История страницы

Инструкция актуализирована для версии Termidesk: 5.1.

Аннотация

В инструкции приведена краткая последовательность действий по публикации приложений на основе ОС Microsoft Windows Server 2019 с ролью «Remote Desktop Session Host» из состава «Remote Desktop Services» (далее — служба MS RDSH), выступающей в качестве метапоставщика.

Данную инструкцию рекомендуется использовать для подготовки тестового стенда.

Исходные данные

Предварительные условия:

• инфраструктура предварительно настроена;
• метапоставщик и программный комплекс Termidesk установлены на отдельных ВМ;
• метапоставщик и программный комплекс Termidesk не вводятся в домен;

• для управления доступом и аутентификации используется домен MS Active Directory;

• для получения пакетов установки Termidesk используется локальный репозиторий.

При вводе конфигурации в домен, необходимо выполнить дополнительные настройки в шаге 1.

При установке ОС Microsoft Windows Server 2019 и выше, утилита curl устанавливается по умолчанию. При использовании устаревших версий curl (менее 8.0) стоит учитывать отсутствие поддержки русского языка.

Все указанные в данной инструкции IP-адреса должны быть заменены на актуальные, соответствующие схеме адресации, принятой в инфраструктуре предприятия.

Шаг 1. Настройка образа виртуальной машины для использования в качестве метапоставщика

Установка и настройка компонентов

Для настройки ОС Microsoft Windows Server 2019 в качестве метапоставщика нужно:

• установить сессионный Агент из msi-пакета termidesk-session-agent;
• установить Агент ВРМ из msi-пакета termidesk-agent.

После установки Агенты обязательно должны быть настроены.

Настройка сессионного Агента

Для настройки сессионного Агента нужно:

• активировать службу MS RDSH. Для этого необходимо присвоить параметру INSTALL_RDS_ROLE_ON_NEXT_BOOT значение True в конфигурационном файле %ProgramData%\UVEON\Termidesk Session Agent\session_agent.ini.

[AGENT]
LISTEN_IP = 0.0.0.0
LISTEN_PORT = 31000
HEALTH_CHECK_ACCESS_KEY = None
INSTALL_RDS_ROLE_ON_NEXT_BOOT = True

[METRICS]
URL_BALANCER = 

[SESSION]
REMOVE_INACTIVE_SESSION_FREQUENCY = 30
APPS_SHARING_SESSIONS = None

[SSL]
USE_HTTPS = False
CERTIFICATE_PATH = C:\ProgramData\UVEON\Termidesk Session Agent\certs\cert.pem
PRIVATE_KEY_PATH = C:\ProgramData\UVEON\Termidesk Session Agent\certs\key.pem

[LOGGING]
LEVEL = INFO
ROTATION_LIMIT = 5
MAX_FILE_SIZE = 2097152

Restart-Service TermideskSessionAgentService

Get-Service -Name TermideskSessionAgentService

Авторизация в сессионном Агенте

Предусмотрено несколько способов авторизации в сессионном Агенте:

• с использованием веб-интерфейса сессионного Агента;
• с использованием утилиты curl.

В качестве примера используется адрес локальной установки сессионного Агента (запросы формируются на том же узле, где он установлен) — 127.0.0.1 и порт 31000.

Для авторизации в сессионном Агенте нужно:

• используя веб-браузер, перейти по адресу: 127.0.0.1:31000/docs;
• в разделе «Auth» раскрыть POST-запрос /auth и нажать экранную кнопку [Try it out].

При этом поле «Request body» станет доступно для редактирования. После заполнения параметров авторизации нажать экранную кнопку [Execute] для выполнения POST-запроса.

Успешное выполнение запроса сгенерирует токен доступа в поле «Response body». В строке access_token нужно скопировать значение токена, исключая кавычки.

Используя значение токена следует пройти авторизацию. Для этого в правом верхнем углу веб-интерфейса нажать экранную кнопку [Authorize].

