lunes, 18 de diciembre de 2017

RemoteApp Publicar desde windows Server 2012

Una de las características de este entorno es poder publicar directamente las aplicaciones mediante un portal web. Son las conocidas RemoteApp. Una manera más sencilla para los usuarios de poder acceder a las aplicaciones, sin realizar complicadas configuraciones en sus equipos.
Basta acceder a una dirección URL y seleccionar la aplicación que se quiere ejecutar o bien configurar el cliente de Windows para que actualice directamente estas aplicaciones en su menú de inicio. Pero detrás de este portal hay una configuración específica que hay que realizar.
En esta entrada se muestran los pasos a seguir para que el portal funcione correctamente, sin avisos innecesarios, partiendo de la configuración realizada en la entrada de Escritorio remoto de sesión.

Publicar una RemoteApp en el portal

Recuperando el punto de configuración de la entrada de Escritorio remoto de sesión, desde el escritorio, abrir el Administrador del servidor.
En el menú de la izquierda, seleccionar Servicios de Escritorio Remoto.


En la página de información general, hacer clic en la colección Ofimática que se creó en la entrada anterior.


En el apartado Programas RemoteApp, hacer clic en el botón Tareas > Publicar programas RemoteApp.


Se inicia un asistente para la publicación de aplicaciones. Por defecto el sistema muestra un listado de lo que le parecen aplicaciones que están instaladas en el servidor de Escritorio Remoto. No obstante, si la aplicación que se quiere publicar no aparece en el listado, se puede añadir manualmente mediante el botón Agregar.


Para hacer un ejemplo sencillo, publicaré el WordPad y el Paint. En la lista, marcar el checkox de las dos aplicaciones. Hacer clic en el botón Siguiente para continuar.


Resumen de las aplicaciones que se publicarán como RemoteApp. Si es correcto, hacer clic en el botón Publicar.


El sistema prepara el entorno para publicar las dos aplicaciones.


Una vez ha terminado, nos muestra un resumen de lo que ha hecho. Comprobar que el estado de las aplicaciones es Publicadas. Hacer clic en el botón Cerrar.


En el apartado Programas RemoteApp, aparecen las dos aplicaciones publicadas.


Pero, ¿se puede personalizar que una aplicación salga para unos usuarios y la otra para otros? La respuesta es si. Botón derecho sobre la aplicación con el ratón, hacer clic en Editar propiedades.


Se puede personalizar el comportamiento de la aplicación RemoteApp:
  • GENERAL. Cambiar el nombre de la aplicación por uno de más amigable, si lo mostramos o no en la lista de aplicaciones web. 


PARÁMETROS. Si se pueden pasar parámetros por la línea de comandos para hacer cualquier cosa al iniciar la aplicación. 


ASIGNACIÓN DE USUARIOS. Personaliza el acceso para los usuarios en la aplicación. Por defecto tienen acceso todos los usuarios de la colección. Marcando la opción Sólo los usuarios y grupos especificados, se puede personalizar su acceso. Hacer clic en el botón Agregar o Quitar para añadir los usuarios o grupos de seguridad del Active Directory que tendrán o no acceso a la aplicación. En el ejemplo sólo tendrá acceso el usuario Núria.


ASOCIACIONES DE TIPO DE ARCHIVO. Si el usuario intenta abrir en su máquina uno de estos tipos de archivos, automáticamente se le abre la aplicación RemoteApp.


Hacer clic en Aplicar o Agregar para aceptar los cambios.
Si se accede al portal Web, en el apartado de RemoteApp y Escritorios aparecen los iconos de las aplicaciones que se han publicado.


Pero al abrir el portal o las aplicaciones nos salen un montón de ¡advertencias de confianza y seguridad! Es el momento de pasar a la segunda parte.

Configuración de los certificados

Al tratarse de un entorno web, hay que asegurar que la conexión se hará lo más segura posible. Por eso se utilizan los certificados, para proteger la conexión y los publicadores de los enlaces. Para ir bien los certificados tendrían que ser transparentes a los usuarios finales, que no haya preguntas o clics de más.
¿Como lo hacemos? Configurando correctamente los certificados y las confianzas.
Volviendo al Administrador del Servidor > Servicios de Escritorio Remoto > Información general. En el apartado Información general de implementación, hacer clic en Tareas > Editar propiedades de la implementación.


Hacer clic en el apartado Certificados.


