none
Remote app on RDS - Cuestiones RRS feed

  • Pergunta

  • Hola a todos,
    Actualmente estamos trabajando para hacer que una granja RDS de 2019 publicada en IIS sobre Internet. En las pruebas, implementamos algunas aplicaciones, pero tenemos algunas preguntas y necesitamos información:
    Pregunta: ¿Singscope y la firma en el archivo RDP (descargado en Chrome) son necesarios para conectarse o solo se recomiendan? Ejemplo de archivo RDP descargado para los usuarios (este archivo rompe nuestra HA de la granja pues apunta a una de las maquinas directamente...)


    redirectclipboard: i: 1
    redirectprinters: i: 1
    redirectcomports: i: 0
    redirectsmartcards: i: 1
    devicestoredirect: s: *
    drivestoredirect: s: *
    unidades de redireccionamiento: i: 1
    sesión bpp: i: 32
    solicitud de credenciales en el cliente: i: 1
    monitores de alcance: i: 1
    use multimon: i: 1
    modo de aplicación remota: i: 1
    puerto del servidor: i: xxxx
    permitir suavizado de fuente: i: 1
    promptcredentialonce: i: 1
    modo de reproducción de video: i: 1
    modo de captura de audio: i: 1
    gatewayusagemethod: i: 1
    gatewayprofileusagemethod: i: 1
    gatewaycredentialssource: i: 0
    dirección completa: sxxxxxxxxxxxxxxxxxxxxxxx
    shell alternativo: s: xxxxxxxxxxxxxxxx
    programa de aplicación remota: s: xxxxxxxxxxxxxx
    gatewayhostname: s: xxxxxxxxxxxxxxxxxxxxx
    nombre de aplicación remota: s: xxxxxxxxxxxxxxxx
    remoteapplicationcmdline: s:
    Identificación del espacio de trabajo: s: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    use el nombre del servidor de redirección: i: 1
    loadbalanceinfo: s: tsv: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    dirección completa alternativa: s: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx
    ,. DevicesToRedirect, DrivesToRedirect, LoadBalanceInfo
    firma: s: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx


    Si eliminamos la información de la firma, es posible iniciar sesión, entonces la forma, aparte de para securizar la conexion, para que sirve?


    Necesitamos: Implementar la aplicación (a través de GPO o inicio automático) para abrir directamente la aplicación cuando inicie Windows (sin sesión, solo una aplicación virtualizada)
    El problema es: necesitamos implementar algunos equipos para usar impresoras POV, solo necesitamos iniciar una aplicación virtualizada, y ahora los usuarios descargan un archivo RDP con la información que pueden ver en esta publicación.


    ¿Alguna idea, procedimiento o algo para ayudarnos?


    Saludos y gracias.
    Gerardo Moreno


    Gerardo,

    terça-feira, 5 de novembro de 2019 15:36

Todas as Respostas

  • Hola Gerardo, publicar una aplicación a través de RD-Web en Internet es un problema grave de seguridad. Además la página web lo único que hace es redirigir a qué RD-Host se debe conectar el cliente, por lo cual además de otros hay que abrir RDP, y ya te imaginarás los problemas de seguridad que tendrías

    Para solucionar el tema anterior, se debe utilizar la funcionalidad RD-Gateway, que básicamente es encapsular/desencapsular el tráfico en HTTPS. O sea que en Internet es HTTPS, y en la red interna el que se necesite

    El siguiente enlace es a una nota que tiene la implementación completa de una granja de Escritorio Remoto, usando entre otros roles el RD-Gateway

    Son siete notas, pero comienza acá

    Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1) | WindowServer
    https://windowserver.wordpress.com/2016/03/01/remote-desktop-escritorio-remoto-de-principio-a-fin-nota-1/

    Por otra, no es posible que se inicie una aplicación al encender la máquina, es una configuración que la única opción es cuando el usuario se conecta al Escritorio Remoto

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Sugerido como Resposta Cavallin Jorge terça-feira, 5 de novembro de 2019 19:28
    • Não Sugerido como Resposta gerard_gorrion quarta-feira, 6 de novembro de 2019 07:44
    • Sugerido como Resposta Pablo RubioModerator quarta-feira, 6 de novembro de 2019 19:13
    terça-feira, 5 de novembro de 2019 19:22
    Moderador
  • Hola. Entiendo que la mejor forma es la que indica Guillermo. Y de echo uso eso tal cual lo publica en su foro.

