Optimisation coté Serveur

Divers changements relatifs aux politiques de sécurité et à la Base de Registre Windows sont présentés.

Paramètres de performance du système

Pour améliorer les performances globales du système serveur, les modifications suivantes sont vivement conseillées.

• Ouvrir les Propriétés du Système (Clic-droit sur 'Ce Pc', 'Propriétés').
• Cliquer sur 'Paramètres système avancés'.
• Dans l'onglet 'Paramètres système avancés', zone 'Performances', cliquer sur le bouton 'Paramètres...'.

• Dans la fenêtre 'Options de performance' cliquer sur l'onglet 'Effets visuels'.
• Cocher la case 'Ajuster afin d'obtenir les meilleures performances'.
• Si certaines applications exploitent des polices ClearType, la case 'Lisser les polices écran' pourra être cochée.
• Cliquer sur 'Appliquer' pour appliquer les changements.

• Dans la fenêtre 'Options de performance' cliquer sur l'onglet 'Avancé'.
• Dans la zone 'Performances des applications' Cocher la case 'Ajuster pour obtenir les meilleures performances pour Les Programmes'.
• Cliquer sur 'Appliquer' pour appliquer les changements.

Gestion de la mémoire virtuelle

Un fichier d'échange est une zone du disque que le sytème Windows utilise comme s'il s'agissait de mémoire vive (RAM). Une taille de fichier d'échange insuffisante peut provoquer des échecs d'allocation de mémoire dans les applications ou les composants du système.

Le compteur de performance 'mémoire - octets alloués' peut permettre de surveiller la quantité de mémoire virtuelle engagée sur le système. Cette dernière pourra être augmentée au besoin dans les Paramètres système avancés.

Antivirus

L’installation d’un logiciel antivirus sur un serveur hôte de session Bureau à distance affecte les performances globales du système, notamment l’utilisation du processeur.

Il est recommandé d’exclure de la liste de surveillance active tous les dossiers qui contiennent des fichiers temporaires, en particulier ceux qui sont générés par les Services Windows et d’autres composants système ou applicatifs (comme un Serveur de Bases de Données).

Planificateur de tâches

Le Planificateur de tâches Windows peut permettre d’examiner la liste des tâches qui sont planifiées pour des événements différents.

Pour un serveur hôte de session Bureau à distance, il est utile de se concentrer spécifiquement sur les tâches qui sont configurées pour s’exécuter en arrière-plan, lors de la connexion de l’utilisateur et lors de l'ouverture et de la fermeture de session.

En raison des spécificités de fonctionnement des serveurs Windows, un grand nombre de ces tâches peuvent être inutiles.

Icônes de notification du Bureau

Les icônes de notification sur le Bureau peuvent avoir des mécanismes d’actualisation relativement coûteux en ressources. Ces notifications peuvent être désactivées en vérifiant la liste des composants exécutés au démarrage ou en modifiant la configuration des applications et des composants système.

Les paramètres 'Notifications et actions' permettent d'examiner la liste des notifications disponibles sur le serveur.

Gestion de la qualité d'affichage RDP

Il sera possible de réduire fortement la bande passante exploitée par le protocole RDP en modifiant certaines des stratégies locales associées aux Services Bureau à Distance.

• Ouvrir l'éditeur de stratégie de groupe locale via la commande 'Exécuter' (Win+R) et saisir la commande 'gpedit.msc'.
• Naviguer vers 'Configuration Ordinateur > Modèles d'administration > Composants Windows > Services Bureau à distance > Hôte de la session Bureau à distance > Environnement de session à distance'.
• Le paramètre 'Limiter le nombre maximal de couleurs' peut être activé avec un niveau d'intensité de couleur de 16 bits.
• Le paramètre 'Forcer la suppression du papier peint du Bureau à distance' peut être activé.
• Le paramètre 'Configurer la compression pour les données RemoteFX' peut être activé avec la valeur 'Optimisé pour utiliser moins de bande passante réseau'.
• Le paramètre 'Configurer la qualité d'image pour RemoteFX Adaptative Graphics' peut être activé avec la valeur 'Moyenne'.
• Le paramètre 'Configurer la qualité d'image pour RemoteFX Adaptative Graphics' peut être activé avec la valeur 'Moyenne'.
• Naviguer vers 'Configuration Ordinateur > Modèles d'administration > Composants Windows > Services Bureau à distance > Hôte de la session Bureau à distance > Environnement de session à distance > RemoteFX pour Windows Server 2008 R2'.
• Le paramètre 'Optimiser l'expérience visuelle en utilisant RemoteFX' peut être activé avec taux de rafraichissement bas et une qualité d'image basse.
• Le paramètre 'Optimiser l'expérience visuelle pour les sessions de services Bureau à distance' peut être activé avec une expérience visuelle 'Texte'.

Après avoir appliqué les changements ci-dessus, ouvrir une invite de commande Dos et exécuter la commande 'gpupdate /force' afin de mettre à jour les stratégies locales. Les changements apportés seront appliqués à la prochaine connexion.

Compression des données de protocole RDP

La compression de protocole RDP (Remote Desktop Protocol) peut être configurée à l’aide de stratégie de groupe sous 'Configuration Ordinateur > Modèles d'administration > Composants Windows > Services Bureau à distance > Hôte de la session Bureau à distance > Environnement de session à distance'.
Le paramètre 'Configurer la compression pour les données RemoteFX' dispose de trois valeurs :

• Optimisé pour utiliser moins de mémoire : Consomme la quantité de mémoire minimale par session, mais dispose du taux de compression le plus faible et, par conséquent, la consommation de bande passante la plus élevée.
• Équilibre la mémoire et la bande passante réseau : Une consommation de bande passante réduite tout en renforçant la consommation de mémoire (environ 200 Ko par session).
• Optimisé pour utiliser moins de bande passante réseau : Réduit davantage l’utilisation de la bande passante réseau mais augmente la consommation mémoire d’environ 2 Mo par session. Il sera nécessaire de tester cette valeur dans un environnement de recette en évaluant le nombre de sessions simultanées avant de placer le serveur dans l'environnement de production.

Si ce Paramètre est désactivé, certaines données graphiques seront tout de même compressées au travers du protocole RDP.

Après avoir appliqué les changements ci-dessus, ouvrir une invite de commande Dos et exécuter la commande 'gpupdate /force' afin de mettre à jour les stratégies locales. Les changements apportés seront appliqués à la prochaine connexion.

Désactiver les polices ClearType

Les polices ClearType améliorent la lisibilité du texte à l'écran, mais consomment également une bande passante supplémentaire.
Pour désactiver les polices ClearType :

• Ouvrir le Panneau de configuration > Polices > Ajuster le texte ClearType.
• Si la case 'Activer ClearType' est cochée, la décocher pour désactiver les polices ClearType, puis cliquez sur le bouton 'Suivant'.
• Cela lancera un assistant qui permettra d'adapter l'affichage.
• Ce changement peut réduire la bande passante jusqu'à 10 %.

Redirection des périphériques

Les paramètres ci-dessous sont connus pour améliorer les performances du protocole RDP car ils réduisent l'utilisation de la bande passante du réseau ainsi que la charge du serveur et du client dans le traitement des données RDP.

Par défaut, les clients de connexion RDP activent la redirection de certaines ressources locales vers le serveur distant. Il est donc recommandé d'adapter la stratégie de groupe au niveau du serveur.

Redirection des Imprimantes

Omniware dispose de son propre mécanisme d'impression qui ne nécessite pas de devoir rediriger les imprimantes de l'utilisateur lors d'une connexion au serveur.

• Ouvrir l'éditeur de stratégie de groupe locale via la commande 'Exécuter' (Win+R) et saisir la commande 'gpedit.msc'.
• Naviguer vers 'Configuration Ordinateur > Modèles d'administration > Composants Windows > Services Bureau à distance > Hôte de la session Bureau à distance > Redirection de l'imprimante'.
• Le paramètre 'Ne pas définir l'imprimante par défaut du client comme imprimante par défaut d'une session' peut être activé.
• Le paramètre 'Ne pas autoriser la redirection de l'imprimante client' peut être activé.
• Le paramètre 'Rediriger uniquement l'imprimante client par défaut' peut être activé.

Redirection des périphériques additionnels

Les paramètres ci-dessous permettent de limiter la redirection de ressources supplémentaires entre l'ordinateur client et le serveur. Une étude préalable des besoins utilisateurs en matière de redirection des périphériques additionnels devra être réalisée.

• Ouvrir l'éditeur de stratégie de groupe locale via la commande 'Exécuter' (Win+R) et saisir la commande 'gpedit.msc'.
• Naviguer vers 'Configuration Ordinateur > Modèles d'administration > Composants Windows > Services Bureau à distance > Hôte de la session Bureau à distance > Redirection de périphérique et de ressource'.
• Le paramètre 'Ne pas autoriser la redirection de lecteur' devrait être désactivé. En effet, l'exploitation de l'imprimante Omniware 'Universal Printer' nécessite que le Client de Connexion Omniware soit configuré pour permettre la redirection du lecteur Système (C:\) de l'ordinateur client.
• Le paramètre 'Autoriser la redirection de la lecture audio et vidée' peut être désactivé.
• Le paramètre 'Autoriser la redirection de l'enregistrement audio' peut être désactivé.
• Le paramètre 'Ne pas autoriser la redirection du Presse-papier' devrait être désactivé. En effet, si ce paramètre est activé, l'utilisateur ne pourra pas effectuer de copier-coller depuis l'ordinateur distant vers le serveur.
• Le paramètre 'Ne pas autoriser la redirection de port COM' peut être activé.
• Le paramètre 'Ne pas autoriser la redirection du périphérique lecteur de carte à puce' peut être activé.
• Le paramètre 'Autoriser la redirection du fuseau horaire' peut être désactivé.

Après avoir appliqué les changements ci-dessus, ouvrir une invite de commande Dos et exécuter la commande 'gpupdate /force' afin de mettre à jour les stratégies locales. Les changements apportés seront appliqués à la prochaine connexion.

Optimisation coté Client

Les ordinateurs déployés dans les entreprises exploitent généralement plusieurs applications simultanément et peuvent disposer de plusieurs moniteurs.

Les quelques rêgles présentées ci-dessous permettent d'améliorer les performances de l'ordinateur Client.

Paramètres de performance du système

Pour améliorer les performances globales du système d'exploitation, les modifications suivantes sont vivement conseillées.

• Ouvrir les Propriétés du Système (Clic-droit sur 'Ce Pc', 'Propriétés').
• Cliquer sur 'Paramètres système avancés'.
• Dans l'onglet 'Paramètres système avancés', zone 'Performances', cliquer sur le bouton 'Paramètres...'.

• Dans la fenêtre 'Options de performance' cliquer sur l'onglet 'Effets visuels'.
• Cocher la case 'Ajuster afin d'obtenir les meilleures performances'.
• Si certaines applications exploitent des polices ClearType, la case 'Lisser les polices écran' pourra être cochée.
• Cliquer sur 'Appliquer' pour appliquer les changements.

