функционала терминального сервера посредством которой можно вместо того, чтоб каждому пользователю настраивать удаленное подключение где он будет работать с приложениями (Почта, 1С, печать и другими) сделать так чтобы у него на компьютере был вынесен ярлык через который запускается удаленная сессия с запуском опубликованного приложения.
К примеру: у меня сейчас два офиса, в одном (он же главный) располагается кластер 1с + база и терминальный сервер и вместо того, чтобы пользователи через удаленный рабочий стол заходили на терминальный сервер из другого офиса (это каждому нужно настраивать профиль: вывести ярлыки программ, организовать печать, обеспечить интернетом (а по соображениями безопасности я этого сделать не могу, просто так надо) у них на своих рабочих компьютерах настроен ярлык на запуск только опубликованного приложения. В рамках этой заметки я покажу на практике как это выглядит.
Создаю приложение которое будет опубликовано с использованием RemoteAPP на терминальном сервере:
Start – Control Panel – Administrative Tools – Server Manager – Roles – Remote Desktop Services – RemoteApp Manager (srv-host.nemdomb.local) – запускаю мастер: Add RemoteApp Programs, нажимаю Next, следующим шагом показывается какие текущие установленные приложения на терминальном сервере могут выступить в роли опубликованных через RemoteAPP, выбираю самое первое 1С Предприятие через нажатием на кнопку Properties можно:
Нажимаю на кнопку Next и перехожу к этапу мастера где отображается результирующая информация по настройкам публикуемого приложения, если все правильно и ничего не нужно изменять нажимаю Finish
Следующим шагом нужно экспортировать RemoteAPP созданное приложение с целью распространить на компьютеры пользователям которые будут с ним работать , делает это так, выделяется приложение и через правый клик на нем вызываются свойства.
Опубликованное приложением можно экспортировать, как rdp файл настроенного подключение так и как msi пакет (можно поставить локально его на компьютере пользователя или же через GPO установить)
Если выбрать экспорт в виде RDP файла: Create .rdp File, по умолчанию путь куда предлагает мастер экспорта сохранить rdp файл подключения: C:\Program Files\Packaged Programs, но никто не мешает изменить данный путь на любой другое более удобный. Я оставляю по умолчанию
Следующим шагом также выводится результирующая информация – если все хорошо то нажимаем кнопку Finish и откроется explorer местонахождения экспортированного файла опубликованного приложения 1С, если открыть свойства данного rdp файла, то можно обнаружить что в настройки подключения к терминальному сервере уже автоматически подставляются аутентификационные данные текущей сессии на компьютере:
Теперь копирую данный файл: 1cv8s.rdp на рабочую станцию с которой пользователь alektest будет взаимодействовать клиентом 1С Предприятие.
На заметку: чтобы передать файл простым копирование через проводник:
\\w7x86\с$ на рабочей станции в настройках брандмауера должны быть включены входящие правила:
- Общий доступ к файлам и принтерам (входящий трафик SMB ) – Профиль (Домен).
- Общий доступ к файлам и принтерам (эхо-запрос – входящий трафик ICMPv4) – Профиль (Домен)
На заметку: пользователи которые задействуют RemoteAPP приложения на терминальном сервере должны быть в группе Remote Desktop Users
Запускаю на рабочей станции Windows 7 (W7X86) переданный файл предварительно авторизовавшись в системе под учетной записью alektest
На следующем шаге ввожу пароль на авторизацию на терминальном сервере: (Практичнее будет использовать SSO, т.е. авторизация на терминальном сервере с использование доменной учетной записи, а на терминальном сервере в группу “Пользователи удаленного рабочего стола” (Remote Desktop Users) добавить группу “Пользователи домена”).
На заметку: если задействовать SSO то вводить ничего не придется, будет задействована доменная аутентификация без какого либо ввода пароля.
Ожидаю… Идет подключение к приложению
Видите, раз в приложении когда я его подготавливал для RemoteAPP я не указал базу и сервер, то первый раз когда пользователь подключается у него запускается информационное окно, что список информационных баз пуст и нужно настроить:
- Укажите наименование информационной базы: zup
- Выберите тип расположения информационной базы: На сервере 1С:Предприятия
Затем на следующем шаге указываю параметры информационной базы:
- Кластер серверов 1С:Предприятия:10.7.8.63
- Имя информационной базы в кластере: zup
Затем на следующем шаге все выбранное мастеров оставляю по дефолту
На этом установка клиента 1С на подключение завершена.
