Documente Academic
Documente Profesional
Documente Cultură
Linstallation du serveur Windows 2008 R2 avec les services Remote Desktop va permettre aux utilisateurs de lancer des applications en RemoteApp. Les programmes RemoteApp sont des programmes qui sont accds et excuts distance sur des serveurs RDS mais qui apparaissent comme excuts localement. Au lieu douvrir une session et un bureau sur le serveur RDS distant, les programmes saffichent directement sur le bureau du poste local, avec la possibilit de modifier la taille de la fentre. Ces programmes RemoteApp sexcutent paralllement aux autres programmes installs sur le poste. Lorsque vous lancez plusieurs programmes RemoteApp, ils partagent une mme session RDC. Il existe plusieurs faons dutiliser RemoteApp : Par RDS WebAccess permet dexcuter des programmes RemoteApp depuis une page web (donc depuis nimporte quel PC/Browser en thorie) et de publier/mettre jour automatiquement les nouveaux programmes RemoteApp dans le menu dmarrer (seulement sous Windows 7) Par RDS Session Host avec des fichiers .RDP distribus par ladmin. Par RDS Session Host avec des fichiers .MSI distribus par ladmin.
Cet article est en fait un exemple, cest une mise en place que jai du effectuer chez un client. Cela votre cas il y aura donc certaines modification faire. Nous aurons 2 serveurs RDS derrire un load-balancer, un parc compos de poste en Windows XP et Windows 7.
Sommaire
1. 2. 3. 4. 1. 2. 5. 6. 1. 2. Pr requis...................................................................................................................................................................2 Installation du Serveur Remote Desktop Service Session Host .................................................................................3 Installation du rle Remote Desktop Web Access ..............................................................................................6 Configuration du Remote Desktop Session Host RDSH.............................................................................................8 Installation du certificat ........................................................................................................................................8 Configuration du paramtre de connexion pour les PC Clients. ...........................................................................9 Configuration des logiciels en RemoteApp sur le serveur RDS ...............................................................................12 Dploiement des RemoteApp aux postes clients ....................................................................................................14 Cration de fichier MSI ........................................................................................................................................14 Cration de fichier RDP .......................................................................................................................................16
3. 7. 8. 1. 2. 3. 9. 1. 2. 10. 1. 2. 3. 11. 1. 2. 3. 4.
RD Web Access ....................................................................................................................................................16 Dploiement des Applications RemoteApp MSI par GPO .......................................................................................20 Configuration du SSO ..............................................................................................................................................22 Pour les postes en Windows 7 ............................................................................................................................22 Pour les postes en Windows XP SP3....................................................................................................................23 Filtre WMI ............................................................................................................................................................28 Configuration des serveurs de licences ...................................................................................................................31 Installation ...........................................................................................................................................................31 Configuration .......................................................................................................................................................33 Configuration des sessions RDS...........................................................................................................................35 Cration des rpertoires pour les profiles RDS ...................................................................................................35 Cration des GPO ................................................................................................................................................35 Changement de linterface utilisateur.................................................................................................................40 Divers ...................................................................................................................................................................43 Cration de tches planifies ..............................................................................................................................43 Compression RDP ................................................................................................................................................44 Defragmentation .................................................................................................... Error! Bookmark not defined. Utilisation dEasy Print ........................................................................................................................................47
1. Pr requis
Cette installation ncessite un domaine Active Directory, ici DOMAINE.COM et la cration de groupes dutilisateurs dans lAD pour les droits daccs aux serveurs RDS. Les pare-feu Windows sont tous dsactivs dans notre installation. Les paramtres de scurit renforce dInternet Explorer sont dsactivs. Le pack de langue EN-US est install : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=03831393-eef7-48a5-a69f0ce72b883df2&displaylang=en Le serveur est jour et en SP1
Dans Dsinstaller et rinstaller des applications pour des raisons de compatibilit cliquer sur suivant. Lors du choix de la mthode dauthentification, choisir Ne ncessite pas lauthentification au niveau rseau
Note : Ceci pour la compatibilit antrieure Windows XP SP3 (CredSSP). Sur la page du mode de licence, choisir de configurer plus tard
Dans la slection des utilisateurs autoriss accder au serveur RDS, cliquez sur Suivant , nous le configurerons plus tard aussi.