Por defecto, no se crean ni se asignan certificados en el entorno, ¡es una operación que debemos realizar nosotros mismos!


Para que no haya confusiones en la configuración del entorno de publicación y certificados, para acceder a los servicios del portal web, trabajaré con el nombre de servidor remot.solquer.cat. Recordar que mi servidor de Escritorio Remoto es el srvRD.solquer.local.
En entornos productivos NO es nada recomendable publicar el propio servidor interno en Internet.
Por lo tanto, para que todo funcione hay que tener correctamente configurada la resolución DNS. Normalmente creando un alias (CNAME) remot.solquer.cat, hacia el servidor de Escritorio Remoto srvrd.solquer.local.
La configuración del certificado la haremos mediante la entidad de certificación propia del dominio. También puede ser de una entidad comercial para evitar tener que añadir la entidad certificadora de confianza en los navegadores.
La manera más fácil de crear un certificado de estas características, en la entidad certificadora del dominio, es con el Internet Information Server. Desde el Administrador del Servidor, en el menú superior de la derecha, hacer clic en Herramientas > Administrador d’Internet Information Services (IIS).


Se abre la consola de administración de Internet Information Server. En el Panel de la izquierda, hacer clic en el nombre del servidor. Queda seleccionada la página principal. En el apartado IIS, hacer clic en la icona Certificados del servidor.


Se visualizan los certificados instalados en el equipo (ojo que no son los mismos que los del usuario). En el lado derecho, en el apartado Acciones, hacer clic en Crear certificado de dominio.


Se inicia el asistente para crear un nuevo certificado para el servidor web. Después de rellenar los datos solicitados, el propio asistente se encarga de crear la clave privada, la solicitud, hace la solicitud a la entidad certificadora, descarga el certificado de la entidad certificadora (si esta lo permite) y lo casa con la clave privada. Indicar:
  • Nombre común. El nombre por el que se llamará al servicio web, en mi caso, remot.solquer.cat
  • Organización. Nombre de la empresa o cualquier otro nombre común que identifique el propietario.
  • Unidad organizativa. Departamento, por ejemplo IT.
  • Ciudad. Identifica la población donde está ubicada la empresa para que no haya confusión por parte de los usuarios.
  • Estado o provincia. Lo mismo que para Ciudad.
  • País. Lo mismo que para Ciudad.
Hacer clic en el botón Siguiente para continuar.


Especificar la Entidad certificadora del dominio a quien hacer la petición. En caso que no nos permita seleccionar la entidad, quiere decir que no hay ninguna publicada en el Active Directory. Si la queremos utilizar se tiene que haber creado previamente. Podéis echar un vistazo a la entrada sobre como crear la entidad certificadora.


Si por el contrario, la entidad certificadora del dominio está publicada, nos permite hacer clic en el botón Seleccionar.


Seleccionar la entidad certificadora a quien pedir el certificado y hacer clic en el botón Aceptar.


Introducir un nombre descriptivo del certificado sólo para que sepamos de que va, no tiene implicaciones de operativa. Personalmente le pongo el nombre común seguido de la fecha. Hacer clic en el botón Finalizar para realizar todo el proceso de creación del certificado.


Si todo está correcto, aparece el nuevo certificado en la lista de certificados del servidor.


Haciendo clic sobre él se pueden ver las propiedades del mismo. Lo que interesa es que disponga de la clave privada, sino no nos sirve para asociarlo a los servicios Web. Hacer clic en el botón Aceptar para cerrar la ventana.


Para poderlo asociar a los servicios de Escritorio remoto necesitamos el archivo PFX (que contiene el certificado con la clave privada y pública). Hay que exportar el certificado que hay en el Internet Information Server a este formato. Seleccionar el certificado, botón derecho del ratón y hacer clic en Exportar…


Indicar la ruta y un nombre de archivo haciendo clic en el botón , indicar una contraseña para proteger la clave privada. Hacer clic en el botón Aceptar.


Con el certificado correctamente creado y exportado con la clave privada, ya se puede asociar a los diferentes servicios. Volver al administrador del servidor > Servicios de Escritorio Remoto > Información general > Información general de implementación > Tareas > Editar propiedades de la implementación > Certificados.
Seleccionar Agente de conexión a Escritorio Remoto – Habilitar inicio de sesión único. Hacer clic en el botón Seleccionar certificado existente


Indicar la ruta y el nombre del archivo donde hemos exportado el certificado. Así como la contraseña de la clave privada. Marcar el checkbox de Permitir agregar el certificado al almacén de certificados de Entidades de certificación raíz de confianza en los equipos de destino y hacer clic en el botón Aceptar.


