Terminal Server 2008

Este es un resumen del articulo publicado en Terminal Services Team Blog, en donde se
describen las diferencias entre Windows Server 2003 y Windows Server 2008 cuando se
utiliza el cliente RDC (Remote Desktop Connection) de forma remota conectarse al
servidor con fines administrativos.

En Windows Server 2003, puede iniciar el cliente RDC (mstsc.exe) con la opción
/console para conectarse a la consola física de forma remota (también conocido
como sesión 0). En Windows Server 2008, la opción /console ha quedado obsoleta. En
el caso de Windows Server 2008, la sesión 0 es una sesión no-interactiva que se reserva
para los servicios propios del sistema operativo.

Para los fines de administración se puede usar la nueva opción /admin. Que esta
soportada en el cliente RDC 6,1. Que se incluye con los siguientes sistemas operativos:

• Windows Server 2008

• Windows Vista Vista Service Pack1 (SP1) Beta y RC Service Pack 1
(SP1)
• WindowsXPService Pack3 (SP3) Beta y RC

El Cliente RDC 6,1 no es compatible con la opción /console. Sin embargo, para la
compatibilidad hacia atrás, puede utilizar la opción /admin para conectarse a la consola
física sesión en un equipo basado en Windows Server 2003

¿Por qué la opción /console ya no es necesaria?

En Windows Server 2003, usamos la opción de /console por las razones siguientes:

• Para conectar con la sesión 0. Dado que algunas aplicaciones solo se

pueden instalar y ejecutar en la sesión 0 debido a que necesitan para
comunicarse con los servicios que se ejecutan en la sesión 0. O
también por que necesitan conectarse a la UI grafica de la sesión 0
• Para conectarse a una sesión existente en la consola física. Debido a
que la sesión 0 es en la consola física de Windows Server 2003, la
única forma en que puede reconectar a este período de sesiones es
mediante el uso de la /console.

En Windows Server 2008, la opción /console ya no es necesaria por las siguientes

razones:

• Se a mejorado la compatibilidad de las aplicaciones que necesitan

para comunicarse con los servicios en la sesión 0. Se podrá instalar y
ejecutar aplicaciones en sesiones diferentes a la sesion 0. Además, si
el servicio que está asociado a una aplicación intenta mostrar la
interfaz de usuario en la sesion 0 Windows Server 2008 y en Windows
Vista incorporan un capacidad que permite a los usuarios visualizar e
interactuar con la interfaz grafica de la sesión 0. En Windows Server
2008 la sesión 0 es un sesión no-interactiva que se reserva para los
 servicios, no hay necesidad de que un usuario tenga que conectarse
explícitamente a esta sesion.

Más información sobre el aislamiento de la sesiones 0 en Windows Vista,

(http://go.microsoft.com/fwlink/?LinkId=106201).

• Debido a que la consola física no es nunca sesion 0, nos podremos

reconectar a esta sesión siempre remotamente, esta comportamiento
es controlado por políticas (GPO) a través del ítem "Restrict Terminal
Services users to a single remote sesión" dentro del nodo "Computer
Configuration\Administrative Templates\Windows
Components\Terminal Services\Terminal Server\Connections".

También puede configurar esta opción, mediante el uso de Configuración de Servicios

de Terminal Server.

Comportamiento de la opción /admin

Podemos iniciar una sesión de Terminal con el cliente RDC 6,1 cliente (mstsc.exe) con
la opción /admin para administrar de forma remota un equipo con Windows Server
2008 (con o sin el Rol Terminal Server instalado). Sin embargo, si se conecta a
administrar de forma remota un equipo con Windows Server 2008 que no tiene la
función de servicios de Terminal Server instalado, usted no tiene que especificar la
/admin. (En este caso, el mismo comportamiento aparecerá en la conexión de terminal
con o sin el /admin..

Comportamiento de la opción /Admin al conectar a un servidor que no tiene

instalado Terminal Server

Si nos conectamos como miembro del grupo Administradores en el servidor de destino,

al iniciar una sesión de escritorio remoto a un Windows Server 2008 que no tiene la
función de servicios de Terminal Server instalados, se aplicara el siguiente
comportamiento en la sesión remota:

• Redirección del uso horario estará inhabilitado.

• Se deshabilitara la redirección del Terminal Services Session Broker
(TSSession Broker)
• La redirección del dispositivos Plug and Play device estará
deshabilitada.
• Dentro de la sesión el tema cambiara a Windows Classic.
• Estará deshabilitada la funcionalidad de Terminal Services EasyPrint.

Comportamiento de la opción /Admin al conectar a un servidor que tiene el Rol de

Terminal Server instalado

Si nos conectamos como miembro del grupo Administradores en el servidor de destino,

al iniciar una sesión de escritorio remoto a un Windows Server 2008 que tiene el
Terminal Server instalado, deberemos usar la opción /admin para Administrar de forma
remota el servidor. El siguiente comportamiento se aplicara a la sesión:
Terminal Server 2003

INSTALAR Y CONFIGURAR TERMINAL SERVER EN WINDOWS 2003

Os explicamos cómo instalar Terminar Server (servidor de aplicaciones) en Windows

2003, también os indicamos cómo configurar las opciones fundamentales (permisos,
opciones de sesión, control remoto, etc.). Con esta opción podremos disponer de un
único equipo servidor donde se instalarán todas las aplicaciones de la organización, al
que accederán los usuarios por medio de Terminal Server.

Terminal Server es un servicio de Windows 2000/2003, capaz de proporcionar un

"equipo virtual" al cliente que se conecte. De esta forma sólo será necesario instalar las
aplicaciones de la organización en un único equipo. Los clientes se conectarán a este
servidor y obtendrán en su equipo una pantalla con las mismas opciones que un equipo
normal (configurables por directivas de seguridad). De esta forma evitaremos tener que
instalar todas las aplicaciones en todos los equipos clientes que necesiten conexión a
una base de datos. Cuando se tenga que actualizar una aplicación de nuestra
organización ya no será necesario hacerla en todos los equipos clientes, será suficiente
con actualizar el servidor de Terminal Server.

En caso de necesitar más de un servidor de Terminal Server, habrá que instalar las
mismas aplicaciones en todos los servidores. Recomendamos encarecidamente que
todos los servidores con Terminal Server tengan todas las aplicaciones de la
organización instaladas. De esta forma también podremos utilizar un servicio llamado
"Balanceo de carga". Este servicio tendrá una IP virtual, los clientes se conectarán a esta
IP y será el propio servicio de Balanceo de carga el que decida a qué servidor conecta
cada usuario, dependiendo de los recursos disponibles en cada servidor.

Cuando una aplicación necesita acceder a una base de datos o cualquier tipo de
información, conviene que esté alojada en otro servidor independiente. De esta forma
todos los servidores de Terminal Server de nuestra organización accederán al mismo
servidor para obtener la inforamación de cada aplicación.

A continuación os mostramos un ejemplo de configuración de red con un Servidor de

Ficheros, para almacenar la ofimática de los usuarios: documentos, imágenes, bases de
datos de escritorio (Access, Paradox, DBase, etc), presentaciones, hojas de cálculo,
videos, música, un Servidor de base de datos, donde se alojará la base de datos de
nuestra organización: MySQL, Oracle, Microsoft SQL Server, Informix, DB2,
Interbase, etc, varios servidores de aplicaciones (Terminal Server), donde estarán
instaladas todas las aplicaciones ofimáticas y las aplicaciones cliente servidor con
acceso al servidor de base de datos. También estarán, lógicamente, los equipos de los
usuarios (clientes) que se conectarán a los servidores de terminal server:
Para instalar los servicios de Terminal Server en Windows 2003 seguiremos estos pasos:

En primer lugar accederemos a "Inicio" - "Configuración" - "Panel de control":

Seleccioanaremos "Agregar o quitar programas":

Seleccionaremos "Agregar o quitar componentes de Windows" (en la parte izquierda):

Marcaremos "Terminal Server":

Nos mostrará un cuadro de diálogo de aviso inidicando que la seguridad de Internet
Explorer es más restrictiva que en otras versiones de Windows NT y 2000. Estas
opciones de seguridad se podrán configurar posteriormente. Pulsaremos "Sí" para
activar las restricciones de seguridad, pulsaremos "No" para no activarlas en el proceso
de instalación (se podrán activar en cualquier momento):

con el texto:

---------------------------
Advertencia de configuración
---------------------------
La configuración de seguridad mejorada de Internet Explorer restringirá
significativamente la capacidad de los usuarios en un servidor de terminal para
explorar Internet desde sus sesiones de Terminal Server. Para cambiar esta
configuración para los usuarios, haga clic en No, vaya a la configuración de seguridad
mejorada de Internet Explorer, haga clic en Detalles y a continuación, desactive la
casilla para usuarios.

¿Desea continuar la instalación con esta configuración?

---------------------------
Sí No
---------------------------

Si no tenemos ningún servidor de licencias de Terminal Server deberemos instalarlo.

Microsoft permite el uso de Terminal Server durante 120 días para testeo del mismo.
Una vez que haya transcurrido este periodo de gracia se deberán adquirir licencias de
Terminal Server. Si ya disponemos de estas licencias marcaremos "Licencias de
Terminal Server", si ya disponemos de un servidor de licencias no será necesario marcar
esta opción. Para prueba de Terminal Server tampoco será necesario marcar esta opción:

Tras seleccionar "Terminal Server" y "Licencias de terminal Server" pulsaremos

"Siguiente" para inciar la instalación. Nos mostrará una ventana de selección de
permisos predeterminados para la compatibilidad con aplicaciones, con las dos opciones
siguientes:
Seguridad total: esta opción usa las características de seguridad más recientes de
Windows Server 2003 y proporciona el entorno más seguro para Terminal Server. Sin
embargo, es posible que algunas aplicaciones que se diseñaron para ejecutarse en
plataformas anteriores no se ejecuten correctamente. Si esta opción es muy restrictiva
puede usar en cualquier momento la herramienta de configuración de Servicios de
Terminal Server para reducir la seguridad.

Seguridad media: esta opción reduce algunas mejoras de seguridad de

Windows Server 2003. Con esta configuración, los usuarios tienen acceso al
Registro y a archivos del sistema. Esto puede ser necesario para ejecutar
algunas aplicaciones que se diseñaron para plataformas anteriores.

Seleccionaremos el nivel de seguridad que más se ajuste a las necesidades de las

aplicaciones y software de nuestra organización y pulsaremos "Siguiente". Esta opción
se puede cambiar en cualquier momento una vez instalado Terminal Server:

También nos avisará de los cambios que este servicio supone en el equipo donde se
instala, con el siguiente texto:

Esta opción instala Terminal Server, que configura el equipo de modo que varios
usuarios puedan ejecutar programas simultáneamente. Nota: de forma predeterminada
sólo los miembros del grupo local de administradores podrán conectarse a este
Terminal Server. Tendrá que agregar la cuenta de los usuarios al grupo local de
usuarios de Escritorio remoto para permitirles conectarse a este Terminal Server. No
instale Terminal Server si sólo necesita Escritorio remoto para la administración, que
se instala de manera predeterminada y se puede habilitar abriendo la ficha Remoto en
el Panel de control del Subprograma Sistema, y habilitando las conexiones remotas.

Instalación del programa: si continúa con esta instalación, los programas que ya están
instalados en el servidor dejarán de funcionar y será necesario instalarlos nuevamente.
Debe utilizar Agregar o quitar programas, en el Panel de control, siempre que instale
programas para utilizarlos con Terminal Server.

Licencias: para seguir utilizando Terminal Server después de un período inicial de

gracia de 120 días contados a partir de hoy, debe instalar un servidor que ejecute
Licencias de Terminal Server. Para conocer más detalles, vea la Ayuda de Terminal
Server.