Configuration du Client de Connexion

Par défaut, le Client Microsoft Connexion Bureau à distance choisit automatiquement le paramètre d’expérience approprié en fonction de l’aptitude de la connexion réseau entre l'ordinateur client et le serveur distant.

Cependant, si aucune optimisation de la Gestion de la qualité d'affichage RDP n'a été apportée sur le serveur distant, les utilisateurs expérimentés peuvent contrôler une gamme de paramètres qui influencent les performances de la bande passante réseau pour la connexion à distance.

Les paramètres suivants sont accessibles depuis l’onglet 'Expérience' du Client Microsoft Connexion Bureau à distance.

• 'Arrière-plan du Bureau' : Désactiver ce paramètre perment de ne pas afficher le papier peint du Bureau distant. Ce paramètre peut réduire considérablement l’utilisation de la bande passante si le papier peint du Bureau distant est constitué d’une image.
• 'Lissage des polices' : Ce paramètre contrôle la prise en charge de la conversion des polices ClearType. Lorsque la connexion est réalisée vers des ordinateurs exécutant Windows 8 ou Windows Server 2012 et versions ultérieures, l’activation ou la désactivation de ce paramètre n’a pas d’impact significatif sur l’utilisation de la bande passante.
  Toutefois, pour des systèmes d'exploitation tels que Windows 7 et Windows 2008 R2, l’activation de ce paramètre a une incidence significative sur la consommation de bande passante.
• 'Composition du Bureau' : Le protocole RDP a été étendu pour prendre en charge le rendu de la composition de Bureau par l'ordinateur client. Pour ce faire, des commandes de composition sont transmises depuis le serveur au Client Microsoft Connexion Bureau à Distance. Le client interprète ces commandes et traite le rendu du Bureau distant. Les commandes de composition entraînent une augmentation de la consommation de bande passante.
  Ce paramètre est pris en charge uniquement pour une session à distance vers un ordinateur exécutant Windows 7 ou Windows Server 2008 R2.
• 'Afficher le contenu des fenêtre pendant leur déplacement' : Lorsque ce paramètre est désactivé, il perment de réduire la bande passante en affichant uniquement le cadre de la fenêtre au lieu de tout le contenu quand la fenêtre est déplacée.
• 'Animation des menus et des fenêtres' : Lorsque ce paramètre est désactivé, il perment de réduire la bande passante en désactivant l’animation dans les menus (tels que le fondu) et les curseurs.
• 'Styles visuels' : Ce paramètre contrôle l'utilisation du thème graphique et autres styles visuels configurés au niveau du serveur distant. Ce paramètre peut être activé si les postes clients et le serveur se trouvent dans le même LAN.
• 'Mise en cache permanente des bitmaps' : Lorsque ce paramètre est activé, il crée un cache côté client des bitmaps qui sont affichés dans la session distante.
  Ce paramètre offre une amélioration significative de l’utilisation de la bande passante et devrait toujours être activé (à moins qu’il n’y ait d’autres considérations relatives à la sécurité).

L'onglet 'Affichage' permet de configurer le dimensionnement du Bureau à distance, d'exploiter le mode multi-moniteurs et de sélectionner le nombre de couleurs qui seront restituées lors de la session distante.. Une intensité de couleur de 16 bits est tout a fait suffisante pour une utilisation classique du Bureau distant.

Une fois les paramètres de connexion configurés, l'utilisateur pourra enregistrer ces derniers dans un fichier .rdp en cliquant sur le bouton 'Enregistrer sous' dans l'onglet 'Général'.

Options d'Alimentation

Les systèmes d'exploitation Windows disposent de modes de gestion de l'alimentation. Ces modes permettent, entre autre de gérer l'extinction du moniteur, la mise en veille du système, l'arrêt du disque-dur après une période d'inactivité.

Si l'ordinateur client exploite une carte réseau Wifi, Il est recommandé de modifier les paramètres avancés du mode de gestion de l'alimentation afin de désactiver le mode économie d'énergie des cartes sans fil.

La fonctionnalité ‘Ouvrir les Fichiers côté Client’

La fonctionnalité ‘Ouvrir les Fichiers Côté Client’ (‘Open Document On Client’ en anglais) permet de télécharger et d’ouvrir les documents sur l’ordinateur client. Il est nécessaire de définir les extensions de fichiers associés à la fonctionnalité.

Cette fonctionnalité est compatible avec le Client Généré (.connectt), le Client de Connexion HTML5 et le Client RemoteApp lorsque ce dernier est activé sur le Portail Web. L’utilisation de tout autre type de client - comme Microsoft Connexion Bureau à Distance – produira le message suivant :

Activer la Fonctionnalité sur le Serveur

Depuis la Console d’Administration, cliquer sur le menu ‘Sessions’, puis sur le bouton ‘Ouvrir les Documents côté client’.

Le bouton ‘Ajouter un nouveau type de fichier’ permet d’ajouter les extensions de fichiers qui seront pris en charge.
Le bouton ‘Ajouter des fichiers de type Office’ permet d’associer tous les types de fichiers Office afin que ces derniers soient ouverts sur le poste client.
Pour fermer la fenêtre de configuration, cliquer sur la croix en haut à droite de la fenêtre.
A présent, le système d’exploitation serveur est configuré pour utiliser la fonctionnalité en fonction des extensions définies. Les fichiers seront traités par l’exécutable C:\wsession\OpenOnClient.exe.

