Portal Web de Escritorio Remoto
CatalàUna de las características de este entorno es poder publicar directamente las aplicaciones mediante un portal web. Son las conocidas RemoteApp. Una manera más sencilla para los usuarios de poder acceder a las aplicaciones, sin realizar complicadas configuraciones en sus equipos.
Basta acceder a una dirección URL y seleccionar la aplicación que se quiere ejecutar o bien configurar el cliente de Windows para que actualice directamente estas aplicaciones en su menú de inicio. Pero detrás de este portal hay una configuración específica que hay que realizar.
En esta entrada se muestran los pasos a seguir para que el portal funcione correctamente, sin avisos innecesarios, partiendo de la configuración realizada en la entrada de Escritorio remoto de sesión.
Publicar una RemoteApp en el portal
Recuperando el punto de configuración de la entrada de Escritorio remoto de sesión, desde el escritorio, abrir el Administrador del servidor.
En el menú de la izquierda, seleccionar Servicios de Escritorio Remoto.
En la página de información general, hacer clic en la colección Ofimática que se creó en la entrada anterior.
En el apartado Programas RemoteApp, hacer clic en el botón Tareas > Publicar programas RemoteApp.
Se inicia un asistente para la publicación de aplicaciones. Por defecto el sistema muestra un listado de lo que le parecen aplicaciones que están instaladas en el servidor de Escritorio Remoto. No obstante, si la aplicación que se quiere publicar no aparece en el listado, se puede añadir manualmente mediante el botón Agregar.
Para hacer un ejemplo sencillo, publicaré el WordPad y el Paint. En la lista, marcar el checkox de las dos aplicaciones. Hacer clic en el botón Siguiente para continuar.
Resumen de las aplicaciones que se publicarán como RemoteApp. Si es correcto, hacer clic en el botón Publicar.
El sistema prepara el entorno para publicar las dos aplicaciones.
Una vez ha terminado, nos muestra un resumen de lo que ha hecho. Comprobar que el estado de las aplicaciones es Publicadas. Hacer clic en el botón Cerrar.
En el apartado Programas RemoteApp, aparecen las dos aplicaciones publicadas.
Pero, ¿se puede personalizar que una aplicación salga para unos usuarios y la otra para otros? La respuesta es si. Botón derecho sobre la aplicación con el ratón, hacer clic en Editar propiedades.
Se puede personalizar el comportamiento de la aplicación RemoteApp:
- GENERAL. Cambiar el nombre de la aplicación por uno de más amigable, si lo mostramos o no en la lista de aplicaciones web.
- PARÁMETROS. Si se pueden pasar parámetros por la línea de comandos para hacer cualquier cosa al iniciar la aplicación.
- ASIGNACIÓN DE USUARIOS. Personaliza el acceso para los usuarios en la aplicación. Por defecto tienen acceso todos los usuarios de la colección. Marcando la opción Sólo los usuarios y grupos especificados, se puede personalizar su acceso. Hacer clic en el botón Agregar o Quitar para añadir los usuarios o grupos de seguridad del Active Directory que tendrán o no acceso a la aplicación. En el ejemplo sólo tendrá acceso el usuario Núria.
- ASOCIACIONES DE TIPO DE ARCHIVO. Si el usuario intenta abrir en su máquina uno de estos tipos de archivos, automáticamente se le abre la aplicación RemoteApp.
Hacer clic en Aplicar o Agregar para aceptar los cambios.
Si se accede al portal Web, en el apartado de RemoteApp y Escritorios aparecen los iconos de las aplicaciones que se han publicado.
Pero al abrir el portal o las aplicaciones nos salen un montón de ¡advertencias de confianza y seguridad! Es el momento de pasar a la segunda parte.
Configuración de los certificados
Al tratarse de un entorno web, hay que asegurar que la conexión se hará lo más segura posible. Por eso se utilizan los certificados, para proteger la conexión y los publicadores de los enlaces. Para ir bien los certificados tendrían que ser transparentes a los usuarios finales, que no haya preguntas o clics de más.
¿Como lo hacemos? Configurando correctamente los certificados y las confianzas.
Volviendo al Administrador del Servidor > Servicios de Escritorio Remoto > Información general. En el apartado Información general de implementación, hacer clic en Tareas > Editar propiedades de la implementación.
Hacer clic en el apartado Certificados.
Por defecto, no se crean ni se asignan certificados en el entorno, ¡es una operación que debemos realizar nosotros mismos!
Para que no haya confusiones en la configuración del entorno de publicación y certificados, para acceder a los servicios del portal web, trabajaré con el nombre de servidor remot.solquer.cat. Recordar que mi servidor de Escritorio Remoto es el srvRD.solquer.local.
En entornos productivos NO es nada recomendable publicar el propio servidor interno en Internet.
Por lo tanto, para que todo funcione hay que tener correctamente configurada la resolución DNS. Normalmente creando un alias (CNAME) remot.solquer.cat, hacia el servidor de Escritorio Remoto srvrd.solquer.local.
La configuración del certificado la haremos mediante la entidad de certificación propia del dominio. También puede ser de una entidad comercial para evitar tener que añadir la entidad certificadora de confianza en los navegadores.
La manera más fácil de crear un certificado de estas características, en la entidad certificadora del dominio, es con el Internet Information Server. Desde el Administrador del Servidor, en el menú superior de la derecha, hacer clic en Herramientas > Administrador d’Internet Information Services (IIS).
Se abre la consola de administración de Internet Information Server. En el Panel de la izquierda, hacer clic en el nombre del servidor. Queda seleccionada la página principal. En el apartado IIS, hacer clic en la icona Certificados del servidor.
Se visualizan los certificados instalados en el equipo (ojo que no son los mismos que los del usuario). En el lado derecho, en el apartado Acciones, hacer clic en Crear certificado de dominio.
Se inicia el asistente para crear un nuevo certificado para el servidor web. Después de rellenar los datos solicitados, el propio asistente se encarga de crear la clave privada, la solicitud, hace la solicitud a la entidad certificadora, descarga el certificado de la entidad certificadora (si esta lo permite) y lo casa con la clave privada. Indicar:
- Nombre común. El nombre por el que se llamará al servicio web, en mi caso, remot.solquer.cat
- Organización. Nombre de la empresa o cualquier otro nombre común que identifique el propietario.
- Unidad organizativa. Departamento, por ejemplo IT.
- Ciudad. Identifica la población donde está ubicada la empresa para que no haya confusión por parte de los usuarios.
- Estado o provincia. Lo mismo que para Ciudad.
- País. Lo mismo que para Ciudad.
Hacer clic en el botón Siguiente para continuar.
Especificar la Entidad certificadora del dominio a quien hacer la petición. En caso que no nos permita seleccionar la entidad, quiere decir que no hay ninguna publicada en el Active Directory. Si la queremos utilizar se tiene que haber creado previamente. Podéis echar un vistazo a la entrada sobre como crear la entidad certificadora.
Si por el contrario, la entidad certificadora del dominio está publicada, nos permite hacer clic en el botón Seleccionar.
Seleccionar la entidad certificadora a quien pedir el certificado y hacer clic en el botón Aceptar.
Introducir un nombre descriptivo del certificado sólo para que sepamos de que va, no tiene implicaciones de operativa. Personalmente le pongo el nombre común seguido de la fecha. Hacer clic en el botón Finalizar para realizar todo el proceso de creación del certificado.
Si todo está correcto, aparece el nuevo certificado en la lista de certificados del servidor.
Haciendo clic sobre él se pueden ver las propiedades del mismo. Lo que interesa es que disponga de la clave privada, sino no nos sirve para asociarlo a los servicios Web. Hacer clic en el botón Aceptar para cerrar la ventana.
Para poderlo asociar a los servicios de Escritorio remoto necesitamos el archivo PFX (que contiene el certificado con la clave privada y pública). Hay que exportar el certificado que hay en el Internet Information Server a este formato. Seleccionar el certificado, botón derecho del ratón y hacer clic en Exportar…
Indicar la ruta y un nombre de archivo haciendo clic en el botón …, indicar una contraseña para proteger la clave privada. Hacer clic en el botón Aceptar.