Confirmer linstallation et rebooter. Note : Dans notre cas, ceci est faire sur les 2 serveurs RDS
Choisir Accs bureau distance par le web et installer les rles et fonctionnalits associes puis laisser les options par dfaut.
Vous avez maintenant install les outils ncessaires au fonctionnement de RDS pour du RemoteApp. Vrifiez le bon fonctionnement des services, ou lancez une connexion RDC depuis un poste client.
Accder la console Gestionnaire RemoteApp depuis Dmarrer , Outils dAdministration , Services de bureau distance .
Puis dans le volet Actions droite sur RD Session Host Server Settings et changer le nom de connexion par apps.domaine.com
Il vous faut faire lajout dans le groupe local Utilisateurs du Bureau distance de la machine :
Dans le cas de nos logiciels, pensez changer les noms par dfauts, icnes etc, si besoin.
Slectionnez le programme RemoteApp et cliquez sur Crer le package Windows Installer , suivez ensuite lassistant en vrifiant le nom de connexion et en signant numriquement le package avec le certificat prcdemment cr (notre certificat public) ou en changeant directement les paramtres des signatures numriques.
Dans la fentre suivante, pour la configuration de distribution du package, penser changer le menu de dmarrage des applications dans un souci dhomognit (par dfaut : Applications distantes ), et cocher la publication dune icne sur le bureau et dans le dossier Menu Dmarrer Note : Vrifiez lutilisation du certificat prcdemment import pour la signature du RDP.
Les packages sont crs et placs dans le rpertoire : C:\Program Files\Packaged Programs
3. RD Web Access
Le RD Web Access est disponible ds que vous installez le service de rle Remote desktop Web Access , vous pouvez en vrifier le bon fonctionnement en lanant la page web de configuration :
Dmarrer , Outils dAdministrations , Service Bureau distance , Configuration de laccs web des services de bureau distance Si un avertissement concernant le certificat apparait, ignorez le, et connectez-vous avec vos identifiants.
Note : Si vous obtenez un message derreur au chargement de la page, cest que vous avez supprim le certificat auto-sign cr lors de linstallation du rle. Pour aller lier le nouveau certificat au site web procdez comme ceci :
Note : Pensez aussi autoriser laccs Remote Web aux users/Groupe dusers (comme pour le serveur SH) sauf que le groupe conteneur est Ordinateurs Accs Web TS) (Sur les 2 serveurs) La page web de configuration prsente 3 onglets : Configuration : vous choisissez la source utiliser, normalement localhost (puisque les applis sont installs sur cette mme machine) Remote Desktop : pour lancer une RDC depuis la page web RemoteApp Programs : pour lancer les programmes autoris en RD Web Access.
Attention pour que les applications soit disponibles en Web Access, il faut les autoriser dans la console RemoteApp Manager.
Nous nutiliserons pas cette solution, mais lavantage de celle-ci est quil est possible depuis un poste Windows 7 de crer une connexion direct avec ce serveur web pour afficher (donc mettre jour) directement les applications nouvellement publies. Depuis le bouton Dmarrer sur un poste Windows 7 les applications RemoteApp Web Access sont affiches comme si elles taient installes localement. Si vous mettez jour les applications ou rajoutez des applications, elles apparaissent directement dans le menu Dmarrer . Pour plus dinfo sur cette configuration, je vous invite lire ceci : http://technet.microsoft.com/enus/library/dd772639%28WS.10%29.aspx
Toutefois, dans les proprits du package, pensez valider les options suivantes : Installer lapplication lors de louverture de session Ignorer la langue lors du dploiement du package
Lors du dploiement des MSI aux utilisateurs, pensez aussi faire du filtrage sur les groupes dappartenance pour faciliter le dploiement seulement aux utilisateurs voulus.
8. Configuration du SSO
Pour viter une nouvelle demande didentification lors du lancement dune RemoteApp, il est ncessaire de mettre en place le mcanisme SSO.
Pour CredSSP est un nouveau Security Support Provider (SSP) qui est disponible dans Windows XP SP3 permettant un programme utiliser ct client SSP de dlguer les informations d'identification utilisateur de l'ordinateur client vers le serveur cible. Le Hotfix se tlcharge ici : http://support.microsoft.com/kb/951608/en-us?fr=1 Note : Il est utilisable sur toutes les versions linguistiques de Windows XP SP3. Ou alors modifier manuellement le registre comme ceci, cest la solution quon retiendra car plus simple dployer : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\ 00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\ 6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\ 00,73,00,70,00,6b,00,67,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"
b. Crer les cls de registres correspondantes. Ces cls de registres correspondent aux paramtres de GPO prsents pour Windows 7 : [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation] "AllowDefaultCredentials"=dword:00000001 "ConcatenateDefaults_AllowDefault"=dword:00000001 "AllowDefCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001 "AllowFreshCredentials"=dword:00000001 "ConcatenateDefaults_AllowFresh"=dword:00000001 "AllowFreshCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowFreshNTLMOnly"=dword:00000001 "AllowSavedCredentials"=dword:00000001 "ConcatenateDefaults_AllowSaved"=dword:00000001 "AllowSavedCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultC redentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCred entialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentials]
"1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentialsWhenNTLMOnly] "1"="TERMSRV/*"
Il faut donc crer un fichier .REG dployer par GPO sur les postes Windows XP SP3 (ncessite un redmarrage du poste) : (Disponible sur le partage rseau avec les MSI) Windows Registry Editor Version 5.00 ;------------------------------------------------------------;Ajout des cls de registre pour CredSSP sous Win XP SP3 ;------------------------------------------------------------;------------------------------------------------------------;Pour activation du CredSSP ;------------------------------------------------------------[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\ 00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\ 6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\ 00,73,00,70,00,6b,00,67,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll" ;------------------------------------------------------------;Pour autorisation de la dlgation d'identit aux serveur RDS ;------------------------------------------------------------[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation] "AllowDefaultCredentials"=dword:00000001 "ConcatenateDefaults_AllowDefault"=dword:00000001 "AllowDefCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001 "AllowFreshCredentials"=dword:00000001 "ConcatenateDefaults_AllowFresh"=dword:00000001 "AllowFreshCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowFreshNTLMOnly"=dword:00000001 "AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001 "AllowSavedCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultC redentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCred entialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentialsWhenNTLMOnly] "1"="TERMSRV/*"
c. Installer la dernire version du client RDC La dernire version du client RDC est ncessaire pour lutilisation du SSO : cest la version RDC 7. (6.1.7600.16385) Pour connaitre la version du client RDC sur un poste rendez-vous sur c:\Windows\System32 et vrifiez les proprits de MSTSC.EXE
La faon la plus simple de dployer ce package est par WSUS, importer le KB969084 dans votre serveur de mises jour et approuvez le (OK pour le serveur WSUS FNAC). Si vous voulez le rcuprer manuellement, rendez-vous ici : http://www.microsoft.com/downloads/frfr/details.aspx?FamilyID=72158b4e-b527-45e4-af24-d02938a95683