Les fichiers associés à l’ouverture des fichiers côté client disposent d’une icône spécifique :

Si des scripts sont utilisés pour générer des fichiers spécifiques qui doivent ensuite être utilisés sur l’ordinateur de l’utilisateur, il sera possible d’automatiser l’ouverture des fichiers côté client.
Une fois le fichier créé via le script, il suffira d’appeler l’exécutable OpenOnClient.exe en lui passant en paramètre le nom du fichier précédemment généré.
Exemple : C:\wsession\OpenOnClient.exe ‘’D:\App01\Exportation\export_2021-01-15.csv’’.

Par défaut, lorsqu’un fichier est associé à la fonctionnalité ‘Ouverture des Fichiers côté Client’, un nouveau nom de fichier est généré lors de la copie sur le poste client.
Ce nom de fichier est de la forme '[numéro de la session utilisateur]_[nom du fichier].[extension]'. Cela évite un problème lorsque plusieurs utilisateurs interagissent avec le même fichier.

Ce mode de fonctionnement peut être désactivé, afin que le fichier garde le même nom lors du transfert sur l’ordinateur client.
Depuis la Console d’Administration, cliquer sur le menu ‘Avancé’. Sur la partie droite, cliquer sur le menu ‘Session’, puis sur le paramètre ‘Ouverture de fichier côté client – Conserver le nom original du fichier’.

Utilisation avec le Client de Connexion Généré

Afin de pouvoir exploiter la fonctionnalité ‘Ouverture des Fichiers Côté Client’ au travers du Client Généré (avec mode d’affichage RDP ou RemoteApp) il sera nécessaire d’autoriser l’accès aux disques locaux du poste client.
Dans L’onglet ‘Local ressources’ du Générateur de Client, cocher la case ‘Disks’.

Par défaut, l’ensemble des disques locaux du poste client seront accessibles depuis le serveur.
Cependant il est possible de limiter l’accès qu’à certains lecteurs. Par exemple si seuls le lecteur système et le lecteur E: doivent être accessibles depuis le serveur, il suffira de remplacer le texte ‘all’ par ‘C:,E:’.

Sur l’ordinateur client, les fichiers transférés via la fonctionnalité ‘Ouverture des Fichiers côté Client’ sont stockés dans le répertoire C:\WebTemp.

Utilisation avec le Client de Connexion HTML5

Pour exploiter la fonctionnalité via le Client de Connexion HTML5 – au travers du navigateur Internet – il suffit de double-cliquer sur le fichier qui devra être transféré sur l’ordinateur client. Les fichiers associés à l’ouverture des fichiers côté client disposent d’une icône spécifique :

Ces fichiers seront copiés dans le répertoire ‘Téléchargements’ configuré dans le navigateur Internet (par défaut il s’agit de ‘cd %userprofile%\downloads’).

Utilisation avec le Client de Connexion HTML5 RemoteApp

Le mode d’accès RemoteApp peut être activé depuis la Console d’Administration, onglet ‘Web’, ‘Portail Web’, bouton ‘Préférences du Portail Web’.

Afin de pouvoir exploiter la fonctionnalité ‘Ouverture des Fichiers Côté Client’ au travers du Client RemoteApp (plugin téléchargeable depuis le Portail Web) il sera nécessaire d’autoriser l’accès aux disques locaux du poste client.

Il sera nécessaire d’éditer le fichier ‘remoteapp2.js’ accessible depuis le répertoire d’installation [Répertoire d’installation]\Clients\www\Software\remoteapp2.js.
Rechercher la variable ‘var remoteapp2_disk’ et assigner la valeur 1.
var remoteapp2_disk = '1';

Sur l’ordinateur client, les fichiers transférés via la fonctionnalité ‘Ouverture des Fichiers côté Client’ sont stockés dans le répertoire C:\WebTemp.

Client HTML5 - Automatiser le téléchargement des fichiers

Par défaut, les navigateurs Microsoft Edge et Google Chrome sont configurés pour télécharger automatiquement les fichiers. Mais d’autres navigateurs proposent soit d’ouvrir, soit de télécharger les fichiers.

Pour la configuration des actions concernant Mozilla Firefox, se référer à la page suivante de la documentation officielle :
https://support.mozilla.org/fr/kb/changer-ce-que-fait-firefox-lorsque-vous-cliquez-telechargez-fichier

Pour la configuration des actions concernant Apple Safari, se référer à la page suivant de la documentation officielle :
https://support.apple.com/fr-fr/guide/safari/sfri40598/mac

Automatiser le Déplacement des fichiers coté Client

Certains clients exploitent une application locale, installée sur le poste client, dont l’un des rôles est le traitement de fichiers (applications comptables par exemple).
Les fichiers transmis depuis le serveur via la fonctionnalité ‘Ouverture des Fichiers côté Client’ doivent être déplacés vers un espace disque spécifique.

Nous préconisons l’utilisation du logiciel d’automatisation MoveOut, car il est simple d’utilisation et efficace. MoveOut permet de définir des taches d’écoute d’un répertoire source, et des actions de déplacement vers une destination, en fonction de l’extension des fichiers. Il est possible de définir l’intervalle de consultation (en secondes). Une fois les actions définies, ces dernières sont stockées dans un fichier nommé ‘MoveOut.ini’. Il est donc très facile de dupliquer une configuration sur d’autres ordinateurs.

Pour exécuter le logiciel dès le démarrage de l’ordinateur utilisateur, il suffira de créer un raccourci de l’exécutable ‘MoveOut.exe’ puis de copier ce dernier dans le répertoire C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp.