Con el certificado correctamente creado y exportado con la clave privada, ya se puede asociar a los diferentes servicios. Volver al administrador del servidor > Servicios de Escritorio Remoto > Información general > Información general de implementación > Tareas > Editar propiedades de la implementación > Certificados.
Seleccionar Agente de conexión a Escritorio Remoto – Habilitar inicio de sesión único. Hacer clic en el botón Seleccionar certificado existente
Indicar la ruta y el nombre del archivo donde hemos exportado el certificado. Así como la contraseña de la clave privada. Marcar el checkbox de Permitir agregar el certificado al almacén de certificados de Entidades de certificación raíz de confianza en los equipos de destino y hacer clic en el botón Aceptar.
Se nos advierte que sólo se puede agregar un certificado a un servicio a la vez. Hacer clic en el botón Aplicar para añadir el que tenemos actualmente seleccionado.
Comprobar que se ha habilitado correctamente como certificado de confianza.
Repetir el proceso para los servicios de Agente de conexión a Escritorio Remoto – Publicación y de Acceso web a Escritorio Remoto.
En este punto, si probamos la conexión remota mediante el navegador en la dirección: https://remot.solquer.cat/RDweb. Se nos tiene que cerrar el candado del certificado, identificando correctamente el sitio como remot.solquer.cat ¡con el certificado emitido por la entidad de confianza del dominio!
Iniciar la sesión en el portal web con la cuenta de un usuario válido, seleccionar RemoteApp y Escritorio. Hay los iconos de las aplicaciones que se han publicado.
Pero, al hacer clic en cualquiera de las aplicaciones RemoteApp… Tenemos una advertencia de confianza sobre el equipo remoto, que hay que arreglar confiando en el Editor de la aplicación RemoteApp, es decir, nosotros.
Confiando en el Editor de las aplicaciones RemoteApp de Escritorio Remoto dentro del dominio
Se trata de crear una política de configuración (GPO) que reconozca el certificado editor como de confianza. La operación es la misma para los equipos fuera del dominio, diferenciándose en que la política a modificar (GPO) es la local y no la del dominio.
Lo primero que tenemos que hacer antes que nada, es obtener la huella digital del certificado del editor. Hacer clic sobre el enlace del editor (remot.solquer.cat).
En el certificado que se nos muestra, hacer clic en la pestaña Detalles.
Al final, hay el valor de la huella digital. Copiar el contenido del recuadro de valor al portapapeles.
Abrir una consola de PowerShell,
Empezar a escribir: (« pegar el contenido del portapapeles y continuar con: «).replace(» «,»») ejecutar la instrucción. Para poner un ejemplo claro:
("64 70 c2 79 8a 75 b9 28 af 8d db a0 b4 56 b5 e2 42 cd 5c e1").replace(" ","")
La consola devuelve la huella digital sin espacios, copiar este valor en un lugar que tengamos a mano.
Desde el administrador del servidor de una controladora de Active Directory, en el menú de la derecha, hacer clic en Herramientas > Administración de directivas de grupo.
Desplegar el árbol de opciones de la izquierda por el Bosque > Dominios > nombre del dominio > Objetos de directiva de grupo. Botón derecho del ratón, hacer clic en Nuevo.
Indicar un nombre, por ejemplo, Escritorio Remoto – Confianza editores. Hacer clic en el botón Aceptar.
Botón derecho sobre la nueva directiva, hacer clic en Editar.
Desplegar las directivas de Configuración de usuario > Directivas > Plantillas administrativas > Componentes de Windows > Servicios de Escritorio Remoto > Cliente de conexión a Escritorio Remoto.
Doble clic en la configuración Especificar huellas digitales SHA1 de certificados que representan publicadores .rdp de confianza.
Habilitar la directiva y pegar el valor que hemos guardado de la huella digital del editor. Hacer clic en el botón Aceptar. Cerrar el editor de directivas.
Asociar la nueva directiva al dominio o Unidad Organizativa donde estén los usuarios. Botón derecho, en el dominio o unidad organizativa, hacer clic en Vincular una GPO existente.
Seleccionar la nueva directiva y hacer clic en el botón Aceptar.
Recordar que para forzar la actualización de las directivas del usuario en cuestión hay que hacer un gpupdate en la consola de sistema con privilegios de administrador:
gpupdate /force
Volvemos a hacer la prueba de abrir una aplicación RemoteApp: el WordPad. Al ser la primera vez tarda un poco más porque debe preparar la sesión en el servidor de Escritorio Remoto, pero la aplicación se abre sin preguntar nada ni mostrar ninguna advertencia.
Objetivo logrado, el usuario accede a la aplicación RemoteApp como si estuviera instalada en su equipo de manera totalmente transparente para él.
¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!
Similar Posts by The Author:
- Microsoft SQL Server con SMB3
- Microsoft SQL Server amb SMB3
- Containers en Linux
- Containers amb Linux
- Migrar el servidor de archivos a Windows Server 2019
- Migrar el servidor de fitxers a Windows Server 2019
- Puerta enlace a Azure en el Windows Admin Center
- Porta enllaç a Azure en el Windows Admin Center
- Hola mundo! WordPress 5 y Gutenberg
- Hola món! WordPress 5 i Gutenberg
Hola
Muy interesante. ¿Las aplicaciones a publicar (NetApp) pueden ser cualquiera? ¿O estas aplicaciones deben cumplir ciertos requisitos a la hora de ser programadas? Por ejemplo un sistema de gestión hecho a medida hace un par de años ¿se podría ejecutar de esta manera sin problemas?
Saludos
Hola Fernando,
En principio sí, todas las aplicaciones son susceptibles de ser publicadas de esta forma. Ahora bien, tienes que tener en cuenta que la aplicación admita ser ejecutada en entornos multiusuario (el Terminal Server o Remote Desktop Services). Me he encontrado con aplicaciones que, por su arquitectura, no permiten múltiples ejecuciones desde el mismo directorio. En ese caso no te funcionará correctamente cuando tengas más de un usuario accediendo a ella.
Lo mejor es que lo pruebas, anímate a ello.
Saludos,
Hola, muy bueno y completo el articulo, se agradece mucho este tipo de información.
Tengo un problema al establecer la GPO para confiar en el editor de remoteapp, al abrir la aplicación me pide usuario y contraseña.
Sino configuro la GPO aparece el mensaje de si confiar o no en el editor de remoteapp pero no me pide contraseña y se abre la aplicacion.
Que puede ser?, como lo podría solucionar?
Estoy trabajando con windows server 2008 R2
Hola Francisco, no entiendo muy bien tu problema:
– Creas una GPO para confiar en el certificado para el RemoteApp y no te funciona?
– Cuando creas la GPO, continua apareciendo de si confiar o no en la aplicación? Has creado el certificado válido con tu CA? Has puesto la CA en el almacén de certificados raíz de confianza?
– No pide usuario y contraseña al abrir la aplicación? Puede ser que los tengas ya guardados en el almacén de contraseñas de Windows. Te está haciendo un Single Sign On (SSO) con el usuario logado?
Aclararlo un poco por favor.
buen dia, tengo un problema al entrar al RDWeb, ya tengo publicadas varias aplicaciones pero al loggearme no aparece ninguna aplicacion publicada, podrias ayudarme? :/
Si has seguido el tutorial y dices que has publicado aplicaciones, ¿has asegurado que los usuarios tienes permisos en la aplicación publicada para visualizarla?
hola como estas tengo una pregunta, cuando entro a la pagina externa e intento acceder a alguna aplicación me genera un error que no encuentra el equipo
Lo estás haciendo desde fuera de la red? Si es así, debes disponer del Remote Desktop Gateway que te haga de proxy reverso para publicar los servicios de Remote Desktop hacia el exterior. Tienes el artículo en Puerta enlace Escritorio Remoto.
Saludos,
Tengo problemas al publicar las aplicaciones no aparecen en el Remote App, ya esta configurado todo incluyendo certificados
Hola Andrey,
¿Has revisado las zonas de confianza y bloqueadores del navegador que utilizas? ¿Has validado las aplicaciones en el Administrador del Servidor? Pueden ser un montón de cosas lo que causa este problema, sin más datos es un poco difícil poder diagnosticar donde tienes el problema exactamente. Repasa la configuración que no te hayas dejado ningún parámetro ni paso. Siento que sea una respuesta tan ambigua pero sin más datos o un problema concreto es difícil darte una solución.
Ya me cuentas.
Buenas, como estas?
En la empresa donde trabajo estoy tratando de implementar el RD Gateway, localmente funciona sin problemas con un certificado auto firmado, me conecto por VPN y utilizo Conexion Escritorio Remoto. Me gustaría utilizar un URL para que los usuarios desde sus casas puedan utilizar RDP y así poder poner un certificado ssl ( vi el ssl de comodo es free por 90 días) como puedo hacer esto? que pasos debería seguir?
Gracias
Hola Norman,
el certificado que utilizes es indiferente, solo importa que el equipo con el que quieras conectarte confie en la entidad certificadora que ha emitido el certificado del servidor. Vaya, que tenga su clave pública. Con los comerciales que hayan dado de alta sus claves públicas en los equipos (Windows, Apple, Linux) de forma automática te ahorras dicho paso, para los otros siempre deberás añadir esta clave en el repositorio de entidades raíz de confianza.
Por otra parte, el certificado que generes para el servicio deberá incluir el nombre de equipo (para la red local) y el nombre en qué lo publiques a Internet (la FQDN que asocies a tu IP pública).
Finalmente, al tratarse del portal, debe interactuar con la puerta de enlace de escritorio que es el proxy reverso que te permitirá conectarte a equipos de escritorio remoto desde el exterior sin necesidad de VPNs, si no el invento no te va a funcionar. Revisa la entrada Puerta enlace Escritorio Remoto.
Saludos,
Buenas noches excelente Post, quiero hacerle una pequeña consulta como puedo habilitar el Remote App pero que pueda conectarme al equipo Remoto por medio de una IP PUBLICA mas un Puerto e estado investigando pero no se como. Muchas gracias por tu pronta respuesta.
Lo tienes que hacer con la puerta de enlace de escritorio remoto: https://www.jmsolanes.net/es/puerta-enlace-escritorio-remoto/
Hola muy interesante tu post, mira tengo un problema configure remote app para acceder desde internet me funciona correctamente. el problema es que cuando quiero imprimir de la aplicación publicada no me deja imprimir en impresoras locales por que no aparece las impresoras locales del cliente.
buenas noches Josep Ma Solanes, espero y te encuentres muy bien con todo esto del covid-19 al lado de los tuyos, mi nombre es Gabriel y tengo una simple duda que no he podido al final resolver, como hago para que mi Conexión de RemoteApp y Escritorio se vea desde afuera en cualquier navegador con IP Fija
agradezco tu ayuda.
Hola Josep excelente clase…tengo windows server 2016 essential, y tengo entendido que solo puedo implementar el rol de Puerta de enlace RD, tendrás algún articulo donde se explique la configuración de ese solo rol exclusivo en el equipo servidor?, porque veo que instalaste varios roles para desarrollar la instalación.
Agradecido de antemano.
josep, muy buen post, es posible habilitar perfiles móviles en usuarios que se conectan remotamente fuera de la red al servidor RD server 2016? resulta que configuré unas cuentas locales de usuarios en un servidor RD pero quiero que cuando se conecten remotamente se cargue su perfil remoto que tienen cargado en el controlador de dominio.
No se si eso es posible, por favor aclárame el asunto.
Agradecido de antemano.
Hola espero me puedas ayudar, un poco tarde el mensaje, hice exactamente todo lo que has hecho, intente acceder a la url externa desde mi mismo servidor pero no le llego a la pagina como si no existiera, obviamente por fuera tampoco lo va hacer porque no he instalado el gateway, ya llevo un rato viendo porque y nada, todo sigue igual
Mi servidor solo tiene configurado ad, y escritorio remote, mi pregunta es, si hay algun rol que no he instalado?
Hola Josep María, te has encontrado alguna vez con problemas de «foco» cuando trabajas con doble pantalla, en una tienes la AppRemote, y en la otra tu escritorio de windows, y te ocurre que estás escribiendo en una de ellas y se te salta automaticamente a la otra?
Gracias,