В открывшемся окне «Available authorizations» следует вставить значение токена в поле «Value» и нажать экранную кнопку [Authorize].

Сообщение «Authorized» свидетельствует об успешном прохождении авторизации.

Для авторизации в сессионном Агенте нужно:

• открыть от имени администратора интерфейс Командная строка;

• отправить POST-запрос:

curl.exe -X POST http://127.0.0.1:31000/auth -H "accept: application/json" -H "Content-Type: application/json" -d "{\"login\":\"Admin\",\"password\":\"Administrator\"}"

Успешное выполнение запроса сгенерирует токен доступа в строке access_token.

{
"access_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dpbiI6Ilx1MDQxMFx1MDQzNFx1MDQzY1x1MDQzOFx1MDQzZFx1MDQzOFx1MDQ0MVx1MDQ0Mlx1MDQ0MFx1MDQzMFx1MDQ0Mlx1MDQzZVx1MDQ0MCIsImRvbWFpbiI6IiIsImlwX2FkZHIiOiIxMC4xMC4xMDAuNSIsImV4cCI6MTY5NTk3ODAzMywiaWF0IjoxNjk1OTcwODMzLCJ0eXAiOiJBY2Nlc3MifQ.SPZnjpWggUR0l4H5hMa3ilceECQ6D7lonrPno1zqn_yFKFDb72Sc8vWGyk_B0zL5ogItodiLiiKg-GTOnqrn9Y7SOUljL3h8JuLYNbBdEc8eSvUMn3Tv-D-eXftsYF26qLuoLRP8tldc8MjVeidfFlbpSHLiUzKPTE4DaeUvhYhDTRNfLJmHqPLLbH7Ef3KNs8SbQC4RDDg90kW1Yba87XcrmzDnrHbMlWkcWX6bW3R0oUuIIbeYNw9AR9UDNs9gTRc0kIIskTdgDVb0ghZ8KxTyP6dQ701Fkdqu01Tm5uXAY2et4lUjHjMSTLeu3WM-2sImi7RwUHJyPeuaifoNHA", 
"refresh_token": "eyJhbGciOiJSUzI1NiIsInR5cCI6IkpXVCJ9.eyJsb2dpbiI6Ilx1MDQxMFx1MDQzNFx1MDQzY1x1MDQzOFx1MDQzZFx1MDQzOFx1MDQ0MVx1MDQ0Mlx1MDQ0MFx1MDQzMFx1MDQ0Mlx1MDQzZVx1MDQ0MCIsImRvbWFpbiI6IiIsImlwX2FkZHIiOiIxMC4xMC4xMDAuNSIsImV4cCI6MTY5NjA1NzIzMywiaWF0IjoxNjk1OTcwODMzLCJ0eXAiOiJSZWZyZXNoIn0.WmrhrZVFRHd9avOc4hosrO8KoacZJEECCm5FHUO2oY6DR0IE3WfQdtqMOYHqV1JHlVyPiMmeZmbbtUu2foxiIMALTuy_6veTBzWMUeO-BpYImtAGua88kV4HuYNanRXTIWNeGWwTqia7y4zA1tJgDllllH7C4y6PKFfjPbbl44ZsN0bAWo-DGlPiEt96Z0fawThZbVdYAwQAPBVVzAT_YoMPFM9R9mDPeyO9TsaeW5MQg5N2CfOwygcQYvQlz_akNKCtpZpj89pUMLNVVh8zRMTm55437sjcjnYreAPM80SOPBkPVY5_4umae2ENbwZ7E6Ic-0iAtqE-y841Sp71ww"
}

Значение токена нужно скопировать, исключая кавычки, и подставлять его в последующих запросах.

Активация службы MS RDSH и настройка межсетевого экрана (Windows Firewall)

Предусмотрено несколько способов активации службы MS RDSH и настройки межсетевого экрана (Windows Firewall):

• с использованием веб-интерфейса сессионного Агента;
• с использованием утилиты curl.

В качестве примера используется адрес локальной установки сессионного Агента (запросы формируются на том же узле, где он установлен) — 127.0.0.1 и порт 31000.

Для активации службы MS RDSH и настройки Windows Firewall нужно:

• используя веб-браузер, перейти по адресу: 127.0.0.1:31000/docs;
• в разделе «Meta» раскрыть POST-запрос /meta/install_rds_role и нажать экранную кнопку [Try it out]:

• нажать экранную кнопку [Execute] для выполнения POST-запроса.

Успешное выполнение запроса сгенерирует ответ в поле «Response body». Значение строки {"result": "success"} свидетельствует об успешной активации службы MS RDSH и настройке Windows Firewall.

Для активации службы MS RDSH и настройки Windows Firewall нужно:

• открыть от имени администратора утилиту Командная строка;
• отправить POST-запрос:

curl.exe -X POST http://127.0.0.1:31000/meta/install_rds_role -H "accept: application/json" -H "Authorization: Bearer <значение строки access_token без кавычек>" -d ""

• успешное выполнение запроса сгенерирует ответ:

{"result": "success"}

• значение строки {"result": "success"} свидетельствует об успешной активации службы MS RDSH и настройке Windows Firewall.

Публикация приложения

Для публикации приложений с использованием данного варианта нужно:

• скачать утилиту RemoteApp Tool: https://github.com/kimmknight/remoteapptool#download;
• установить утилиту из msi-пакета, следуя инструкциям по установке;
• в окне утилиты нажать экранную кнопку «+» и указать расположение исполняемого файла публикуемого приложения;

• отображение приложения в окне утилиты свидетельствует о его успешной публикации.

Предусмотрено несколько способов публикации приложения с помощью сессионного Агента:

• с использованием веб-интерфейса сессионного Агента;
• с использованием утилиты curl.

curl.exe -X GET http://127.0.0.1:31000/meta/available_apps -H "accept: application/json" -H "Authorization: Bearer <значение строки access_token без кавычек>"

{"available_apps": {"Paint": "C:\\Windows\\system32\\mspaint.exe"}}

curl.exe -X POST http://127.0.0.1:31000/meta/applications -H "accept: application/json" -H "Authorization: Bearer <значение строки access_token без кавычек>" -H "Content-Type: application/json" -d "{ \"name\": \"Paint\", \"path\": \"C:\\Windows\\system32\\mspaint.exe\"}"

{"is_created": true}

Настройка Агента ВРМ

Для настройки Агента ВРМ нужно:

• перейти в «Пуск — Все программы», выбрать каталог «Termidesk» и запустить от имени администратора ярлык настройки Агента «Termidesk Agent»;
• при этом откроется окно «Настройка подключения».

• «Адрес сервера»: «10.100.8.15» — IP-адрес Универсального диспетчера;
• «Мастер-ключ»: «0123456789» — используется для взаимодействия с Универсальным диспетчером. Значение мастер-ключа можно получить в графическом интерфейсе управления Termidesk, перейдя в «Настройки - Системные параметры - Безопасность» и скопировав значение параметра «Мастер-ключ»;
• «Шифрование»: «Без шифрования» — выбран тип преобразования данных;
• «Уровень отладки»: «DEBUG» — выбрана степень детализации служебных сообщений.

Завершение настройки

После выполнения всех настроек нужно выключить ВМ.

Шаг 2. Активация экспериментального параметра метапоставщика в Termidesk

Для включения экспериментального параметра метапоставщика на узле с установленным Termidesk нужно:

• перейти в интерфейс командной строки;
• переключиться на пользователя termidesk:

sudo -u termidesk bash

Пользователь termidesk используется в качестве примера. При выполнении команд следует переключаться на пользователя, имеющего полномочия для управления Универсальным диспетчером.

/opt/termidesk/sbin/termidesk-vdi-manage tdsk_config set --section Experimental --key experimental.metasessions.provider.enabled --value 1

exit

Шаг 3. Предварительные настройки Termidesk

Добавление домена аутентификации

Для добавления домена аутентификации следует перейти «Компоненты — Домены аутентификации», затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «MS Active Directory (LDAP)».

• «Название»: «MS AD» — название домена аутентификации;
• «Приоритет»: «1» — приоритет отображения домена в списке;
• «Метка»: «msad» — значение используется для идентификации объекта во внутренней структуре данных Termidesk;
• «Сервер LDAP»: «10.0.100.100» — IP-адрес или доменное имя сервера службы каталогов;
• «Порт»: «389» — TCP-порт, на котором запущена служба каталогов;
  
• «Учетная запись»: «CN=admin,OU=user,DC=test,DC=desk» — учетная запись, используемая для подключения к службе каталогов;
• «Пароль учётной записи» — значение пароля субъекта с полномочиями для подключения к службе каталогов;
• «Таймаут»: «10» — время ожидания (в секундах) ответа сервера службы каталогов;
• «Base DN»: «CN=Users,DC=test,DC=desk» — корень поиска в службе каталогов в формате DN;
• «Список атрибутов пользователя»: «samaccountname» — список атрибутов, содержащий уникальные данные пользователя;
• «Имя атрибутов группы»: «group» — список атрибутов принадлежности к группе в домене аутентификации;
• «Атрибут имени группы»: «cn» — атрибут к которой относится субъект в домене аутентификации;
• «Атрибут членства в группе»: «member» — атрибут группы для назначения полномочий субъекту.

Добавление группы домена аутентификации

Для добавления группы следует перейти «Компоненты — Домены аутентификации», в столбце «Название» сводной таблицы нажать на наименование домена аутентификации «MS AD».

• «Группа»: «Пользователи домена» — название группы домена аутентификации;
• «Статус»: «Активный» — характеристика состояния субъектов группы при доступе к фонду РМ;
• «Тип учетной записи»: «Пользователь» — служебные функции субъектов группы при доступе к Termidesk.

Добавление параметров гостевой ОС

Для добавления параметров конфигурации гостевой ОС следует перейти «Компоненты — Параметры гостевых ОС», затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка тип «ОС Windows (в домене MS Active Directory)».

• «Название»: «ОС Windows (в домене MS Active Directory)» — наименование параметров гостевой ОС;
• «Домен»: «testers.termidesk» —  доменное имя службы каталогов MS AD;
• «Аккаунт»: «admin» — идентификатор субъекта, имеющий полномочия по добавлению РМ в домен;
• «Пароль» — набор символов, подтверждающий назначение полномочий;
• «OU»: «OU=user,DC=test,DC=desk» — идентификатор организационной единицы, в которую будут добавлены РМ.

Добавление протокола доставки

Для добавления протокола доставки следует перейти «Компоненты — Протоколы доставки», затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка соответствующий протокол.

• «Название»: «Прямой доступ к MS RDS по RDP» — текстовое наименование протокола доставки;
• «Приоритет»: «1» — приоритет отображения протокола в списке;
• «Время ожидания соединения»: «20» — при прямом подключении используется значение по умолчанию;
• «Порт»: «3389» — порт для подключения. Используется значение по умолчанию;
• «Поддержка CredSSP»: «Да» — разрешено использование технологии единого входа с помощью услуг безопасности Credential Security Service Provider;
• «Динамическое разрешение»: «Да» — разрешена передача динамического разрешения для экрана рабочего стола.

Добавление логотипов

Логотипы используются для визуальной идентификации объектов в Termidesk.

Для добавления логотипа следует перейти «Настройки — Галерея» и нажать экранную кнопку [Создать].

Добавление группы РМ

Для добавления группы РМ следует перейти «Настройки — Группы рабочих мест» и нажать экранную кнопку [Создать].

параметру «Приоритет» было задано значение «2» — приоритет отображения группы в списке.

Шаг 4. Добавление метапоставщика в качестве поставщика ресурсов в Termidesk

Добавление метапоставщика в качестве поставщика ресурсов

Для добавления метапоставщика в качестве поставщика ресурсов в графическом интерфейсе управления Termidesk следует перейти «Компоненты — Поставщики ресурсов», затем нажать экранную кнопку [Создать] и выбрать из выпадающего списка «Платформа oVirt/RHEV».

• «Название»: «winsrv-meta» — название поставщика ресурсов;
• «Версия oVirt»: «4.x» — выбрана версия установленной платформы виртуализации;
• «Адрес oVirt»: «10.100.8.18» — IP-адрес фронтальной машины платформы виртуализации;
• «Логин»: «admin@internal» — субъект, имеющий полномочия для управления платформой виртуализации;
• «Пароль» — вводится значение пароля субъекта с полномочиями для управления платформой виртуализации;
• «Подготавливать ВМ одновременно»: «2» — количество одновременно создаваемых ВМ на платформе виртуализации;
• «Удалять ВМ одновременно»: «2» — количество одновременно удаляемых ВМ с платформы виртуализации;
• «Время ожидания»: «10» — максимальное время ожидания (в секундах) отклика от платформы виртуализации.

Создание шаблона метапоставщика

Для добавления шаблона следует перейти «Компоненты — Поставщики ресурсов», в столбце «Название» сводной таблицы нажать на наименование поставщика ресурсов «winsrv-meta».

• «Название»: «metaprovider» — текстовое наименование шаблона РМ;
• «Кластер»: «Default» — идентификатор кластера на платформе oVirt/RHEV, используемый для размещения фондов РМ;
• «Хранилище»: «Data (289.00 Gb/114.00 Gb) (ok)» — хранилище, представленное в платформе виртуализации. Используется для размещения файлов ВМ, входящих в фонд РМ;
• «Место (Гб)»: «30» — минимально необходимое дисковое пространство на объекте «Хранилище» для размещения файлов ВМ, входящих в фонд РМ;
• «Базовая ВМ»: «Windows_Meta» — единый базовый образ, используемый для тиражирования РМ;
• «Память»: «2048» — объем оперативной памяти, выделяемый РМ;
• «Гарантированная память»: «2048» — минимальный объем оперативной памяти, резервируемый для РМ;
• «USB»: «отключен» — политика разрешения доступа к USB-портам;
• «Дисплей»: «Spice» — используемый протокол удаленного доступа к РМ;
• «Базовое имя»: «metacl-» — часть текстового наименования, используемая в идентификаторе каждого РМ;
• «Длина суффикса»: «3» — длина порядкового номера текстового наименования, используемая в идентификаторе каждого РМ.

Создание фонда РМ на основе метапоставщика

Для добавления нового фонда РМ следует перейти «Рабочие места — Фонды», нажать экранную кнопку [Создать] и из выпадающего списка выбрать тип мастера публикации: «Виртуальные машины».

• «Название»: «winsrv-meta» — название фонда РМ;
• «Имя публикации»: «метапоставщик MS RDSH» — название публикации;
• «Шаблон»: «winsrv-meta\metaprovider» — используемый шаблон при создании РМ;
• «Максимальное количество рабочих мест»: «2» — максимальное количество РМ в фонде.

• «Изображение»: «Windows logo» — выбрано графическое представление фонда РМ;
• «Группа»: «Сервер Терминалов» — группа РМ, в которой будет отображаться созданный фонд РМ;
• «Параметры гостевой ОС»: «ОС Windows (в домене MS Active Directory)» — параметры конфигурации гостевой ОС, которые будут использованы при создании РМ;
• «Протоколы доставки»: «Прямой доступ к MS RDS по RDP» — выбор одного или нескольких протоколов доставки, которые будут доступны для фонда РМ;
• «Кеш рабочих мест 1-го уровня»: «2» — количество созданных, настроенных и запущенных РМ в фонде;
• «Кеш рабочих мест 2-го уровня»: «0» — количество созданных, настроенных и выключенных РМ.