Lien de téléchargement de MoveOut :
https://www.dcmembers.com/skrommel/download/moveout/

Utilisation d’un FTP pour le dépôt des fichiers

La fonctionnalité ‘Ouverture des Fichiers côté Client’ permet aux utilisateurs de consulter et modifier les fichiers depuis leur poste de travail. Cependant, cette fonction ne prend pas en charge la mise à jour du fichier sur le serveur distant. L’utilisateur doit donc déposer les fichiers modifiés localement sur le serveur distant. Pour ce faire, l’utilisateur dispose de plusieurs méthodes, en fonction du mode de connexion.

• Utilisation de la barre HTML5 et le transfert de fichiers pour le mode de connexion HTML5.
• Utilisation du Copier-Coller depuis le poste client vers le serveur pour le mode de connexion RDP / RemoteApp.

Une autre solution consiste à mettre en place un service FTP (File Tranfer Protocol) qui puisse permettre aux utilisateurs d’accéder aux ressources distantes depuis leur poste de travail. Ainsi les fichiers pourront être consultés ou modifiés sans nécessairement devoir ouvrir une session à distance.
Sur l’ordinateur de l’utilisateur, il sera possible de déployer un lecteur réseau associé au compte FTP de l’utilisateur. Ainsi l’utilisateur aura accès uniquement aux ressources distantes qui lui auront été assigné.

Installation et configuration du Serveur FTP

L’installation d’un Serveur FTP est relativement simple, il suffit de suivre les étapes suivantes dans l’ordre. Nous préconisons l’utilisation du serveur FTP FileZilla. Il s’agit d’une solution gratuite, sécurisée, disposant d’une interface d’administration.
De plus, FileZilla dispose d’une solution de traçage des accès et des actions (Logs).

• Télécharger FileZilla Server depuis le site Officiel : https://filezilla-project.org/download.php?type=server
• Installer FileZilla Server. Il est conseillé d’activer l’accès à l’interface d’Administration Filezilla uniquement pour l’Administrateur qui réalise l’installation.

Accéder à l’interface d’Administration

Accéder à la Console ‘FileZilla Server Interface’ via l’icône déployé sur le Bureau.
Par défaut, le port associé à l’interface d’Administration est 14147 et cette interface est accessible uniquement depuis le serveur. Par défaut, le mot de passe d’accès est vide.

Initialiser le mot de passe admin

Une fois connecté au serveur FTP, il faudra initialiser le mot de passe d’accès du compte admin :

• Cliquer sur le Menu ‘Edit’, puis ‘Settings’.
• Dans la fenêtre de configuration des paramètres, cliquer sur le menu ‘Admin Interface Settings’.
• Cocher la case ‘Change admin password’ et saisir un mot de passe pour le compte admin.
• Cliquer sur le bouton ‘OK’ pour valider les changements.

Activer le mode de connexion Passif

• Cliquer sur le Menu ‘Edit’, puis ‘Settings’.
• Dans la fenêtre de configuration des paramètres, cliquer sur le menu ‘Passive Mode Settings’.
• Cocher la case ‘Use custom port range’ et définir une plage de ports associés au mode passif. Il est conseillé d’utiliser des ports au-delà de 50000 et d’allouer 25 ports par utilisateur. Dans notre cas nous avons défini une plage de ports entre 55000 et 55050.
• Dans la zone ‘IPv4 specific’ cocher la case ‘Use the following IP et saisir l’ip publique de votre serveur.
• Cocher la case ‘Don’t use external IP for local connections’.
• Cliquer sur le bouton ‘OK’ pour valider les changements.

Activer les Logs

• Cliquer sur le Menu ‘Edit’, puis ‘Settings’.
• Dans la fenêtre de configuration des paramètres, cliquer sur le menu ‘Logging’.
• Cocher la case ‘Enable Logging to file’. Il sera également possible de limiter la taille du fichier de Log.
• Cocher la case ‘Log all to ‘FileZilla Server log’’. Il sera également possible de définir un fichier de log par jour, avec une durée de rétention après laquelle chacun des fichiers sera supprimé.
• Cliquer sur le bouton ‘OK’ pour valider les changements.

Sécuriser l’accès FTP et générer un certificat SSL

• Cliquer sur le Menu ‘Edit’, puis ‘Settings’.
• Dans la fenêtre de configuration des paramètres, cliquer sur le menu ‘FTP over TLS settings’.
• Cocher la case ‘Enable FTP over TLS support (FTPS)’ pour autoriser la sécurisation des connexions.
• Cliquer sur le bouton ‘Generate new Certificate…’.
• Définir la taille de la clé de cryptage.
• Saisir les informations associées au certificat puis cliquer sur le bouton ‘Browse…’ pour sélectionner l’emplacement de sauvegarde du certificat.
• Cliquer sur le bouton ‘Generate certificate’ pour débuter le processus de génération du certificat. La durée du processus de génération est directement liée à la taille de la clé de cryptage définie.
• Cliquer sur le bouton ‘OK’ pour valider les changements.

Création et configuration d’un compte utilisateur FTP

Il est temps de créer les utilisateurs et de définir le ou les répertoires auxquels ils ont accès, ainsi que les droits associés.

FileZilla Server permet la gestion de Groupes et d’Utilisateurs.

• Un Groupe permet de définir une arborescence et des droits d’accès. Les utilisateurs associés à ce groupe auront tous accès à l’arborescence. Ce mode de fonctionnement est très intéressant lorsque, par exemple, on souhaite fournir un accès spécifique aux utilisateurs d’une même entité.
• Un Utilisateur FTP peut, ou non, être associé à un Groupe. L’utilisateur dispose d’un accès à une arborescence et des droits associés.

