Installation et configuration de RemoteApps
Content
Installation d’un Serveur Windows 2008 R2 Remote Desktop Service et publication de RemoteApp
L’installation du serveur Windows 2008 R2 avec les services Remote Desktop va permettre aux utilisateurs de lancer des applications en RemoteApp. Les programmes RemoteApp sont des programmes qui sont accédés et exécutés à distance sur des serveurs RDS mais qui apparaissent comme exécutés localement. Au lieu d’ouvrir une session et un bureau sur le serveur RDS distant, les programmes s’affichent directement sur le bureau du poste local, avec la possibilité de modifier la taille de la fenêtre. Ces programmes RemoteApp s’exécutent parallèlement aux autres programmes installés sur le poste. Lorsque vous lancez plusieurs programmes RemoteApp, ils partagent une même session RDC. Il existe plusieurs façons d’utiliser RemoteApp : Par RDS WebAccess permet d’exécuter des programmes RemoteApp depuis une page web (donc depuis n’importe quel PC/Browser en théorie) et de publier/mettre à jour automatiquement les nouveaux programmes RemoteApp dans le menu démarrer (seulement sous Windows 7) Par RDS Session Host avec des fichiers .RDP distribués par l’admin. Par RDS Session Host avec des fichiers .MSI distribués par l’admin.
-
Cet article est en fait un exemple, c’est une mise en place que j’ai du effectuer chez un client. Cela votre cas il y aura donc certaines modification à faire. Nous aurons 2 serveurs RDS derrière un load-balancer, un parc composé de poste en Windows XP et Windows 7.
Sommaire
1. 2. 3. 4. 1. 2. 5. 6. 1. 2. Pré requis...................................................................................................................................................................2 Installation du Serveur Remote Desktop Service Session Host .................................................................................3 Installation du rôle « Remote Desktop Web Access » ..............................................................................................6 Configuration du Remote Desktop Session Host RDSH.............................................................................................8 Installation du certificat ........................................................................................................................................8 Configuration du paramètre de connexion pour les PC Clients. ...........................................................................9 Configuration des logiciels en RemoteApp sur le serveur RDS ...............................................................................12 Déploiement des RemoteApp aux postes clients ....................................................................................................14 Création de fichier MSI ........................................................................................................................................14 Création de fichier RDP .......................................................................................................................................16
3. 7. 8. 1. 2. 3. 9. 1. 2. 10. 1. 2. 3. 11. 1. 2. 3. 4.
RD Web Access ....................................................................................................................................................16 Déploiement des Applications RemoteApp MSI par GPO .......................................................................................20 Configuration du SSO ..............................................................................................................................................22 Pour les postes en Windows 7 ............................................................................................................................22 Pour les postes en Windows XP SP3....................................................................................................................23 Filtre WMI ............................................................................................................................................................28 Configuration des serveurs de licences ...................................................................................................................31 Installation ...........................................................................................................................................................31 Configuration .......................................................................................................................................................33 Configuration des sessions RDS...........................................................................................................................35 Création des répertoires pour les profiles RDS ...................................................................................................35 Création des GPO ................................................................................................................................................35 Changement de l’interface utilisateur.................................................................................................................40 Divers ...................................................................................................................................................................43 Création de tâches planifiées ..............................................................................................................................43 Compression RDP ................................................................................................................................................44 Defragmentation .................................................................................................... Error! Bookmark not defined. Utilisation d’Easy Print ........................................................................................................................................47
1. Pré requis
Cette installation nécessite un domaine Active Directory, ici DOMAINE.COM et la création de groupes d’utilisateurs dans l’AD pour les droits d’accès aux serveurs RDS. Les pare-feu Windows sont tous désactivés dans notre installation. Les paramètres de sécurité renforcée d’Internet Explorer sont désactivés. Le pack de langue EN-US est installé : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=03831393-eef7-48a5-a69f0ce72b883df2&displaylang=en Le serveur est à jour et en SP1
2. Installation du Serveur Remote Desktop Service Session Host
Le serveur doit être joint au domaine, il est préférable d’installer le serveur Session Host avant les applications à déployer dans un souci de compatibilité. Pour installer et configurer le Remote Desktop Session Host il faut installer le rôle RD Session Host Service par le Server Manager. Ouvrir le Server Manager et ajouter un rôle en sélectionnant “Services Bureau à distance”, puis dans les services de rôle sélectionner « Hôte de session Bureau à distance ».
-
Dans “Désinstaller et réinstaller des applications pour des raisons de compatibilité” cliquer sur “suivant”. Lors du choix de la méthode d’authentification, choisir “Ne nécessite pas l’authentification au niveau réseau”
Note : Ceci pour la compatibilité antérieure à Windows XP SP3 (CredSSP). Sur la page du mode de licence, choisir de configurer plus tard
-
Sur la page de configuration de l’expérience client, ne rien cocher.
-
Dans la sélection des utilisateurs autorisés à accéder au serveur RDS, cliquez sur « Suivant », nous le configurerons plus tard aussi.
-
Confirmer l’installation et rebooter. Note : Dans notre cas, ceci est à faire sur les 2 serveurs RDS
3. Installation du rôle « Remote Desktop Web Access »
Nous allons ajouter aussi le service de rôle « Remote Desktop Web Access » pour offrir (lors d’un besoin futur) l’accès des applications via le web et pour les clients Windows 7 la mise à jour automatique des publications des applications RemoteApp (mais aussi parce que certaines fonctionnalités nécessaires seront installées pendant cette étape.) Cliquer droit sur « Services Bureau à distance » dans le Gestionnaire de Serveur puis « Ajouter des services de rôles »
-
Choisir « Accès bureau à distance par le web » et installer les rôles et fonctionnalités associées puis laisser les options par défaut.
Vous avez maintenant installé les outils nécessaires au fonctionnement de RDS pour du RemoteApp. Vérifiez le bon fonctionnement des services, ou lancez une connexion RDC depuis un poste client.
4. Configuration du Remote Desktop Session Host RDSH
1. Installation du certificat
L’installation d’un certificat sur le serveur RDSH va permettre de signer les fichiers RDP et ainsi s’affranchir de l’avertissement de connexion lors du lancement d’une session à distance (Bureau ou RemoteApp). J’ai dans mon cas utilisé un certificat public signé par Vérisign. Attention, il vous faut utiliser un certificat avec la paire de clés publique/privée pour signé le package. Importez le certificat à partir d’une MMC et placez le dans le conteneur « Personnel » de l’ordinateur :
2. Configuration du paramètre de connexion pour les PC Clients.
Les PC clients se connectent non pas directement au serveur RDS mais par l’intermédiaire d’un loadbalancer NetApp accessible à cette adresse : apps.domaine.com Il faut donc que le nom de connexion soit celui-ci, et que les packages MSI/fichiers RDP déployés se tourne vers ce chemin. Ouvrir le « Gestionnaire RemoteApp »
Accéder à la console « Gestionnaire RemoteApp » depuis « Démarrer », « Outils d’Administration », « Services de bureau à distance ».
