Acceso remoto 2008.

doc
Mdulo ISO. 1 ASIR semipresencial

Acceso remoto.
Jos Ramn Ruiz Rodrguez. Usado con permiso del autor.
1.1.1
1.1.2
1.1.3
1.1.4
1.1.5
1.1.6
1.1.7
1.1.8
1.1.9

Escritorio remoto. ................................................................................................. 1

Administracin Remota del Controlador de Dominio .......................................... 2
Escritorio Remoto a un Equipo Cliente ................................................................. 4
RemoteApp ........................................................................................................... 6
Instalacin de Terminal Server ............................................................................. 8
Instalacin de Servicios de Escritorio Remoto en Windows Server 2008 R2 ..... 18
Configuracin de RemoteApp............................................................................. 18
Comprobacin del Funcionamiento de RemoteApp .......................................... 21
Acceso Web a RemoteApp ................................................................................. 24

1.1.1 Escritorio remoto.

Los equipos servidores suelen hallarse en recintos con unas condiciones
especiales de temperatura y humedad, de seguridad ante accesos indebidos, de
proteccin ante cortes elctricos, etc. Son los denominados CPDs (Centro de
Procesamiento de Datos, en ingls Datacenter) los cuales no son aptos para desarrollar
una jornada laboral completa en su interior. Si el CPD est bien diseado, la
temperatura ambiental ser muy baja, adems al haber muchos equipos en
funcionamiento, el ruido de los ventiladores suele sobrepasar los niveles de tolerables
por el odo humano. Por otra parte, los equipos suelen instalarse en armarios o racks,
muchas veces sin monitor ni teclado, o con una combinacin de ambos que contradice
las ms mnimas reglas ergonmicas de salud e higiene laboral.
Ante este panorama cabe preguntarse cmo se administra un equipo servidor en
un entorno tan hostil. La respuesta es mediante acceso remoto. Un servicio de acceso
remoto permite, segn se configure, iniciar sesin en el equipo remoto, utilizar las
aplicaciones que tenga instaladas, administrarlo, etc. Existe bastante software que
permite realizar algunas de estas funciones en determinados sistemas operativos
como VNC, Teamviewer, x11vnc, OpenSSH, PuTTY, etc.
Los sistemas enumerados anteriormente comparten (entre otras) una utilidad: la
de poder administrar de manera remota un equipo (por ejemplo un equipo servidor),
de esta manera el administrador del sistema puede realizar sus labores de
administracin, gestin, mantenimiento, etc. desde su puesto de trabajo en la oficina
(o un emplazamiento an ms remoto) sin tener que acceder fsicamente al equipo
servidor (que tambin puede hallarse en un emplazamiento remoto fuera de la oficina
o incluso del pas).

Pgina 1 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

En este tema trabajaremos con una herramienta propia de los sistemas Windows
Server: Terminal Services (sistemas Windows Server 2008), o Remote Desktop Services
(en sistemas Windows Server 2008 R2).

1.1.2 Administracin Remota del Controlador de Dominio

Las funciones de Escritorio Remoto mediante Terminal Services vienen instaladas
por defecto en los equipos con Windows Server 2008. Para conseguir acceder de una
manera remota al servidor tendremos que habilitar en este las conexiones de equipos
que ejecuten el Escritorio Remoto (figura 1). Utilizaremos siempre el nivel ms elevado
de seguridad, en este caso: "Permitir slo las conexiones desde equipo que ejecuten
Escritorio remoto con Autenticacin a nivel de red".

Si fuera necesario, podramos aadir ms usuarios haciendo clic en 'Seleccionar

usuarios...' (figura 2), pero como medida de proteccin no permitiremos que otros
usuarios puedan acceder mediante el escritorio remoto.

Pgina 2 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Qu pasara si autorizramos a un usuario cualquiera a acceder mediante

Escritorio remoto al Controlador de Dominio?

No podra iniciar sesin, porque aunque pudiera establecer un escritorio remoto,

en el Controlador de Dominio (a priori) solo puede iniciar sesin un usuario del grupo
administradores.
Para acceder desde un equipo cliente al Controlador de Dominio (donde hemos
habilitado el acceso del Escritorio remoto), buscaremos la opcin 'Conexin a
Escritorio remoto' indicaremos la ruta del equipo al que queremos acceder (figura 3).
Para indicar la ruta del equipo al que acceder podemos utilizar:
La direccin IP.
El nombre de la mquina.
El nombre del dominio (solo si queremos acceder al Controlador de
Dominio).
Una vez que hayamos pulsado 'Conectar', e introducido las credenciales del
administrador se nos mostrar la siguiente advertencia (figura 4).

Pgina 3 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Una vez ledo el error de certificado, haremos clic en la opcin que estimemos
oportuna para garantizar la seguridad de nuestra red.
Si hemos pulsado 'S', tras unos instantes de espera (figura 5) se modificar el
escritorio del equipo cliente desde el que estbamos accediendo y se sustituir por el
escritorio del controlador de dominio (figura 6), siendo totalmente funcional y
permitindonos trabajar como si estuviramos ante el servidor.

Cuando se accede a un equipo mediante Escritorio remoto, automticamente se

cierra la interfaz 'local' del equipo, pudindose trabajar nicamente a travs de la red.

1.1.3 Escritorio Remoto a un Equipo Cliente

De la misma manera que en el caso anterior accedamos al Controlador de
Dominio desde un equipo cliente (con las credenciales del administrador), es
perfectamente posible acceder desde un equipo cliente (por ejemplo el equipo que
utiliza habitualmente el administrador) a otro cliente de un usuario de la red que
pueda tener algn problema y necesite asistencia, o necesite realizar algn tipo de
configuracin por parte del administrador.
El procedimiento a seguir ser el mismo de antes: en el equipo al que queremos
acceder, habr que habilitar el acceso desde el Escritorio remoto (figura 1).

Pgina 4 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

En principio no es recomendable que

otros usuarios, al margen del administrador
tengan permiso para realizar esta tarea. Al
pulsar sobre 'Aplicar', se aadir
automticamente la excepcin en el
Firewall para ese servicio, y ya podremos
acceder desde otro equipo mediante la
'Conexin a Escritorio remoto' con las
credenciales del administrador (figura 2).

Si
deseamos
acceder
como
administrador, deberemos indicar como
prefijo el nombre del dominio, en este caso
CEFIRE\Administrador, en caso contrario
estaremos
accediendo
como
el
administrador local del equipo cliente.
Como se puede observar en la figura
3 se nos indica que un usuario ya ha
iniciado sesin en el equipo cliente y que
nuestro acceso provocar su cierre de
sesin. A continuacin, se pide permiso al
usuario que tiene iniciada la sesin para
permitir la Conexin de Escritorio remoto (

Pgina 5 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Tras la aceptacin por parte del usuario local, ya podemos acceder y administrar
su equipo cliente (figura 5).

1.1.4 RemoteApp
RemoteApp es un programa ejecutado en un servidor al que se puede acceder
desde un equipo remoto mediante Terminal Services. Este programa proporciona un
entorno que simula la ejecucin de aplicaciones en el propio equipo remoto. Esta
funcin de Windows Server presenta ventajas como:

Permite la implementacin de una manera sencilla de una aplicacin en toda

una red sin que los equipos clientes tengan unos requisitos especiales de
hardware o software. Puede ser especialmente til cuando queremos
ejecutar aplicaciones con una arquitectura diferente a la del cliente, o
versiones de software incompatibles con el sistema operativo instalado en el
cliente.
Al instalarse las aplicaciones de una manera centralizada en una nica
mquina, se facilita la administracin y mantenimiento de estas.

Sin embargo, como inconveniente cabe destacar el consumo de recursos en el

servidor ya que la ejecucin de las aplicaciones se lleva a cabo en este ltimo.
Dimensionando adecuadamente la red, se puede alcanzar un equilibrio entre los

Pgina 6 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

recursos del servidor de aplicaciones y el ahorro en recursos al aligerar cada vez ms

los clientes.
Para poner en marcha el programa RemoteAPP, es necesario configurar el
servidor Terminal Services lo que est completamente desaconsejado en un
controlador de dominio. El motivo de esta separacin fsica entre el controlador de
dominio y el servidor de aplicaciones reside en que:
1. Los usuarios del dominio deben poder iniciar sesin en el servidor de
aplicaciones para poder ponerlas en marcha, lo cual est completamente
desaconsejado en el controlador de domino, ya que en este ltimo se
gestionan aspectos de seguridad y autenticacin, demasiado sensibles como
para permitir a cualquier usuario del dominio iniciar sesin en l.
2. El consumo de recursos que provoca la ejecucin remota de las aplicaciones
puede entorpecer el correcto funcionamiento del controlador de dominio:
recordad que este puede tener numerosos servicios ejecutndose (AD, DNS,
DHCP, servidor de impresin, VPN, etc.)
De esta manera, el esquema de red propuesto, sera como el de la figura 1,
donde un equipo servidor realiza las tareas de controlador de dominio, y otro equipo
servidor realiza las tareas de servidor de aplicaciones.

Figura 1. Estructura de red propuesta.

Si en lugar de crear e instalar otro servidor con Windows Server 2008, optis por
clonar el equipo que tenis como controlador de dominio tened presente lo siguiente:
Modificad el SID con sysprep.
Cambiad la MAC de la tarjeta de red al clonar.
Degradad el controlador de dominio 'repetido' y eliminad tanto las funciones
Pgina 7 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

de DNS como las de AD.

Configurad adecuadamente la nueva direccin del DNS.
Comprobad que en el nombre de la mquina no aparece el sufijo del dominio.
Aadid al dominio el equipo clonado, no como controlador de dominio, sino
como un equipo ms.
Tras crear el nuevo servidor y aadirlo al dominio como un equipo ms,
aparecer en la Unidad Organizativa Computers.
Dado la cantidad de memoria que requerira utilizar otro servidos del modo que
se ha descrito en estas prcticas las realizaremos todo sobre un nico servidor,

1.1.5 Instalacin de Terminal Server

La instalacin y configuracin del servidor de terminales es un proceso algo
tedioso que requiere una larga secuencia de pasos que se detallan a continuacin. Se
recomienda hacer una copia del disco duro virtual antes de cointinuar.
En primer lugar instalaremos la funcin Terminal Services a travs del
Administrador del ServidorAgregar Funciones. En el asistente que se abrir
marcamos la casilla de verificacin Terminal Services y hacemos clic en 'Siguiente'

Se abrir una ventana (figura 2) con informacin interesante sobre Terminal

Services, especialmente la recomendacin de no instalar el Terminal Server si
solamente se trata de administrar equipos remotos, utilizando en su lugar la funcin
Escritorio remoto.

Pgina 8 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Si instalramos el Terminal Server en un controlador de dominio nos aparecera

la advertencia de la figura 3, la cual nos recomienda que no instalemos el servicio en
un equipo de esas caractersticas.

A continuacin podremos seleccionar los servicios que instalaremos (figura 4).

Concretamente instalaremos:

Terminal Server: permite que un servidor albergue aplicaciones de

Windows o el escritorio Windows completo.
El Administrador de licencias TS: permite instalar y administrar las licencias
de utilizacin de Terminal Services, las cuales deben adquirirse al margen
de la licencia de Windows Server. Este no es un aspecto problemtico, ya
que el equipo servidor cuenta con una licencia de evaluacin con vigencia
de 120 das.
Puerta de enlace de TS: permite establecer conexiones de tipo HTTPS a los

Pgina 9 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

usuarios autorizados.
Acceso web de TS: este servicio permite el acceso a los servicios de
terminal a travs de un explorador web. Ser una de las formas que
utilicemos para difundir las aplicaciones a travs de la red

Como en este curso trabajaremos con la licencia de evaluacin de 120 das no

configuraremos el servidor de aplicaciones. Sin embargo en este enlace de Technet,
tenis descrito paso a paso cmo activar y administrar el servidor de licencias de
Terminal Services para un entorno de produccin.

La nica opcin que hemos dejado sin marcar (Agente de sesiones TS) permite
establecer mecanismos de control de la carga en el caso de tener varios servidores
dedicados a proporcionar sesiones de terminal. Como nicamente tendremos un
equipo dedicado a estas labores, no har falta establecer este tipo de mecanismos de
balanceo de carga.
A continuacin nos aparece una advertencia indicando la manera correcta de
proceder respecto a la instalacin de aplicaciones para difundir entre los usuarios:
primero instalar el Terminal Server y posteriormente las aplicaciones.

Pgina 10 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Como norma general, siempre especificaremos el mtodo de autenticacin ms

seguro. En este caso requeriremos autenticacin a nivel de red.
Como vamos a utilizar la licencia de evaluacin, disponemos de 120 das para
configurar la licencia. De esta manera, seleccionaremos la opcin 'Configurar ms
adelante'.

A continuacin viene un paso importante, deberemos indicar los usuarios que

estarn autorizados a iniciar una sesin remota. Por defecto est autorizado el grupo
administradores, nosotros, en este caso, incluiremos tambin a los 'Usuarios del
Dominio' Si no lo hacemos as, no podrn utilizar los servicios de terminal para ejecutar
aplicaciones.

Pgina 11 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

En el siguiente paso indicaremos que el servidor de licencias (no configurado

todava) nicamente acte sobre el dominio, no sobre el bosque.

En la siguiente ventana podremos especificar el tipo de certificado adecuado de

autenticacin de servidor para cifrado SSL.

Los pasos que vienen a continuacin tratan de configurar el acceso de los

usuarios que podrn conectarse al servidor. Indicaremos que queremos crear 'Ahora'
las directivas de autorizacin.

Pgina 12 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Indicaremos que el grupo 'Usuarios del dominio' tambin podr conectarse a

travs de la puerta de enlace de Terminal Server.

En las ventanas siguientes crearemos una directiva de autorizacin de

conexiones (CAP) y una directiva de autorizacin a recursos (RAP).

Pgina 13 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Opciones de los Servicios de acceso y directivas de redes, que nos permitirn

gestionar las conexiones de los clientes.

Una de las ltimas tareas pendientes consistir en la instalacin del servidor web
IIS, el cual permite la publicacin de pginas dinmicas ASP, como podra ser Apache
para PHP o Tomcat para Java. Mantendremos las opciones por defecto en la pgina del
asistente.

Pgina 14 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Muestra un resumen de las tareas a realizar, y si todo est correcto, pulsaremos

sobre 'Instalar' y comenzar el proceso de instalacin (figura 22).

Instalacin de todas las caractersticas y funciones aadidas.

Pgina 15 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Tras la instalacin, se nos advertir de que hay que reiniciar el servidor para
poder poner en marcha varios de los servicios instalados.

Una vez que hayamos reiniciado, accederemos a la configuracin de Acceso

remoto e indicaremos que solo queremos permitir las conexiones desde equipos que
ejecuten Escritorio remoto con Autenticacin a nivel de red. En Equipo, Propiedades,
Configuracin de Acceso Remoto.

Pgina 16 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Tras pulsar 'Aplicar' se nos mostrar un mensaje que nos advertir de que se
crear una excepcin en el Firewall para permitir el acceso las conexiones
configuradas.

Tras este proceso ya tenemos instalado el servidor de terminales (por fin).

Pgina 17 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

1.1.6 Instalacin de Servicios de Escritorio Remoto en Windows

Server 2008 R2
La instalacin de los Servicios de Escritorio Remoto (Remote Desktop Services)
vara ligeramente respecto a la instalacin de los Terminal Services de Windows Server
2008 que hemos visto en el punto anterior. Podis comprobar cmo proceder a la
instalacin en el siguiente vdeo.
http://www.youtube.com/watch?feature=player_embedded&v=HpJQZUrVik0

1.1.7 Configuracin de RemoteApp

Ahora que ya hemos finalizado la instalacin del servidor de terminales, ya
podemos configurar y poner en marcha el servidor de aplicaciones RemoteApp. Para
ello, accederemos al 'Administrador de RemoteApp de TS' a travs de
InicioHerramientas del SistemaTerminal Services .

Tras unos instantes se abrir el Administrador de RemoteApp de TS.

Para aadir aplicaciones que sern ejecutadas desde los equipos clientes,
accederemos al panel derecho 'Acciones', y seleccionaremos la opcin 'Agregar
programas RemoteApp'.

Pgina 18 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Se abrir el asistente de la figura 4, el cual nos permitir seleccionar las

aplicaciones que permitiremos ejecutar en el servidor a los usuarios del dominio.
En este ejemplo seleccionaremos las aplicaciones LibreOffice Calc, LibreOffice
Writer, todas ellas previamente instaladas en el servidor.
Si alguna de las aplicaciones que queremos permitir que se ejecuten en el
servidor diera problemas, nos aseguraremos de que se ha instalado posteriormente a
la instalacin del servidor de terminales.
La siguiente ventana nos muestra la configuracin de RemoteApp, pulsaremos
'Finalizar' y ya tendremos las tres aplicaciones anteriores listas para ser ejecutadas
remotamente.

Para que los usuarios del dominio puedan ejecutar remotamente el programa,
crearemos un fichero rdp al que tendrn acceso los usuarios del dominio, que
permitir arrancar la aplicacin seleccionada.

Pgina 19 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

El asistente (figura 8) nos ir guiando en el proceso. Indicaremos que queremos

guardar el archivo rdp generado en una carpeta compartida que hemos creado en
C:\aplicaciones (figura 9) y que hemos compartido con el nombre de red de
Aplicaciones.

Como siempre, se nos muestra un resumen de la configuracin, y ya se habr

creado en la ubicacin seleccionada el archivo que nos permitir establecer la
conexin con el servidor de aplicaciones y ejecutar LibreOffice Writer.

Pgina 20 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Fichero rdp creado en la ubicacin definida.

1.1.8 Comprobacin del Funcionamiento de RemoteApp

Para comprobar el correcto funcionamiento de RemoteApp, vamos a iniciar
sesin en un equipo cliente con el usuario pepe. A continuacin accederemos a la
ubicacin de red \\servidor-sesion\aplicaciones.

Pgina 21 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Hacemos doble clic en el fichero swriter.rdp y lanzamos RemoteApp. Nos

aparecer una advertencia y seleccionaremos la opcin que nos parezca ms segura.
Si
hemos
pulsado
'Conectar'
introduciremos las credenciales del usuario,
no las del administrador, ya que en la
configuracin del servidor de terminales
incluimos al grupo 'Usuarios del dominio', ya
que esto es precisamente lo que queremos:
que puedan ejecutar las aplicaciones un grupo
de usuarios de la red ms amplio que
nicamente los administradores. Adems,
obviamente, las credenciales del administrador no deben ser conocidas por nadie ms
que por este.

.
Como veis falta conceder permiso de inicio de sesin a travs de Terminal
Services al usuario pepe. Para ello basta con hacerlo miembro del grupo Usuarios de
Escritorio remoto.

Pgina 22 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Ademas hace falta permitir que inicien sesion en el DC a los miembros de grupo
Usuarios de escritorio remoto. Si no habias dado cuenta por defectoi el nico usuario
que puede iniciar sesin en el controlador de domino es el administrador. Esto en
muchas ocasiones es un inconveniente, como acabamos de ver. Podria haber aadido
en la ventana inferior al grupo Usuarios del dominio. En ese caso en directivas de
seguridad loical del propio servidor.

Y tras unos instantes (dependiendo del tamao del programa y de la carga de

trabajo del servidor), aparecer en el equipo cliente la ventana de trabajo de
LibreOffice Writer, como si se estuviera ejecutando en local (figura 5).
Pese a la apariencia del entorno de trabajo hay que tener en cuenta que si no lo
configuramos de otra manera, los trabajos se guardarn en el servidor, que es donde
se est ejecutando realmente la aplicacin.
Comprobemos que distintos usuarios pueden ejecutar la misma aplicacin a la
vez. Para ello, desde otro equipo cliente, iniciar sesin simultneamente el usuario
pepe y siguiendo los pasos anteriores ejecutar el fichero swriter.rdp albergado en
\\servidor-sesion\aplicaciones.

Pgina 23 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Por otra parte el usuario pepe puede iniciar sesin en el controlador:

1.1.9 Acceso Web a RemoteApp

Finalmente, podemos establecer que el acceso a las aplicaciones se realice de
una manera ms cmoda al usuario. Como instalamos el servidor web IIS, RemoteApp
permite lanzar las aplicaciones a travs del servidor web, que puede ser accesible por
ejemplo desde la intranet de la corporacin. En este caso, nosotros accederemos a
travs de la direccin IP del servidor de aplicaciones: en este caso
http://192.168.123.111/TS. Tras introducir las credenciales, se abrir una pgina como
la que se muestra.
Desde el propio server:

Pgina 24 de 25

Acceso remoto 2008.doc

Mdulo ISO. 1 ASIR semipresencial

Desde una estacin, en este caso, ha sido con http://2008server/TS:

Como practica adicional os propongo que inicieis sesion en el servidor desde un equipo
que no est en el dominio.

Pgina 25 de 25