Pour notre exemple, nous allons créer deux groupes, associés à deux entités différentes.
Chaque groupe disposera d’un accès à une arborescence spécifique.
Un utilisateur sera associé à chacun des groupes.

Création d’un Groupe :

• Cliquer sur le Menu ‘Edit’, puis ‘Groups’.
• Dans la fenêtre de configuration des Groupes, cliquer sur ‘Add’ dans la partie droite de la fenêtre.
• Nommer le nouveau groupe puis cliquer sur le bouton ‘OK’.

• Cliquer sur ‘Shared Folders’ sur la partie gauche.

• Cliquer sur le bouton ‘Add’ pour ajouter le répertoire auquel le groupe aura accès.

• Définir les droits d’accès sur les fichiers et les répertoires.
• Cliquer sur le bouton ‘Set as home directory’ afin de définir l’emplacement comme répertoire par défaut lorsque l’utilisateur associé au groupe accède au FTP.
• Cliquer sur le bouton ‘OK’ pour valider la création du Groupe.

• Répéter les actions pour créer et configurer d’autres Groupes.

Création d’un Utilisateur associé au Groupe :

• Cliquer sur le Menu ‘Edit’, puis ‘Users’.
• Dans la fenêtre de configuration des Utilisateurs, cliquer sur ‘Add’ dans la partie droite de la fenêtre.
• Nommer le nouvel Utilisateur et sélectionner le Groupe auquel il sera associé.
• Cliquer sur le bouton ‘OK’.

• Cocher la case ‘Password’ et saisir le mot de passe associé à l’accès Utilisateur.
• Cliquer sur le bouton ‘OK’ pour valider la création de l’Utilisateur.

• Répéter les actions pour créer et configurer d’autres Utilisateurs.

Configurer le Pare-Feu Windows pour permettre l’accès FTP

Pour que les utilisateurs puissent exploiter l’accès FTP, il est nécessaire de configurer le Pare-Feu Windows pour l’application FileZilla Server :

• Depuis le Panneau de Configuration, accéder aux propriétés du Pare-Feu Windows.
• Sur la partie gauche, cliquer sur le texte ‘Autoriser une Application ou une fonctionnalité depuis le Pare-feu Windows.

• Sur la nouvelle fenêtre, cliquer sur ‘Autoriser une autre Application…’.

• Sur la nouvelle fenêtre, cliquer sur le bouton ‘Parcourir…’ puis naviguer vers l’exécutable ‘FileZilla Server.exe. Par défaut, cet exécutable se trouve à l’emplacement C:\Program Files (x86)\FileZilla Server\FileZilla Server.exe.
• Cliquer sur le bouton ‘OK’ pour valider l’ajout de l’application FileZilla Server’.

Après avoir correctement configuré le Pare-Feu Windows, il est possible de se connecter au serveur FTP avec un client FTP comme FileZilla Client.

Déploiement d’un lecteur Réseau depuis l’ordinateur client

Ouvrir l’Explorateur Windows, Cliquer du bouton droit sur un emplacement inoccupé du volet droit et sélectionner ‘Ajouter un emplacement réseau’ dans le menu contextuel.

Cette action déclenche l’affichage de la boîte de dialogue ‘Ajouter un emplacement réseau’. Cliquer sur Suivant. Une nouvelle boîte de dialogue s’affiche et propose de choisir un emplacement réseau personnalisé. Cliquer sur Suivant. Il faut à présent définir l’adresse du serveur FTP.

Cliquer sur le bouton ‘Suivant’. Une nouvelle boîte de dialogue s’affiche. Décocher la case ‘Ouvrir une session anonyme’. Saisir le nom d’utilisateur FTP, puis cliquez sur le bouton ‘Suivant’.

Dans la nouvelle boîte de dialogue, saisir le nom qui sera associé à l’emplacement réseau, puis cliquer sur le bouton ‘Suivant’.

Une dernière boîte de dialogue s’affiche. Laisser cochée la case ‘Ouvrir cet emplacement réseau après un clic sur Terminer’ puis cliquer sur le bouton ‘Terminer’.

Après quelques instants, une boîte de dialogue demande de saisir le mot de passe associé au compte FTP.
La case à cocher 'Enregistrer le mot de passe' permet de ne pas avoir a resaisir le mot de passe à chaque fois que l'emplacement réseau est consulté.
Cliquer sur le bouton 'Ouvrir une session'.

Les dossiers et fichiers hébergés sur le serveur s’affichent dans l’explorateur de fichiers, comme s’il s’agissait d’un dossier local à l’ordinateur. En fonction des droits associés au compte FTP, l’utilisateur pourra créer, modifier, renommer ou supprimer des fichiers. Même chose concernant les dossiers de l’arborescence.

Sécurisation des fichiers coté Client

Sur le poste client, il est vivement conseillé d’utiliser un antivirus à jour, si possible avec une fonction permettant d’analyser les cryptovirus.

Nous préconisons l’utilisation de l'une des solutions suivantes :

• Microsoft Windows Defender : solution déployée par défaut sur les systèmes d’exploitation Windows. Il sera nécessaire de configurer cette solution de manière adéquate.
• MalwareBytes Premium : Cet antivirus est extrêmement performant et peu gourmand en ressources.
• TotalAV : Antivirus performant, discret, et primé à maintes reprises.

Sécurisation des fichiers coté Serveur

Sur le serveur, il est vivement conseillé d’utiliser un antivirus à jour, si possible avec une fonction permettant d’analyser les cryptovirus.