Note : Si ce package nest pas install, une fentre vous demandera une seconde authentification car la premire chouera. d. Installer le patch KB953760 Maintenant le SSO est activ et fonctionnel sur les postes Windows XP. Toutefois, lors de lutilisation dune ferme de serveurs RDS (donc dun connexion broker) ou lors de lutilisation dun load-balancer entre les clients et les serveurs (notre cas ici), la dlgation ne seffectue pas jusquau point final. Note : Si ce patch nest pas install : une fentre RemoteApp apparait avec en fond lcran de logon du serveur RDS. Ce bug est rsolu grce linstallation du patch KB953760 disponible sur le rpertoire de distribution des MSI ou ici sur internet : http://thehotfixshare.net/board/index.php?showtopic=10916
Il nest pas possible de dployer ce Hotfix autrement que par script ou par un local update publisher (plus dinfos ici : http://www.localupdatepublisher.com le WSUS ne grant pas les Hotfix) On choisira par souci de simplicit un script tel que celui-l : sExePath = "\\svrfile\deploi_appli_AD\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe" sSwitches = "/u /q /z" Set oShell = CreateObject("WScript.Shell") sRegKey = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" ' suppress error in case values does not exist On Error Resume Next ' check for marker sRegMarkerValue = "" ' init value sRegMarkerValue = oShell.RegRead( sRegKey & "\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe") On Error Goto 0 ' to be sure update is installed only once, test on marker If sRegMarkerValue <> "yes" Then oShell.Run Chr(34) & sExePath & Chr(34) & " " & sSwitches, 1, True ' create marker oShell.RegWrite sRegKey & "\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe", "yes" End If Et la GPO associ pour le dploiement du script :
3. Filtre WMI
Attention, pour sassurer que les GPO pour XP ne sappliquent que sur les systmes XP et que les GPO Windows 7 ne sappliquent que sur les systmes Windows 7, soit on spare les systmes en diffrents OUs, soit on applique des filtres WMI (la solution quon retiendra ici) :
a. Cration des filtres WMI Pour la cration du filtre WMI dans la GPMC pour Windows 7 & 2008, suivez cet exemple : Select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1"
Pour la cration du filtre WMI pour Windows XP, suivez cet exemple : Select * from Win32_OperatingSystem where Version like "5.1%"
Pour la cration de filtre WMI applicable aux systmes clients : Select * from Win32_OperatingSystem where ProductType="1"
b. Appliquez vos filtres WMI aux GPO correspondantes Dans la GPMC appliquez le bon filtre WMI :
2. Configuration
Lancer la console Gestionnaire de licences des services Bureau distance
Avec un clic droit sur le serveur, il faut choisir Activer le serveur , et suivre lassistant avec la connexion automatique. Remplir les champs dinformation correspondant et valider
Ensuite, installer les licences clients supplmentaires en cliquant droit sur le nom du serveur
10.
Grouper
Membres
Membre de
DOMAINE\RDS_Group
Dfinitions de stratgies (fichiers ADMX) rcupres partir de lordinateur local. Composants Windows/Internet Explorer
Stratgie
Paramtre
Commentaire
Empcher le fonctionnement des paramtres de personnalisation la premire excution Slectionner votre choix
Activ
Composants Windows/Services Bureau distance/Hte de la session Bureau distance/Dlais d'expiration des sessions
Stratgie
Paramtre
Commentaire
Activ
8 heures
Stratgie
Paramtre
Commentaire
Dfinir le dlai dexpiration des sessions de services Bureau distance actives Limite de session active :
Activ
1 jour
Stratgie
Paramtre
Commentaire
Dfinir le dlai dexpiration des sessions de services Bureau distance ouvertes mais inactives Limite de session inactive :
Activ
8 heures
Stratgie
Paramtre
Commentaire
Dfinir le dlai dexpiration des sessions dconnectes Fin dune session dconnecte
Activ
8 heures
Stratgie
Paramtre