    Ahora en un caso muy puntual donde pocos usuarios deben utilizar un determinado soft. Lo resolví utilizando un servidor miembro del dominio. Los usuarios mencionados DEBEN ingresar por RDP a este equipo con usuarios locales- NO del dominio. Por ejemplo si la aplicación que usarán es :  %windir%\system32\notepad.exe.

    En cada usuario local del mencionado servidor se deberá hacer esto que coloco en la imagen.


    Saludos Jorge Argentina

    terça-feira, 5 de novembro de 2019 19:40
  • Hola Jorge, gracias por la complementación de la info :)

    Sólo algo para tener en cuenta, hay pregunta en este foro que no les funcionó el tema de poner así el inicio automático de una aplicación. Hay una pregunta que encontró la solución, pero lo hizo de otra forma, no recuerdo :(

    Es cuestión de buscar en el foro cómo lo solucionó

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    terça-feira, 5 de novembro de 2019 22:27
    Moderador
  • Buenas,

    Gracias por la ayuda e indicaciones. Tal vez no me explique todo lo bien que debería:

    -La aplicación esta publicada sobre internet y está securizada sobre https

    -Tenemos los siguientes roles en la granja: RD Web Access, Rd Gatway, RD licensing, RD connection bróker y RD sesión host (que sirve la aplicación)

    La duda que tenemos es la siguiente:

    Es necesario que el cliente se conecte cada vez a la web publicada en internet para descargarse el fichero de rdp cada vez que quiera conectarse? (solo en IE se puede abrir directamente, los otros navegadores te descargan un fichero).

    Podría descargarme un fichero la primera vez, y reusar este .RDP cada vez que quiera entrar? y de ser así, la signature que tiene el fichero RDP, que función tiene además de securizar la ejecución de la app? y se puede prescindir de esta signature? 

    Los datos están en el post inicial, si necesitais alguna info mas avisadme.

    Saludos y gracias,


    Gerardo,

    quarta-feira, 6 de novembro de 2019 07:40
  • Buenas, esta opción no nos sirve pues son usuarios de dominio.

    Habíamos pensado en, por ejemplo, al iniciar la sesión , que se le abra directamente IE en la web publicada con la app, con las credenciales ya guardadas en "credenciales de Windows", así el autologin a la app estaría resuelto, después hacer un bypass desde el gateway hasta el equipo para que no pida otra vez las credenciales y que ejecute la app directamente. Entiendo que por GPO podría llegar a hacerse, me equivoco? conocéis alguna otra forma de hacerlo?

    saludos y gracias,


    Gerardo,

    quarta-feira, 6 de novembro de 2019 07:44
  • Buenas,

    Gracias por la ayuda e indicaciones. Tal vez no me explique todo lo bien que debería:

    -La aplicación esta publicada sobre internet y está securizada sobre https

    -Tenemos los siguientes roles en la granja: RD Web Access, Rd Gatway, RD licensing, RD connection bróker y RD sesión host (que sirve la aplicación)

    La duda que tenemos es la siguiente:

    Es necesario que el cliente se conecte cada vez a la web publicada en internet para descargarse el fichero de rdp cada vez que quiera conectarse? (solo en IE se puede abrir directamente, los otros navegadores te descargan un fichero).

    Podría descargarme un fichero la primera vez, y reusar este .RDP cada vez que quiera entrar? y de ser así, la signature que tiene el fichero RDP, que función tiene además de securizar la ejecución de la app? y se puede prescindir de esta signature? 

    Los datos están en el post inicial, si necesitais alguna info mas avisadme.

    Saludos y gracias,


    Gerardo,

    Hola Gerardo, no es un diseño que haya tenido que implementar así que no estoy en condiciones de responder tus preguntas. Tendría que hacer pruebas y como te imaginarás no puedo emular la infraestructura :)

    Me parece que te va a tocar investigar en un ambiente de pruebas

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    quarta-feira, 6 de novembro de 2019 10:30
    Moderador