kb:uputstva:sistemska:remoteapps:instalacija_remoteapps_servisa

Differences

This shows you the differences between two versions of the page.

Link to this comparison view

Next revision		 Previous revision
kb:uputstva:sistemska:remoteapps:instalacija_remoteapps_servisa [2016/02/14 13:34] – created milanokb:uputstva:sistemska:remoteapps:instalacija_remoteapps_servisa [2016/02/14 15:01] (current) – [RD Gateway] milano
Line 15: Line 15:
 "PortNumber"= {RDP port za osluškivanje, podrazumevano 3389} "PortNumber"= {RDP port za osluškivanje, podrazumevano 3389}
 </code> </code>
 +
 ===== Podešavanje ===== ===== Podešavanje =====
  
Line 21: Line 22:
 Otvoriće se prozor **Configure the deployment** u kojem postoje maksimalno četiri podgrupe postavki (kada su svi serveri instalirani na datom računaru): Otvoriće se prozor **Configure the deployment** u kojem postoje maksimalno četiri podgrupe postavki (kada su svi serveri instalirani na datom računaru):
  
-    - RD Gateway, služi za odabir načina pristupa objavljenim aplikacijama. Mogućnosti su: uvek preko //gateway-a, // uvek direktno na RD Brokera (zahteva rutiranje na IP/port) ili //auto-detect//  što bi trebalo da odluči jedan od dva pristupa u zavisnosti od konfiguracije na klijentu. \\ Postavke utiču na parametar ''gatewayusagemethod:i:{0|1|2}''  RDP fajla koji će se dobiti za pokretanje aplikacije iz daljine.+    - **RD Gateway**, služi za odabir načina pristupa objavljenim aplikacijama. Mogućnosti su: uvek preko //gateway-a, //  uvek direktno na RD Brokera (zahteva rutiranje na IP/port) ili //auto-detect//   što bi trebalo da odluči jedan od dva pristupa u zavisnosti od konfiguracije na klijentu.  \\ Postavke samo utiču na parametar ''gatewayusagemethod:i:{0|1|2}''   RDP fajla koji će se dobiti za pokretanje aplikacije iz daljine. 
 +    - **RD Licensing**, služi za postavku načina licenciranja Terminal Servera (Per User/Per Device) kao i da ukaže na server gde su licence instalirane, odnosno postoji //role//**Remote Desktop Services > Remote Desktop Licensing**  (ova //uloga (role)//  se instalira kroz Role-based tip, za razliku od RD Brokera koji je Remote Desktop Services tip instalacije). 
 +    - **RD Web Access**, nema bitnu funkciju, tj. samo se vidi server(i) dodati kroz RD Web Access opciju na //Deployment//  stranici (+). 
 +    - **Certificates,**  ovde se svakom aktivnom (određenom) serveru u funkciji dodeljuje **pfx**  sertifikat (koji je zaštićen šifrom i za koji postoji privatni ključ). Sertifikat se može kupiti od CA tela ili napraviti //self-signed certificate//  što je objašnjeno u poglavlju [[:kb:web:remoteapps_self_signed_sertifikat|"Izrada self-signed sertifikata]]". \\  \\ **Sertifikat mora da ima Common Name (CN) jednak FQDN-u preko kog će se pristupati RD Brokeru odnosno RD Gatewayu**. \\ Primer imena:  CN=app.melany.rs \\  \\ Dodela se može vršiti samo na "jedan-po-jedan" principu, tj. nakon određivanja fajla izmena se mora potvrditi klikom na //Apply//  dugme pre dodeljvanja drugom serveru. 
 +====== RD Gateway ====== 
 + 
 +Najčešće RD Broker Server nije u javnom domenu već iza nekog NAT-a, odnosno u LAN-u, pa je njegov FQDN ime dostupno iz lokala, npr RAPSRV.RAZVOJ.LOCAL gde je RAPSRV ime računara, RAZVOJ ime domenta, a LOCAL znači da se ne radi u javnom domenu. 
 + 
 +U ovakvoj postavci, RDP fajl će sadržati sledeće zapise o računaru na kom se program izvršava: 
 + 
 +''full address:s:RAPSRV.RAZVOJ.LOCAL\\ 
 +alternate full address:s:RAPSRV.RAZVOJ.LOCAL'' 
 + 
 +Postoji skripta [[https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80/file/103829/2/Set-RDPublishedName.ps1|Set-RDPublishedName]] koja ovo može "nasilno" da promeni (u nešto dostupno spolja) ali se mora primeniti samo ako RD Brokeru trebaju pristupati RDP klijenti stariji od verzije **8.0**. Ova verzija je dostupna od Windows 7 SP1 pa nadalje, ali ne i za ranije Windowse, kao ni za većinu Linux RDP aplikacija (WinConn i slično, mada je FreeRDP projekat već ušao u beta testiranje ove funkcionalnosti). 
 +<code> 
 +Premer komande:  Set-RDPublishedName "remoteapps.melany.rs" 
 +</code> 
 +===== Sertifikat ===== 
 + 
 +RD Gateway radi isključivo u HTTPS (kriptovanom) režimu te je od velike važnosti instalirati odgovarajući SSL sertifikat koji je: 
 + 
 +    * preko Common Name vezan za javnu adresu (npr. CN=remoteapps.melany.rs) 
 +    * ima svojstva 
 +      * basicConstraints = CA:FALSE \\ keyUsage=critical, keyEncipherment, dataEncipherment \\ extendedKeyUsage=serverAuth \\ subjectKeyIdentifier=hash \\ authorityKeyIdentifier=keyid:always,issuer:always 
 + 
 +===== Aktivacija ===== 
 + 
 +Pri instalaciji ovog servera veoma je važno ispravno podesiti CAP i RAP Polise , tj. prava na povezivanje (CAP) i prava na pristup resursima (RAP). Uspešan pristup podrazumeva da logovani korisnik ima CAP pravo da se spoji na RD GW, ali je obavezno da se istom korisniku obezbedi pristup odgovarajućim mrežnim resursima kroz RAP postavke. 
 + 
 +RDP klijent verzije 8.0 ili više u stanju je da pri pokretanju prepozna RD GW postavke i umesto direktne RDP konekcije za pristup resursima iskoristi RD GW. To znači da sam resurs ne mora da bude dostupan spolja, ali mora biti dostupan iznutra RD GW serveru, i definisan u okviru RAP polise. 
 + 
 +RDP fajl sadrži parametar koji klijentu ukazuje na postojanje RD GW servera , a to je: 
 + 
 +''gatewayhostname:s:remoteapps.melany.rs''
  
  • kb/uputstva/sistemska/remoteapps/instalacija_remoteapps_servisa.1455456875.txt.gz
  • Last modified: 2016/02/14 13:34
  • by milano