O seu portal de estudos

Aprimorando o acesso dos usuários ao RemoteApp e ao VDI (SSO, Logon único no Web Access)

Posted by Rafael Bernardes em 2 de maio de 2011

Após a instalação do RemoteApp e publicação das aplicações é normal ouvir algumas reclamações dos usuários em relação ao momento da conexão remota. O mesmo se aplica às máquinas virtuais do Virtual Desktop Infrastructure (VDI). São exibidas duas mensagens que atrapalham no uso do software, a primeira mostrando um aviso sobre o certificado do servidor que não é válido e a segunda pedindo o usuário e senha. No procedimento abaixo será exibido como criar uma conexão livre de mensagens de aviso e como habilitar o Single Sign On (SSO).

O primeiro passo será a integração do usuário logado com a conexão dispensando a necessidade de usuário e senha novamente, uma vez que o logon já foi efetuado na máquina. Este procedimento de integração do logon com a aplicação também é chamado de SSO. É possível ver na figura 1 a página do Remote Desktop Web Portal com as aplicações publicadas e na figura 2 a mensagem de logon, forçando o usuário a colocar o usuário, o domínio e a senha.

SSO1

Figura 1 – Programas do RemoteApp

SSO2

Figura 2 – Usuário e senha para usar os programas

Para habilitar o SSO é preciso configurar uma política de grupo. Para isso, clique no menu iniciar e em Search digite gpedit.msc.

Clique em Computer Configuration e expanda Administrative Templates>System>Credentials Delegation e clique na política Allow Delegating Default Credentials. Clique em Enabled e depois clique em Show. Na tela Show Contents coloque o valor “TERMSRV/*”, conforme figura 3. Certifique que a opção Concatenate OS defaults with imput above esteja marcada. Após esse procedimento, reinicie o computador. Quando existirem muitas máquinas essa política pode ser feita através de uma Política de Grupo (GPO) do Active Directory, fornecendo assim a configuração e o gerenciamento centralizado.

SSO3

Figura 3 – Política que habilita o Single Sign On

O próximo passo é garantir que a mensagem de confirmação do certificado do servidor não apareça também. Isso ocorre pelo fato do certificado padrão não ser um certificado válido fazendo com que o cliente não confie no mesmo ao se conectar com o servidor. Para resolver este problema é preciso gerar um certificado de computador através uma unidade certificadora. No Windows Server é possível usar o Active Directory Certificate Services(ADCS) para a criação e o gerenciamento dos certificados. Para mais informações sobre a instalação do ADCS, acesse o link a seguir: http://technet.microsoft.com/en-us/library/cc772393(WS.10).aspx

Depois da instalação do certificado no servidor do RemoteApp, abra o RemoteApp Managere clique na opção Digital Signature Settings do lado esquerdo da tela e marque a opçãoSign with a digital certificate, conforme figura 4. Escolha o certificado instalado e clique em ok.

Certificate

Figura 4 – Configuração de certificado do Servidor

Depois disto é preciso copiar o código hash do certificado para uma política local. Através do Remote Desktop Web Portal, clique em qualquer software referente ao servidor que hospeda as aplicações e na mensagem de aviso, em publisher, clique no link com o nome do servidor, como mostra a figura 5.

SSO4

Figura 5 – Mensagem do certificado não confiável

Isto exibirá o certificado do servidor. Clique na guia Details e depois em Thumbprint. Copie o valor em algum local para copiá-lo na política de grupos. Certifique-se de não copiar o espaço na primeira linha antes do código. Na figura 6 é possível ver o código e o espaço antes dele.

SSO5

Figura 6 – Thumbprint do certificado

Abra novamente o gpedit.msc e navegue em Computer Configuration>Administrative Templates>Windows Components>Remote Desktop Services>Remote Desktop Connection Client e abra a política Specify SHA1 thumbprints of certificates representing trusted .rdp publishers. Clique em Enabled e copie o texto no espaço abaixo da política, conforme figura 7. Caso haja mais de um servidor de RemoteApp ou com VDI, coloque os respectivos códigos separados por vírgula. Depois clique em OK e reinicie o computador cliente.

SSO6

Figura 7 – Hash do certificado na política

Como mencionado anteriormente é possível fazer o procedimento acima através de políticas de grupo pelo Active Directory também.

Após esses dois procedimentos as aplicações do RemoteApp e as máquinas virtuais do VDI são executados sem nenhuma mensagem de erro ou de logon.