Commentaire
Activ
dexpiration ont t atteints Composants Windows/Services Bureau distance/Hte de la session Bureau distance/Environnement de session distance
Stratgie
Paramtre
Commentaire
Dfinir lalgorithme de compression pour les donnes RDP Algorithme de compression RDP :
Activ
Stratgie
Paramtre
Commentaire
Dfinir le chemin daccs au profil utilisateur itinrant des services Bureau distance Chemin du profil
Activ
\\localhost\profilsrds$
Stratgie
Paramtre
Commentaire
Utiliser les profils obligatoires sur le serveur Hte de la session Bureau distance
Dsactiv
Composants Windows/Services Bureau distance/Hte de la session Bureau distance/Redirection de priphrique et de ressource Stratgie Paramtre Commentaire
Ne pas autoriser la redirection de lecteur Ne pas autoriser la redirection du Pressepapiers Configuration utilisateur (active) Stratgies Paramtres Windows Maintenance de Internet Explorer
Dsactiv Dsactiv
Stratgie
Paramtre
Dtecter automatiquement les paramtres de configuration Configuration automatique du navigateur Intervalle URL de configuration automatique (fichier .INS) URL de proxy automatique (fichier .JS, .JVS ou .PAC) Adresses URL/Adresses URL importantes
http://pac.domaine.com/pac
Nom URL de la page daccueil URL du volet de recherche URL de la page de support en ligne Modles dadministration
Dfinitions de stratgies (fichiers ADMX) rcupres partir de lordinateur local. Composants Windows/Internet Explorer
Stratgie
Paramtre
Commentaire
Dsactiver lAssistant Connexion Internet Dsactiver la gestion des fentres publicitaires Dsactiver la gestion du niveau de filtrage des fentres publicitaires Dsactiver la modification des paramtres de la configuration automatique
Activ Activ
Activ
Activ
Dsactiver la modification des paramtres de proxy Empcher le fonctionnement des paramtres de personnalisation la premire excution Slectionner votre choix Menu Dmarrer et barre des tches
Activ
Activ
Stratgie
Paramtre
Commentaire
Ajouter l'option Fermeture de session au menu Dmarrer Effacer l'historique des documents rcemment ouverts en quittant Forcer le menu Dmarrer classique Supprimer et empcher laccs aux commandes Arrter, Redmarrer, Mettre en veille et Mettre en veille prolonge Panneau de configuration
Activ
Activ
Activ Activ
Stratgie
Paramtre
Commentaire
Toujours afficher tous les lments du Panneau de configuration lors de son ouverture Systme
Activ
Stratgie
Paramtre
Commentaire
Activ
On utilisera lutilitaire Windows Explorer Navigation Pane Configuration disponible ici : http://www.s-inn.de/blog/post/remove-Libraries-Favorites-in-windows-explorer-navigation-pane.aspx Ensuite dans une invite de commande (en mode privilges levs) tapez les commandes suivantes :
wenpcfg /hidelibraries wenpcfg /hidefavorites Redmarrer ensuite la machine pour appliquer la modification tous les utilisateurs.
Masquer le lecteur local C:\ qui est inutile pour les utilisateurs
Ouvrez une MMC pour modifier les paramtres locaux de lordinateur et changez ceci : Paramtres Utilisateur :
11.
Divers
1. Cration de tches planifies
Lutilisation de serveur RDS par de multiples utilisateurs implique de frquent redmarrage des machines (fichiers temporaires, cookies, sessions en cache, etc des diffrents utilisateurs) Choisissez donc de crer une tche planifie pour redmarrer les serveurs une fois par semaine, le dimanche, la nuit 1h du matin.
2. Compression RDP
Le RemoteApp fonctionne parfaitement en LAN, mais en WAN il se peut, en fonction des dbits, que des ralentissements notables surviennent. Dans ce cas il est possible de modifier la configuration pour diminuer le besoin en bande passante :
Il est aussi possible de changer dautres paramtres RDP qui nest pas affichs dans la console, voici un lien pour la liste des paramtres RDP personnaliss : http://go.microsoft.com/fwlin k/?LinkId=139899 Voici ce que nous retiendrons dans notre configuration :
3. Dfragmentation
Il est prfrable vu le nombre dutilisateurs, de planifier une dfragmentation hebdomadaire des disques :