При задании количества рабочих мест в кеше 1-го уровня следует учитывать, что метапоставщик будет выполнять балансировку нагрузки между созданными РМ.

Публикация фонда РМ на основе метапоставщика

Публикация фонда РМ позволяет создать заданное в настройках количество РМ в фонде или обновить уже имеющиеся в фонде РМ и подготовить их для дальнейшего использования.

Для публикации фонда РМ следует перейти «Рабочие места — Фонды» и в сводной таблице в столбце «Фонд рабочих мест» выбрать наименование фонда РМ.

Перед публикацией обязательно проверить, что для фонда РМ используется политика «Действие при выходе пользователя из ОС» со значением «Нет», для этого выбрать наименование фонда РМ и нажать экранную кнопку [Политики].

Шаг 5. Публикация фонда с приложением на базе метапоставщика

Создание публикации фонда с приложением на базе метапоставщика

Для публикации фонда с приложением на базе метапоставщика следует перейти «Рабочие места — Фонды», нажать экранную кнопку [Создать] и из выпадающего списка выбрать тип мастера публикации: «Публикация служб Метапоставщика».

• «Название»: «RemoteApp» — название поставщика ресурсов;
• «Порт сессионного агента»: «31000» — номер порта сессионного Агента. Установлено значение по умолчанию;
• «Домен»: «termidesk.local» — наименование домена для подключения к серверу терминалов;
• «Логин»: «user1» — субъект, имеющий полномочия администратора для управления ОС Microsoft Windows Server 2019;
• «Пароль» — вводится значение пароля субъекта с полномочиями администратора для управления ОС Microsoft Windows Server 2019;
• «Фонд»: «winsrv-meta» — сервисный фонд для размещения РМ;
• «Использовать HTTPS»: «Нет» — использование протокола HTTPS для запросов к сессионному Агенту отключено;
• «Проверка сертификата»: «Нет» — проверка подлинности сертификата при запросах к сессионному Агенту отключена;
• «Соиспользование сессий»: «Да» — использование метода балансировки, основанного на совместном использовании сессии приложениями;
• «Балансировка по метрикам»: «Нет» — балансировка подключений при доступе к опубликованным приложениям отключена.

• «Название»: «Paint» — название фонда публикуемого приложения;
• «Изображение»: «Paint logo» — выбор графического представления фонда;
• «Группа»: «Приложения» — выбор группы РМ, в которой будет отображаться созданный фонд.

Публикация фонда РМ

При создании фонда РМ с публикацией приложений на основе метапоставщика публикация фонда не требуется.

Шаг 6. Настройка фонда РМ с публикацией приложения

Настройка обеспечения безопасности на уровне сети (RDP)

Для настройки обеспечения безопасности на уровне сети следует перейти «Рабочие места — Фонды», в сводной таблице в столбце «Фонд рабочих мест» выделить фонд с опубликованным приложением и нажать экранную кнопку [Политики].

Шаг 7. Получение приложения через Клиент Termidesk

Для получения приложения через Клиент нужно:

• нажать экранную кнопку [Добавить сервер];

• «Аутентификация»: «MS AD» — выбор домена аутентификации, настроенного в шаге 4;
• «Логин»: «user1» — идентификатор субъекта в домене аутентификации (совпадает с идентификатором субъекта в службе каталогов);
• «Тип пароля»: «Клавиатурный пароль» — выбор типа пароля для аутентификации;
• «Пароль» — набор символов, подтверждающий назначение полномочий.

Для подключения к опубликованному приложению без подтверждения рекомендуется включить параметр «Больше не выводить запрос о подключениях к этому компьютеру».