Nous vous proposons de tester notre solution de sécurité Omniware Security qui permettra :

• une protection des accès par Géo Localisation.
• une protection des tentatives de connexion par Brute Force.
• un filtrage des accès par adresses IP, par nom d’ordinateur.
• une limitation des accès utilisateurs par plages horaires.
• une gestion des droits par Utilisateur / Groupe.
• une protection Anti-Ransomware avec alerte E-mail.

Nous vous invitons à nous contacter si vous souhaitez des informations complémentaires.

D’autre part, sur un environnement Serveur, il est vivement conseillé d’activer l’historisation des fichiers par le biais des Clichés Instantanés. Cela permet, entre autres, de pouvoir restaurer une version d’un fichier si ce dernier a été supprimé ou trop fortement modifié par un utilisateur.

Utilisation avec le Client Microsoft Connexion Bureau à Distance

Le module Client Microsoft Connexion Bureau à distance permet d'afficher la session RDP soit sur un seul moniteur, soit sur tous les moniteurs via la case à cocher "Utiliser tous mes moniteurs pour la session à distance".
L'utilisateur n'est pas en mesure d'afficher la session RDP sur 2 de ses 3 moniteurs.

Toutefois, il est possible de modifier le comportement du client Microsoft Connexion Bureau à Distance en éditant le fichier .rdp.

Pour celà, enregistrez une copie du fichier RDP, puis ouvrez cette copie dans un éditeur de texte comme Bloc-Notes.
Le fichier RDP peut ressembler à ceci :
screen mode id:i:2
span monitors:i:1
use multimon:i:1

Tout d'abord, dressez la liste des moniteurs connectés à l'ordinateur local :

• Ouvrez la fenêtre Exécuter (Win+R) et saisissez la commande : mstsc /l.
• le module Microsoft Connexion Bureau à Distance répertorie les moniteurs.

Dans cet exemple, 0 représente le moniteur central, 1 le moniteur gauche et 2 le moniteur droit.

Si l'utilisateur souhaite utiliser l'écran gauche (1) et l'écran central (0) pendant la session RDP, les informations d'affichage dans le fichier .rdp seront :
screen mode id:i:2
span monitors:i:1
use multimon:i:1
selectedmonitors:s:0,1

Si l'utilisateur souhaite utiliser l'écran central (0) ainsi que l'écran de droite (2) pendant la session RDP, les informations d'affichage dans le fichier .rdp seront :
screen mode id:i:2
span monitors:i:1
use multimon:i:1
selectedmonitors:s:0,2

Utilisation avec le Client de Connexion Omniware

Le Client de Connexion Omniware est un fichier d'extension .connect (depuis Omniware v11.40). Il s'agit d'un fichier crypté contenant les informations de connexion ainsi que des paramètres supplémentaires propres aux fonctionnalités d'Omniware. Ce fichier ne peut être utilisé qu'après l'installation du module Setup-ConnectionClient.exe sur l'ordinateur client.

Ce Setup est disponible sur votre serveur, dans le dossier d'installation Omniware\Clients\WindowsClient.

Ce Setup est également disponible dans le dossier Omniware\Clients\www\ConnectionClient et téléchargeable depuis le portail web associé au serveur Omniware exploité (exemple : https://demo.omniware.fr/ConnectionClient/Setup-ConnectionClient.exe).

La dernière version de ce module peut être téléchargée ICI.

Le module est déployé sur l'ordinateur de l'utilisateur, dans le répertoire de la session locale, sous-répertoire RDP6.
Exemple : l'utilisateur local est Pierre Richard, le module sera déployé dans C:\Utilisateurs\Pierre Richard\RDP6.

Lors de l'exécution d'un .connect, les informations contenues dans le fichier sont décryptées par le module contenu dans le répertoire RDP6 de la session locale, puis un fichier .rdp est généré et exécuté. Ce fichier, également contenu dans le répertoire RDP6, est nommé Session.rdp.

En utilisant la même procédure que pour le CLient Microsoft Connexion Bureau à Distance, il sera possible de modifier le fichier Session.rdp généré afin d'adapter l'affichage de la session RDP sur certains moniteurs de l'utilisateur.

Module tiers Fabulatech "Sound For Remote Desktop"

Le module "Sound For Remote Desktop" de la société Fabulatech est une alternative intéressante, avec une meilleure qualité sonore que celle offerte par Microsoft RDS. Ceci est dû à l'algorithme de compression utilisé.
Des informations sur ce module sont disponibles à l'adresse https://www.fabulatech.com/sound-over-rdp.html.

Le module "Sound For Remote Desktop" est composé d'un composant serveur et d'un composant a installer sur l'ordinateur client. Son déploiement est très simple, il suffit de lancer le programme d'installation et de sélectionner le composant a installer.

Une version de démonstration est disponible pour les systèmes d'exploitation 32 bits et 64 bits, désormais compatible avec Windows 10. Il suffit de remplir ce formulaire sur le site de l'éditeur.

Lorsque les composants client et serveur sont installés, le client Microsoft Connexion Bureau à Distance doit être configuré comme suit pour bénéficier du son bidirectionnel.

• dans l'onglet "Ressources locales", cliquer sur le bouton "Paramètres..." dans la section "Sortie audio de l'ordinateur distant".
• dans la fenêtre qui s'affiche, cochez la case " Lire sur l'ordinateur distant" dans la zone "Lecture audio à distance".
• cocher la case "Enregistrer à partir de cet ordinateur" dans la zone "Enregistrement audio à distance".

• cliquer sur le bouton 'OK' puis enregistrer le client de connexion au format .rdp.

Une fois la connexion établie avec le serveur distant, l'affichage des paramètres audio du serveur indique que la sortie audio correspond au module Fabulatech Virtual Speaker, l'entrée audio correspond au Fabulatech Virtual Microphone.

