Configuration du SSO sur une ferme RDS (Windows Server 2012/2016/2019)

#Pré-requis:

Certificat SSL public ou CA Interne avec le même nom partout (RD Web, gateway)

#Configuration sur le Broker

Renommer l’URL du RD Web pour matcher le certificat

Script: https://gallery.technet.microsoft.com/Change-published-FQDN-for-2a029b80

Set-RDPublishedName « remote.contoso.com »

Modifier les 2 fichiers suivants:

C:\windows\Web\RDWeb\Pages\Web.config

Ligne 71:

      <authentication mode= »Windows »/>

     

      <!–

      authentication mode= »Forms »>

          <forms loginUrl= »default.aspx » name= »TSWAAuthHttpOnlyCookie » protection= »All » requireSSL= »true » />

      </authentication> –>

      <webParts>

          <personalization defaultProvider= »TSPortalProvider »>

            <providers>

              <add name= »TSPortalProvider » type= »Microsoft.TerminalServices.Publishing.Portal.TSPortalProvider »/>

          </providers>

          <authorization>

              <allow users= »* » verbs= »enterSharedScope »>

              </allow>

          </authorization>

        </personalization>

      </webParts>

      <httpRuntime targetFramework= »4.5″ />

  </system.web>

  <system.webServer>

    <handlers>

        <add name= »PagesWebFeedHandler » path= »WebFeed.aspx » verb= »* » type= »Microsoft.TerminalServices.Publishing.Portal.PagesWebFeedHandler » preCondition= »integratedMode »/>

    </handlers>

    <!–modules runAllManagedModulesForAllRequests= »true »>

      <remove name= »FormsAuthentication » />

      <add name= »RDWAFormsAuthenticationModule » type= »Microsoft.TerminalServices.Publishing.Portal.FormAuthentication.TSDomainFormsAuthentication » />

    </modules> –>

    <!–security>

   

        <authentication>

            <windowsAuthentication enabled= »false » />

            <anonymousAuthentication enabled= »true » />

        </authentication>

    </security> –>

   

    <httpRedirect enabled= »false » />

  </system.webServer>

Et le fichier c:\Window\Web\RDWeb\pages\en-us\default.aspx

// Page Variables

    //

    public string sHelpSourceServer, sLocalHelp, sRDCInstallUrl, strWorkspaceName;

    public Uri baseUrl, stylesheetUrl, renderFailCssUrl;

    public bool bShowPublicCheckBox = false, bPrivateMode = true, bRTL = false;

# Faire une GPO avec les paramètres suivants:

Computer\Policies\Administrative Templates\System\Credential delegation

Allow delegating default credential

TERMSRV/rdsgw.domaine.com

TERMSRV/srv-rds1.domaine.local

TERMSRV/srv-rds2.domaine.local

TERMSRV/srv-broker.domaine.local

Allow delegating default credentials with NTLM-only server authentication

TERMSRV/rdgw.domaine.com
TERMSRV/srv-broker.domaine.local

Windows Components/Internet Explorer/Internet Control Panel/Security Page/Trusted Sites Zone

Logon options Automatic logon with current username and password

Specify SHA1 thumbprints of certificates representing trusted .rdp publishers Enabled  
Comma-separated list of SHA1 trusted certificate thumbprints: DGFHFGHQM34552WFXV2121212QQ33
   

>> pour récuperer l’empreinte, sur le broker faire en powershell

Get-Childitem CERT:\LocalMachine\My

 

user\Windows Components/Remote Desktop Services/RD Gateway

Set RD Gateway authentication method Use locally logged-on credentials

# Faire une GPO pour publier les remote app dans le menu démarrer (windows 8 et ultérieur)

User\policies\Windows Components/Remote Desktop Services/RemoteApp and Desktop Connections

​#Modifier le nom du Work Resource

Sur le Broker:

Set-RDWorkspace -name « My Apps » -ConnectionBroker « srv-broker.domaine.local »​

Configuration du SSO sur une ferme RDS (Windows Server 2012/2016/2019)

Générer un rapport HPE ADU sous VMware

Si le support HPE vous demande un rapport ADU , et que vous ne souhaitez pas éteindre le serveur pour démarrer sur l’Intelligent Provisionning

installer vSphere CLI 6.0 (la version 6.5 semble ne pas fonctionner correctement car n’intègre pas PERL)
https://code.vmware.com/tool/vsphere-cli/6.0​
# Pré-requis : Vmware ESXi 5/6/6.5 version HPE

Installer SSACLI https://support.hpe.com/hpsc/swd/public/detail?swItemId=MTX_32494330c1cd4e15ace55b1e53&swEnvOid=4064# ,

dézipper , ne pas installer

#copier ssa ssaducliexe et ssaduesxi.exe dans

C:\Program Files (x86)\VMware\VMware vSphere CLI\bin

#Recuperer l’empreinte du du serveur
C:\Program Files (x86)\VMware\VMware vSphere CLI\bin> esxcli.exe –server=[ip_serveur] –user=root –password=[password]
Connect to [ip_serveur] failed. Server SHA-1 thumbprint: BD:F9:D9:40:35:77:E9:AA:8F:BC:04:42:97:AA:A7:4E:AA:E5:BB:4D (not trusted).

#Aller dans
C:\Program Files (x86)\VMware\VMware vSphere CLI\Perl\apps\general>
credstore_admin.pl add –server 192.168.0.247 –thumbprint C7:36:00:FC:32:CB:E0:F1:9C:47:41:90:CB:CC:96:61:2F:81:59:20

#Aller dans C:\Program Files (x86)\VMware\VMware vSphere CLI\bin
Ssaduesxi –server=192.168.0.247 –user=root –password=password –file=adureport.zip

Générer un rapport HPE ADU sous VMware