Aprimorando o acesso dos usuários ao RemoteApp e ao VDI (SSO, Logon único no Web Access)
BernardesrafaelApós a instalação do RemoteApp e publicação das aplicações é normal ouvir algumas reclamações dos usuários em relação ao momento da conexão remota. O mesmo se aplica às máquinas virtuais do Virtual Desktop Infrastructure (VDI). São exibidas duas mensagens que atrapalham no uso do software, a primeira mostrando um aviso sobre o certificado do servidor que não é válido e a segunda pedindo o usuário e senha. No procedimento abaixo será exibido como criar uma conexão livre de mensagens de aviso e como habilitar o Single Sign On (SSO).
O primeiro passo será a integração do usuário logado com a conexão dispensando a necessidade de usuário e senha novamente, uma vez que o logon já foi efetuado na máquina. Este procedimento de integração do logon com a aplicação também é chamado de SSO. É possível ver na figura 1 a página do Remote Desktop Web Portal com as aplicações publicadas e na figura 2 a mensagem de logon, forçando o usuário a colocar o usuário, o domínio e a senha.
Figura 1 – Programas do RemoteApp
Figura 2 – Usuário e senha para usar os programas
Para habilitar o SSO é preciso configurar uma política de grupo. Para isso, clique no menu iniciar e em Search digite gpedit.msc.
Clique em Computer Configuration e expanda Administrative Templates>System>Credentials Delegation e clique na política Allow Delegating Default Credentials. Clique em Enabled e depois clique em Show. Na tela Show Contents coloque o valor “TERMSRV/*”, conforme figura 3. Certifique que a opção Concatenate OS defaults with imput above esteja marcada. Após esse procedimento, reinicie o computador. Quando existirem muitas máquinas essa política pode ser feita através de uma Política de Grupo (GPO) do Active Directory, fornecendo assim a configuração e o gerenciamento centralizado.
Figura 3 – Política que habilita o Single Sign On
O próximo passo é garantir que a mensagem de confirmação do certificado do servidor não apareça também. Isso ocorre pelo fato do certificado padrão não ser um certificado válido fazendo com que o cliente não confie no mesmo ao se conectar com o servidor. Para resolver este problema é preciso gerar um certificado de computador através uma unidade certificadora. No Windows Server é possível usar o Active Directory Certificate Services(ADCS) para a criação e o gerenciamento dos certificados. Para mais informações sobre a instalação do ADCS, acesse o link a seguir: http://technet.microsoft.com/en-us/library/cc772393(WS.10).aspx
Depois da instalação do certificado no servidor do RemoteApp, abra o RemoteApp Managere clique na opção Digital Signature Settings do lado esquerdo da tela e marque a opçãoSign with a digital certificate, conforme figura 4. Escolha o certificado instalado e clique em ok.
Figura 4 – Configuração de certificado do Servidor
Depois disto é preciso copiar o código hash do certificado para uma política local. Através do Remote Desktop Web Portal, clique em qualquer software referente ao servidor que hospeda as aplicações e na mensagem de aviso, em publisher, clique no link com o nome do servidor, como mostra a figura 5.
Figura 5 – Mensagem do certificado não confiável
Isto exibirá o certificado do servidor. Clique na guia Details e depois em Thumbprint. Copie o valor em algum local para copiá-lo na política de grupos. Certifique-se de não copiar o espaço na primeira linha antes do código. Na figura 6 é possível ver o código e o espaço antes dele.
Figura 6 – Thumbprint do certificado
Abra novamente o gpedit.msc e navegue em Computer Configuration>Administrative Templates>Windows Components>Remote Desktop Services>Remote Desktop Connection Client e abra a política Specify SHA1 thumbprints of certificates representing trusted .rdp publishers. Clique em Enabled e copie o texto no espaço abaixo da política, conforme figura 7. Caso haja mais de um servidor de RemoteApp ou com VDI, coloque os respectivos códigos separados por vírgula. Depois clique em OK e reinicie o computador cliente.
Figura 7 – Hash do certificado na política
Como mencionado anteriormente é possível fazer o procedimento acima através de políticas de grupo pelo Active Directory também.
Após esses dois procedimentos as aplicações do RemoteApp e as máquinas virtuais do VDI são executados sem nenhuma mensagem de erro ou de logon.
______________________
Retirado de um blog de virtualização da Microsoft.