Puis dans le volet « Actions » à droite sur « RD Session Host Server Settings » et changer le nom de connexion par « apps.domaine.com»
-
Ajouter les utilisateurs/Groupes autorisés à se connecter aux serveurs RDS : « RDS_Group »
Il vous faut faire l’ajout dans le groupe local « Utilisateurs du Bureau à distance » de la machine :
5. Configuration des logiciels en RemoteApp sur le serveur RDS
Une fois que les applications à déployer par RemoteApp sont installées, et rappelons qu’il est vivement recommandé d’installer les applications après l’installation des services et rôles RDS, vous pouvez les ajouter dans le Gestionnaire RemoteApp. Accédez à la console « Gestionnaire RemoteApp » de la même façon que précédemment. Puis dans le volet « Actions » à droite, choisissez « Ajouter des programmes RemoteApp». L’assistant se lance et vous demande quel programme choisir, sélectionnez simplement le programme à déployer.
Dans le cas de nos logiciels, pensez à changer les noms par défauts, icônes etc, si besoin.
Vos applications sont maintenant disponibles en RemoteApp.
6. Déploiement des RemoteApp aux postes clients
Il existe plusieurs façons d’offrir le déploiement des RemoteApp aux postes clients : en distribuant des fichiers RDP, en distribuant des fichiers MSI, par RD Web Access. Dans notre cas présent, nous distribuerons nos applis avec des fichiers.MSI via les GPO.
1. Création de fichier MSI
La création de fichier MSI permet d’encapsuler des RDP dans des MSI pour faciliter le déploiement/l’assignation/la publication par GPO. Cette opération se fait toujours dans la console Gestionnaire RemoteApp.
Sélectionnez le programme RemoteApp et cliquez sur « Créer le package Windows Installer », suivez ensuite l’assistant en vérifiant le nom de connexion et en signant numériquement le package avec le certificat précédemment créé (notre certificat public) ou en changeant directement les paramètres des signatures numériques.
Dans la fenêtre suivante, pour la configuration de distribution du package, penser à changer le menu de démarrage des applications dans un souci d’homogénéité (par défaut : « Applications distantes »), et cocher la publication d’une icône sur le bureau et dans le dossier « Menu Démarrer » Note : Vérifiez l’utilisation du certificat précédemment importé pour la signature du RDP.
Les packages sont créés et placés dans le répertoire : C:\Program Files\Packaged Programs
2. Création de fichier RDP
Le principe et l’assistant est identique à l’étape précédente, et les fichiers créés se placent au même endroit.
3. RD Web Access
Le RD Web Access est disponible dès que vous installez le service de rôle « Remote desktop Web Access », vous pouvez en vérifier le bon fonctionnement en lançant la page web de configuration :
« Démarrer », « Outils d’Administrations », « Service Bureau à distance », “Configuration de l’accès web des services de bureau à distance” Si un avertissement concernant le certificat apparait, ignorez le, et connectez-vous avec vos identifiants.
Note : Si vous obtenez un message d’erreur au chargement de la page, c’est que vous avez supprimé le certificat auto-signé créé lors de l’installation du rôle. Pour aller lier le nouveau certificat au site web procédez comme ceci :
Dans IIS, site web par défaut :
Note : Pensez aussi à autoriser l’accès Remote Web aux users/Groupe d’users (comme pour le serveur SH) sauf que le groupe conteneur est « Ordinateurs Accès Web TS) (Sur les 2 serveurs) La page web de configuration présente 3 onglets : Configuration : vous choisissez la source à utiliser, normalement « localhost » (puisque les applis sont installés sur cette même machine) Remote Desktop : pour lancer une RDC depuis la page web RemoteApp Programs : pour lancer les programmes autorisé en RD Web Access.
Attention pour que les applications soit disponibles en Web Access, il faut les autoriser dans la console RemoteApp Manager.
Nous n’utiliserons pas cette solution, mais l’avantage de celle-ci est qu’il est possible depuis un poste Windows 7 de créer une connexion direct avec ce serveur web pour afficher (donc mettre à jour) directement les applications nouvellement publiées. Depuis le bouton « Démarrer » sur un poste Windows 7 les applications RemoteApp Web Access sont affichées comme si elles étaient installées localement. Si vous mettez à jour les applications ou rajoutez des applications, elles apparaissent directement dans le menu « Démarrer ». Pour plus d’info sur cette configuration, je vous invite à lire ceci : http://technet.microsoft.com/enus/library/dd772639%28WS.10%29.aspx
7. Déploiement des Applications RemoteApp MSI par GPO
Une fois les fichiers MSI des RemoteApp créés, il faut créer une simple GPO pour les déployer sur les postes clients.
Toutefois, dans les propriétés du package, pensez à valider les options suivantes : Installer l’application lors de l’ouverture de session Ignorer la langue lors du déploiement du package
Lors du déploiement des MSI aux utilisateurs, pensez aussi à faire du filtrage sur les groupes d’appartenance pour faciliter le déploiement seulement aux utilisateurs voulus.
8. Configuration du SSO
Pour éviter une nouvelle demande d’identification lors du lancement d’une RemoteApp, il est nécessaire de mettre en place le mécanisme SSO.
1. Pour les postes en Windows 7
Pour les postes en Windows 7, la configuration du SSO se fait par GPO, Dans la GPMC, créez une GPO qui s’appliquera aux clients Windows 7 avec les paramètres suivants : Configuration Ordinateur \ Modèle d’administration \ Système \ délégation des informations d'identification\ Autorisé la délégation d’identité par défaut = Activé - liste des serveurs = TERMSRV/* Autorisé la délégation d’identité par défaut avec NTLM uniquement = Activé - liste des serveurs = TERMSRV/* Autorisé la délégation des nouvelles informations d’identification = Activé - liste des serveurs = TERMSRV/* Autorisé la délégation des nouvelles informations d’identification avec NTLM = Activé - liste des serveurs = TERMSRV/* Autorisé la délégation d’informations d’identification enregistrées = Activé - liste des serveurs = TERMSRV/* Autorisé la délégation d’informations d’identification enregistrées avec NTLM = Activé - liste des serveurs = TERMSRV/*
2. Pour les postes en Windows XP SP3
Pour les postes en Windows XP SP3, la configuration du SSO passe par plusieurs étapes. a. Il faut activer le CredSSP
Pour CredSSP est un nouveau Security Support Provider (SSP) qui est disponible dans Windows XP SP3 permettant à un programme à utiliser côté client SSP de déléguer les informations d'identification utilisateur de l'ordinateur client vers le serveur cible. Le Hotfix se télécharge ici : http://support.microsoft.com/kb/951608/en-us?fr=1 Note : Il est utilisable sur toutes les versions linguistiques de Windows XP SP3. Ou alors modifier manuellement le registre comme ceci, c’est la solution qu’on retiendra car plus simple à déployer : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\ 00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\ 6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\ 00,73,00,70,00,6b,00,67,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"
