Aprimorando o acesso dos usuários ao RemoteApp e ao VDI (SSO, Logon único no Web Access)

Após a instalação do RemoteApp e publicação das aplicações é normal ouvir algumas reclamações dos usuários em relação ao momento da conexão remota. O mesmo se aplica às máquinas virtuais do Virtual Desktop Infrastructure (VDI). São exibidas duas mensagens que atrapalham no uso do software, a primeira mostrando um aviso sobre o certificado do servidor que não é válido e a segunda pedindo o usuário e senha. No procedimento abaixo será exibido como criar uma conexão livre de mensagens de aviso e como habilitar o Single Sign On (SSO).
O primeiro passo será a integração do usuário logado com a conexão dispensando a necessidade de usuário e senha novamente, uma vez que o logon já foi efetuado na máquina. Este procedimento de integração do logon com a aplicação também é chamado de SSO. É possível ver na figura 1 a página do Remote Desktop Web Portal com as aplicações publicadas e na figura 2 a mensagem de logon, forçando o usuário a colocar o usuário, o domínio e a senha.

SSO1
Figura 1 – Programas do RemoteApp
SSO2
Figura 2 – Usuário e senha para usar os programas
Para habilitar o SSO é preciso configurar uma política de grupo. Para isso, clique no menu iniciar e em Search digite gpedit.msc.
Clique em Computer Configuration e expanda Administrative Templates>System>Credentials Delegation e clique na política Allow Delegating Default Credentials. Clique em Enabled e depois clique em Show. Na tela Show Contents coloque o valor “TERMSRV/*”, conforme figura 3. Certifique que a opção Concatenate OS defaults with imput above esteja marcada. Após esse procedimento, reinicie o computador. Quando existirem muitas máquinas essa política pode ser feita através de uma Política de Grupo (GPO) do Active Directory, fornecendo assim a configuração e o gerenciamento centralizado.
SSO3
Figura 3 – Política que habilita o Single Sign On
O próximo passo é garantir que a mensagem de confirmação do certificado do servidor não apareça também. Isso ocorre pelo fato do certificado padrão não ser um certificado válido fazendo com que o cliente não confie no mesmo ao se conectar com o servidor. Para resolver este problema é preciso gerar um certificado de computador através uma unidade certificadora. No Windows Server é possível usar o Active Directory Certificate Services(ADCS) para a criação e o gerenciamento dos certificados. Para mais informações sobre a instalação do ADCS, acesse o link a seguir: http://technet.microsoft.com/en-us/library/cc772393(WS.10).aspx
Depois da instalação do certificado no servidor do RemoteApp, abra o RemoteApp Managere clique na opção Digital Signature Settings do lado esquerdo da tela e marque a opçãoSign with a digital certificate, conforme figura 4. Escolha o certificado instalado e clique em ok.
Certificate
Figura 4 – Configuração de certificado do Servidor
Depois disto é preciso copiar o código hash do certificado para uma política local. Através do Remote Desktop Web Portal, clique em qualquer software referente ao servidor que hospeda as aplicações e na mensagem de aviso, em publisher, clique no link com o nome do servidor, como mostra a figura 5.
SSO4
Figura 5 – Mensagem do certificado não confiável
Isto exibirá o certificado do servidor. Clique na guia Details e depois em Thumbprint. Copie o valor em algum local para copiá-lo na política de grupos. Certifique-se de não copiar o espaço na primeira linha antes do código. Na figura 6 é possível ver o código e o espaço antes dele.
SSO5
Figura 6 – Thumbprint do certificado
Abra novamente o gpedit.msc e navegue em Computer Configuration>Administrative Templates>Windows Components>Remote Desktop Services>Remote Desktop Connection Client e abra a política Specify SHA1 thumbprints of certificates representing trusted .rdp publishers. Clique em Enabled e copie o texto no espaço abaixo da política, conforme figura 7. Caso haja mais de um servidor de RemoteApp ou com VDI, coloque os respectivos códigos separados por vírgula. Depois clique em OK e reinicie o computador cliente.
SSO6
Figura 7 – Hash do certificado na política
Como mencionado anteriormente é possível fazer o procedimento acima através de políticas de grupo pelo Active Directory também.
Após esses dois procedimentos as aplicações do RemoteApp e as máquinas virtuais do VDI são executados sem nenhuma mensagem de erro ou de logon.
______________________
Retirado de um blog de virtualização da Microsoft.