Pulsaremos "Finalizar" para concluir la instalación de Terminal Server:

Será preciso reiniciar el equipo para que se inicie el servicio de Terminal Server:
Una vez instalado Terminal Server podremos configurarlo según la política de seguridad
que se quiera aplicar para cumplir con los objetivos de ejecución de programas de
nuestra organización. Para ello accederemos a "Inicio" - "Configuración" - "Panel de
control":

Seleccionaremos "Herramientas administrativas":

Seleccionaremos "Configuración de Servicios de Terminal Server":

Desde esta consola Microsoft Management Console, podremos configurar las opciones
de Terminal Server. Podremos cambiar el nivel de seguridad de "Seguridad media" a
"Seguridad total", para ello accederemos a la carpeta "Configuración de servidor" en la
parte izquierda y en la parte derecha haremos doble clic sobre "Compatibilidad de
permisos":

Marcaremos la opción deseada:

Desde esta ventana podremos configurar opciones como: eliminar las carpetas
temporales al salir (cuando un usuario se conecta al servidor de Terminal Server se
generan unas carpetas temporales con información de la sesión), Licencias (se puede
cambiar desde aquí el modo de licenciamiento del servidor: por dispositivo o por
servidor), Active Desktop (se puede activar el uso de Active Desktop), Restringir cada
usuario a una sesión (de esta forma se impedirá que un usuario inicie varias sesiones
concurrentes).

Desde la parte izquierda, seleccionando la carpeta "Conexiones", en la parte derecha

aparecerá "RDP-Tcp", pulsaremos con el botón derecho sobre "RDP-Tcp" y
seleccionaremos "Propiedades":

En la pestaña "Permisos" indicaremos los grupos de seguridad y usuarios a los que

queramos permitir el acceso por Terminal Server. De forma predeterminada sólo se
permite acceso al servidor a los grupos "Administradores" y "Usuarios de escritorio
remoto":
También podremos limitar el número de colores máximo, conectar unidades del cliente,
conectar impresoras, establecer impresora principal del cliente como predeterminada,
asignación del portapapeles, puertos COM, audio, etc. Si utilizamos estas opciones se
suplantará la configuración individual de cada usuario por esta. De forma
predeterminada se establecerá esta configuración usuario por usuario:
También podremos limitar el tiempo de sesión activa/inactiva, permitir volver a
conectar desde cualquier cliente, etc. En este caso también prevalecerá esta
configuración por encima de la configuración individual del usuario:
Podremos indicar el nivel de cifrado (Bajo, Cliente compatible, Alto, Compatible con
FIPS):
También podremos establecer las opciones de control remoto (para visualizar de forma
remota cualquier sesión de cualquier usuario, tanto para visualizar la ventana del
usuario como para controlarla). En este caso también prevalecerá esta configuración por
encima de la individual de cada usuario:
Tras instalar y configurar Terminal Server crearemos un usuario en el servidor de
Terminal Server. Si este servidor no está promocionado a controlador de dominio (no
tiene Active Directory), lo haremos pulsando con el botón derecho sobre "Mi PC",
seleccionaremos "Administrar":

Seleccionaremos "Herramientas del sistema" - "Usuarios y grupos locales" - "Usuarios"

en la parte izquierda, en la parte derecha pulsaremos el botón derecho del ratón (en el
espacio en blanco, fuera de cualquier objeto) y seleccionaremos "Usuario nuevo":
Rellenaremos los datos que nos pide el asistente de creación de usuario:

Para ver los usuarios que hay conectados a nuestro servidor de Terminal Server
accederemos a "Inicio" - "Programas" - "Herramientas administrativas" -
"Administrador de Servicios de Terminal Server":
Desde esta ventana podremos ver la hora de inicio de sesión de cada usuario, el tiempo
de inactividad, enviar mensajes, desconectar sesión, hacer control remoto (sólo si no
está en el propio servidor, sólo es posible hacer control remoto a otra sesión si se ha
conectado al servidor de Terminal Server desde otro equipo):

Para iniciar una conexión al servidor de Terminal Server anteriormente instalado y

configurado desde un cliente cualquiera deberemos tener instalado "Conexión a
Escritorio remoto" (en Windows XP y Windows Vista viene instalado por defecto).
Accederemos a "Inicio" - "Programas" - "Accesorios" - "Comunicaciones" - "Conexión
a Escritorio remoto". En la ventana que nos aparece indicaremos el nombre o dirección
IP del servidor de terminal server y pulsaremos "Conectar". Pulsando en "Opciones"
podremos establecer algunas opciones de conexión (colores, impresoras, sonido, etc),
pero siempre prevalecerá la configuración del servidor sobre la del cliente que se
conecta:

Si nos aparece este mensaje y no nos deja conectarnos con el usuario a Terminal Server,
deberemos agregar este usuario a un grupo de seguridad con permisos suficientes para
acceder al servidor mediante Terminal Server:
Con el texto "Las directivas locales de este sistema no le permiten iniciar una sesión
interactiva"

Para solucionar este problema será suficiente acceder a las propiedades del usuario,
desde el servidor, y hacerlo miembro del grupo de seguridad "Usuarios de escritorio
remoto":

INSTALAR SERVIDOR DE LICENCIAS DE TERMINAL SERVER

Si en nuestra organización no disponemos de un servidor de licencias de Terminal

Server deberemos instalar uno, como máximo dispondremos de 120 días de prueba de
este servicio sin comprar licencias.

Para hacer que nuestro servidor sea servidor de licencias de terminal server
accederemos a "Agregar o quitar programas", seleccionaremos "Componentes de
Windows" y marcaremos "Licencias de Terminal Server", pulsaremos "Siguiente" para
iniciar la instalación:

Indicaremos donde queremos guardar la base de datos del servidor de licencias.

Pulsaremos "Siguiente" para continuar:
Pulsaremos "Finalizar" para concluir la instalación del servidor de licencias:
Para configurar este servicio accederemos a "Herramientas administrativas", "Licencias
de Terminal Server":

Incialmente se realizará una búsqueda automática de algún servidor de licencias en

nuestra red LAN:
Si el servidor de licencias no está activado aún nos mostrará un aspa roja en la parte
izquierda. Para activarlo pulsaremos con el botón derecho sobre el servidor de licencias,
en nuestro caso "PCW2003EDMV", y pulsaremos "Activar servidor":

Se iniciará el asistente para activación de servidor de licencias de Terminal. Pulsaremos

"Siguiente" para iniciar la activación. Previamente habrá que adquirir las licencias de
Terminal Server desde cualquier proveedor de servicios de Microsoft:
Seleccionaremos el método de conexión (conexión automática, explorador web,
teléfono):
Introduciremos el ID. del servidor de licencias, claves que nos proporcionará Microsoft
tras adquirir las licencias:
En caso de que ya dispongamos de un servidor de licencias, será suficiente con pulsar
con el botón derecho del ratón sobre "Todos los servidores", seleccionaremos
"Conectar":

Escribiremos el nombre o la IP del servidor de licencias y pulsaremos "Aceptar":

Windows Server 2008 - Configuración del rol Terminal Server

Tiempo atrás expliqué en una nota las nuevas características y los

diferentes roles que incluye Terminal Services en Windows Server
2008. En esta oportunidad, les presento una descripción de los pasos
básicos necesarios para llevar a cabo la instalación y configuración
inicial de Terminal Services y sus diferentes componentes.

A continuación se indican los pasos necesarios para instalar y

configurar el rol Terminal Services.

1. 1. Ejecutar el Server Manager.

2. 2. Seleccionar Add Roles.

1. 3. Seleccionar Next.
2. 4. En el listado de roles, seleccionar Terminal Services, luego,
seleccionar Next.

1. 5. Seleccionar Next nuevamente.

2. 6. Seleccionar los roles que se requieran, luego, seleccionar Next.

Nota: Algunos roles, como TS Gateway, requieren configuraciones

adicionales, las cuales se mostrarán al seleccionar el rol en cuestión.
1. 7. Seleccionar Next.
2. 8. Seleccionar el nivel de autenticación de red requerido, luego,
seleccionar Next.
1. Require Network Authentication: Solo para equipos que
ejecuten mismas versiones de sistema operativo y del cliente
RDP que soporten Network Level Authentication podrán
conectarse al servidor.
2. Do not requiere Network Level Authentication: Para
equipos que ejecuten cualquier versión del cliente RDP.

1. 9. Seleccionar el tipo de licenciamiento a utilizar (Per Device, Per

User). Luego, seleccionar Next.
2. 10. Seleccionar los usuarios o grupos que tendrán acceso al
servidor. Luego, seleccionar Next.

1. 11. Si se seleccionó el rol License Server:

1. 11.1. Seleccionar el scope que se le dará al License Server
(This Domain, The Forest). Luego, seleccionar Next.
1. 12. Si se seleccionó el rol TS Gateway:
1. 12.1. Seleccionar la opción que corresponda con respecto a la
utilización de un certificado. Luego, seleccionar Next.

1. 12.2. Seleccionar si se desea crear las authorization policies en

este momento o luego (en este caso seleccionamos Now). A
continuación, seleccionar Next.
1. 12.3. Seleccionar los usuarios o grupos que tendrán acceso a
través de TS Gateway. Luego, seleccionar Next.

1. 12.4. Ingresar el nombre para el TS CAP, y seleccionar un método de

autenticación. Luego, seleccionar Next.

1. 12.5. Ingresar el nombre para el TS RAP, y configurar en caso de

que sea necesario, las restricciones adicionales como pertenencia a
determinado grupo, o no. Luego, seleccionar Next.

1. 13. Seleccionar Next.

2. 14. Seleccionar los roles de servicio a instalar para Network Policy
and Access Services.
1. 15. Asumiendo que seleccionamos todos los roles listados:
1. 15.1. En este caso vamos a seleccionar Install Certificate
Server as the Network Policy Server for this HRA. Luego,
seleccionar Next.

1. 15.2. Seleccionar si se requerirá que los usuarios deban estar

previamente autenticados para obtener un healt certificate. Luego,
seleccionar Next.

1. 15.3. Seleccionar el certificado para encriptación SSL. Luego,

seleccionar Next.

1. 15.4 Seleccionar Next.

1. 15.5 Seleccionar los roles a instalar para Active Directory
Certificate Services (ADCS). Luego, seleccionar Next.
1. 15.6 Seleccionar el método a utilizar por Certification Authorities.
Luego, seleccionar Next.

1. 15.7 Seleccionar el tipo de Certification Authority. Luego,

seleccionar Next.

1. 15.8 Seleccionar si se creará una nueva Private Key, o si por lo

contrario, se utilizará una existente. En este caso vamos a seleccionar
Create a new private key. Luego, seleccionar Next.

1. 15.8.1 Seleccionar el Cryptographic Services Provider (CSP), la

longitud a utilizar, y el algoritmo hash. Luego, seleccionar Next.
1. 15.8.2 Ingresar el nombre a asignar para el CA. Luego, seleccionar
Next.

1. 15.8.3 Ingresar el período de validez del certificado. Luego,

seleccionar Next.

1. 15.8.4 Modificar, en caso de ser necesario, la ubicación de la

Certificate Database y la Certificate Database Log. Luego,
seleccionar Next.

1. 16. Seleccionar Next.

1. 16.1. Seleccionar los roles de servicio a instalar para Web
Server (en este caso dejaremos los componentes por defecto).
Luego, seleccionar Next.
1. 17. Verificar el sumario pre-instalación. Luego, seleccionar Install
para dar comienzo a la instalación y configuración en base a las
opciones y componentes seleccionados.
1. Nota: Durante el proceso, el equipo se reiniciará.
2. 18. Una vez finalizado el proceso, seleccionar Close, y luego Yes,
para reiniciar el equipo.
Vamos a seguir ahora adelante con la 2da parte, que incluye:

• Configuración de Terminal Server.

• Configuración de TS Gateway.
• Distribución de aplicaciones remotas a usuarios.

Configuración de Opciones de Terminal Server

• 1. En Actions, dentro de TS RemoteApp Manager, seleccionar

Terminal Server Settings.

• 2. En el tab Terminal Server, Connection settings, configurar el

nombre de la granja, el puerto RDP, y las opciones de autenticación.