Microphone avec le Client de Connexion Omniware

Tout comme le Client Microsoft Bureau à Distance, le Client de Connexion Omniware permet de prendre en charge la configuration du son bidirectionnel (depuis Omniware v12.70.5.25).

Depuis l'onglet 'Local Resources' du Générateur de Clients Omniware, il y a un nouveau paramètre nommé 'Play remote sound'. Pour exploiter le son depuis la session distante, ce paramètre doit être configuré comme présenté ci-dessous :

Côté ordinateur client, le module Setup-ConnectionClient.exe devra être installé afin de bénéficier de cette nouvelle fonctionnalité.

• soit en fournissant à l'utilisateur une copie du fichier C:\Program Files (x86)\omniware\Clients\WindowsClient\Setup-ConnectionClient.exe depuis le serveur Omniware.
• soit en communiquant à l'utilisateur le lien de téléchargement depuis le Portail HTLM5 du serveur : https://votre-serveur-omniware/ConnectionClient/Setup-ConnectionClient.exe.

Si le fichier .connect est édité manuellement, le paramètre qui permet d'utiliser le son côté client, côté serveur, ou de le désactiver se nomme '-playremotesound' et peut prendre comme valeur 'locally', 'remotelly' ou 'no'.
Exemple :
-sound on -playremotesound remotely

Pour la configuration du module Client RemoteApp disponible depuis le Portail Web, il sera nécessaire d'éditer le fichier C:\Program Files (x86)\omniware\Clients\www\software\remoteapp2.js.

Dans ce fichier, le paramètre 'remoteapp2_playremotesound' a été ajouté.
Exemple :
var remoteapp2_sound = 'on';
var remoteapp2_playremotesound = 'remotely'; // locally/remotely/no - specify where remote session sound is played on

Une fois le fichier de configuration mis à jour, nous conseillons à l'utilisateur d'accéder à la page du Portail Web, et de vider le cache associé au site, en utilisant la combinaison de touches Ctrl+F5. Le module Client RemoteApp sera alors mis à jour automatiquement.

Configuration des paramètres Proxy

L'utilisation d'un serveur Proxy par Omniware s'effectue par le déploiement de plusieurs clés au sein de la Bese de Registre Windows. Cette opération est simple et peut être scriptée.

• Se connecter au serveur Omniware en tant qu'Administrateur.
• Ouvrir la fenêtre Exécuter (Win+R) puis saisir la commande : regedit.exe.
• Déployer l'arborescence 'HKEY_LOCAL_MACHINE\SOFTWARE\Digital River'.
• Créer une nouvelle clé (Clic-droit > Nouveau > Clé) et nommer cette nouvelle entrée 'proxy'.
• Déployer l'arborescence 'HKEY_LOCAL_MACHINE\SOFTWARE\Digital River\proxy'
• créer une variable de type chaîne (Clic-droit > Nouveau > Valeur Chaîne) et nommer 'host'. La valeur sera l'ip ou le nom de domaine du serveur Proxy à utiliser.
  Si cette valeur n’existe pas, est vide ou est configurée à "ie" alors les paramètres Proxy configurés dans Internet Explorer seront utilisés. Si cette valeur est à "none" alors un accès direct sera utilisé (désactivation de la fonctionnalité Proxy).
• créer une variable de type chaîne (Clic-droit > Nouveau > Valeur Chaîne) et nommer 'port'. La valeur correspondra au port tcp utilisé pour contacter le serveur Proxy. Cette valeur peut être vide.
• créer une variable de type chaîne (Clic-droit > Nouveau > Valeur Chaîne) et nommer 'username'. La valeur correspondra au nom de l'utilisateur pour l'authentification auprès du serveur Proxy. Cette valeur peut être vide.
• créer une variable de type chaîne (Clic-droit > Nouveau > Valeur Chaîne) et nommer 'password'. La valeur correspondra au mot de passe pour l'authentification auprès du serveur Proxy. Cette valeur peut être vide.

Pour simplifier le déploiement, il sera possible de créer un fichier .reg contenant l'ensemble des paramètres.
Exemple :
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Digital River\proxy]
"host"="51.254.51.100"
"port"="808"
"username"=""
"password"=""

Il suffit ensuite de copier ce fichier sur les autres serveurs Omniware puis de double-cliquer sur le fichier pour déployer les clés de Registre.

Depuis la Base de Registre, il est possible d'exporter les paramètres sous la forme d'un fichier .reg. Sélectionner l'arborescence 'HKEY_LOCAL_MACHINE\SOFTWARE\Digital River\proxy' puis Clic-droit > Exporter.

Adresses IP exploitées par Omniware

Omniware nécessite d'avoir accès à plusieurs adresses ip pour son fonctionnement interne. Ces adresses devraient être renseignées dans le Pare-Feu / Serveur Proxy de l'entreprise.

• Déploiement, vérification de l'état de la Licence Omniware et Télémétrie : Adresse 93.88.241.55 - licenseapi.dl-files.com - Port distant 80 ou 443 si le Système d'Exploitation supporte les requêtes Web HTTPS.
• Téléchargement des Mises à Jour Omniware : Adresse 51.254.22.117 - secure-download-file.com - Port distant 80 ou 443 si le Système d'Exploitation supporte les requêtes Web HTTPS.
• Vérification des Mises à Jour Omniware et Mises à jour de Compatibilité (Suite à l'application de Windows Update) : Adresse 83.166.153.206 - update.dl-files.com - Port distant 80 ou 443 si le Système d'Exploitation supporte les requêtes Web HTTPS.