    Comments

    1. Bernardes,
      Mais uma vez venho parabenizá-lo pelo excelente post.
      Estou a cada dia impressionado com os excelentes conteúdos que surgem a cada dia no CooperaTI.
      Por isso o CooperaTI é o meu preferido…
      Abraços.
      JB

    2. Avatar for Rafael Bernardes Bruno Cruz (Belém-Pará) : 5 de maio de 2011 at 8:23 pm

      Só o filé !! Olha Rafael , cade meus vídeos que você prometeu caso indicasse 10 pessoas para o blog? 🙂 rrsrsrsrs

    3. Avatar for Rafael Bernardes Bruno Cruz (Belém-Pará) : 17 de maio de 2011 at 9:42 am

      Pode ser que eu tenha recebido, porém passou desapercebido. Peço-lhe desculpas pela falta de atenção. Qual e-mail que envio a solicitação e quais os conteúdos disponíveis?

    4. Oi , gostei muito do post, me ajudou nesse processo de configuração.
      Só que agora estou com um problema. Fiz toda a configuração, e realizei o acesso através do TS Access Web, loguei sem problemas, mas os programas que configurei não aparecem na tela. O que pode estar acontecendo?
      Obrigada!!

      • Bom, você tem que ir no RemoteAPP e publicar os aplicativos, depois clique com o botão direito e marque a opção: Mostrar no web access.
        Eu estou sem o LAB aqui, mas no gerenciador do TS lembro que tem como definir o nome ou IP do servidor que tem o RemoteApp.

    5. Avatar for Rafael Bernardes Bruno Cruz - Belém Pará : 29 de julho de 2011 at 9:42 am

      Rafa, estou seguindo seus posts sobre remote app estou conseguindo aplicar o conhecimento adquirido aqui. Agora surgiu a dúvida: como posso inserir a minha logo ou logo da empresa na tela de login do Ts Web Acess, personaliza-la?

      • Poder pode, mas eu não vou ensinar aqui no comentário, rsrsrs
        Estou montando um post sobre isso!
        Mas #ficaadica: Existe uma pasta dentro do Inetpub que tem todos os arquivos gráficos desse site do web access. Pode alterar as imagens direto por ali!

        • Avatar for Rafael Bernardes Bruno Cruz (Belém-Pará) : 29 de julho de 2011 at 5:48 pm

          Perfeito!!! rsrsrs. Eu cheguei a pensar e até mesmo olhar essa pasta, porém não consegui nada. Mas de qualquer forma valeu!!

    6. Tenho um controlador de dominio com WS2k3, no 2003 não tem a GPO Administrative Templates>System>Credentials Delegation, como faço isso no 2003?

    7. Fala Bernades, parabéns pelo post.
      Tenho uma duvida, exite alguma maneira do c: ao ser executado seja o c: da maquina local e não do servidor.
      Pergunto porque possuo uma aplicação na empresa onde tenho que instalar o software localmente devido a impressora fiscal, o trafego de informações acaba ficando muito alto, ele reconhece somente os arquivos se tiverem localmente.

    8. Quando rodo dois programas RemoteApp de uma só vez não vai, dá uma mensagem de erro, mesmo se colocar usuários diferentes.
      Só quando acesso com um usuário admin, ai ele abre os dois, caso contrario da uma erro assim:
      “O programa não pode ser iniciado no computador remoto.
      Para obter assistencia entre em contato com o Administrador do sistema.”
      O que será?