• 3. Si el checkbox Require server authentication está seleccionado,

se debe tener en cuenta que:
 3.1. Para equipos con Windows Server 2003 SP1 o XP
SP2, se deberá configurar Terminal Server para que
utilice SSL.
 3.2. En el caso de aplicaciones para intranet, y los
clientes son Windows Server 2008 o Vista, en lugar de
utilizar SSL, se utilizará Network Level Authentication.
 • 4. Para proveer un link al escritorio completo del TS, en Remote
Desktop Access, se deberá seleccionar Show a remote desktop
connection to this terminal server in TS Web Access.
• 5. En Access to unlisted programs, seleccionar alguna de las
siguientes opciones:
 5.1. Do not allow users to start unlisted program
on initial connection (Recommended). Si bien es
una buena alternativa, no previene que, por ejemplo, si
un documento Word contiene un hyperlink, este pueda
abrirse mediante el Internet Explorer.
 5.2. Allow users to start both listed and unlisted
programs on initial connection. Desde ya es opción
es bastante descriptiva y deja en claro los riesgos que
implica.
• 6. Al finalizar, seleccionar OK.

Configuración de TS Gateway

Básicamente en esta sección definimos si los usuarios se conectarán

a través de un Firewall por TS Gateway. Para mayor información: TS
Gateway Step-by-Step Guide.

Configuración de opciones de TS Gateway

• 1. En Actions, dentro de TS RemoteApp Manager, seleccionar TS

Gateway Settings.

• 2. En el tab TS Gateway, Configurar las opciones de

comportamiento deseadas, entre ellas:
 2.1. Detectar automáticamente la configuración del
servidor TS Gateway. (Esto provoca que los clientes
intenten utilizar la configuración por Group Policies para
determinar el comportamiento).
 2.2. Utilizar las opciones de configuración especificadas.
 2.3. No utilizar un servidor TS Gateway.
• 3. Si se selecciona Use these TS Gateway server settings:
  3.1. Se debe configurar el nombre del servidor TS
Gateway, y el método de logon.
 3.2. Si se quiere utilizar las miasm credenciales de TS
Gateway en Terminal Server, seleccionar Use the same
user credentials for TS Gateway and terminal
server.
• 4. Si lo que se quiere es que los clientes detecten automáticamente
cuando TS Gateway es requerido, seleccionar Bypass TS Gateway
server for local addresses (Lo cual optimiza el rendimiento de los
clientes).
• 5. Para utilizar siempre TS Gateway, deseleccionar Bypass TS
Gateway server for local addresses.

• 6. Al finalizar, seleccionar OK.

Distribución de aplicaciones remotas a usuarios

Los puntos principales (y los que se tratarán) para llevar a cabo la

distribución son los siguientes:

• 1. Instalación de TS Web Access.

• 2. Asignaciones al Security Group TS Web Access Computers.
• 3. Especificar el servidor desde el cual se completará la lista de
aplicaciones remotas que se mostrarán en el sitio web de TS Web
Access.

Instalación de TS Web Access

Algunas aclaraciones previas:

• Al instalarlo, se instalará tambien IIS 7.0.

• No es necesario que el servidor cumpla el rol de Terminal Server.

1. 1. En la consola Server Manager, seleccionar Add Roles.

1. 2. En el wizard de instalación, en la ventana Before you begin,
seleccionar Next.

1. 3. En la ventana Select Server Roles, seleccionar Terminal

Services, y luego Next.

1. 4. En la ventana Terminal Services, seleccionar Next.

1. 5. En la ventana Select Role Services, seleccionar TS Web Access,
y luego, en la ventana emergente, seleccionar Add Required Role
Services. Por último, Next.

1. 6. En la ventana Web Server (IIS), seleccionar Next.

1. 7. En la ventana Select Role Services, dejar los elementos

seleccionados por defecto (ya no es el objetivo de esta nota entrar en
detalle sobre los diferentes tipos de autenticación, diagnóstico, y
demás prestaciones). Luego, seleccionar Next.
 1. 8. En la ventana Confirm Installation Selections, verificar que
todo coincida con nuestra selección, y luego seleccionar Install.

1. 9. Una vez finalizada la instalación, podremos ver el informe que

muestra el resultado de la misma. Luego de esto, seleccionar Close.

Con esto finalizamos la instalación del rol TS Web Access.

Asignaciones al security group TS Web Access Computers

En el caso de que TS Web Access y el Terminal Server que contiene

las aplicaciones se encuentren separados, se deberá agregar la
cuenta de equipo del TS Web Access al Security Group TS Web Access
Computers del Terminal Server.

Para esto, se deben seguir los siguientes pasos:

 • 1. Seleccionar Start, Administrative Tools, y luego Computer
Management.

• 2. Expandir Local Users and Groups, y luego seleccionar Groups.

• 3. Seleccionar TS Web Access Computers.

• 4. En TS Web Access Computers Properties seleccionar Add.

• 5. En Select Users, Computers, or Groups, seleccionar Object
Types.
• 6. En Object Types, seleccionar Computers, y luego OK.
• 7. En el campo Enter the object names to select, especificar la
cuenta de equipo del TS Web Access, y luego OK.

• 8. Seleccionar OK para cerrar las propiedades.

Especificación de servidor para la obtención de lista de

aplicaciones remotas

Por defecto, TS Web Access completa la lista de aplicaciones remotas

de un solo Terminal Server. En este caso veremos como obtener la
lista de aplicaciones remotas.
Especificar que Terminal Server se utilizará como source

• 1. Conectarse al sitio web de TS Web Access, pudiendo hacerlo de las

siguientes formas:
 Seleccionando Start, Administrative Tools, Terminal
Services, y luego TS Web Access Administration.
 Utilizando Internet Explorer, accediendo a la ruta por
defecto: http://server_name/ts
• 2. Iniciar sesión con la cuenta de Administrador Local, o una cuenta
miembro del grupo TS Web Access Administrators group.
• 3. Seleccionar el tab Configuration.

• 4. En Editor Zone, en el campo Terminal server name, ingresar el

nombre del Terminal Server que se desea utilizar como Data Source.
• 5. Seleccionar Apply para aplicar los cambios.

Windows Server 2008 - Aplicaciones remotas via Terminal Services Web

Access (Parte 1)

Hace un tiempo les mostré como instalar y configurar Terminal Services en

Windows Server 2008, y algunos de sus componentes en general. En esta
oportunidad les voy a presentar la instalación y configuración de los
componentes necesarios para brindar acceso remoto a aplicaciones.
Instalación de Terminal Services:

Como dije al comienzo de la nota, ya fue explicado aquí.

Aplicaciones:

Simplemente consiste en instalar todas las aplicaciones que se deseen distribuir a través
de TS Web Access, en el servidor.

Tengan en cuenta ejecutar el comando "change user /install", antes de instalar una
aplicación, y "change user /execute", luego de haber finalizado.

Conexiones remotas:

Por defecto, las conexiones remotas se encuentran habilitadas luego de instalar el rol
Terminal Server. Sin embargo, en los siguientes pasos veremos como personalizar esta
configuración para ajustarla a los requerimientos particulares.

1. 1. Seleccionar Start, Run, e ingresar control system luego,

seleccionar OK.
2. 2. En Tasks, seleccionar Remote settings.
3. 3. En System Properties, en el tab Remote, verificar que los
parámetros de configuración de Remote Desktop están configurados
de acuerdo al entorno particular, pudiendo elegir alguna de las
siguientes opciones:

 3.1. Allow connections from

computers running any version of
Remote Desktop (less secure).
 3.2. Allow connections only from
computers running Remote Desktop
with Network Level Authentication
(more secure).

1. 4. Agregar a los usuarios que se consideren necesarios para acceder

remotamente.

Nota: Los miembros del grupo local Administrators pueden conectarse sin necesidad de
estar listados.

1. 5. Al finalizar, seleccionar OK.

Agregar aplicaciones a la lista de aplicaciones de RemoteApp

1. Seleccionar Start, Administrative Tools, Terminal Services, y luego TS

RemoteApp Manager.
2. En Actions, seleccionar Add RemoteApp Programs.

3. En la ventana Welcome to the RemoteApp Wizard, seleccionar Next.

4. En la ventana Choose programs to add to the RemoteApp Programs list,

selecccionar el check box correspondiente a cada aplicación que se desee mostrar en el
listado de aplicaciones disponibles de RemoteApp Programs.
Nota: Generalmente no debería suceder ya que los programas listados son los que se
encuentran en All Users, pero si no se llega a encontrar la aplicación deseada, se deberá
seleccionar manualmente a través de browse, como en nuestro caso, en el cual
seleccionamos adicionalmente Internet Explorer.

5. Para configurar las propiedades de cualquier aplicación, seleccionar la aplicación y

luego Properties. Pudiendo configurar:

• Nombre.
• Ubicación.
• Alias.
• Disponible o no a través de TS Web Access.
• Ícono.
• Parámetros adicionales de ejecución, y si estos se habilitan.
6. Al finalizar, seleccionar OK, y luego Next.

7. En la ventana Review Settings, verificar que todo sea tal cual se requiere, y luego
seleccionar Finish.

Luego de haber seguido los pasos anteriormente mencionados, logramos que las
aplicaciones aparezcan listadas.

Con esto completamos la primer entrega correspondiente a la distribución de

aplicaciones mediante Terminal Services Web Access.
Arrancaremos el equipo con el DVD de Windows Server Enterprise 2008. Se iniciará el
programa de instalación (desde el principio en modo gráfico, con una interfaz idéntica a
Windows Vista). La primera ventana que aparecerá permitirá elegir el idioma, el
formato de hora y moneda y el teclado (método de entrada):

En la siguiente ventana de Windows Server 2008 podremos ver información sobre

requisitos para instalar Windows Server ("Qué debe saber antes de instalar Windows"),
también podremos utilizar la opción de "Reparar el equipo" (si ya tenemos instalado
Windows Server 2008 y hay algún problema). En nuestro caso, puesto que es una
instalación desde cero pulsaremos en "Instalar ahora":

Introduciremos la clave de producto, si no la tenemos podremos testear Windows Server

2008 pero se desactivará transcurrido el período de gracia:
Si no introducirmos la clave de producto nos avisará con el mensaje: "¿Desea escribir la
clave de producto ahora? Si decide no escribirla ahora, podría tener que reinstalar
Windows más tarde y llegar a perder información, datos y programas, o podría también
tener que adquirir otra edición de Windows.". Pulsaremos "No" para continuar sin clave
de producto (versión de prueba):

En la siguiente ventana podremos indicar el tipo de edición de Windows Server:

• Windows Server 2008 Standar

• Windows Server 2008 Enterprise
• Windows Server 2008 Datacenter
• Windows Server 2008 Emterprise

Cada una de las cuales se puede instalar en modo Server Core: se trata de una nueva
modalidad de instalación que permite instalar Windows Server sin el modo gráfico (sin
la interfaz gráfica), todo habrá de realizarse mediante comandos. Este modo de
instalación responde, por fin, a muchas peticiones de Administradores de Sistemas, que
han de disponer sistemas con muchos recursos para (en ocasiones) utilizar un sólo
servicio (como Servidor Web o Servidor de FTP, etc). Gracias a este tipo de instalación
los recursos consumidos por Windows Server se reducirán considerablemente. En
nuestro caso seleccionaremos "Windows Server 2008 Enterprise (instalación
completa)". Seleccionaremos la edición y marcaremos "He seleccionado la edición de
Windows adquirida":

Si estamos de acuerdo con los términos de licencia marcaremos "Acepto los términos de
licencia":

A continuación seleccionaremos el tipo de instalación. Puesto que es una instalación

desde cero, con el sistema limpio, seleccionaremos "Personalizada (avanzada)". La
opción de "Actualización" no estará habilitada en este caso:
A continuación podremos particionar el sistema mediante la nueva interfaz gráfica y
asistente. Para ello seleccionaremos la unidad donde queramos instalar Windows Server
2008, a continuación pulsaremos en "Nuevo" para crear la partición donde será
instalado:

Seleccionaremos el tamaño que queramos asignar a la unidad donde instalaremos el

sistema y pulsaremos en "Aplicar":
A continuación formatearemos la unidad recién creada pulsando en "Dar formato":

Nos pedirá confirmación con el mensaje "Si formatea esta partición, se eliminarán
permanentemente todos los datos almacenados en ella". Pulsaremos "Aceptar" si
estamos seguros de que vamos a formatear la partición adecuada:
Tras realizar el particionamiento pulsaremos "Siguiente" para continuar con el proceso
de instalación de Windows Server 2008:

El asistente de instalación nos mostrará el progreso y la acción que actualmente está

realizando (copiando archivos, expandiendo archivos, instalando características,
instalando actualizaciones, completando instalación):
Tras la copia de los ficheros necesarios para el arranque, el programa de instalación de
Windows Server 2008 reiniciará el sistema. El equipo arrancará de nuevo:

El asistente de Windows Server 2008 continuará con el proceso de instalación:

Windows Server 2008 nos indicará que la contraseña de usuario debe ser cambiada
antes de iniciar la sesión por primera vez, pulsaremos "Aceptar" para continuar:

Introduciremos la contraseña para el usuario administrador:

Pulsaremos "Aceptar" para iniciar la sesión en Windows Server 2008:

Mostrará el progremos de la preparación de escritorio:

Mostrará la ventana de "Tareas de configuración inicial", con opciones como

"Establecer zona horaria", "Configurar redes", "Proporcionar nombre del equipo y
dominio". Si no queremos que vuelva a aparecer en el siguiente inicio de sesión
marcaremos "No mostrar esta ventana al iniciar":

Nos mostrará la ventana del "Administrador del servidor":

El nuevo menú Inicio (se puede configurar para que muestre el menú de inicio clásico).
Las herramientas administrativas que incorpora Windows Server 2008: Terminal
Services, Administrador de almacenamiento y recursos, Administrador de equipos,
Administrador del servidor, Asistente para configuración de seguridad, Component
Services, Configuración del sistema, Copias de seguridad de Windows, Directiva de
seguridad local, Explorador de almacenamiento, Firewall de Windows con seguridad
avanzada, Herramienta de diagnóstico de memoria, Inicador iSCSI, Monitor de
confiabilidad y rendimiento, Orígenes de datos ODBC, Programador de tareas,
Servicios y Visor de eventos:

Si queremos modificar las propiedades del área de notificación de Windows:

El menú de inicio:

Personalización del menú de inicio clásico:

Barra de tareas:

Una vez instalado Windows Server, puesto que en el proceso de instalación a penas pide
datos, deberemos configurar una serie de parámetros (configuración de red, nombre del
equipo, grupo de trabajo, etc). Para configurar la red pulsaremos con el botón derecho
sobre "Red" y seleccionaremos "Propiedades":
Nos mostrará el nuevo Centro de redes y recursos compartidos, pulsaremos en
"Administrar conexiones de red":

Pulsaremos con el botón derecho sobre "Conexión de área local" y seleccionaremos

"Propiedades":
Seleccionaremos "Protocolo de Internet versión 4 (TCP/IPv4)" y pulsaremos
"Propiedades":

Marcaremos "Usar la siguiente dirección IP" e introduciremos la dirección IP, la

máscara de subred, la puerta de enlace y el servidor de DNS:
Cambiaremos también el nombre del equipo y el grupo de trabajo, por defecto Windows
Server 2008 nombrará el equipo de la forma WIN-IS5..., lógicamente, este nombre no es
muy práctico para un servidor, por lo que lo cambiaremos pulsando con le botón
derecho del ratón sobre "Equipo", seleccionando "Propiedades":
En la nueva ventana de Sistema de Windows Server 2008 haremos clic sobre "Cambiar
la configuración":
Introduciremos la "Descripción del equipo", en nuestro caso "PC Windows Server 2008
- AjpdSoft", pulsaremos el botón "Cambiar":

Introduciremos el nombre del servidor (en nuestro caso "SRV2008") y el grupo de

trabajo (en nuestro caso "AJPDSOFT"). Si ya tenemos un dominio de Windows
2000/2003/2008 marcaremos "Miembro del ... Dominio" e introduciremos el nombre
del dominio, en caso contrario marcaremos ""Miembro del... Grupo de trabajo":

Nos avisará del cambio de Grupo/Dominio:

Nos indicará que debemos reiniciar el PC para que los cambios tengan efecto:

El nuevo Visor de eventos, mucho más profesional, con más opciones de guardar
vistas, exportar contenido, etc:
Una de las mejoras de Windows Server 2008 es que en el Visor de eventos permite,
sobre un evento, añadir una tarea, pulsando con el botón derecho sobre el evento en
cuestión y seleccionando "Adjuntar tarea a este evento...":
Indicaremos el nombre y la descripción de la tarea:

Pulsaremos "Siguiente":

Indicaremos la acción a realizar cuando se vuelva a producir el evento (Iniciar un

programa, Enviar un correo electrónico o Mostrar un mensaje). En nuestro caso
marcaremos "Enviar un correo electrónico":
Introduciremos los datos para el envío del email:

Si queremos ver más opciones de la tarea podremos marcar "Abrir el diálogo

Propiedades para esta tarea al hacer clic en Finalizar":
A continuación las Propiedades de la tarea agregada:

Las Herramientas administrativas de Windows Server 2008:

El nuevo Programador de tareas de Windows Server 2008, con la tarea agregada en el
Visor de eventos:

Desde Herramientas administrativas podremos abrir el nuevo Firewall de Windows:

Os mostramos la ventana principal del nuevo Firewall de Windows con seguridad
avanzada:

Podremos agregar una nueva regla para las entredas, pulsando en "Reglas de entrada"
con el botón derecho del ratón y seleccionando "Nueva regla...":
Seleccionaremos el tipo de regla a crear (programa, puerto, predefinida, personalizada):

Seleccionaremos el tipo de protocolo (TCP, UDP), en nuestro caso, puesto que

queremos abrir el puerto 3306 de MySQL seleccionaremos "Puertos locales específicos"
e introduciremos "3306":
Indicaremos la medida a tomar por el cortafuegos, marcaremos "Permitir la conexión":

Indicaremos cuándo se aplica esta regla:

• Dominio: se aplica cuando un equipo está conectado a su dominio

corporativo.
 • Privado: se aplica cuando un equipo está conectado a una ubicación
de redes privadas.
• Público: se aplica cuando un equipo está conectado a una ubicación
de redes públicas.

Indicaremos el nombre y la descripción de la regla:

El nuevo Explorador de almacenamiento, con soporte para SAN (almacenamiento el
fibra):

El nuevo Panel de control:

************************************************************************

Instalación de Terminal Services en Windows 2008

Instalación de los servicios de Terminal Server o sus componentes,

En esta parte del documento enseñamos cómo instalar Terminal Services y/o algún
componente relacionado, ya que en los demás documentos se dará por hecho que
ya están instalados dichos servicios.
Para instalar los roles o funciones de Terminal Server, tenemos que ir a la consola
de administración del servidor y agregar la siguiente función "Terminal Services",
Nos da una breve descripción de lo que son los servicios de terminales,
continuamos, "Siguiente",
Y aquí tenemos que marcar la función que nos interese que tenga nuestro servidor,
si será un servidor de TS o un servidor de licencias, o un Session Broker, o un
servidor de puerta de enlace o el servicio de Web Access. Marcamos la opción que
nos interese. Ojo! es muy importante que si vamos a instalar un servidor de
Terminal Services, instalemos lo primero de todo después del S.O. está función,
antes de instalar ninguna otra aplicación, ya que las aplicaciones en los servidores
de terminal necesitan instalarse con el modo terminal habilitado, ya que si no
podemos tener algún tipo de problemas de compatibilidades, y por supuesto que
estas aplicaciones sean compatibles con TS. Bueno, marcamos los roles que nos
interesen y "Siguiente",
Abrán algunas funciones que tengan sus requisitos, cómo al Web Access le hace
falta IIS y si no está instalado nos lo instalará o a la función Gateway RCP sobre
HTTP... Pulsamos sobre "Agregar las funciones requeridas",
Aquí es donde nos advierte que algunas de las aplicaciones que hayamos instalado
ya puede que no nos funcionen, "Siguiente", y que si vamos a instalar alguna
después de instalar TS hay que hacerlo desde el "Panel de Control",
Terminal Server y Conexión a Escritorio Remoto 6.0 soportan Network Level
Authentication (NLA), un nuevo tipo de autenticación, que autentica al usuario, al
ordenador cliente y las credenciales del servidor entre sí. Esto siginifica que la
autenticación ahora es realizada antes que la sesión de Terminal Services se levente
y le sea presentado al usuario la pantalla de inicio de sesión. Con clientes previos
de Conexión a Escritorio Remoto 6.0, las sesiones de TS eran iniciadas tan pronto el
usuario le diera click a "Conectar", y esto crea una ventana de oportunidad para
que usuarios maliciosos realizaran ataques de Denial of Services (DoS) y robaran
credenciales via un ataque man-in-the-middle (MITM). Si queremos podemos
habilitarlo desde ya, o posteriormente.
Nos pregunta por el tipo de licenciamiento, puede ser por dispositivo o por usuario
(según las licencias que tengamos) y si no tenemos un servidor de licencias
instalado o no lo sabemos todavía, podemos "Configurarlas después",
Ahora debemos seleccionar un grupo por lo menos de usuarios que podrán
conectarse a este servidor de Terminal Server. Si no, está instalación nos creará un
grupo llamado "Usuarios de Escritorio Remoto", con meterles en este grupo
bastará, "Siguiente",
Si hemos seleccionado el componente de Gateway podemos meterle un certificado
ahora para asegurar la conexión de los clientes, pero esto es algo que haremos
posteriormente, "Siguiente",
Al instalar Gateway, nos pregunta si creamos ya las directivas CAP (Connection
Authorization Policy) y RAP (Resource Authorization Policy). Podemos hacerlo ya o
posteriormente en la consola.
Debemos agregar un grupo para asociarlo a las politicas de autorización, vamos el
grupo que se podrá conectar usando Gateway, luego todo esto se verá en la
configuración de Gateway,
Indicamos un nombre a la directiva de autorización Conection Authorization Policy -
CAP y el tipo de autenticación, si usando contraseñas o con las tarjetas inteligentes
o Smart cards,
Y lo mismo para la RAP o Resource Authorization Policy, indicarle un nombre y
desde qué equipos dejaremos que se conecten a los servidores de TS, si desde
unos especificos o desde cualquiera,
Nos comenta que ahora con NPS o Network Policy Server podremos asegurar la
conexión o configurarlo con unas directivas, esta sería la sustituta de IAS. NPS
(Network Policy Server) utiliza SHVs (System Health Validators) para analizar el
estado de salud del equipo. "Siguiente",
Podemos instalarlo para después configurarlo si nos interesa alguno de ellos, por
ejemplo el NPS será interesante,
Esto es por haber marcado para instalar Acceso Web de TS (TS Web Access), no
tienes por que haberlo marcado, depende de tú organización, si tienes servidores
cómo para separar funciones, "Siguiente",
Marcamos los componentes que necesitemos, vendrán marcados los necesarios
para Web Access,
Comprobamos todos los pasos anteriores para comenzar la instalación del
componente que hayamos marcado de Terminal Server, pulsamos "Instalar",
... proceso de instalación...
OK, todo perfectamente instalado, para ciertos componentes tendremos que
reiniciar el servidor, lo hacemos después de pulsar en "Cerrar",

"Sí" para reiniciar el sistema,

Una vez reiniciado el servidor se finalizará la configuración de ciertos
componentes...
Ok, ya está todo instalado, pulsamos en "Cerrar". Ahora hay que ir función a
función configurandolas.

www.bujarra.com - Héctor Herrero - nheobug@bujarra.com - v 1.0