Vida Longa e Próspera! Eu sou o Rafael, um empreendedor em TI com uma vontade louca de transformar profissionais de TI em vencedores! Tenho todas as principais certificações técnicas que preciso e também sou premiado pela Microsoft como MVP (Most Valuable Professional) por 7 anos! Depois dá uma olhadinha na minha página do Facebook, fb.com/bernardes.rafael, lá eu realizo Lives todos os dias!
Bernardes,
Mais uma vez venho parabenizá-lo pelo excelente post.
Estou a cada dia impressionado com os excelentes conteúdos que surgem a cada dia no CooperaTI.
Por isso o CooperaTI é o meu preferido…
Abraços.
JB
Só o filé !! Olha Rafael , cade meus vídeos que você prometeu caso indicasse 10 pessoas para o blog? 🙂 rrsrsrsrs
Mas o pessoal que você indicou não confirmou! Só vale se confirmar.
Não concordo, Rafael, todos confirmaram e estão recebendo seus Posts do CooperaTI inclusive fazendo bons comentários sobre suas dicas. Valeu !
Eu verifiquei isso logo após e te enviei um email perguntando qual conteúdo desejava receber. Não recebeu?
Pode me enviar um email, informe qual o vídeo que deseja.
Pode ser que eu tenha recebido, porém passou desapercebido. Peço-lhe desculpas pela falta de atenção. Qual e-mail que envio a solicitação e quais os conteúdos disponíveis?
Oi , gostei muito do post, me ajudou nesse processo de configuração.
Só que agora estou com um problema. Fiz toda a configuração, e realizei o acesso através do TS Access Web, loguei sem problemas, mas os programas que configurei não aparecem na tela. O que pode estar acontecendo?
Obrigada!!
Bom, você tem que ir no RemoteAPP e publicar os aplicativos, depois clique com o botão direito e marque a opção: Mostrar no web access.
Eu estou sem o LAB aqui, mas no gerenciador do TS lembro que tem como definir o nome ou IP do servidor que tem o RemoteApp.
Oi,
Pois é, eu fiz tudo isso que você sugeriu, e mesmo assim não está funcionando.
Não sei mais o que tentar…
🙁
Rafa, estou seguindo seus posts sobre remote app estou conseguindo aplicar o conhecimento adquirido aqui. Agora surgiu a dúvida: como posso inserir a minha logo ou logo da empresa na tela de login do Ts Web Acess, personaliza-la?
Poder pode, mas eu não vou ensinar aqui no comentário, rsrsrs
Estou montando um post sobre isso!
Mas #ficaadica: Existe uma pasta dentro do Inetpub que tem todos os arquivos gráficos desse site do web access. Pode alterar as imagens direto por ali!
Perfeito!!! rsrsrs. Eu cheguei a pensar e até mesmo olhar essa pasta, porém não consegui nada. Mas de qualquer forma valeu!!
Tenho um controlador de dominio com WS2k3, no 2003 não tem a GPO Administrative Templates>System>Credentials Delegation, como faço isso no 2003?
Ótima pergunta. Até onde eu saiba o Windows 2003 não oferece suporte ao Single Sign On.
Fala Bernades, parabéns pelo post.
Tenho uma duvida, exite alguma maneira do c: ao ser executado seja o c: da maquina local e não do servidor.
Pergunto porque possuo uma aplicação na empresa onde tenho que instalar o software localmente devido a impressora fiscal, o trafego de informações acaba ficando muito alto, ele reconhece somente os arquivos se tiverem localmente.
Quando rodo dois programas RemoteApp de uma só vez não vai, dá uma mensagem de erro, mesmo se colocar usuários diferentes.
Só quando acesso com um usuário admin, ai ele abre os dois, caso contrario da uma erro assim:
“O programa não pode ser iniciado no computador remoto.
Para obter assistencia entre em contato com o Administrador do sistema.”
O que será?
Eu lembro de ter visto alguma configuração relacionada a quantidade de programas ou sessões que o usuário pode abrir simultaneamente, da uma olhada la nas configurações dele.
Deve ter um limite sim, mas em condições normais de trabalho eu nunca esbarrei nele.
Patrão, quando eu vou lá nas config do TS para selecionar o certificado, não consigo achar nenhuma. Pode me orientar como selecionar o certificado quando ele não aparece conforme vc explicou na figura 4 ?
Você tem que ter uma CA no domínio para poder emitir o certificado. Eu não explico essa etapa porque não tem a ver com o assunto em questão. Mas no CooperaTI tem posts sobe CA.
Rafael show de bola,
Mais show de bola ainda seria eu conseguir acessar o Web Access pelo Ipad.