b. Créer les clés de registres correspondantes. Ces clés de registres correspondent aux paramètres de GPO présents pour Windows 7 : [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation] "AllowDefaultCredentials"=dword:00000001 "ConcatenateDefaults_AllowDefault"=dword:00000001 "AllowDefCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001 "AllowFreshCredentials"=dword:00000001 "ConcatenateDefaults_AllowFresh"=dword:00000001 "AllowFreshCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowFreshNTLMOnly"=dword:00000001 "AllowSavedCredentials"=dword:00000001 "ConcatenateDefaults_AllowSaved"=dword:00000001 "AllowSavedCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultC redentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCred entialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentials]
"1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentialsWhenNTLMOnly] "1"="TERMSRV/*"
Il faut donc créer un fichier .REG à déployer par GPO sur les postes Windows XP SP3 (nécessite un redémarrage du poste) : (Disponible sur le partage réseau avec les MSI) Windows Registry Editor Version 5.00 ;------------------------------------------------------------;Ajout des clés de registre pour CredSSP sous Win XP SP3 ;------------------------------------------------------------;------------------------------------------------------------;Pour activation du CredSSP ;------------------------------------------------------------[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\ 00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\ 6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\ 00,73,00,70,00,6b,00,67,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll" ;------------------------------------------------------------;Pour autorisation de la délégation d'identité aux serveur RDS ;------------------------------------------------------------[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation] "AllowDefaultCredentials"=dword:00000001 "ConcatenateDefaults_AllowDefault"=dword:00000001 "AllowDefCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001 "AllowFreshCredentials"=dword:00000001 "ConcatenateDefaults_AllowFresh"=dword:00000001 "AllowFreshCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowFreshNTLMOnly"=dword:00000001 "AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001 "AllowSavedCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultC redentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCred entialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentialsWhenNTLMOnly] "1"="TERMSRV/*"
c. Installer la dernière version du client RDC La dernière version du client RDC est nécessaire pour l’utilisation du SSO : c’est la version RDC 7. (6.1.7600.16385) Pour connaitre la version du client RDC sur un poste rendez-vous sur c:\Windows\System32 et vérifiez les propriétés de MSTSC.EXE
La façon la plus simple de déployer ce package est par WSUS, importer le KB969084 dans votre serveur de mises à jour et approuvez le (OK pour le serveur WSUS FNAC). Si vous voulez le récupérer manuellement, rendez-vous ici : http://www.microsoft.com/downloads/frfr/details.aspx?FamilyID=72158b4e-b527-45e4-af24-d02938a95683
Note : Si ce package n’est pas installé, une fenêtre vous demandera une seconde authentification car la première échouera. d. Installer le patch KB953760 Maintenant le SSO est activé et fonctionnel sur les postes Windows XP. Toutefois, lors de l’utilisation d’une ferme de serveurs RDS (donc d’un connexion broker) ou lors de l’utilisation d’un load-balancer entre les clients et les serveurs (notre cas ici), la délégation ne s’effectue pas jusqu’au point final. Note : Si ce patch n’est pas installé : une fenêtre RemoteApp apparait avec en fond l’écran de logon du serveur RDS. Ce bug est résolu grâce à l’installation du patch KB953760 disponible sur le répertoire de distribution des MSI ou ici sur internet : http://thehotfixshare.net/board/index.php?showtopic=10916
Il n’est pas possible de déployer ce Hotfix autrement que par script ou par un local update publisher (plus d’infos ici : http://www.localupdatepublisher.com le WSUS ne gérant pas les Hotfix) On choisira par souci de simplicité un script tel que celui-là : sExePath = "\\svrfile\deploi_appli_AD\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe" sSwitches = "/u /q /z" Set oShell = CreateObject("WScript.Shell") sRegKey = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" ' suppress error in case values does not exist On Error Resume Next ' check for marker sRegMarkerValue = "" ' init value sRegMarkerValue = oShell.RegRead( sRegKey & "\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe") On Error Goto 0 ' to be sure update is installed only once, test on marker If sRegMarkerValue <> "yes" Then oShell.Run Chr(34) & sExePath & Chr(34) & " " & sSwitches, 1, True ' create marker oShell.RegWrite sRegKey & "\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe", "yes" End If Et la GPO associé pour le déploiement du script :
3. Filtre WMI
Attention, pour s’assurer que les GPO pour XP ne s’appliquent que sur les systèmes XP et que les GPO Windows 7 ne s’appliquent que sur les systèmes Windows 7, soit on sépare les systèmes en différents OUs, soit on applique des filtres WMI (la solution qu’on retiendra ici) :
a. Création des filtres WMI Pour la création du filtre WMI dans la GPMC pour Windows 7 & 2008, suivez cet exemple : Select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1"
Pour la création du filtre WMI pour Windows XP, suivez cet exemple : Select * from Win32_OperatingSystem where Version like "5.1%"
Pour la création de filtre WMI applicable aux systèmes clients : Select * from Win32_OperatingSystem where ProductType="1"
b. Appliquez vos filtres WMI aux GPO correspondantes Dans la GPMC appliquez le bon filtre WMI :
9. Configuration des serveurs de licences
1. Installation
Les serveurs de licences vont gérer les licences d’accès client aux services bureau à distance qui sont requises pour permettre la connexion de chaque utilisateur à un serveur RDS. Ce serveur de licences RDS est un service de rôle des services bureau à distance à ajouter.
Il est recommandé de ne pas choisir d’étendue dans Windows 2008 R2 :
Valider l’installation et redémarrer le serveur.
2. Configuration
Lancer la console « Gestionnaire de licences des services Bureau à distance »
Avec un clic droit sur le serveur, il faut choisir « Activer le serveur », et suivre l’assistant avec la connexion automatique. Remplir les champs d’information correspondant et valider
Ensuite, installer les licences clients supplémentaires en cliquant droit sur le nom du serveur
Suivre l’assistant pour ajouter le programme de licence adéquat.
Votre serveur de licences est maintenant installé.
10.
Configuration des sessions RDS
1. Création des répertoires pour les profiles RDS
Créez un répertoire PROFILS_RDS sur chaque serveur RDS à la racine du lecteur C, ou des profils itinérants au besoin, ou pas de profils du tout (dans mon cas j’avais besoin de la création de ce profil en local) Lui donner les autorisations suivantes : Partage : o Nom du partage : PROFILS_RDS$ o Autorisations : « tout le monde » en « contrôle total » Sécurité : o Rajoutez le groupe RDS_Group avec les droits « contrôle total » (chaque ouverture de session utilisateur créera un répertoire personnel avec les droits adéquats).
-
2. Création des GPO
Voici les principaux paramètres à définir pour la configuration des sessions RDS par GPO :
Configuration ordinateur (activée) Stratégies Paramètres Windows Paramètres de sécurité Stratégies locales/Attribution des droits utilisateur Stratégie Paramètre
Arrêter le système Groupes restreints
BUILTIN\Administrateurs, DOMAINE\Domain Admins
Grouper
Membres
Membre de
BUILTIN\Utilisateurs du Bureau à distance Modèles d’administration
DOMAINE\RDS_Group
Définitions de stratégies (fichiers ADMX) récupérées à partir de l’ordinateur local. Composants Windows/Internet Explorer
Stratégie
Paramètre
Commentaire
Empêcher le fonctionnement des paramètres de personnalisation à la première exécution Sélectionner votre choix
Activé
Aller directement à la page d’accueil
Composants Windows/Services Bureau à distance/Hôte de la session Bureau à distance/Délais d'expiration des sessions
Stratégie
Paramètre
Commentaire
Définir la limite de temps pour la fermeture de sessions RemoteApp
Activé
Délai de fermeture de session RemoteApp :
8 heures
Stratégie
Paramètre
Commentaire
Définir le délai d’expiration des sessions de services Bureau à distance actives Limite de session active :
Activé
1 jour
Stratégie
Paramètre
Commentaire
Définir le délai d’expiration des sessions de services Bureau à distance ouvertes mais inactives Limite de session inactive :
Activé
8 heures
Stratégie
Paramètre
Commentaire
Définir le délai d’expiration des sessions déconnectées Fin d’une session déconnectée
Activé
8 heures
Stratégie
Paramètre
Commentaire
Mettre fin à la session quand les délais
Activé
d’expiration ont été atteints Composants Windows/Services Bureau à distance/Hôte de la session Bureau à distance/Environnement de session à distance
Stratégie
Paramètre
Commentaire
Définir l’algorithme de compression pour les données RDP Algorithme de compression RDP :
Activé
Optimisé pour utiliser moins de bande passante réseau
Composants Windows/Services Bureau à distance/Hôte de la session Bureau à distance/Profils
Stratégie
Paramètre
Commentaire
Définir le chemin d’accès au profil utilisateur itinérant des services Bureau à distance Chemin du profil
Activé
\\localhost\profilsrds$
Spécifier le chemin d’accès sous la forme \\nom_ordinateur\nom_partage
Stratégie
Paramètre
Commentaire
Utiliser les profils obligatoires sur le serveur Hôte de la session Bureau à distance
Désactivé
Composants Windows/Services Bureau à distance/Hôte de la session Bureau à distance/Redirection de périphérique et de ressource Stratégie Paramètre Commentaire
Ne pas autoriser la redirection de lecteur Ne pas autoriser la redirection du Pressepapiers Configuration utilisateur (activée) Stratégies Paramètres Windows Maintenance de Internet Explorer
Désactivé Désactivé
Interface utilisateur du navigateur/Barre d’outils personnalisée
Texte de la barre de titre
Fnacdirect Connexion/Configuration automatique du navigateur
Stratégie
Paramètre
Détecter automatiquement les paramètres de configuration Configuration automatique du navigateur Intervalle URL de configuration automatique (fichier .INS) URL de proxy automatique (fichier .JS, .JVS ou .PAC) Adresses URL/Adresses URL importantes
Désactivé Activé Non configuré
http://pac.domaine.com/pac
Nom URL de la page d’accueil URL du volet de recherche URL de la page de support en ligne Modèles d’administration
Adresse URL http://www.domaine.com Non configuré Non configuré
Définitions de stratégies (fichiers ADMX) récupérées à partir de l’ordinateur local. Composants Windows/Internet Explorer
Stratégie
Paramètre
Commentaire
Désactiver l’Assistant Connexion Internet Désactiver la gestion des fenêtres publicitaires Désactiver la gestion du niveau de filtrage des fenêtres publicitaires Désactiver la modification des paramètres de la configuration automatique
Activé Activé
Activé
Activé
Désactiver la modification des paramètres de proxy Empêcher le fonctionnement des paramètres de personnalisation à la première exécution Sélectionner votre choix Menu Démarrer et barre des tâches
Activé
Activé
Aller directement à la page d’accueil
Stratégie
Paramètre
Commentaire
Ajouter l'option Fermeture de session au menu Démarrer Effacer l'historique des documents récemment ouverts en quittant Forcer le menu Démarrer classique Supprimer et empêcher l’accès aux commandes Arrêter, Redémarrer, Mettre en veille et Mettre en veille prolongée Panneau de configuration
Activé
Activé
Activé Activé
Stratégie
Paramètre
Commentaire
Toujours afficher tous les éléments du Panneau de configuration lors de son ouverture Système
Activé
Stratégie
Paramètre
Commentaire
Ne pas afficher l’écran de bienvenue Mise en route à l’ouverture de session
Activé
3. Changement de l’interface utilisateur
Nous allons modifier l’explorateur Windows des sessions RDS (car malgré le fonctionnement en RemoteApp, l’explorateur Windows 2008 R2 de la session s’affichera lors de l’utilisation des boutons « Parcourir » ou « Importer » sur certaines applications) pour offrir une interface plus simple aux utilisateurs. Désactivation des « Bibliothèques » et des « Favoris », ils ne sont d’aucunes utilités et peuvent induire l’utilisateur en erreur
On utilisera l’utilitaire « Windows Explorer Navigation Pane Configuration » disponible ici : http://www.s-inn.de/blog/post/remove-Libraries-Favorites-in-windows-explorer-navigation-pane.aspx Ensuite dans une invite de commande (en mode privilèges élevés) tapez les commandes suivantes :
wenpcfg /hidelibraries wenpcfg /hidefavorites Redémarrer ensuite la machine pour appliquer la modification à tous les utilisateurs.
-
Masquer le lecteur local C:\ qui est inutile pour les utilisateurs
Ouvrez une MMC pour modifier les paramètres locaux de l’ordinateur et changez ceci : Paramètres « Utilisateur » :
11.
Divers
1. Création de tâches planifiées
L’utilisation de serveur RDS par de multiples utilisateurs implique de fréquent redémarrage des machines (fichiers temporaires, cookies, sessions en cache, etc des différents utilisateurs) Choisissez donc de créer une tâche planifiée pour redémarrer les serveurs une fois par semaine, le dimanche, la nuit à 1h du matin.
2. Compression RDP
Le RemoteApp fonctionne parfaitement en LAN, mais en WAN il se peut, en fonction des débits, que des ralentissements notables surviennent. Dans ce cas il est possible de modifier la configuration pour diminuer le besoin en bande passante :
-
Paramètres RDP : Dans « Expérience utilisateurs », changer les paramètres d’affichage.
-
Il est aussi possible de changer d’autres paramètres RDP qui n’est pas affichés dans la console, voici un lien pour la liste des paramètres RDP personnalisés : http://go.microsoft.com/fwlin k/?LinkId=139899 Voici ce que nous retiendrons dans notre configuration :
3. Défragmentation
Il est préférable vu le nombre d’utilisateurs, de planifier une défragmentation hebdomadaire des disques :
4. Utilisation d’Easy Print
Depuis Windows 2008, Microsoft introduit un nouveau driver, qui permet un paramétrage plus fin des GPO et une redirection immédiate des imprimantes : le driver Easy print Ce pilote permet à l’utilisateur d’imprimer sur son imprimante en passant le processus d’installation du pilote sur le serveur RDS, cela résout aussi de nombreux problèmes de redirection d’imprimantes. 2 considérations : Avoir déployé le client RDC 7 sur les postes clients Avoir déployé le framework 3.0 SP1 au minimum sur les postes clients Avoir au moins Windows XP SP3
L’installation du serveur Windows 2008 R2 avec les services Remote Desktop va permettre aux utilisateurs de lancer des applications en RemoteApp. Les programmes RemoteApp sont des programmes qui sont accédés et exécutés à distance sur des serveurs RDS mais qui apparaissent comme exécutés localement. Au lieu d’ouvrir une session et un bureau sur le serveur RDS distant, les programmes s’affichent directement sur le bureau du poste local, avec la possibilité de modifier la taille de la fenêtre. Ces programmes RemoteApp s’exécutent parallèlement aux autres programmes installés sur le poste. Lorsque vous lancez plusieurs programmes RemoteApp, ils partagent une même session RDC. Il existe plusieurs façons d’utiliser RemoteApp : Par RDS WebAccess permet d’exécuter des programmes RemoteApp depuis une page web (donc depuis n’importe quel PC/Browser en théorie) et de publier/mettre à jour automatiquement les nouveaux programmes RemoteApp dans le menu démarrer (seulement sous Windows 7) Par RDS Session Host avec des fichiers .RDP distribués par l’admin. Par RDS Session Host avec des fichiers .MSI distribués par l’admin.
-
Cet article est en fait un exemple, c’est une mise en place que j’ai du effectuer chez un client. Cela votre cas il y aura donc certaines modification à faire. Nous aurons 2 serveurs RDS derrière un load-balancer, un parc composé de poste en Windows XP et Windows 7.
Sommaire
1. 2. 3. 4. 1. 2. 5. 6. 1. 2. Pré requis...................................................................................................................................................................2 Installation du Serveur Remote Desktop Service Session Host .................................................................................3 Installation du rôle « Remote Desktop Web Access » ..............................................................................................6 Configuration du Remote Desktop Session Host RDSH.............................................................................................8 Installation du certificat ........................................................................................................................................8 Configuration du paramètre de connexion pour les PC Clients. ...........................................................................9 Configuration des logiciels en RemoteApp sur le serveur RDS ...............................................................................12 Déploiement des RemoteApp aux postes clients ....................................................................................................14 Création de fichier MSI ........................................................................................................................................14 Création de fichier RDP .......................................................................................................................................16
3. 7. 8. 1. 2. 3. 9. 1. 2. 10. 1. 2. 3. 11. 1. 2. 3. 4.
RD Web Access ....................................................................................................................................................16 Déploiement des Applications RemoteApp MSI par GPO .......................................................................................20 Configuration du SSO ..............................................................................................................................................22 Pour les postes en Windows 7 ............................................................................................................................22 Pour les postes en Windows XP SP3....................................................................................................................23 Filtre WMI ............................................................................................................................................................28 Configuration des serveurs de licences ...................................................................................................................31 Installation ...........................................................................................................................................................31 Configuration .......................................................................................................................................................33 Configuration des sessions RDS...........................................................................................................................35 Création des répertoires pour les profiles RDS ...................................................................................................35 Création des GPO ................................................................................................................................................35 Changement de l’interface utilisateur.................................................................................................................40 Divers ...................................................................................................................................................................43 Création de tâches planifiées ..............................................................................................................................43 Compression RDP ................................................................................................................................................44 Defragmentation .................................................................................................... Error! Bookmark not defined. Utilisation d’Easy Print ........................................................................................................................................47
1. Pré requis
Cette installation nécessite un domaine Active Directory, ici DOMAINE.COM et la création de groupes d’utilisateurs dans l’AD pour les droits d’accès aux serveurs RDS. Les pare-feu Windows sont tous désactivés dans notre installation. Les paramètres de sécurité renforcée d’Internet Explorer sont désactivés. Le pack de langue EN-US est installé : http://www.microsoft.com/downloads/en/details.aspx?FamilyID=03831393-eef7-48a5-a69f0ce72b883df2&displaylang=en Le serveur est à jour et en SP1
2. Installation du Serveur Remote Desktop Service Session Host
Le serveur doit être joint au domaine, il est préférable d’installer le serveur Session Host avant les applications à déployer dans un souci de compatibilité. Pour installer et configurer le Remote Desktop Session Host il faut installer le rôle RD Session Host Service par le Server Manager. Ouvrir le Server Manager et ajouter un rôle en sélectionnant “Services Bureau à distance”, puis dans les services de rôle sélectionner « Hôte de session Bureau à distance ».
-
Dans “Désinstaller et réinstaller des applications pour des raisons de compatibilité” cliquer sur “suivant”. Lors du choix de la méthode d’authentification, choisir “Ne nécessite pas l’authentification au niveau réseau”
Note : Ceci pour la compatibilité antérieure à Windows XP SP3 (CredSSP). Sur la page du mode de licence, choisir de configurer plus tard
-
Sur la page de configuration de l’expérience client, ne rien cocher.
-
Dans la sélection des utilisateurs autorisés à accéder au serveur RDS, cliquez sur « Suivant », nous le configurerons plus tard aussi.
-
Confirmer l’installation et rebooter. Note : Dans notre cas, ceci est à faire sur les 2 serveurs RDS
3. Installation du rôle « Remote Desktop Web Access »
Nous allons ajouter aussi le service de rôle « Remote Desktop Web Access » pour offrir (lors d’un besoin futur) l’accès des applications via le web et pour les clients Windows 7 la mise à jour automatique des publications des applications RemoteApp (mais aussi parce que certaines fonctionnalités nécessaires seront installées pendant cette étape.) Cliquer droit sur « Services Bureau à distance » dans le Gestionnaire de Serveur puis « Ajouter des services de rôles »
-
Choisir « Accès bureau à distance par le web » et installer les rôles et fonctionnalités associées puis laisser les options par défaut.
Vous avez maintenant installé les outils nécessaires au fonctionnement de RDS pour du RemoteApp. Vérifiez le bon fonctionnement des services, ou lancez une connexion RDC depuis un poste client.
4. Configuration du Remote Desktop Session Host RDSH
1. Installation du certificat
L’installation d’un certificat sur le serveur RDSH va permettre de signer les fichiers RDP et ainsi s’affranchir de l’avertissement de connexion lors du lancement d’une session à distance (Bureau ou RemoteApp). J’ai dans mon cas utilisé un certificat public signé par Vérisign. Attention, il vous faut utiliser un certificat avec la paire de clés publique/privée pour signé le package. Importez le certificat à partir d’une MMC et placez le dans le conteneur « Personnel » de l’ordinateur :
2. Configuration du paramètre de connexion pour les PC Clients.
Les PC clients se connectent non pas directement au serveur RDS mais par l’intermédiaire d’un loadbalancer NetApp accessible à cette adresse : apps.domaine.com Il faut donc que le nom de connexion soit celui-ci, et que les packages MSI/fichiers RDP déployés se tourne vers ce chemin. Ouvrir le « Gestionnaire RemoteApp »
Accéder à la console « Gestionnaire RemoteApp » depuis « Démarrer », « Outils d’Administration », « Services de bureau à distance ».
Puis dans le volet « Actions » à droite sur « RD Session Host Server Settings » et changer le nom de connexion par « apps.domaine.com»
-
Ajouter les utilisateurs/Groupes autorisés à se connecter aux serveurs RDS : « RDS_Group »
Il vous faut faire l’ajout dans le groupe local « Utilisateurs du Bureau à distance » de la machine :
5. Configuration des logiciels en RemoteApp sur le serveur RDS
Une fois que les applications à déployer par RemoteApp sont installées, et rappelons qu’il est vivement recommandé d’installer les applications après l’installation des services et rôles RDS, vous pouvez les ajouter dans le Gestionnaire RemoteApp. Accédez à la console « Gestionnaire RemoteApp » de la même façon que précédemment. Puis dans le volet « Actions » à droite, choisissez « Ajouter des programmes RemoteApp». L’assistant se lance et vous demande quel programme choisir, sélectionnez simplement le programme à déployer.
Dans le cas de nos logiciels, pensez à changer les noms par défauts, icônes etc, si besoin.
Vos applications sont maintenant disponibles en RemoteApp.
6. Déploiement des RemoteApp aux postes clients
Il existe plusieurs façons d’offrir le déploiement des RemoteApp aux postes clients : en distribuant des fichiers RDP, en distribuant des fichiers MSI, par RD Web Access. Dans notre cas présent, nous distribuerons nos applis avec des fichiers.MSI via les GPO.
1. Création de fichier MSI
La création de fichier MSI permet d’encapsuler des RDP dans des MSI pour faciliter le déploiement/l’assignation/la publication par GPO. Cette opération se fait toujours dans la console Gestionnaire RemoteApp.
Sélectionnez le programme RemoteApp et cliquez sur « Créer le package Windows Installer », suivez ensuite l’assistant en vérifiant le nom de connexion et en signant numériquement le package avec le certificat précédemment créé (notre certificat public) ou en changeant directement les paramètres des signatures numériques.
Dans la fenêtre suivante, pour la configuration de distribution du package, penser à changer le menu de démarrage des applications dans un souci d’homogénéité (par défaut : « Applications distantes »), et cocher la publication d’une icône sur le bureau et dans le dossier « Menu Démarrer » Note : Vérifiez l’utilisation du certificat précédemment importé pour la signature du RDP.
Les packages sont créés et placés dans le répertoire : C:\Program Files\Packaged Programs
2. Création de fichier RDP
Le principe et l’assistant est identique à l’étape précédente, et les fichiers créés se placent au même endroit.
3. RD Web Access
Le RD Web Access est disponible dès que vous installez le service de rôle « Remote desktop Web Access », vous pouvez en vérifier le bon fonctionnement en lançant la page web de configuration :
« Démarrer », « Outils d’Administrations », « Service Bureau à distance », “Configuration de l’accès web des services de bureau à distance” Si un avertissement concernant le certificat apparait, ignorez le, et connectez-vous avec vos identifiants.
Note : Si vous obtenez un message d’erreur au chargement de la page, c’est que vous avez supprimé le certificat auto-signé créé lors de l’installation du rôle. Pour aller lier le nouveau certificat au site web procédez comme ceci :
Dans IIS, site web par défaut :
Note : Pensez aussi à autoriser l’accès Remote Web aux users/Groupe d’users (comme pour le serveur SH) sauf que le groupe conteneur est « Ordinateurs Accès Web TS) (Sur les 2 serveurs) La page web de configuration présente 3 onglets : Configuration : vous choisissez la source à utiliser, normalement « localhost » (puisque les applis sont installés sur cette même machine) Remote Desktop : pour lancer une RDC depuis la page web RemoteApp Programs : pour lancer les programmes autorisé en RD Web Access.
Attention pour que les applications soit disponibles en Web Access, il faut les autoriser dans la console RemoteApp Manager.
Nous n’utiliserons pas cette solution, mais l’avantage de celle-ci est qu’il est possible depuis un poste Windows 7 de créer une connexion direct avec ce serveur web pour afficher (donc mettre à jour) directement les applications nouvellement publiées. Depuis le bouton « Démarrer » sur un poste Windows 7 les applications RemoteApp Web Access sont affichées comme si elles étaient installées localement. Si vous mettez à jour les applications ou rajoutez des applications, elles apparaissent directement dans le menu « Démarrer ». Pour plus d’info sur cette configuration, je vous invite à lire ceci : http://technet.microsoft.com/enus/library/dd772639%28WS.10%29.aspx
7. Déploiement des Applications RemoteApp MSI par GPO
Une fois les fichiers MSI des RemoteApp créés, il faut créer une simple GPO pour les déployer sur les postes clients.
Toutefois, dans les propriétés du package, pensez à valider les options suivantes : Installer l’application lors de l’ouverture de session Ignorer la langue lors du déploiement du package
Lors du déploiement des MSI aux utilisateurs, pensez aussi à faire du filtrage sur les groupes d’appartenance pour faciliter le déploiement seulement aux utilisateurs voulus.
8. Configuration du SSO
Pour éviter une nouvelle demande d’identification lors du lancement d’une RemoteApp, il est nécessaire de mettre en place le mécanisme SSO.
1. Pour les postes en Windows 7
Pour les postes en Windows 7, la configuration du SSO se fait par GPO, Dans la GPMC, créez une GPO qui s’appliquera aux clients Windows 7 avec les paramètres suivants : Configuration Ordinateur \ Modèle d’administration \ Système \ délégation des informations d'identification\ Autorisé la délégation d’identité par défaut = Activé - liste des serveurs = TERMSRV/* Autorisé la délégation d’identité par défaut avec NTLM uniquement = Activé - liste des serveurs = TERMSRV/* Autorisé la délégation des nouvelles informations d’identification = Activé - liste des serveurs = TERMSRV/* Autorisé la délégation des nouvelles informations d’identification avec NTLM = Activé - liste des serveurs = TERMSRV/* Autorisé la délégation d’informations d’identification enregistrées = Activé - liste des serveurs = TERMSRV/* Autorisé la délégation d’informations d’identification enregistrées avec NTLM = Activé - liste des serveurs = TERMSRV/*
2. Pour les postes en Windows XP SP3
Pour les postes en Windows XP SP3, la configuration du SSO passe par plusieurs étapes. a. Il faut activer le CredSSP
Pour CredSSP est un nouveau Security Support Provider (SSP) qui est disponible dans Windows XP SP3 permettant à un programme à utiliser côté client SSP de déléguer les informations d'identification utilisateur de l'ordinateur client vers le serveur cible. Le Hotfix se télécharge ici : http://support.microsoft.com/kb/951608/en-us?fr=1 Note : Il est utilisable sur toutes les versions linguistiques de Windows XP SP3. Ou alors modifier manuellement le registre comme ceci, c’est la solution qu’on retiendra car plus simple à déployer : [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\ 00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\ 6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\ 00,73,00,70,00,6b,00,67,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll"
b. Créer les clés de registres correspondantes. Ces clés de registres correspondent aux paramètres de GPO présents pour Windows 7 : [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation] "AllowDefaultCredentials"=dword:00000001 "ConcatenateDefaults_AllowDefault"=dword:00000001 "AllowDefCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001 "AllowFreshCredentials"=dword:00000001 "ConcatenateDefaults_AllowFresh"=dword:00000001 "AllowFreshCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowFreshNTLMOnly"=dword:00000001 "AllowSavedCredentials"=dword:00000001 "ConcatenateDefaults_AllowSaved"=dword:00000001 "AllowSavedCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultC redentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCred entialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentials]
"1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentialsWhenNTLMOnly] "1"="TERMSRV/*"
Il faut donc créer un fichier .REG à déployer par GPO sur les postes Windows XP SP3 (nécessite un redémarrage du poste) : (Disponible sur le partage réseau avec les MSI) Windows Registry Editor Version 5.00 ;------------------------------------------------------------;Ajout des clés de registre pour CredSSP sous Win XP SP3 ;------------------------------------------------------------;------------------------------------------------------------;Pour activation du CredSSP ;------------------------------------------------------------[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa] "Security Packages"=hex(7):6b,00,65,00,72,00,62,00,65,00,72,00,6f,00,73,00,00,\ 00,6d,00,73,00,76,00,31,00,5f,00,30,00,00,00,73,00,63,00,68,00,61,00,6e,00,\ 6e,00,65,00,6c,00,00,00,77,00,64,00,69,00,67,00,65,00,73,00,74,00,00,00,74,\ 00,73,00,70,00,6b,00,67,00,00,00,00,00 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SecurityProviders] "SecurityProviders"="msapsspc.dll, schannel.dll, digest.dll, msnsspc.dll, credssp.dll" ;------------------------------------------------------------;Pour autorisation de la délégation d'identité aux serveur RDS ;------------------------------------------------------------[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation] "AllowDefaultCredentials"=dword:00000001 "ConcatenateDefaults_AllowDefault"=dword:00000001 "AllowDefCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowDefNTLMOnly"=dword:00000001 "AllowFreshCredentials"=dword:00000001 "ConcatenateDefaults_AllowFresh"=dword:00000001 "AllowFreshCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowFreshNTLMOnly"=dword:00000001 "AllowSavedCredentials"=dword:00000001
"ConcatenateDefaults_AllowSaved"=dword:00000001 "AllowSavedCredentialsWhenNTLMOnly"=dword:00000001 "ConcatenateDefaults_AllowSavedNTLMOnly"=dword:00000001 [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefaultC redentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowDefCred entialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowFreshCre dentialsWhenNTLMOnly] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentials] "1"="TERMSRV/*" [HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\CredentialsDelegation\AllowSavedCr edentialsWhenNTLMOnly] "1"="TERMSRV/*"
c. Installer la dernière version du client RDC La dernière version du client RDC est nécessaire pour l’utilisation du SSO : c’est la version RDC 7. (6.1.7600.16385) Pour connaitre la version du client RDC sur un poste rendez-vous sur c:\Windows\System32 et vérifiez les propriétés de MSTSC.EXE
La façon la plus simple de déployer ce package est par WSUS, importer le KB969084 dans votre serveur de mises à jour et approuvez le (OK pour le serveur WSUS FNAC). Si vous voulez le récupérer manuellement, rendez-vous ici : http://www.microsoft.com/downloads/frfr/details.aspx?FamilyID=72158b4e-b527-45e4-af24-d02938a95683
Note : Si ce package n’est pas installé, une fenêtre vous demandera une seconde authentification car la première échouera. d. Installer le patch KB953760 Maintenant le SSO est activé et fonctionnel sur les postes Windows XP. Toutefois, lors de l’utilisation d’une ferme de serveurs RDS (donc d’un connexion broker) ou lors de l’utilisation d’un load-balancer entre les clients et les serveurs (notre cas ici), la délégation ne s’effectue pas jusqu’au point final. Note : Si ce patch n’est pas installé : une fenêtre RemoteApp apparait avec en fond l’écran de logon du serveur RDS. Ce bug est résolu grâce à l’installation du patch KB953760 disponible sur le répertoire de distribution des MSI ou ici sur internet : http://thehotfixshare.net/board/index.php?showtopic=10916
Il n’est pas possible de déployer ce Hotfix autrement que par script ou par un local update publisher (plus d’infos ici : http://www.localupdatepublisher.com le WSUS ne gérant pas les Hotfix) On choisira par souci de simplicité un script tel que celui-là : sExePath = "\\svrfile\deploi_appli_AD\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe" sSwitches = "/u /q /z" Set oShell = CreateObject("WScript.Shell") sRegKey = "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\WindowsUpdate" ' suppress error in case values does not exist On Error Resume Next ' check for marker sRegMarkerValue = "" ' init value sRegMarkerValue = oShell.RegRead( sRegKey & "\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe") On Error Goto 0 ' to be sure update is installed only once, test on marker If sRegMarkerValue <> "yes" Then oShell.Run Chr(34) & sExePath & Chr(34) & " " & sSwitches, 1, True ' create marker oShell.RegWrite sRegKey & "\WindowsXP-KB953760-x86-FRA_FIX_SSO_FARM.exe", "yes" End If Et la GPO associé pour le déploiement du script :
3. Filtre WMI
Attention, pour s’assurer que les GPO pour XP ne s’appliquent que sur les systèmes XP et que les GPO Windows 7 ne s’appliquent que sur les systèmes Windows 7, soit on sépare les systèmes en différents OUs, soit on applique des filtres WMI (la solution qu’on retiendra ici) :
a. Création des filtres WMI Pour la création du filtre WMI dans la GPMC pour Windows 7 & 2008, suivez cet exemple : Select * from Win32_OperatingSystem where Version like "6.%" and ProductType = "1"
Pour la création du filtre WMI pour Windows XP, suivez cet exemple : Select * from Win32_OperatingSystem where Version like "5.1%"
Pour la création de filtre WMI applicable aux systèmes clients : Select * from Win32_OperatingSystem where ProductType="1"
b. Appliquez vos filtres WMI aux GPO correspondantes Dans la GPMC appliquez le bon filtre WMI :
9. Configuration des serveurs de licences
1. Installation
Les serveurs de licences vont gérer les licences d’accès client aux services bureau à distance qui sont requises pour permettre la connexion de chaque utilisateur à un serveur RDS. Ce serveur de licences RDS est un service de rôle des services bureau à distance à ajouter.
Il est recommandé de ne pas choisir d’étendue dans Windows 2008 R2 :
Valider l’installation et redémarrer le serveur.
2. Configuration
Lancer la console « Gestionnaire de licences des services Bureau à distance »
Avec un clic droit sur le serveur, il faut choisir « Activer le serveur », et suivre l’assistant avec la connexion automatique. Remplir les champs d’information correspondant et valider
Ensuite, installer les licences clients supplémentaires en cliquant droit sur le nom du serveur
Suivre l’assistant pour ajouter le programme de licence adéquat.
Votre serveur de licences est maintenant installé.
10.
Configuration des sessions RDS
1. Création des répertoires pour les profiles RDS
Créez un répertoire PROFILS_RDS sur chaque serveur RDS à la racine du lecteur C, ou des profils itinérants au besoin, ou pas de profils du tout (dans mon cas j’avais besoin de la création de ce profil en local) Lui donner les autorisations suivantes : Partage : o Nom du partage : PROFILS_RDS$ o Autorisations : « tout le monde » en « contrôle total » Sécurité : o Rajoutez le groupe RDS_Group avec les droits « contrôle total » (chaque ouverture de session utilisateur créera un répertoire personnel avec les droits adéquats).