______________________

Retirado de um blog de virtualização da Microsoft.

Anúncios

16 Respostas to “Aprimorando o acesso dos usuários ao RemoteApp e ao VDI (SSO, Logon único no Web Access)”

  1. Jorge Borges said

    Bernardes,

    Mais uma vez venho parabenizá-lo pelo excelente post.
    Estou a cada dia impressionado com os excelentes conteúdos que surgem a cada dia no CooperaTI.
    Por isso o CooperaTI é o meu preferido…

    Abraços.
    JB

  2. Bruno Cruz (Belém-Pará) said

    Só o filé !! Olha Rafael , cade meus vídeos que você prometeu caso indicasse 10 pessoas para o blog? 🙂 rrsrsrsrs

    • Bernardes said

      Mas o pessoal que você indicou não confirmou! Só vale se confirmar.

      • Bruno Cruz (Belém-Pará) said

        Não concordo, Rafael, todos confirmaram e estão recebendo seus Posts do CooperaTI inclusive fazendo bons comentários sobre suas dicas. Valeu !

      • Bernardes said

        Eu verifiquei isso logo após e te enviei um email perguntando qual conteúdo desejava receber. Não recebeu?
        Pode me enviar um email, informe qual o vídeo que deseja.

  3. Bruno Cruz (Belém-Pará) said

    Pode ser que eu tenha recebido, porém passou desapercebido. Peço-lhe desculpas pela falta de atenção. Qual e-mail que envio a solicitação e quais os conteúdos disponíveis?

  4. Camila Nunes said

    Oi , gostei muito do post, me ajudou nesse processo de configuração.
    Só que agora estou com um problema. Fiz toda a configuração, e realizei o acesso através do TS Access Web, loguei sem problemas, mas os programas que configurei não aparecem na tela. O que pode estar acontecendo?

    Obrigada!!

    • Bernardes said

      Bom, você tem que ir no RemoteAPP e publicar os aplicativos, depois clique com o botão direito e marque a opção: Mostrar no web access.

      Eu estou sem o LAB aqui, mas no gerenciador do TS lembro que tem como definir o nome ou IP do servidor que tem o RemoteApp.

      • Camila Nunes said

        Oi,

        Pois é, eu fiz tudo isso que você sugeriu, e mesmo assim não está funcionando.
        Não sei mais o que tentar…
        😦

  5. Bruno Cruz - Belém Pará said

    Rafa, estou seguindo seus posts sobre remote app estou conseguindo aplicar o conhecimento adquirido aqui. Agora surgiu a dúvida: como posso inserir a minha logo ou logo da empresa na tela de login do Ts Web Acess, personaliza-la?

    • Bernardes said

      Poder pode, mas eu não vou ensinar aqui no comentário, rsrsrs
      Estou montando um post sobre isso!

      Mas #ficaadica: Existe uma pasta dentro do Inetpub que tem todos os arquivos gráficos desse site do web access. Pode alterar as imagens direto por ali!

      • Bruno Cruz (Belém-Pará) said

        Perfeito!!! rsrsrs. Eu cheguei a pensar e até mesmo olhar essa pasta, porém não consegui nada. Mas de qualquer forma valeu!!

  6. André said

    Tenho um controlador de dominio com WS2k3, no 2003 não tem a GPO Administrative Templates>System>Credentials Delegation, como faço isso no 2003?

  7. Fernando Durbán said

    Desculpe reviver esse post, mas estou fazendo esses passos que você colocou e empaquei na hora de criar o certificado. Eu tenho um Servidor de Domínio com Windows 2008 R2 e um Servidor de TS, que é um Windows 2008. Como faço para criar esse certificado e como devo aplicar?
    Outra coisa, parabéns pelo seu blog…. dei uma olhada por cima e já me ajudou muito em algumas configurações!!!

Deixe um comentário

Preencha os seus dados abaixo ou clique em um ícone para log in:

Logotipo do WordPress.com

Você está comentando utilizando sua conta WordPress.com. Sair / Alterar )

Imagem do Twitter

Você está comentando utilizando sua conta Twitter. Sair / Alterar )

Foto do Facebook

Você está comentando utilizando sua conta Facebook. Sair / Alterar )

Foto do Google+

Você está comentando utilizando sua conta Google+. Sair / Alterar )

Conectando a %s

 
%d blogueiros gostam disto: