P. 1
Terminal Server 2008

Terminal Server 2008

5.0

|Views: 19.466|Likes:
Publicado porapi-3709798

More info:

Published by: api-3709798 on Oct 19, 2008
Copyright:Attribution Non-commercial

Availability:

Read on Scribd mobile: iPhone, iPad and Android.
download as DOC, PDF, TXT or read online from Scribd
See more
See less

03/18/2014

pdf

text

original

Terminal Server 2008

Este es un resumen del articulo publicado en Terminal Services Team Blog, en donde se describen las diferencias entre Windows Server 2003 y Windows Server 2008 cuando se utiliza el cliente RDC (Remote Desktop Connection) de forma remota conectarse al servidor con fines administrativos. En Windows Server 2003, puede iniciar el cliente RDC (mstsc.exe) con la opción /console para conectarse a la consola física de forma remota (también conocido como sesión 0). En Windows Server 2008, la opción /console ha quedado obsoleta. En el caso de Windows Server 2008, la sesión 0 es una sesión no-interactiva que se reserva para los servicios propios del sistema operativo. Para los fines de administración se puede usar la nueva opción /admin. Que esta soportada en el cliente RDC 6,1. Que se incluye con los siguientes sistemas operativos:
• • •

Windows Server 2008 Windows Vista Vista Service Pack1 (SP1) Beta y RC Service Pack 1 (SP1) WindowsXPService Pack3 (SP3) Beta y RC

El Cliente RDC 6,1 no es compatible con la opción /console. Sin embargo, para la compatibilidad hacia atrás, puede utilizar la opción /admin para conectarse a la consola física sesión en un equipo basado en Windows Server 2003 ¿Por qué la opción /console ya no es necesaria? En Windows Server 2003, usamos la opción de /console por las razones siguientes:

Para conectar con la sesión 0. Dado que algunas aplicaciones solo se pueden instalar y ejecutar en la sesión 0 debido a que necesitan para comunicarse con los servicios que se ejecutan en la sesión 0. O también por que necesitan conectarse a la UI grafica de la sesión 0 Para conectarse a una sesión existente en la consola física. Debido a que la sesión 0 es en la consola física de Windows Server 2003, la única forma en que puede reconectar a este período de sesiones es mediante el uso de la /console.

En Windows Server 2008, la opción /console ya no es necesaria por las siguientes razones:

Se a mejorado la compatibilidad de las aplicaciones que necesitan para comunicarse con los servicios en la sesión 0. Se podrá instalar y ejecutar aplicaciones en sesiones diferentes a la sesion 0. Además, si el servicio que está asociado a una aplicación intenta mostrar la interfaz de usuario en la sesion 0 Windows Server 2008 y en Windows Vista incorporan un capacidad que permite a los usuarios visualizar e interactuar con la interfaz grafica de la sesión 0. En Windows Server 2008 la sesión 0 es un sesión no-interactiva que se reserva para los

servicios, no hay necesidad de que un usuario tenga que conectarse explícitamente a esta sesion.

Más información sobre el aislamiento de la sesiones 0 en Windows Vista, (http://go.microsoft.com/fwlink/?LinkId=106201).

Debido a que la consola física no es nunca sesion 0, nos podremos reconectar a esta sesión siempre remotamente, esta comportamiento es controlado por políticas (GPO) a través del ítem "Restrict Terminal Services users to a single remote sesión" dentro del nodo "Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Connections".

También puede configurar esta opción, mediante el uso de Configuración de Servicios de Terminal Server. Comportamiento de la opción /admin Podemos iniciar una sesión de Terminal con el cliente RDC 6,1 cliente (mstsc.exe) con la opción /admin para administrar de forma remota un equipo con Windows Server 2008 (con o sin el Rol Terminal Server instalado). Sin embargo, si se conecta a administrar de forma remota un equipo con Windows Server 2008 que no tiene la función de servicios de Terminal Server instalado, usted no tiene que especificar la /admin. (En este caso, el mismo comportamiento aparecerá en la conexión de terminal con o sin el /admin.. Comportamiento de la opción /Admin al conectar a un servidor que no tiene instalado Terminal Server Si nos conectamos como miembro del grupo Administradores en el servidor de destino, al iniciar una sesión de escritorio remoto a un Windows Server 2008 que no tiene la función de servicios de Terminal Server instalados, se aplicara el siguiente comportamiento en la sesión remota:
• • • • •

Redirección del uso horario estará inhabilitado. Se deshabilitara la redirección del Terminal Services Session Broker (TSSession Broker) La redirección del dispositivos Plug and Play device estará deshabilitada. Dentro de la sesión el tema cambiara a Windows Classic. Estará deshabilitada la funcionalidad de Terminal Services EasyPrint.

Comportamiento de la opción /Admin al conectar a un servidor que tiene el Rol de Terminal Server instalado Si nos conectamos como miembro del grupo Administradores en el servidor de destino, al iniciar una sesión de escritorio remoto a un Windows Server 2008 que tiene el Terminal Server instalado, deberemos usar la opción /admin para Administrar de forma remota el servidor. El siguiente comportamiento se aplicara a la sesión:

Terminal Server 2003

INSTALAR Y CONFIGURAR TERMINAL SERVER EN WINDOWS 2003 Os explicamos cómo instalar Terminar Server (servidor de aplicaciones) en Windows 2003, también os indicamos cómo configurar las opciones fundamentales (permisos, opciones de sesión, control remoto, etc.). Con esta opción podremos disponer de un único equipo servidor donde se instalarán todas las aplicaciones de la organización, al que accederán los usuarios por medio de Terminal Server. Terminal Server es un servicio de Windows 2000/2003, capaz de proporcionar un "equipo virtual" al cliente que se conecte. De esta forma sólo será necesario instalar las aplicaciones de la organización en un único equipo. Los clientes se conectarán a este servidor y obtendrán en su equipo una pantalla con las mismas opciones que un equipo normal (configurables por directivas de seguridad). De esta forma evitaremos tener que instalar todas las aplicaciones en todos los equipos clientes que necesiten conexión a una base de datos. Cuando se tenga que actualizar una aplicación de nuestra organización ya no será necesario hacerla en todos los equipos clientes, será suficiente con actualizar el servidor de Terminal Server. En caso de necesitar más de un servidor de Terminal Server, habrá que instalar las mismas aplicaciones en todos los servidores. Recomendamos encarecidamente que todos los servidores con Terminal Server tengan todas las aplicaciones de la organización instaladas. De esta forma también podremos utilizar un servicio llamado "Balanceo de carga". Este servicio tendrá una IP virtual, los clientes se conectarán a esta IP y será el propio servicio de Balanceo de carga el que decida a qué servidor conecta cada usuario, dependiendo de los recursos disponibles en cada servidor. Cuando una aplicación necesita acceder a una base de datos o cualquier tipo de información, conviene que esté alojada en otro servidor independiente. De esta forma todos los servidores de Terminal Server de nuestra organización accederán al mismo servidor para obtener la inforamación de cada aplicación. A continuación os mostramos un ejemplo de configuración de red con un Servidor de Ficheros, para almacenar la ofimática de los usuarios: documentos, imágenes, bases de datos de escritorio (Access, Paradox, DBase, etc), presentaciones, hojas de cálculo, videos, música, un Servidor de base de datos, donde se alojará la base de datos de nuestra organización: MySQL, Oracle, Microsoft SQL Server, Informix, DB2, Interbase, etc, varios servidores de aplicaciones (Terminal Server), donde estarán instaladas todas las aplicaciones ofimáticas y las aplicaciones cliente servidor con acceso al servidor de base de datos. También estarán, lógicamente, los equipos de los usuarios (clientes) que se conectarán a los servidores de terminal server:

Para instalar los servicios de Terminal Server en Windows 2003 seguiremos estos pasos: En primer lugar accederemos a "Inicio" - "Configuración" - "Panel de control":

Seleccioanaremos "Agregar o quitar programas":

Seleccionaremos "Agregar o quitar componentes de Windows" (en la parte izquierda):

Marcaremos "Terminal Server":

Nos mostrará un cuadro de diálogo de aviso inidicando que la seguridad de Internet Explorer es más restrictiva que en otras versiones de Windows NT y 2000. Estas opciones de seguridad se podrán configurar posteriormente. Pulsaremos "Sí" para activar las restricciones de seguridad, pulsaremos "No" para no activarlas en el proceso de instalación (se podrán activar en cualquier momento):

con el texto: --------------------------Advertencia de configuración ---------------------------

La configuración de seguridad mejorada de Internet Explorer restringirá significativamente la capacidad de los usuarios en un servidor de terminal para explorar Internet desde sus sesiones de Terminal Server. Para cambiar esta configuración para los usuarios, haga clic en No, vaya a la configuración de seguridad mejorada de Internet Explorer, haga clic en Detalles y a continuación, desactive la casilla para usuarios. ¿Desea continuar la instalación con esta configuración? --------------------------Sí No --------------------------Si no tenemos ningún servidor de licencias de Terminal Server deberemos instalarlo. Microsoft permite el uso de Terminal Server durante 120 días para testeo del mismo. Una vez que haya transcurrido este periodo de gracia se deberán adquirir licencias de Terminal Server. Si ya disponemos de estas licencias marcaremos "Licencias de Terminal Server", si ya disponemos de un servidor de licencias no será necesario marcar esta opción. Para prueba de Terminal Server tampoco será necesario marcar esta opción:

Tras seleccionar "Terminal Server" y "Licencias de terminal Server" pulsaremos "Siguiente" para inciar la instalación. Nos mostrará una ventana de selección de permisos predeterminados para la compatibilidad con aplicaciones, con las dos opciones siguientes:

Seguridad total: esta opción usa las características de seguridad más recientes de Windows Server 2003 y proporciona el entorno más seguro para Terminal Server. Sin embargo, es posible que algunas aplicaciones que se diseñaron para ejecutarse en plataformas anteriores no se ejecuten correctamente. Si esta opción es muy restrictiva puede usar en cualquier momento la herramienta de configuración de Servicios de Terminal Server para reducir la seguridad.
Seguridad media: esta opción reduce algunas mejoras de seguridad de Windows Server 2003. Con esta configuración, los usuarios tienen acceso al Registro y a archivos del sistema. Esto puede ser necesario para ejecutar algunas aplicaciones que se diseñaron para plataformas anteriores.

Seleccionaremos el nivel de seguridad que más se ajuste a las necesidades de las aplicaciones y software de nuestra organización y pulsaremos "Siguiente". Esta opción se puede cambiar en cualquier momento una vez instalado Terminal Server:

También nos avisará de los cambios que este servicio supone en el equipo donde se instala, con el siguiente texto: Esta opción instala Terminal Server, que configura el equipo de modo que varios usuarios puedan ejecutar programas simultáneamente. Nota: de forma predeterminada sólo los miembros del grupo local de administradores podrán conectarse a este Terminal Server. Tendrá que agregar la cuenta de los usuarios al grupo local de

usuarios de Escritorio remoto para permitirles conectarse a este Terminal Server. No instale Terminal Server si sólo necesita Escritorio remoto para la administración, que se instala de manera predeterminada y se puede habilitar abriendo la ficha Remoto en el Panel de control del Subprograma Sistema, y habilitando las conexiones remotas. Instalación del programa: si continúa con esta instalación, los programas que ya están instalados en el servidor dejarán de funcionar y será necesario instalarlos nuevamente. Debe utilizar Agregar o quitar programas, en el Panel de control, siempre que instale programas para utilizarlos con Terminal Server. Licencias: para seguir utilizando Terminal Server después de un período inicial de gracia de 120 días contados a partir de hoy, debe instalar un servidor que ejecute Licencias de Terminal Server. Para conocer más detalles, vea la Ayuda de Terminal Server. Pulsaremos "Finalizar" para concluir la instalación de Terminal Server:

Será preciso reiniciar el equipo para que se inicie el servicio de Terminal Server:

Una vez instalado Terminal Server podremos configurarlo según la política de seguridad que se quiera aplicar para cumplir con los objetivos de ejecución de programas de nuestra organización. Para ello accederemos a "Inicio" - "Configuración" - "Panel de control":

Seleccionaremos "Herramientas administrativas":

Seleccionaremos "Configuración de Servicios de Terminal Server":

Desde esta consola Microsoft Management Console, podremos configurar las opciones de Terminal Server. Podremos cambiar el nivel de seguridad de "Seguridad media" a "Seguridad total", para ello accederemos a la carpeta "Configuración de servidor" en la parte izquierda y en la parte derecha haremos doble clic sobre "Compatibilidad de permisos":

Marcaremos la opción deseada:

Desde esta ventana podremos configurar opciones como: eliminar las carpetas temporales al salir (cuando un usuario se conecta al servidor de Terminal Server se generan unas carpetas temporales con información de la sesión), Licencias (se puede cambiar desde aquí el modo de licenciamiento del servidor: por dispositivo o por servidor), Active Desktop (se puede activar el uso de Active Desktop), Restringir cada usuario a una sesión (de esta forma se impedirá que un usuario inicie varias sesiones concurrentes). Desde la parte izquierda, seleccionando la carpeta "Conexiones", en la parte derecha aparecerá "RDP-Tcp", pulsaremos con el botón derecho sobre "RDP-Tcp" y seleccionaremos "Propiedades":

En la pestaña "Permisos" indicaremos los grupos de seguridad y usuarios a los que queramos permitir el acceso por Terminal Server. De forma predeterminada sólo se permite acceso al servidor a los grupos "Administradores" y "Usuarios de escritorio remoto":

También podremos limitar el número de colores máximo, conectar unidades del cliente, conectar impresoras, establecer impresora principal del cliente como predeterminada, asignación del portapapeles, puertos COM, audio, etc. Si utilizamos estas opciones se suplantará la configuración individual de cada usuario por esta. De forma predeterminada se establecerá esta configuración usuario por usuario:

También podremos limitar el tiempo de sesión activa/inactiva, permitir volver a conectar desde cualquier cliente, etc. En este caso también prevalecerá esta configuración por encima de la configuración individual del usuario:

Podremos indicar el nivel de cifrado (Bajo, Cliente compatible, Alto, Compatible con FIPS):

También podremos establecer las opciones de control remoto (para visualizar de forma remota cualquier sesión de cualquier usuario, tanto para visualizar la ventana del usuario como para controlarla). En este caso también prevalecerá esta configuración por encima de la individual de cada usuario:

Tras instalar y configurar Terminal Server crearemos un usuario en el servidor de Terminal Server. Si este servidor no está promocionado a controlador de dominio (no tiene Active Directory), lo haremos pulsando con el botón derecho sobre "Mi PC", seleccionaremos "Administrar":

Seleccionaremos "Herramientas del sistema" - "Usuarios y grupos locales" - "Usuarios" en la parte izquierda, en la parte derecha pulsaremos el botón derecho del ratón (en el espacio en blanco, fuera de cualquier objeto) y seleccionaremos "Usuario nuevo":

Rellenaremos los datos que nos pide el asistente de creación de usuario:

Para ver los usuarios que hay conectados a nuestro servidor de Terminal Server accederemos a "Inicio" - "Programas" - "Herramientas administrativas" "Administrador de Servicios de Terminal Server":

Desde esta ventana podremos ver la hora de inicio de sesión de cada usuario, el tiempo de inactividad, enviar mensajes, desconectar sesión, hacer control remoto (sólo si no está en el propio servidor, sólo es posible hacer control remoto a otra sesión si se ha conectado al servidor de Terminal Server desde otro equipo):

Para iniciar una conexión al servidor de Terminal Server anteriormente instalado y configurado desde un cliente cualquiera deberemos tener instalado "Conexión a Escritorio remoto" (en Windows XP y Windows Vista viene instalado por defecto). Accederemos a "Inicio" - "Programas" - "Accesorios" - "Comunicaciones" - "Conexión a Escritorio remoto". En la ventana que nos aparece indicaremos el nombre o dirección

IP del servidor de terminal server y pulsaremos "Conectar". Pulsando en "Opciones" podremos establecer algunas opciones de conexión (colores, impresoras, sonido, etc), pero siempre prevalecerá la configuración del servidor sobre la del cliente que se conecta:

Si nos aparece este mensaje y no nos deja conectarnos con el usuario a Terminal Server, deberemos agregar este usuario a un grupo de seguridad con permisos suficientes para acceder al servidor mediante Terminal Server:

Con el texto "Las directivas locales de este sistema no le permiten iniciar una sesión interactiva"

Para solucionar este problema será suficiente acceder a las propiedades del usuario, desde el servidor, y hacerlo miembro del grupo de seguridad "Usuarios de escritorio remoto":

INSTALAR SERVIDOR DE LICENCIAS DE TERMINAL SERVER Si en nuestra organización no disponemos de un servidor de licencias de Terminal Server deberemos instalar uno, como máximo dispondremos de 120 días de prueba de este servicio sin comprar licencias. Para hacer que nuestro servidor sea servidor de licencias de terminal server accederemos a "Agregar o quitar programas", seleccionaremos "Componentes de

Windows" y marcaremos "Licencias de Terminal Server", pulsaremos "Siguiente" para iniciar la instalación:

Indicaremos donde queremos guardar la base de datos del servidor de licencias. Pulsaremos "Siguiente" para continuar:

Pulsaremos "Finalizar" para concluir la instalación del servidor de licencias:

Para configurar este servicio accederemos a "Herramientas administrativas", "Licencias de Terminal Server":

Incialmente se realizará una búsqueda automática de algún servidor de licencias en nuestra red LAN:

Si el servidor de licencias no está activado aún nos mostrará un aspa roja en la parte izquierda. Para activarlo pulsaremos con el botón derecho sobre el servidor de licencias, en nuestro caso "PCW2003EDMV", y pulsaremos "Activar servidor":

Se iniciará el asistente para activación de servidor de licencias de Terminal. Pulsaremos "Siguiente" para iniciar la activación. Previamente habrá que adquirir las licencias de Terminal Server desde cualquier proveedor de servicios de Microsoft:

Seleccionaremos el método de conexión (conexión automática, explorador web, teléfono):

Introduciremos el ID. del servidor de licencias, claves que nos proporcionará Microsoft tras adquirir las licencias:

En caso de que ya dispongamos de un servidor de licencias, será suficiente con pulsar con el botón derecho del ratón sobre "Todos los servidores", seleccionaremos "Conectar":

Escribiremos el nombre o la IP del servidor de licencias y pulsaremos "Aceptar":

Windows Server 2008 - Configuración del rol Terminal Server
Tiempo atrás expliqué en una nota las nuevas características y los diferentes roles que incluye Terminal Services en Windows Server 2008. En esta oportunidad, les presento una descripción de los pasos básicos necesarios para llevar a cabo la instalación y configuración inicial de Terminal Services y sus diferentes componentes. A continuación se indican los pasos necesarios para instalar y configurar el rol Terminal Services.
1. 1. Ejecutar el Server Manager. 2. 2. Seleccionar Add Roles.

1. 3. Seleccionar Next. 2. 4. En el listado de roles, seleccionar Terminal Services, luego, seleccionar Next.

1. 5. Seleccionar Next nuevamente. 2. 6. Seleccionar los roles que se requieran, luego, seleccionar Next. Nota: Algunos roles, como TS Gateway, requieren configuraciones adicionales, las cuales se mostrarán al seleccionar el rol en cuestión.

1. 7. Seleccionar Next. 2. 8. Seleccionar el nivel de autenticación de red requerido, luego, seleccionar Next. 1. Require Network Authentication: Solo para equipos que ejecuten mismas versiones de sistema operativo y del cliente RDP que soporten Network Level Authentication podrán conectarse al servidor. 2. Do not requiere Network Level Authentication: Para equipos que ejecuten cualquier versión del cliente RDP.

1. 9. Seleccionar el tipo de licenciamiento a utilizar (Per Device, Per User). Luego, seleccionar Next. 2. 10. Seleccionar los usuarios o grupos que tendrán acceso al servidor. Luego, seleccionar Next.

1. 11. Si se seleccionó el rol License Server: 1. 11.1. Seleccionar el scope que se le dará al License Server (This Domain, The Forest). Luego, seleccionar Next.

1. 12. Si se seleccionó el rol TS Gateway: 1. 12.1. Seleccionar la opción que corresponda con respecto a la utilización de un certificado. Luego, seleccionar Next.

1. 12.2. Seleccionar si se desea crear las authorization policies en este momento o luego (en este caso seleccionamos Now). A continuación, seleccionar Next.

1. 12.3. Seleccionar los usuarios o grupos que tendrán acceso a través de TS Gateway. Luego, seleccionar Next.

1. 12.4. Ingresar el nombre para el TS CAP, y seleccionar un método de autenticación. Luego, seleccionar Next.

1. 12.5. Ingresar el nombre para el TS RAP, y configurar en caso de que sea necesario, las restricciones adicionales como pertenencia a determinado grupo, o no. Luego, seleccionar Next.

1. 13. Seleccionar Next. 2. 14. Seleccionar los roles de servicio a instalar para Network Policy and Access Services.

1. 15. Asumiendo que seleccionamos todos los roles listados: 1. 15.1. En este caso vamos a seleccionar Install Certificate Server as the Network Policy Server for this HRA. Luego, seleccionar Next.

1. 15.2. Seleccionar si se requerirá que los usuarios deban estar previamente autenticados para obtener un healt certificate. Luego, seleccionar Next.

1. 15.3. Seleccionar el certificado para encriptación SSL. Luego, seleccionar Next.

1. 15.4 Seleccionar Next. 1. 15.5 Seleccionar los roles a instalar para Active Directory Certificate Services (ADCS). Luego, seleccionar Next.

1. 15.6 Seleccionar el método a utilizar por Certification Authorities. Luego, seleccionar Next.

1. 15.7 Seleccionar el tipo de Certification Authority. Luego, seleccionar Next.

1. 15.8 Seleccionar si se creará una nueva Private Key, o si por lo contrario, se utilizará una existente. En este caso vamos a seleccionar Create a new private key. Luego, seleccionar Next.

1. 15.8.1 Seleccionar el Cryptographic Services Provider (CSP), la longitud a utilizar, y el algoritmo hash. Luego, seleccionar Next.

1. 15.8.2 Ingresar el nombre a asignar para el CA. Luego, seleccionar Next.

1. 15.8.3 Ingresar el período de validez del certificado. Luego, seleccionar Next.

1. 15.8.4 Modificar, en caso de ser necesario, la ubicación de la Certificate Database y la Certificate Database Log. Luego, seleccionar Next.

1. 16. Seleccionar Next. 1. 16.1. Seleccionar los roles de servicio a instalar para Web Server (en este caso dejaremos los componentes por defecto). Luego, seleccionar Next.

1. 17. Verificar el sumario pre-instalación. Luego, seleccionar Install para dar comienzo a la instalación y configuración en base a las opciones y componentes seleccionados. 1. Nota: Durante el proceso, el equipo se reiniciará. 2. 18. Una vez finalizado el proceso, seleccionar Close, y luego Yes, para reiniciar el equipo.

Vamos a seguir ahora adelante con la 2da parte, que incluye:
• • •

Configuración de Terminal Server. Configuración de TS Gateway. Distribución de aplicaciones remotas a usuarios.

Configuración de Opciones de Terminal Server

1. En Actions, dentro de TS RemoteApp Manager, seleccionar Terminal Server Settings.

2. En el tab Terminal Server, Connection settings, configurar el nombre de la granja, el puerto RDP, y las opciones de autenticación.

3. Si el checkbox Require server authentication está seleccionado, se debe tener en cuenta que:  3.1. Para equipos con Windows Server 2003 SP1 o XP SP2, se deberá configurar Terminal Server para que utilice SSL.  3.2. En el caso de aplicaciones para intranet, y los clientes son Windows Server 2008 o Vista, en lugar de utilizar SSL, se utilizará Network Level Authentication.

4. Para proveer un link al escritorio completo del TS, en Remote Desktop Access, se deberá seleccionar Show a remote desktop connection to this terminal server in TS Web Access. 5. En Access to unlisted programs, seleccionar alguna de las siguientes opciones:  5.1. Do not allow users to start unlisted program on initial connection (Recommended). Si bien es una buena alternativa, no previene que, por ejemplo, si un documento Word contiene un hyperlink, este pueda abrirse mediante el Internet Explorer.  5.2. Allow users to start both listed and unlisted programs on initial connection. Desde ya es opción es bastante descriptiva y deja en claro los riesgos que implica. 6. Al finalizar, seleccionar OK.

Configuración de TS Gateway Básicamente en esta sección definimos si los usuarios se conectarán a través de un Firewall por TS Gateway. Para mayor información: TS Gateway Step-by-Step Guide. Configuración de opciones de TS Gateway

1. En Actions, dentro de TS RemoteApp Manager, seleccionar TS Gateway Settings.

2. En el tab TS Gateway, Configurar las opciones de comportamiento deseadas, entre ellas:  2.1. Detectar automáticamente la configuración del servidor TS Gateway. (Esto provoca que los clientes intenten utilizar la configuración por Group Policies para determinar el comportamiento).  2.2. Utilizar las opciones de configuración especificadas.  2.3. No utilizar un servidor TS Gateway. 3. Si se selecciona Use these TS Gateway server settings:

3.1. Se debe configurar el nombre del servidor TS Gateway, y el método de logon.  3.2. Si se quiere utilizar las miasm credenciales de TS Gateway en Terminal Server, seleccionar Use the same user credentials for TS Gateway and terminal server. 4. Si lo que se quiere es que los clientes detecten automáticamente cuando TS Gateway es requerido, seleccionar Bypass TS Gateway server for local addresses (Lo cual optimiza el rendimiento de los clientes). 5. Para utilizar siempre TS Gateway, deseleccionar Bypass TS Gateway server for local addresses.

6. Al finalizar, seleccionar OK.

Distribución de aplicaciones remotas a usuarios Los puntos principales (y los que se tratarán) para llevar a cabo la distribución son los siguientes:
• • •

1. Instalación de TS Web Access. 2. Asignaciones al Security Group TS Web Access Computers. 3. Especificar el servidor desde el cual se completará la lista de aplicaciones remotas que se mostrarán en el sitio web de TS Web Access.

Instalación de TS Web Access

Algunas aclaraciones previas:
• •

Al instalarlo, se instalará tambien IIS 7.0. No es necesario que el servidor cumpla el rol de Terminal Server.

1. 1. En la consola Server Manager, seleccionar Add Roles.

1. 2. En el wizard de instalación, en la ventana Before you begin, seleccionar Next.

1. 3. En la ventana Select Server Roles, seleccionar Terminal Services, y luego Next.

1. 4. En la ventana Terminal Services, seleccionar Next.

1. 5. En la ventana Select Role Services, seleccionar TS Web Access, y luego, en la ventana emergente, seleccionar Add Required Role Services. Por último, Next.

1. 6. En la ventana Web Server (IIS), seleccionar Next.

1. 7. En la ventana Select Role Services, dejar los elementos seleccionados por defecto (ya no es el objetivo de esta nota entrar en detalle sobre los diferentes tipos de autenticación, diagnóstico, y demás prestaciones). Luego, seleccionar Next.

1. 8. En la ventana Confirm Installation Selections, verificar que todo coincida con nuestra selección, y luego seleccionar Install.

1. 9. Una vez finalizada la instalación, podremos ver el informe que muestra el resultado de la misma. Luego de esto, seleccionar Close.

Con esto finalizamos la instalación del rol TS Web Access. Asignaciones al security group TS Web Access Computers En el caso de que TS Web Access y el Terminal Server que contiene las aplicaciones se encuentren separados, se deberá agregar la cuenta de equipo del TS Web Access al Security Group TS Web Access Computers del Terminal Server. Para esto, se deben seguir los siguientes pasos:

1. Seleccionar Start, Administrative Tools, y luego Computer Management.

• •

2. Expandir Local Users and Groups, y luego seleccionar Groups. 3. Seleccionar TS Web Access Computers.

• • • •

4. En TS Web Access Computers Properties seleccionar Add. 5. En Select Users, Computers, or Groups, seleccionar Object Types. 6. En Object Types, seleccionar Computers, y luego OK. 7. En el campo Enter the object names to select, especificar la cuenta de equipo del TS Web Access, y luego OK.

8. Seleccionar OK para cerrar las propiedades.

Especificación de servidor para la obtención de lista de aplicaciones remotas Por defecto, TS Web Access completa la lista de aplicaciones remotas de un solo Terminal Server. En este caso veremos como obtener la lista de aplicaciones remotas.

Especificar que Terminal Server se utilizará como source

• •

1. Conectarse al sitio web de TS Web Access, pudiendo hacerlo de las siguientes formas:  Seleccionando Start, Administrative Tools, Terminal Services, y luego TS Web Access Administration.  Utilizando Internet Explorer, accediendo a la ruta por defecto: http://server_name/ts 2. Iniciar sesión con la cuenta de Administrador Local, o una cuenta miembro del grupo TS Web Access Administrators group. 3. Seleccionar el tab Configuration.

• •

4. En Editor Zone, en el campo Terminal server name, ingresar el nombre del Terminal Server que se desea utilizar como Data Source. 5. Seleccionar Apply para aplicar los cambios.

Windows Server 2008 - Aplicaciones remotas via Terminal Services Web Access (Parte 1)
Hace un tiempo les mostré como instalar y configurar Terminal Services en Windows Server 2008, y algunos de sus componentes en general. En esta oportunidad les voy a presentar la instalación y configuración de los componentes necesarios para brindar acceso remoto a aplicaciones.

Instalación de Terminal Services: Como dije al comienzo de la nota, ya fue explicado aquí. Aplicaciones: Simplemente consiste en instalar todas las aplicaciones que se deseen distribuir a través de TS Web Access, en el servidor. Tengan en cuenta ejecutar el comando "change user /install", antes de instalar una aplicación, y "change user /execute", luego de haber finalizado. Conexiones remotas: Por defecto, las conexiones remotas se encuentran habilitadas luego de instalar el rol Terminal Server. Sin embargo, en los siguientes pasos veremos como personalizar esta configuración para ajustarla a los requerimientos particulares.
1. 1. Seleccionar Start, Run, e ingresar control system luego, seleccionar OK. 2. 2. En Tasks, seleccionar Remote settings. 3. 3. En System Properties, en el tab Remote, verificar que los parámetros de configuración de Remote Desktop están configurados de acuerdo al entorno particular, pudiendo elegir alguna de las siguientes opciones:

3.1. Allow connections from computers running any version of Remote Desktop (less secure). 3.2. Allow connections only from computers running Remote Desktop with Network Level Authentication (more secure).

1. 4. Agregar a los usuarios que se consideren necesarios para acceder remotamente.

Nota: Los miembros del grupo local Administrators pueden conectarse sin necesidad de estar listados.
1. 5. Al finalizar, seleccionar OK.

Agregar aplicaciones a la lista de aplicaciones de RemoteApp 1. Seleccionar Start, Administrative Tools, Terminal Services, y luego TS RemoteApp Manager.

2. En Actions, seleccionar Add RemoteApp Programs.

3. En la ventana Welcome to the RemoteApp Wizard, seleccionar Next.

4. En la ventana Choose programs to add to the RemoteApp Programs list, selecccionar el check box correspondiente a cada aplicación que se desee mostrar en el listado de aplicaciones disponibles de RemoteApp Programs.

Nota: Generalmente no debería suceder ya que los programas listados son los que se encuentran en All Users, pero si no se llega a encontrar la aplicación deseada, se deberá seleccionar manualmente a través de browse, como en nuestro caso, en el cual seleccionamos adicionalmente Internet Explorer. 5. Para configurar las propiedades de cualquier aplicación, seleccionar la aplicación y luego Properties. Pudiendo configurar:
• • • • • •

Nombre. Ubicación. Alias. Disponible o no a través de TS Web Access. Ícono. Parámetros adicionales de ejecución, y si estos se habilitan.

6. Al finalizar, seleccionar OK, y luego Next. 7. En la ventana Review Settings, verificar que todo sea tal cual se requiere, y luego seleccionar Finish.

Luego de haber seguido los pasos anteriormente mencionados, logramos que las aplicaciones aparezcan listadas. Con esto completamos la primer entrega correspondiente a la distribución de aplicaciones mediante Terminal Services Web Access.

Arrancaremos el equipo con el DVD de Windows Server Enterprise 2008. Se iniciará el programa de instalación (desde el principio en modo gráfico, con una interfaz idéntica a Windows Vista). La primera ventana que aparecerá permitirá elegir el idioma, el formato de hora y moneda y el teclado (método de entrada):

En la siguiente ventana de Windows Server 2008 podremos ver información sobre requisitos para instalar Windows Server ("Qué debe saber antes de instalar Windows"), también podremos utilizar la opción de "Reparar el equipo" (si ya tenemos instalado Windows Server 2008 y hay algún problema). En nuestro caso, puesto que es una instalación desde cero pulsaremos en "Instalar ahora":

Introduciremos la clave de producto, si no la tenemos podremos testear Windows Server 2008 pero se desactivará transcurrido el período de gracia:

Si no introducirmos la clave de producto nos avisará con el mensaje: "¿Desea escribir la clave de producto ahora? Si decide no escribirla ahora, podría tener que reinstalar Windows más tarde y llegar a perder información, datos y programas, o podría también tener que adquirir otra edición de Windows.". Pulsaremos "No" para continuar sin clave de producto (versión de prueba):

En la siguiente ventana podremos indicar el tipo de edición de Windows Server:
• • • •

Windows Windows Windows Windows

Server Server Server Server

2008 2008 2008 2008

Standar Enterprise Datacenter Emterprise

Cada una de las cuales se puede instalar en modo Server Core: se trata de una nueva modalidad de instalación que permite instalar Windows Server sin el modo gráfico (sin la interfaz gráfica), todo habrá de realizarse mediante comandos. Este modo de instalación responde, por fin, a muchas peticiones de Administradores de Sistemas, que han de disponer sistemas con muchos recursos para (en ocasiones) utilizar un sólo servicio (como Servidor Web o Servidor de FTP, etc). Gracias a este tipo de instalación

los recursos consumidos por Windows Server se reducirán considerablemente. En nuestro caso seleccionaremos "Windows Server 2008 Enterprise (instalación completa)". Seleccionaremos la edición y marcaremos "He seleccionado la edición de Windows adquirida":

Si estamos de acuerdo con los términos de licencia marcaremos "Acepto los términos de licencia":

A continuación seleccionaremos el tipo de instalación. Puesto que es una instalación desde cero, con el sistema limpio, seleccionaremos "Personalizada (avanzada)". La opción de "Actualización" no estará habilitada en este caso:

A continuación podremos particionar el sistema mediante la nueva interfaz gráfica y asistente. Para ello seleccionaremos la unidad donde queramos instalar Windows Server 2008, a continuación pulsaremos en "Nuevo" para crear la partición donde será instalado:

Seleccionaremos el tamaño que queramos asignar a la unidad donde instalaremos el sistema y pulsaremos en "Aplicar":

A continuación formatearemos la unidad recién creada pulsando en "Dar formato":

Nos pedirá confirmación con el mensaje "Si formatea esta partición, se eliminarán permanentemente todos los datos almacenados en ella". Pulsaremos "Aceptar" si estamos seguros de que vamos a formatear la partición adecuada:

Tras realizar el particionamiento pulsaremos "Siguiente" para continuar con el proceso de instalación de Windows Server 2008:

El asistente de instalación nos mostrará el progreso y la acción que actualmente está realizando (copiando archivos, expandiendo archivos, instalando características, instalando actualizaciones, completando instalación):

Tras la copia de los ficheros necesarios para el arranque, el programa de instalación de Windows Server 2008 reiniciará el sistema. El equipo arrancará de nuevo:

El asistente de Windows Server 2008 continuará con el proceso de instalación:

Windows Server 2008 nos indicará que la contraseña de usuario debe ser cambiada antes de iniciar la sesión por primera vez, pulsaremos "Aceptar" para continuar:

Introduciremos la contraseña para el usuario administrador:

Pulsaremos "Aceptar" para iniciar la sesión en Windows Server 2008:

Mostrará el progremos de la preparación de escritorio:

Mostrará la ventana de "Tareas de configuración inicial", con opciones como "Establecer zona horaria", "Configurar redes", "Proporcionar nombre del equipo y

dominio". Si no queremos que vuelva a aparecer en el siguiente inicio de sesión marcaremos "No mostrar esta ventana al iniciar":

Nos mostrará la ventana del "Administrador del servidor":

El nuevo menú Inicio (se puede configurar para que muestre el menú de inicio clásico). Las herramientas administrativas que incorpora Windows Server 2008: Terminal Services, Administrador de almacenamiento y recursos, Administrador de equipos, Administrador del servidor, Asistente para configuración de seguridad, Component Services, Configuración del sistema, Copias de seguridad de Windows, Directiva de seguridad local, Explorador de almacenamiento, Firewall de Windows con seguridad avanzada, Herramienta de diagnóstico de memoria, Inicador iSCSI, Monitor de confiabilidad y rendimiento, Orígenes de datos ODBC, Programador de tareas, Servicios y Visor de eventos:

Si queremos modificar las propiedades del área de notificación de Windows:

El menú de inicio:

Personalización del menú de inicio clásico:

Barra de tareas:

Una vez instalado Windows Server, puesto que en el proceso de instalación a penas pide datos, deberemos configurar una serie de parámetros (configuración de red, nombre del equipo, grupo de trabajo, etc). Para configurar la red pulsaremos con el botón derecho sobre "Red" y seleccionaremos "Propiedades":

Nos mostrará el nuevo Centro de redes y recursos compartidos, pulsaremos en "Administrar conexiones de red":

Pulsaremos con el botón derecho sobre "Conexión de área local" y seleccionaremos "Propiedades":

Seleccionaremos "Protocolo de Internet versión 4 (TCP/IPv4)" y pulsaremos "Propiedades":

Marcaremos "Usar la siguiente dirección IP" e introduciremos la dirección IP, la máscara de subred, la puerta de enlace y el servidor de DNS:

Cambiaremos también el nombre del equipo y el grupo de trabajo, por defecto Windows Server 2008 nombrará el equipo de la forma WIN-IS5..., lógicamente, este nombre no es muy práctico para un servidor, por lo que lo cambiaremos pulsando con le botón derecho del ratón sobre "Equipo", seleccionando "Propiedades":

En la nueva ventana de Sistema de Windows Server 2008 haremos clic sobre "Cambiar la configuración":

Introduciremos la "Descripción del equipo", en nuestro caso "PC Windows Server 2008 - AjpdSoft", pulsaremos el botón "Cambiar":

Introduciremos el nombre del servidor (en nuestro caso "SRV2008") y el grupo de trabajo (en nuestro caso "AJPDSOFT"). Si ya tenemos un dominio de Windows

2000/2003/2008 marcaremos "Miembro del ... Dominio" e introduciremos el nombre del dominio, en caso contrario marcaremos ""Miembro del... Grupo de trabajo":

Nos avisará del cambio de Grupo/Dominio:

Nos indicará que debemos reiniciar el PC para que los cambios tengan efecto:

El nuevo Visor de eventos, mucho más profesional, con más opciones de guardar vistas, exportar contenido, etc:

Una de las mejoras de Windows Server 2008 es que en el Visor de eventos permite, sobre un evento, añadir una tarea, pulsando con el botón derecho sobre el evento en cuestión y seleccionando "Adjuntar tarea a este evento...":

Indicaremos el nombre y la descripción de la tarea:

Pulsaremos "Siguiente":

Indicaremos la acción a realizar cuando se vuelva a producir el evento (Iniciar un programa, Enviar un correo electrónico o Mostrar un mensaje). En nuestro caso marcaremos "Enviar un correo electrónico":

Introduciremos los datos para el envío del email:

Si queremos ver más opciones de la tarea podremos marcar "Abrir el diálogo Propiedades para esta tarea al hacer clic en Finalizar":

A continuación las Propiedades de la tarea agregada:

Las Herramientas administrativas de Windows Server 2008:

El nuevo Programador de tareas de Windows Server 2008, con la tarea agregada en el Visor de eventos:

Desde Herramientas administrativas podremos abrir el nuevo Firewall de Windows:

Os mostramos la ventana principal del nuevo Firewall de Windows con seguridad avanzada:

Podremos agregar una nueva regla para las entredas, pulsando en "Reglas de entrada" con el botón derecho del ratón y seleccionando "Nueva regla...":

Seleccionaremos el tipo de regla a crear (programa, puerto, predefinida, personalizada):

Seleccionaremos el tipo de protocolo (TCP, UDP), en nuestro caso, puesto que queremos abrir el puerto 3306 de MySQL seleccionaremos "Puertos locales específicos" e introduciremos "3306":

Indicaremos la medida a tomar por el cortafuegos, marcaremos "Permitir la conexión":

Indicaremos cuándo se aplica esta regla:

Dominio: se aplica cuando un equipo está conectado a su dominio corporativo.

• •

Privado: se aplica cuando un equipo está conectado a una ubicación de redes privadas. Público: se aplica cuando un equipo está conectado a una ubicación de redes públicas.

Indicaremos el nombre y la descripción de la regla:

El nuevo Explorador de almacenamiento, con soporte para SAN (almacenamiento el fibra):

El nuevo Panel de control:

************************************************************************

Instalación de Terminal Services en Windows 2008

Instalación de los servicios de Terminal Server o sus componentes, En esta parte del documento enseñamos cómo instalar Terminal Services y/o algún componente relacionado, ya que en los demás documentos se dará por hecho que ya están instalados dichos servicios.

Para instalar los roles o funciones de Terminal Server, tenemos que ir a la consola de administración del servidor y agregar la siguiente función "Terminal Services",

Nos da una breve descripción de lo que son los servicios de terminales, continuamos, "Siguiente",

Y aquí tenemos que marcar la función que nos interese que tenga nuestro servidor, si será un servidor de TS o un servidor de licencias, o un Session Broker, o un servidor de puerta de enlace o el servicio de Web Access. Marcamos la opción que nos interese. Ojo! es muy importante que si vamos a instalar un servidor de Terminal Services, instalemos lo primero de todo después del S.O. está función, antes de instalar ninguna otra aplicación, ya que las aplicaciones en los servidores de terminal necesitan instalarse con el modo terminal habilitado, ya que si no podemos tener algún tipo de problemas de compatibilidades, y por supuesto que estas aplicaciones sean compatibles con TS. Bueno, marcamos los roles que nos interesen y "Siguiente",

Abrán algunas funciones que tengan sus requisitos, cómo al Web Access le hace falta IIS y si no está instalado nos lo instalará o a la función Gateway RCP sobre HTTP... Pulsamos sobre "Agregar las funciones requeridas",

Aquí es donde nos advierte que algunas de las aplicaciones que hayamos instalado ya puede que no nos funcionen, "Siguiente", y que si vamos a instalar alguna después de instalar TS hay que hacerlo desde el "Panel de Control",

Terminal Server y Conexión a Escritorio Remoto 6.0 soportan Network Level Authentication (NLA), un nuevo tipo de autenticación, que autentica al usuario, al ordenador cliente y las credenciales del servidor entre sí. Esto siginifica que la autenticación ahora es realizada antes que la sesión de Terminal Services se levente y le sea presentado al usuario la pantalla de inicio de sesión. Con clientes previos de Conexión a Escritorio Remoto 6.0, las sesiones de TS eran iniciadas tan pronto el usuario le diera click a "Conectar", y esto crea una ventana de oportunidad para que usuarios maliciosos realizaran ataques de Denial of Services (DoS) y robaran credenciales via un ataque man-in-the-middle (MITM). Si queremos podemos habilitarlo desde ya, o posteriormente.

Nos pregunta por el tipo de licenciamiento, puede ser por dispositivo o por usuario (según las licencias que tengamos) y si no tenemos un servidor de licencias instalado o no lo sabemos todavía, podemos "Configurarlas después",

Ahora debemos seleccionar un grupo por lo menos de usuarios que podrán conectarse a este servidor de Terminal Server. Si no, está instalación nos creará un grupo llamado "Usuarios de Escritorio Remoto", con meterles en este grupo bastará, "Siguiente",

Si hemos seleccionado el componente de Gateway podemos meterle un certificado ahora para asegurar la conexión de los clientes, pero esto es algo que haremos posteriormente, "Siguiente",

Al instalar Gateway, nos pregunta si creamos ya las directivas CAP (Connection Authorization Policy) y RAP (Resource Authorization Policy). Podemos hacerlo ya o posteriormente en la consola.

Debemos agregar un grupo para asociarlo a las politicas de autorización, vamos el grupo que se podrá conectar usando Gateway, luego todo esto se verá en la configuración de Gateway,

Indicamos un nombre a la directiva de autorización Conection Authorization Policy CAP y el tipo de autenticación, si usando contraseñas o con las tarjetas inteligentes o Smart cards,

Y lo mismo para la RAP o Resource Authorization Policy, indicarle un nombre y desde qué equipos dejaremos que se conecten a los servidores de TS, si desde unos especificos o desde cualquiera,

Nos comenta que ahora con NPS o Network Policy Server podremos asegurar la conexión o configurarlo con unas directivas, esta sería la sustituta de IAS. NPS (Network Policy Server) utiliza SHVs (System Health Validators) para analizar el estado de salud del equipo. "Siguiente",

Podemos instalarlo para después configurarlo si nos interesa alguno de ellos, por ejemplo el NPS será interesante,

Esto es por haber marcado para instalar Acceso Web de TS (TS Web Access), no tienes por que haberlo marcado, depende de tú organización, si tienes servidores cómo para separar funciones, "Siguiente",

Marcamos los componentes que necesitemos, vendrán marcados los necesarios para Web Access,

Comprobamos todos los pasos anteriores para comenzar la instalación del componente que hayamos marcado de Terminal Server, pulsamos "Instalar",

... proceso de instalación...

OK, todo perfectamente instalado, para ciertos componentes tendremos que reiniciar el servidor, lo hacemos después de pulsar en "Cerrar",

"Sí" para reiniciar el sistema,

Una vez reiniciado el servidor se finalizará la configuración de ciertos componentes...

Ok, ya está todo instalado, pulsamos en "Cerrar". Ahora hay que ir función a función configurandolas.
www.bujarra.com - Héctor Herrero - nheobug@bujarra.com - v 1.0

You're Reading a Free Preview

Descarga
scribd
/*********** DO NOT ALTER ANYTHING BELOW THIS LINE ! ************/ var s_code=s.t();if(s_code)document.write(s_code)//-->