В итоге будет так:
Подключаюсь к данной базе zup нажатием на 1С:Предприятие и происходит подключение к базе путем ввода логина и пароля выданного Администратором 1С (хотя может и Вы можете совмещать две должности вместе: системный администратор + администратор 1С).
И вот вы внутри:
Работа с клиентом 1С на рабочем столе ничем особым не отличается если бы пользователь работал на терминальном сервере, теже самые окна, чтобы распечатать документы задействуется технология EasyPrint когда принтер с рабочей станции пробросится на терминальный сервер, и пользователь выбрав документ – печать также увидит и выбрав его распечатает.
Ниже скришот демонстрирует, открытое окно клиента 1С и “Диспетчер задач” во вкладке “Процессы” которого присутствует подключение к терминальному серверу через (mstsc.exe).
Чтобы задейстовать технологию EasyPrint и не ставить драйвера на терминальный сервер к рабочим станциям в домене предъявляются следующие требования:
Версия RDP клиента должна быть 6.1 или выше, посмотреть c:\windows\system32\mstsc.exe открыть свойства и посмотреть версию
Либо через командную строку
C:\Users\aollo>wmic datafile where name='c:\\windows\\system32\\mstsc.exe' get version
Version
6.1.7601.17514
Должен быть установлен .NET Framework 3.5 и выше, посмотреть что установлено в системе, так.: Открыть командную строку (c правами Администратора) и набрать следующую команду:
wmic product where "name like 'Microsoft .NET Framework%'" get name,version
он может снова подключиться, но теперь введя пароль не забыть поставить галочку “Запомнить учетные данные” чтобы больше не видеть данное окно.
Если же по каким бы то ни было причинам, пароль был введен и сохранен, а в последствии пользователь его изменил (обычно по централизованной политике раз в 3 месяца), то он не сможет подключиться, т.к. пароль запомнен изменить его можно вот так:
На рабочей станции пользователя: Windows 7 – Пуск – Панель управления – Диспетчер учетных записей, находим сохраненное подключение
Согласитель, не хорошо, что когда клиент 1с закрыт, сессия на терминальном сервере все еще висит, в таком случае на терминальном сервере настраиваются промежутки ограничения простоя и неактивности терминального соединения:
Если сессия не активно в течении одного дня – она завершается, если в статусе Disconnected то через 15 минут она закрывается.
Если же экспортировать приложение RemoteAPP не в rdp файл, а в msi пакет, то
- либо такжепередаем через проводник данный файл
- либо через подготавливаем групповую политику:
После перезагрузки рабочей станции на рабочем столе пользователя будет ярлык 1С
Если ранее уже через rdp файл было настроено подключеник к базе, то когда через GPO произвели установку msi пакета найстройки подключения в клиенте 1С уже присутствуют:
У меня было что политика применилась к компьютеру, но msi все равно не устанавливалась, в логах на компьютере Windows 7 были следующие ошибки:
Проблема была в месте откуда в момент создать групповой политики я указывал месторасположением msi файла, у компьютера не было прав доступа в данный каталог. Права на каталог месторасположения msi файла должны быть, чтобы у группы “Прошедшие проверку” были права на чтение (Чтение и выполение,Список содержимого папки,Чтение) и только тогда msi успешно отработает.
В итоге данная заметка шпаргалка готова и подлежит публикации на моем блоге практических заметок. Всего того, что пригодится в течении рабочего дня и самостоятельного изучения, повышения свой квалификации. Итого подведу итог практических действий:
- Развернут терминальный сервер
- Профиля будующих пользователей вынесены на отдельный логический диск.
- Посредством компоненты RemoteAPP и установленного ПО на сервере собраные пакеты задействующие технологию RemoteAPP для использования ПО, как будто оно установлена на рабочих местах пользователей, а все на самом деле не так, они работают в терминале. Таким образом достигается меньшая нагрузка на сеть.
- Чтобы запускать на рабочих станциях опубликованное приложение RemoteAPP, можно раз ввести аутентификационные данные на подключение к терминальному сервере или задействовать SSO.
- Также посредством GPO можно msi файл опубликованного приложения установить всем тем сотрудникам которые работают в программе 1С.
- На терминальном сервере можно централизованно по каждому профилю раскидать файл конфигурации на подключение к кластеру 1С и соответствующей базе. Об этом будет одна из следующих заметок.
Ну а пока я прощаюсь, я и так довольно много всего рассмотрел и не зачем еще более увеличивать данную заметку. Лучше много мелких и по теме, чем все сразу. До новых встреч, с уважением автор блога – ekzorchik.
Читайте также: