Retour d’expérience sur l’utilisation des RemoteApps sur SBS2008
Ce document est basé sur l’article http://technet.microsoft.com/fr-fr/library/dd262136(WS.10).aspx
La version Premium de Small Business Server 2008 comporte de nouvelles fonctionnalités et apporte de nouveaux produits comme une licence supplémentaire de Windows Server 2008 pour un deuxième serveur ainsi qu’une licence de Microsoft SQL Server 2008 standard. Ce deuxième serveur peut assumer différents rôles dont celui de serveur Terminal Server (TS).
TS est différent de Remote Desktop sur le serveur SBS 2008. Le bureau distant est limité à deux connections concurrentes tandis que TS n’est limité que par le matériel et les licences.
Déployer les services RemoteApp Terminal Server Windows Server 2008
Vous pouvez utiliser les services Terminal Server pour donner accès aux programmes Windows à partir de presque n’importe quel endroit vers presque n’importe quel périphérique du réseau. Les services Terminal Server dans Windows Server 2008 comprennent les services Terminal Server Windows Server 2008 RemoteApp (TS RemoteApp).
Les programmes RemoteApp sont accessibles à distance par le biais des services Terminal Server et semblent se comporter comme s’ils étaient exécutés sur l’ordinateur local de l’utilisateur final. Au lieu d’être présenté à l’utilisateur sur le Bureau du serveur Terminal Server distant, le programme RemoteApp est intégré au Bureau du client, exécuté dans sa propre fenêtre redimensionnable, avec sa propre entrée sur la barre des tâches. Les utilisateurs peuvent exécuter côte à côte des programmes RemoteApp et leurs programmes locaux.
Dans Windows Server 2008, les utilisateurs peuvent accéder aux programmes RemoteApp de plusieurs façons, selon la méthode de déploiement que vous avez choisie. Les utilisateurs peuvent réaliser les opérations suivantes :
- accéder à un lien vers le programme sur un site Web à l’aide de l’Accès Web des services Terminal Server (l’Accès Web TS) ;
- double-cliquer sur un fichier .rdp (Remote Desktop Protocol) créé et distribué par l’administrateur ;
- sur leur bureau ou dans le menu Démarrer, double-cliquer sur l’icône d’un programme créé et distribué par l’administrateur avec un package Windows Installer (.msi) ;
- double-cliquer sur un fichier dont l’extension est associée à un programme RemoteApp. Cette association peut être configurée par l’administrateur avec un package Windows Installer.
Installer des programmes sur le serveur Terminal Server
Il est recommandé d’installer les programmes sur le serveur Terminal Server après avoir installé le service de rôle Terminal Server. Si vous installez un programme avec un package Windows Installer, le programme s’installe automatiquement en mode d’installation Terminal Server. Si vous installez à partir d’un autre type de package d’installation, utilisez l’une des méthodes suivantes pour placer le serveur en mode installation :
-
Utilisez l’option Installer l’application sur le serveur Terminal Server du panneau de configuration pour installer le programme.
- Avant d’installer un programme, à l’invite de commandes, tapez change user /install. Une fois le programme installé, tapez change user /execute pour quitter le mode Installation.
Ajouter des programmes à la liste des programmes RemoteApp
Pour ajouter des programmes à la liste des programmes RemoteApp
- Démarrez le Gestionnaire RemoteApp Terminal Server, en cliquant sur Démarrer, Outils administratifs, Terminal Services, puis Gestionnaire RemoteApp Terminal Server.
- Dans le volet Actions, cliquez sur Ajouter programmes RemoteApp.
- Sur la page Bienvenue dans l’Assistant RemoteApp, cliquez sur Suivant.
- Sur la page Choisir des programmes à ajouter à la liste des programmes RemoteApp, cochez la case située en regard de chaque programme que vous voulez ajouter à la liste des programmes RemoteApp. Vous pouvez sélectionner plusieurs programmes.
- Pour configurer les propriétés d’un programme RemoteApp, cliquez sur le nom du programme, puis cliquez sur Propriétés. Vous pouvez configurer les propriétés répertoriées dans le tableau qui suit cette procédure.
- Quand vous avez terminé de configurer les propriétés du programme, cliquez sur OK, puis sur Suivant.
-
Dans la page Revoir les paramètres, passez en revue les paramètres, puis cliquez sur Terminer. Les programmes que vous avez sélectionnés s’affichent dans la liste Programmes RemoteApp.
Propriétés des programmes RemoteApp
Configurer les paramètres de déploiement globaux
Vous pouvez configurer les paramètres de déploiement globaux qui s’appliquent à tous les programmes RemoteApp de la liste Programmes RemoteApp. Ces paramètres s’appliquent à tous les programmes RemoteApp que vous mettez à disposition via Accès Web TS. En outre, ces paramètres sont utilisés comme paramètres par défaut si vous créez des fichiers .rdp ou des packages Windows Installer à partir de l’un des programmes RemoteApp répertoriés.
Configurer les paramètres du serveur Terminal Server
Pour définir comment les utilisateurs se connectent au serveur Terminal Server (ou à la batterie de serveurs Terminal Server) pour accéder aux programmes RemoteApp, vous pouvez configurer les paramètres de déploiement du serveur Terminal Server.
Pour configurer les paramètres du serveur Terminal Server
- Ouvrez le Gestionnaire RemoteApp Terminal Server, puis effectuez l’une des actions suivantes :
Dans le volet Actions, cliquez sur Paramètres Terminal Server.
ou
Dans le volet Vue d’ensemble à côté de Paramètres du serveur Terminal Server, cliquez sur Modifier.
- Cliquez sur l’onglet Terminal Server puis, dans Paramètres de connexion, vérifiez ou modifiez le nom du serveur ou de la batterie de serveurs, le numéro de port RDP et les paramètres d’authentification serveur.
- Pour créer un lien vers une session complète du bureau d’un serveur Terminal Server via l’Accès Web TS, sous Accès au Bureau à distance, activez la case à cocher Afficher une connexion Bureau à distance avec ce serveur Terminal Server dans l’Accès Web TS.
-
Dans Accès aux programmes non répertoriés, choisissez l’une des options suivantes :
Ne pas autoriser les utilisateurs à démarrer les programmes non répertoriés sur la connexion initiale (Recommandé)
Pour contribuer à la protection contre les utilisateurs malveillants ou contre un utilisateur démarrant accidentellement un programme à partir d’un fichier .rdp sur la connexion initiale, il est recommandé de choisir ce paramètre.
ou
Autoriser les utilisateurs à démarrer les programmes répertoriés et non répertoriés sur la connexion initiale
- Une fois vos sélections terminées, cliquez sur OK.
Configurer les paramètres de la Passerelle Terminal Server
Pour définir si les utilisateurs peuvent se connecter au serveur Terminal Server à travers un pare-feu via la Passerelle Terminal Server (Passerelle TS), vous pouvez configurer les paramètres de déploiement de Passerelle TS. Pour plus d’informations sur la Passerelle TS, voir le « Guide pas à pas consacré à la Passerelle TS » sur le site Web de Microsoft (http://go.microsoft.com/fwlink/?LinkId=85872).
Pour configurer les paramètres de la Passerelle Terminal Server
- Ouvrez le Gestionnaire RemoteApp Terminal Server, puis effectuez l’une des actions suivantes :
Dans le volet Actions de , cliquez sur Paramètres de la passerelle TS.
ou
Dans le volet Vue d’ensemble, à côté de Paramètres de la passerelle TS, cliquez sur Modifier.
- Dans l’onglet Passerelle TS, configurez le comportement souhaité pour la Passerelle TS. Vous pouvez choisir de détecter automatiquement les paramètres du serveur de la Passerelle TS, d’utiliser les paramètres du serveur de la Passerelle TS que vous spécifiez ou de ne pas utiliser de serveur de la Passerelle TS.
- Dans l’environnement Windows SBS 2008, Windows SBS 2008 est déjà configuré comme serveur Passerelle TS pour activer les fonctions Remote Web Workplace de Windows SBS. Il peut aussi y avoir une Passerelle TS pour le serveur de Terminal Server supplémentaire. Choisissez Utiliser ces paramètres de serveur de passerelle TS.
- Configurez le nom du serveur de Passerelle TS et la méthode d’ouverture de session.
Le nom de serveur doit correspondre à celui spécifié dans le certificat SSL pour le serveur Passerelle TS.
- Pour trouver le certificat SSL de Windows Small Business Server 2008, sur le serveur qui exécute Windows SBS 2008, cliquez sur Démarrer, puis cliquez sur Outils administratifs.
- Cliquez sur Services Terminal Server, puis cliquez sur Gestionnaire Passerelle TS.
- Dans la fenêtre Contrôle de compte d’utilisateur, cliquez sur Continuer.
- Dans la fenêtre Gestionnaire Passerelle TS, dans la liste Gestionnaire Passerelle TS, cliquez avec la touche droite de la souris sur le nom du serveur, puis cliquez sur Propriétés.
- Dans la boîte de dialogue Propriétés du serveur TS Gateway, cliquez sur l’onglet Certificat SSL, puis écrivez le nom du serveur qui est dans Délivré à. Utilisez-le comme nom du serveur de Passerelle TS sur le serveur Terminal Server.
- Si vous souhaitez que la connexion tente d’utiliser les mêmes informations d’identification utilisateur pour accéder au serveur de Passerelle TS et au serveur Terminal Server, activez la case à cocher Utiliser les mêmes informations d’identification utilisateur pour la passerelle et le serveur Terminal Server. Toutefois, il se peut que les utilisateurs soient invités à fournir deux fois des informations d’identification s’il en existe en conflit dans une source telle que les paramètres de stratégies de groupe et si ces informations d’identification ne fonctionnent pas. Les utilisateurs peuvent également se voir demander deux fois des informations d’identification si celles par défaut sont utilisées pour la connexion et si elles ne fonctionnent pas.
- Si vous souhaitez que l’ordinateur client détecte automatiquement lorsque la Passerelle TS est nécessaire, activez la case à cocher Ignorer le serveur de passerelle TS pour les adresses locales. (Le choix de cette option optimise les performances de l’ordinateur client.)
Pour toujours utiliser un serveur Passerelle TS pour les connexions clientes, désactivez la case à cocher Ignorer le serveur de passerelle TS pour les adresses locales.
- Lorsque vous avez terminé, cliquez sur OK.
Configurer les paramètres des signatures numériques
Vous pouvez utiliser une signature numérique pour signer les fichiers .rdp servant aux connexions de RemoteApp au serveur Terminal Server. Les fichiers .rdp concernés sont notamment ceux utilisés pour les connexions via l’Accès Web TS aux programmes RemoteApp et au Bureau du serveur Terminal Server.
Si vous utilisez un certificat numérique, la signature de chiffrement sur le fichier de connexion fournit des informations vérifiables sur votre identité en tant que son éditeur. Les ordinateurs clients peuvent ainsi reconnaître votre organisation en tant que source du programme RemoteApp ou de la connexion Bureau à distance, puis autoriser ou interdire la connexion d’après les critères de confiance. Cette précaution contribue à éviter d’utiliser des fichiers .rdp falsifiés par un utilisateur malveillant.
Vous pouvez signer les fichiers .rdp utilisés pour les connexions RemoteApp à l’aide d’un certificat d’authentification serveur (certificat SSL), ou d’un certificat de signature de code. Vous pouvez obtenir des certificats SSL et de signature de code auprès d’autorités de certification publiques ou d’une autorité de certification d’entreprise dans votre hiérarchie d’infrastructure à clé publique.
Si vous utilisez déjà un certificat SSL pour le serveur Terminal Server ou les connexions de Passerelle TS, vous pouvez utiliser le même pour signer les fichiers .rdp. Dans l’environnement Windows SBS 2008, Passerelle TS est déjà installé sur le serveur qui exécute Windows SBS 2008 et est signé par un certificat SSL.
Pour exporter le certificat Passerelle de services Terminal Server à partir de Windows Small Business Server 2008
- Sur le serveur qui exécute Windows SBS 2008, cliquez sur Démarrer, puis cliquez sur Outils administratifs.
- Cliquez sur Services Terminal Server, puis cliquez sur Gestionnaire Passerelle TS.
- Dans la fenêtre Gestionnaire Passerelle TS, dans la liste Gestionnaire Passerelle TS, cliquez avec la touche droite de la souris sur le nom du serveur, puis cliquez sur Propriétés.
- Dans la boîte de dialogue Propriétés du serveur TS Gateway, cliquez sur l’onglet Certificat SSL, puis cliquez sur Parcourir certificat.
- Dans la boîte de dialogue Installer certificat, dans la liste Certificat, cliquez sur le certificat installé actuellement, puis cliquez sur Afficher certificat.
- Dans la boîte de dialogue Certificat, cliquez sur l’onglet Détails, puis cliquez sur Copier vers fichier.
- Dans l’Assistant Exportation de certificat, cliquez sur Suivant.
- Vérifiez que l’option Oui, exporter la clé privée est sélectionnée, puis cliquez sur Suivant.
- Vérifiez que les options Inclure tous les certificats dans le chemin d’accès de certification, si possible et Exporter toutes les propriétés étendues sont sélectionnées, puis cliquez sur Suivant. Ne sélectionnez pas Supprimer la clé privée si l’exportation s’effectue correctement.
- Tapez un mot de passe fort pour protéger le fichier de certificat, puis cliquez sur Suivant.
- Pour enregistrer le fichier .pfx (par exemple, C:\trustedcert.pfx), choisissez un emplacement sécurisé auquel seul l’administrateur peut accéder, puis cliquez sur Suivant.
- Terminez l’assistant.
Importer le certificat SSL sur le serveur Terminal Server
- Déplacez le fichier trustedcert.pfx vers le serveur Terminal Server supplémentaire en utilisant le réseau ou un périphérique USB.
- Sur le serveur Terminal Server supplémentaire, double-cliquez sur le fichier .pfx.
- Sur la page Bienvenue dans l’Assistant Importation de certificat, cliquez sur Suivant.
- Naviguez jusqu’à l’emplacement du fichier .pfx enregistré, puis cliquez sur Suivant.
- Saisissez le mot de passe que vous avez saisi lors de la procédure d’exportation, vérifiez que les options Marquer cette clé comme exportable et Inclure toutes les propriétés étendues sont sélectionnées, puis cliquez sur Suivant.
- Sur la page Magasin de certificats, sélectionnez Placer tous les certificats dans le magasin suivant, cliquez sur Parcourir, puis cliquez sur Personnel.
- Cliquez sur Suivant, puis terminez l’assistant.
Pour configurer le certificat numérique à utiliser dans RemoteApp
- Ouvrez le Gestionnaire RemoteApp Terminal Server, puis effectuez l’une des actions suivantes :
Dans le volet Actions , cliquez sur Paramètres des signatures numériques.
ou
Dans le volet Vue d’ensemble à côté de Paramètres des signatures numériques, cliquez sur Modifier.
- Activez la case à cocher Signer avec un certificat numérique.
- Dans la boîte de dialogue Détails des certificats numériques, cliquez sur Modifier.
-
Dans la boîte de dialogue Sélectionner un certificat, cliquez sur le certificat à utiliser, puis cliquez sur OK.
Si les utilisateurs se connectent aux programmes RemoteApp à partir d’un ordinateur public ou à domicile, vous devez utiliser Un certificat provenant d’une autorité de certification qui est l’un des Membres du programme de certificat racine Microsoft (http://go.microsoft.com/fwlink/?LinkID=59547) ou un certificat émis par une autorité de certification d’entreprise co-signé par une autorité de certification qui est l’un des Membres du programme de certificat racine Microsoft (http://go.microsoft.com/fwlink/?LinkID=59547).
Si vous utilisez un certificat auto-émis d’entreprise, vous devez installer le certificat de sécurité pour le serveur sur votre ordinateur distant.
Pour installer le certificat de sécurité du serveur sur votre ordinateur distant
- Sur un ordinateur du réseau Windows SBS 2008, ouvrez un navigateur Web et saisissez l’adresse suivante : \\ServerName\public\downloads. (ServerName est le nom de votre serveur qui exécute Windows SBS 2008.)
- Copiez le fichier Installer le package du certificat.zip sur un support amovible, tel qu’un CD ou une clé USB.
- Insérez le CD ou la clé USB dans l’ordinateur qui n’appartient pas au domaine Windows SBS et à partir duquel vous voulez accéder au poste de travail Web à distance.
- Dans l’explorateur Windows, accédez à l’emplacement où vous avez copié Installer le package du certificat.zip.
- Cliquez avec le bouton droit la de souris sur Installer le package du certificat.zip, puis cliquez sur Extraire tout.
- Dans la boîte de dialogue Extraire les dossiers compressés (zippés), saisissez un emplacement de dossier vers lequel vous souhaitez extraire les fichiers puis cliquez sur Extraire.
- Ouvrez le dossier dans lequel se trouvent les fichiers extraits puis double-cliquez sur Installer le certificat.
- Sélectionnez Installer le certificat sur mon ordinateur, puis cliquez sur Installer.
Déployer des programmes RemoteApp pour les utilisateurs
Vous pouvez utiliser l’une des méthodes de déploiement suivantes :
- Vous pouvez distribuer les programmes RemoteApp sous forme de fichiers .rdp ou de packages Windows Installer par l’intermédiaire d’un dossier partagé ou d’autres mécanismes de distribution tels que Microsoft Systems Management Server ou la distribution de logiciels Active Directory.
- Vous pouvez rendre les programmes RemoteApp disponibles sur un site Web en distribuant les programmes RemoteApp par un Accès Web TS.
Créer un fichier .rdp à partir d’un programme RemoteApp
Vous pouvez utiliser l’Assistant RemoteApp pour créer un fichier .rdp à partir de n’importe quel programme de la liste Programmes RemoteApp.
Pour créer un fichier .rdp à partir d’un programme RemoteApp
- Cliquez sur Démarrer, cliquez sur Outils administratifs, cliquez sur Services Terminal Server, puis cliquez sur Gestionnaire RemoteApp Terminal Server. Le Gestionnaire RemoteApp TS démarre.
- Dans la liste Programmes RemoteApp, cliquez sur le programme pour lequel vous souhaitez créer un fichier .rdp. Pour sélectionner plusieurs programmes, cliquez sur le nom de chacun tout en maintenant la touche Ctrl enfoncée.
- Dans le volet Actions du ou des programmes sélectionnés, cliquez sur Créer le fichier .rdp.
- Dans la page Bienvenue dans l’Assistant RemoteApp, cliquez sur Suivant.
- Dans la page Spécifier les paramètres des packages, procédez comme suit :
i. Dans la zone Entrer l’emplacement où enregistrer les packages, acceptez l’emplacement par défaut ou cliquez sur Parcourir pour indiquer un autre emplacement pour le fichier .rdp.
ii. Dans la zone Paramètres du serveur Terminal Server, cliquez sur Modifier pour modifier le nom du Serveur ou de la batterie de serveurs, le Numéro de port RDP et le paramètre Exiger l’authentification du serveur. (Pour plus d’informations sur ces paramètres, voir « Configurer les paramètres de Terminal Server » dans la rubrique Configurer les paramètres de déploiement globaux de ce document.) Lorsque vous avez terminé, cliquez sur OK.
iii. Dans la zone Paramètres de la passerelle TS, cliquez sur Modifier pour modifier ou pour définir si les ordinateurs clients utilisent un serveur Passerelle TS pour se connecter au serveur Terminal Server cible à travers un pare-feu. (Pour plus d’informations sur ces paramètres, voir « Configurer les paramètres de la Passerelle TS » dans la rubrique Configurer les paramètres de déploiement globaux de ce document.) Lorsque vous avez terminé, cliquez sur OK.
iv. Pour signer numériquement le fichier .rdp, dans la rubrique Paramètres du certificat, cliquez sur Modifier pour sélectionner ou modifier le certificat à utiliser. Sélectionnez le certificat à utiliser, puis cliquez sur OK. (Pour plus d’informations sur ces paramètres, voir « Configurer les paramètres de la signature numérique (facultatif) » dans la rubrique Configurer les paramètres de déploiement globaux de ce document.)
- Lorsque vous avez terminé, cliquez sur Suivant.
-
Dans la page Revoir les paramètres, cliquez sur Terminer.
Une fois l’Assistant complété, le dossier où le fichier .rdp est enregistré s’ouvre dans une nouvelle fenêtre. Vous pouvez vérifier que le fichier .rdp existe à présent.
Créer un package Windows Installer à partir d’un programme RemoteApp
Vous pouvez utiliser l’Assistant RemoteApp pour créer un package .msi (Windows Installer) à partir de n’importe quel programme de la liste Programmes RemoteApp.