    9. Patrão, quando eu vou lá nas config do TS para selecionar o certificado, não consigo achar nenhuma. Pode me orientar como selecionar o certificado quando ele não aparece conforme vc explicou na figura 4 ?

    10. Rafael show de bola,
      Mais show de bola ainda seria eu conseguir acessar o Web Access pelo Ipad.
      Instalei o RemoteApp em um servidor 2008 R2 com o Web Access e está funcionando certinho, mas eu gostaria de acessa-lo tbm pelo Ipad, ta dando um erro falando que o web access não suporte o ios ?
      Eu acesso a pagina do Web Access, coloco o usuário e senha ai ele da o erro abaixo:
      “rd web access does not support this operation system”
      Abraços!
      Lucas Silva

    11. RAfael, hoje tenho varios clientes que fecham VPN com um data center e acessam as aplicaçoes, eu queria disponibilizar essas aplicaçoes via WebApps mas sem o cliente precisar fechar a VPN para se comunicar com meu data center.
      Utilizando a ideia de computaçao em nuvem o cliente poderia acessar esses aplicativos via WebApps de qualquer lugar e de qualquer computador, mas estou com duvidas sobre como eu poderia incrementar a segurança desse novo modo de acesso as aplicaçoes, como nao tera mais vpn, eu estava pensando em exigir uma complexidade de senhas melhor e certificado digital.
      Gostaria de saber a opiniao de vcs sobre o assunto, o que poderia substituir a vpn na questão de segurança. Obrigado! Abs!

      • Acho que é uma excelente ideia. A segurança de uma VPN pode ser muito boa, mas o isolamento que o WebApps permite sobre o RDP também é muito bom.
        Recomendo sim você começar a testar o RDS no 2008 R2 SP1. E sim, coloque exigência de certificado digital de sua autoridade certificadora, forçando o tráfego por HTTPS. Vai garantir a segurança e maximizar a compatibilidade!

    12. Isso seria o mesmo que utilizar o Gateway TS?

    13. Ola, primeiramente parabéns pelo post.
      A pouco tempo implementei o TS Web Acess, agora estou com uma dúvida…
      Como eu retiro a aba “Remote Desktop”?
      Gostaria que os usúarios acessassem apenas a aba “RemoteApp Programs”
      Obrigado.

    14. Muito bom o post.
      Estou fazendo testes no TS Web Access e segui sua dica, mas não fucionou, ele ainda pede a segunda autenticação.
      Vou continuar no testes, se tiver algum detalhe e puder me passar fico grato.
      Essa alteração da “Figura 3 – Política que habilita o Single Sign On” ela é feita no servidor ou no client?
      Abraços

      • É no servidor!
        Eu testei antes de postar, depois posta os erros (se é que aparece algum) para analisarmos.

        • Acho que meu problema esta no seguinte. Tenho um AD no 2003, e meu 2008 é mebro do dominio, com o TS instalado, ele usa os usuarios do 2003 para logar nas conexoes remotas, ai ta pedindo 2 vezes a senha, tentei fazer a sintalação do ADCS no 2008 direto. Vou estruturar meu teste diferente, vou criar um dominio paralelo com outro nome e executar o passo a passo do post. Depois posto o resultado.

    15. Olá pessoal tudo bem?
      É possivel que quando uma máquina cliente acesse o meu servidor WebAPP https://meuserver.local/rdweb seja solicitado automaticamente para que ele instale o certificado digital? Tipo aquelas mensagens que aparecem no browser, “Clique aqui para instalar o certificado digital”.

    16. Rafael, estou com o lab com windows 2012 vdi/rds
      eu acesso via web access e me mostra a collection pooled ou personal dos dektops virtualizado para acesso, mais caso eu nao queria acessar pelo web access? estou na estação fisica no dominio e quando logo ele me direcione automaticamente para a collection personal por exemplo acessando o desktop virtualizado, como pode ser feito isso.

    Deixe uma resposta

    O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

    © 2019 All Rights Reserved. Cooperati. 

    Deseja uma consultoria especializada?