-
2. Création des GPO
Voici les principaux paramètres à définir pour la configuration des sessions RDS par GPO :
Configuration ordinateur (activée) Stratégies Paramètres Windows Paramètres de sécurité Stratégies locales/Attribution des droits utilisateur Stratégie Paramètre
Arrêter le système Groupes restreints
BUILTIN\Administrateurs, DOMAINE\Domain Admins
Grouper
Membres
Membre de
BUILTIN\Utilisateurs du Bureau à distance Modèles d’administration
DOMAINE\RDS_Group
Définitions de stratégies (fichiers ADMX) récupérées à partir de l’ordinateur local. Composants Windows/Internet Explorer
Stratégie
Paramètre
Commentaire
Empêcher le fonctionnement des paramètres de personnalisation à la première exécution Sélectionner votre choix
Activé
Aller directement à la page d’accueil
Composants Windows/Services Bureau à distance/Hôte de la session Bureau à distance/Délais d'expiration des sessions
Stratégie
Paramètre
Commentaire
Définir la limite de temps pour la fermeture de sessions RemoteApp
Activé
Délai de fermeture de session RemoteApp :
8 heures
Stratégie
Paramètre
Commentaire
Définir le délai d’expiration des sessions de services Bureau à distance actives Limite de session active :
Activé
1 jour
Stratégie
Paramètre
Commentaire
Définir le délai d’expiration des sessions de services Bureau à distance ouvertes mais inactives Limite de session inactive :
Activé
8 heures
Stratégie
Paramètre
Commentaire
Définir le délai d’expiration des sessions déconnectées Fin d’une session déconnectée
Activé
8 heures
Stratégie
Paramètre
Commentaire
Mettre fin à la session quand les délais
Activé
d’expiration ont été atteints Composants Windows/Services Bureau à distance/Hôte de la session Bureau à distance/Environnement de session à distance
Stratégie
Paramètre
Commentaire
Définir l’algorithme de compression pour les données RDP Algorithme de compression RDP :
Activé
Optimisé pour utiliser moins de bande passante réseau
Composants Windows/Services Bureau à distance/Hôte de la session Bureau à distance/Profils
Stratégie
Paramètre
Commentaire
Définir le chemin d’accès au profil utilisateur itinérant des services Bureau à distance Chemin du profil
Activé
\\localhost\profilsrds$
Spécifier le chemin d’accès sous la forme \\nom_ordinateur\nom_partage
Stratégie
Paramètre
Commentaire
Utiliser les profils obligatoires sur le serveur Hôte de la session Bureau à distance
Désactivé
Composants Windows/Services Bureau à distance/Hôte de la session Bureau à distance/Redirection de périphérique et de ressource Stratégie Paramètre Commentaire
Ne pas autoriser la redirection de lecteur Ne pas autoriser la redirection du Pressepapiers Configuration utilisateur (activée) Stratégies Paramètres Windows Maintenance de Internet Explorer
Désactivé Désactivé
Interface utilisateur du navigateur/Barre d’outils personnalisée
Texte de la barre de titre
Fnacdirect Connexion/Configuration automatique du navigateur
Stratégie
Paramètre
Détecter automatiquement les paramètres de configuration Configuration automatique du navigateur Intervalle URL de configuration automatique (fichier .INS) URL de proxy automatique (fichier .JS, .JVS ou .PAC) Adresses URL/Adresses URL importantes
Désactivé Activé Non configuré
http://pac.domaine.com/pac
Nom URL de la page d’accueil URL du volet de recherche URL de la page de support en ligne Modèles d’administration
Adresse URL http://www.domaine.com Non configuré Non configuré
Définitions de stratégies (fichiers ADMX) récupérées à partir de l’ordinateur local. Composants Windows/Internet Explorer
Stratégie
Paramètre
Commentaire
Désactiver l’Assistant Connexion Internet Désactiver la gestion des fenêtres publicitaires Désactiver la gestion du niveau de filtrage des fenêtres publicitaires Désactiver la modification des paramètres de la configuration automatique
Activé Activé
Activé
Activé
Désactiver la modification des paramètres de proxy Empêcher le fonctionnement des paramètres de personnalisation à la première exécution Sélectionner votre choix Menu Démarrer et barre des tâches
Activé
Activé
Aller directement à la page d’accueil
Stratégie
Paramètre
Commentaire
Ajouter l'option Fermeture de session au menu Démarrer Effacer l'historique des documents récemment ouverts en quittant Forcer le menu Démarrer classique Supprimer et empêcher l’accès aux commandes Arrêter, Redémarrer, Mettre en veille et Mettre en veille prolongée Panneau de configuration
Activé
Activé
Activé Activé
Stratégie
Paramètre
Commentaire
Toujours afficher tous les éléments du Panneau de configuration lors de son ouverture Système
Activé
Stratégie
Paramètre
Commentaire
Ne pas afficher l’écran de bienvenue Mise en route à l’ouverture de session
Activé
3. Changement de l’interface utilisateur
Nous allons modifier l’explorateur Windows des sessions RDS (car malgré le fonctionnement en RemoteApp, l’explorateur Windows 2008 R2 de la session s’affichera lors de l’utilisation des boutons « Parcourir » ou « Importer » sur certaines applications) pour offrir une interface plus simple aux utilisateurs. Désactivation des « Bibliothèques » et des « Favoris », ils ne sont d’aucunes utilités et peuvent induire l’utilisateur en erreur
On utilisera l’utilitaire « Windows Explorer Navigation Pane Configuration » disponible ici : http://www.s-inn.de/blog/post/remove-Libraries-Favorites-in-windows-explorer-navigation-pane.aspx Ensuite dans une invite de commande (en mode privilèges élevés) tapez les commandes suivantes :
wenpcfg /hidelibraries wenpcfg /hidefavorites Redémarrer ensuite la machine pour appliquer la modification à tous les utilisateurs.
-
Masquer le lecteur local C:\ qui est inutile pour les utilisateurs
Ouvrez une MMC pour modifier les paramètres locaux de l’ordinateur et changez ceci : Paramètres « Utilisateur » :
11.
Divers
1. Création de tâches planifiées
L’utilisation de serveur RDS par de multiples utilisateurs implique de fréquent redémarrage des machines (fichiers temporaires, cookies, sessions en cache, etc des différents utilisateurs) Choisissez donc de créer une tâche planifiée pour redémarrer les serveurs une fois par semaine, le dimanche, la nuit à 1h du matin.
2. Compression RDP
Le RemoteApp fonctionne parfaitement en LAN, mais en WAN il se peut, en fonction des débits, que des ralentissements notables surviennent. Dans ce cas il est possible de modifier la configuration pour diminuer le besoin en bande passante :
-
Paramètres RDP : Dans « Expérience utilisateurs », changer les paramètres d’affichage.
-
Il est aussi possible de changer d’autres paramètres RDP qui n’est pas affichés dans la console, voici un lien pour la liste des paramètres RDP personnalisés : http://go.microsoft.com/fwlin k/?LinkId=139899 Voici ce que nous retiendrons dans notre configuration :
3. Défragmentation
Il est préférable vu le nombre d’utilisateurs, de planifier une défragmentation hebdomadaire des disques :
4. Utilisation d’Easy Print
Depuis Windows 2008, Microsoft introduit un nouveau driver, qui permet un paramétrage plus fin des GPO et une redirection immédiate des imprimantes : le driver Easy print Ce pilote permet à l’utilisateur d’imprimer sur son imprimante en passant le processus d’installation du pilote sur le serveur RDS, cela résout aussi de nombreux problèmes de redirection d’imprimantes. 2 considérations : Avoir déployé le client RDC 7 sur les postes clients Avoir déployé le framework 3.0 SP1 au minimum sur les postes clients Avoir au moins Windows XP SP3