Instalei o RemoteApp em um servidor 2008 R2 com o Web Access e está funcionando certinho, mas eu gostaria de acessa-lo tbm pelo Ipad, ta dando um erro falando que o web access não suporte o ios ?
Eu acesso a pagina do Web Access, coloco o usuário e senha ai ele da o erro abaixo:
“rd web access does not support this operation system”
Abraços!
Lucas Silva
Lucas,
Realmente não funciona no iPad! Mas pode implementar alguma solução da Citrix que possibilita isso.
RAfael, hoje tenho varios clientes que fecham VPN com um data center e acessam as aplicaçoes, eu queria disponibilizar essas aplicaçoes via WebApps mas sem o cliente precisar fechar a VPN para se comunicar com meu data center.
Utilizando a ideia de computaçao em nuvem o cliente poderia acessar esses aplicativos via WebApps de qualquer lugar e de qualquer computador, mas estou com duvidas sobre como eu poderia incrementar a segurança desse novo modo de acesso as aplicaçoes, como nao tera mais vpn, eu estava pensando em exigir uma complexidade de senhas melhor e certificado digital.
Gostaria de saber a opiniao de vcs sobre o assunto, o que poderia substituir a vpn na questão de segurança. Obrigado! Abs!
Acho que é uma excelente ideia. A segurança de uma VPN pode ser muito boa, mas o isolamento que o WebApps permite sobre o RDP também é muito bom.
Recomendo sim você começar a testar o RDS no 2008 R2 SP1. E sim, coloque exigência de certificado digital de sua autoridade certificadora, forçando o tráfego por HTTPS. Vai garantir a segurança e maximizar a compatibilidade!
O pessoal aqui me fez um questionamento, para que esse acesso funcione de qualquer lugar e de qualquer computador, a porta 3389 devera estar liberada para todo mundo.
Se for usar o certificado para HTTPS, basta a porta 443.
Isso seria o mesmo que utilizar o Gateway TS?
Não, o TS Gateway serve para redirecionar o tráfego do RDS para a porta 443.
Ola, primeiramente parabéns pelo post.
A pouco tempo implementei o TS Web Acess, agora estou com uma dúvida…
Como eu retiro a aba “Remote Desktop”?
Gostaria que os usúarios acessassem apenas a aba “RemoteApp Programs”
Obrigado.
Dá para tirar sim, tem esse post do forum: http://social.technet.microsoft.com/Forums/en-US/winserverTS/thread/e0e669f3-eb45-42f0-b621-178e3decaf28/
Muito bom o post.
Estou fazendo testes no TS Web Access e segui sua dica, mas não fucionou, ele ainda pede a segunda autenticação.
Vou continuar no testes, se tiver algum detalhe e puder me passar fico grato.
Essa alteração da “Figura 3 – Política que habilita o Single Sign On” ela é feita no servidor ou no client?
Abraços
É no servidor!
Eu testei antes de postar, depois posta os erros (se é que aparece algum) para analisarmos.
Acho que meu problema esta no seguinte. Tenho um AD no 2003, e meu 2008 é mebro do dominio, com o TS instalado, ele usa os usuarios do 2003 para logar nas conexoes remotas, ai ta pedindo 2 vezes a senha, tentei fazer a sintalação do ADCS no 2008 direto. Vou estruturar meu teste diferente, vou criar um dominio paralelo com outro nome e executar o passo a passo do post. Depois posto o resultado.
Olá pessoal tudo bem?
É possivel que quando uma máquina cliente acesse o meu servidor WebAPP https://meuserver.local/rdweb seja solicitado automaticamente para que ele instale o certificado digital? Tipo aquelas mensagens que aparecem no browser, “Clique aqui para instalar o certificado digital”.
Não,
Até porque qual seria o sentido disso? Se é para qualquer um ter acesso ao certificado, é melhor não usar certificado!
Rafael, estou com o lab com windows 2012 vdi/rds
eu acesso via web access e me mostra a collection pooled ou personal dos dektops virtualizado para acesso, mais caso eu nao queria acessar pelo web access? estou na estação fisica no dominio e quando logo ele me direcione automaticamente para a collection personal por exemplo acessando o desktop virtualizado, como pode ser feito isso.
Você pode usar o MSTSC normalmente e apontar o IP para o servidor que está como redirecionador.
Mas se você tiver uma imagem personal atribuída, o servidor vai sempre te redirecionar para ela.
As figuras não estão aparecendo dos exemplos.