Web site funciona bem no servidor de terminal, mas tem problemas como um RemoteApp

2

Eu configurei um servidor de terminal do Windows Server 2008 R2 com o único propósito de executar um aplicativo baseado na web que possui requisitos de sistema absolutamente ridículos (IE7, Java 6 atualização 3, Acrobat 9.5). É um software terrível, mas estamos presos a isso.

Devido às implicações de segurança da execução de software desatualizado, o servidor de terminal é isolado do restante da rede e tem uma diretiva de grupo totalmente bloqueada aplicada a ele, para que ele possa executar somente o Internet Explorer, e só pode navegar para esse URL. Este servidor não recebe nenhuma atualização do Windows. O servidor também se reinicializa todas as noites e limpa todos os perfis de usuário.

Para a conveniência de nossos usuários, configuro-o para executar o IE como um RemoteApp, de modo que ele apenas apareça para o usuário como um aplicativo normal em que eles clicam duas vezes em sua área de trabalho. Isso costumava funcionar bem, até que um dia parou, sem motivo que eu possa pensar.

Aqui estão os sintomas:

  • Se o usuário clicar duas vezes no ícone RemoteApp na área de trabalho, o IE abrirá uma página em branco com o URL correto na barra de endereço. Atualizar a página não faz nada, nem copiar / colar o URL na barra de endereço.
  • Se o usuário fizer login no servidor de terminal usando uma sessão da área de trabalho totalmente interativa (não por meio do RemoteApp), a página funcionará bem.
  • Depois de navegar para a página com êxito no modo de área de trabalho completa, o usuário pode fazer logoff e usar a versão do RemoteApp bem para o resto do dia.

Isso obviamente tem algo a ver com o perfil do usuário. Eu posso quebrá-lo novamente sob demanda limpando o perfil manualmente. O problema é que eu não quero remover a limpeza do perfil noturno porque começamos a executar problemas de armazenamento em cache mais tarde (é por isso que a limpeza do perfil foi implementada em primeiro lugar).

O aplicativo não usa nenhum controle ActiveX personalizado. O fornecedor diz que executá-lo em um ambiente de servidor de terminal é uma configuração não suportada (porque é claro que eles diriam isso), então eles não ajudam.

Alguma idéia?

    
por Wes Sayeed 14.01.2015 / 21:40

1 resposta

2

Eu encontrei a resposta. Temos um objeto genérico de política de grupo do IE que usamos em servidores de terminal, e esse servidor de terminal específico tem seu próprio GPO de bloqueio do IE (para evitar que ele navegue na Internet). No AD, o servidor está em seu próprio contêiner com herança bloqueada.

Alguém marcou a política genérica do IE como reforçada, o que não apenas rompeu o bloqueio de herança, mas também a colocou em primeiro lugar na ordem de precedência. A simples remoção da imposição do GPO resolveu o problema.

Não é realmente útil para a Internet em geral. Basta postar isso como um lembrete para verificar a herança do seu GPO quando você se deparar com configurações complicadas do servidor que funcionam um dia e, de repente, não o próximo.

    
por 03.02.2015 / 23:29