Se nos advierte que sólo se puede agregar un certificado a un servicio a la vez. Hacer clic en el botón Aplicar para añadir el que tenemos actualmente seleccionado.


Comprobar que se ha habilitado correctamente como certificado de confianza.


Repetir el proceso para los servicios de Agente de conexión a Escritorio Remoto – Publicación y de Acceso web a Escritorio Remoto.


En este punto, si probamos la conexión remota mediante el navegador en la dirección: https://remot.solquer.cat/RDweb. Se nos tiene que cerrar el candado del certificado, identificando correctamente el sitio como remot.solquer.cat ¡con el certificado emitido por la entidad de confianza del dominio!


Iniciar la sesión en el portal web con la cuenta de un usuario válido, seleccionar RemoteApp y Escritorio. Hay los iconos de las aplicaciones que se han publicado.


Pero, al hacer clic en cualquiera de las aplicaciones RemoteApp… Tenemos una advertencia de confianza sobre el equipo remoto, que hay que arreglar confiando en el Editor de la aplicación RemoteApp, es decir, nosotros.


Confiando en el Editor de las aplicaciones RemoteApp de Escritorio Remoto dentro del dominio

Se trata de crear una política de configuración (GPO) que reconozca el certificado editor como de confianza. La operación es la misma para los equipos fuera del dominio, diferenciándose en que la política a modificar (GPO) es la local y no la del dominio.
Lo primero que tenemos que hacer antes que nada, es obtener la huella digital del certificado del editor. Hacer clic sobre el enlace del editor (remot.solquer.cat).


En el certificado que se nos muestra, hacer clic en la pestaña Detalles.


Al final, hay el valor de la huella digital. Copiar el contenido del recuadro de valor al portapapeles.


Abrir una consola de PowerShell,


Empezar a escribir: (“ pegar el contenido del portapapeles y continuar con: “).replace(” “,””) ejecutar la instrucción. Para poner un ejemplo claro:
("64 70 c2 79 8a 75 b9 28 af 8d db a0 b4 56 b5 e2 42 cd 5c e1").replace(" ","")
La consola devuelve la huella digital sin espacios, copiar este valor en un lugar que tengamos a mano.


Desde el administrador del servidor de una controladora de Active Directory, en el menú de la derecha, hacer clic en HerramientasAdministración de directivas de grupo.


Desplegar el árbol de opciones de la izquierda por el Bosque > Dominios > nombre del dominio > Objetos de directiva de grupo. Botón derecho del ratón, hacer clic en Nuevo.


Indicar un nombre, por ejemplo, Escritorio Remoto – Confianza editores. Hacer clic en el botón Aceptar.


Botón derecho sobre la nueva directiva, hacer clic en Editar.


Desplegar las directivas de Configuración de usuario > Directivas > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio Remoto > Cliente de conexión a Escritorio Remoto.



Doble clic en la configuración Especificar huellas digitales SHA1 de certificados que representan publicadores .rdp de confianza.


Habilitar la directiva y pegar el valor que hemos guardado de la huella digital del editor. Hacer clic en el botón Aceptar. Cerrar el editor de directivas.


Asociar la nueva directiva al dominio o Unidad Organizativa donde estén los usuarios. Botón derecho, en el dominio o unidad organizativa, hacer clic en Vincular una GPO existente.


Seleccionar la nueva directiva y hacer clic en el botón Aceptar.


Recordar que para forzar la actualización de las directivas del usuario en cuestión hay que hacer un gpupdate en la consola de sistema con privilegios de administrador:
gpupdate /force
Volvemos a hacer la prueba de abrir una aplicación RemoteApp: el WordPad. Al ser la primera vez tarda un poco más porque debe preparar la sesión en el servidor de Escritorio Remoto, pero la aplicación se abre sin preguntar nada ni mostrar ninguna advertencia.






Objetivo logrado, el usuario accede a la aplicación RemoteApp como si estuviera instalada en su equipo de manera totalmente transparente para él.

























Referencia: https://www.jmsolanes.net/es/portal-web-de-escritorio-remoto/