Get Adobe Flash player

Terminalserver mit AD auf Windows 2008 R2

Eigentlich wollte ich gewisse Applikationen von überall im Internet zugreifen können ohne Probleme.

Da ich nicht auf ein Remote Desktop verbinden möchte um die Applikation zu starten, sondern am liebsten nur die Applikation selbst starten (seamless genannt) musste ein Terminalserver her.

Auch möchte ich ein Web Gateway einrichten, falls ich mal an einem Ort mit Firewall bin, dennoch auf die Applikation komme.

Windows 2008 R2 wurde flink installiert.
In den Rollen aktivieren wir die Punkte auf dem Bild. Es ist möglich das mehrere Neustarts nötig sind um alle Rollen zu installieren. Auch wird abgeraten von Active Directory und Terminalserver auf dem ein und dem selben Server zu installieren. Da ich nicht mehrere wollte, installierte ich dies auf dem gleichen Server!

Ist Alles installiert, erstellen wir ein brauchbares Zertifikat. Dazu müssen wir uns überlegen auf welcher Domain/URL der Webserivce und Server am Ende erreichbar sein sollte.

Ich habe dazu “ts.testserver” genommen. Im RD Gateway Manager klicken wir auf den Server und öffnen die Properties und wechseln zum Tab SSL Certificate. Wichtig ist das beim Name der Domainname angegeben wird!

Anschliessend gehen wir zum RemoteApp Manager und ändern auch dort die Digitale Signature auf das neue Zertifikat.

Auch im ISS unter den SSL Settings muss das entsprechende Zertifikat noch ausgewählt werden.

In diesem Manager erstellen wir auch gleich die Applikationen welche freigegeben werden sollten. Dies ist sehr einfach und sollte keinerlei Probleme bereiten.

Da auf dem Server Terminalserver und auch das AD installiert ist, sind die RDP rechte eingeschränkt auf Administratoren. Dies ist in meinem Fall störend.

Dazu starten wir das Group Policy Management und passen 2 Mal die Rechte an. Bei den Gruppen (4 Stk) muss mindestens “Administrators und Terminalserver” eingetragen sein.
Ist das gemacht, gehen wir unter Ausführen und starten die CMD mit Administratorenrechten und updaten die GPO mit:

gpupdate /FORCE

Ist dies gemacht, müssen wir nur noch unsere User erstellen die auf den TS Zugriffe haben sollten und diese in die Gruppe Domain Users, Remote Desctop Users, Terminalserver legen.

Nun war nur noch ein kleineres Problem da. Die User können dann nicht nur die Apps starten, sondern sich auch auf dem Desktop per RDP direkt einloggen. Dies wollte ich nicht, also habe ich kurzerhand in die Trickkiste gegriffen.

Dazu erstellte ich ein Logon Skript login.bat in folgendem Verzeichnis:

C:\Windows\SYSVOL\sysvol\DEINEAD\scripts

mit dem Inhalt:

if /I "%USERNAME%" == "Administrator" GOTO ENDE
tasklist /FI "SESSIONNAME eq %SESSIONNAME%"  /FI "IMAGENAME eq explorer.exe" > %APPDATA%\tasklist.txt
for /f "Tokens=3,*" %%a in ('find /I /C "No tasks" %APPDATA%\tasklist.txt') do (
	If "%%a" == "0" (
		cd\
		cd "%systemroot%"\
		cd system32
		logoff.exe
	)
)
:ENDE

Beim User muss dann beim Logonscript nur noch Login.bat hinterlegt werden und nach dem Anmelden wird er gleich wieder abgemeldet ohne das er dies umgehen kann. RemoteApps kann er weiterhin nutzen.

PS: Das Ganze kann man mit Testlizenzen aufbauen und auch 120 Tage betreiben.

Weitere interessante Beiträge:

Kommentieren

This Blog will give regular Commentators DoFollow Status. Implemented from IT Blögg

eMail-Benachrichtigung bei weiteren Kommentaren.
Auch möglich: Abo ohne Kommentar.