Asistencia Remota No Solicitada

En esta se utilizará un ambiente de dominio con Windows Server 2008R2 y Windows 7, donde se desarrollará una configuración simple demostrando el uso de la tan desaprovechada Asistencia Remota, para que que el personal de soporte de usuarios pueda ver y tomar control remoto de máquinas de usuarios y solucionar problemas remotamente. Y sin utilizar aplicaciones de terceras partes.

El motivo por el cual menciono que esta potente opción es tan desaprovechada, se debe principalmente a la complejidad de la implementación inicial, según la cual el usuario que necesita ayuda debía entrar en la Ayuda del sistema y crear una Invitación que luego debía enviar por correo, Messenger o dejar en una carpeta compartida, donde el soporte debía acceder.

Con el procedimiento que demostraremos alcanza con que el usuario pida ayuda al soporte de cualquier forma humana de comunicarse, ya sea telefónicamente o cualquier otro medio.

Tanto los nombres de máquina utilizados como las direcciones IP pueden ser cambiados con tal que se respete el procedimiento. La configuración inicial de partida es muy simple, ya que se trata de un Controlador de Dominio Windows Server 2008R2 Enterprise Edition, y dos clientes Windows Vista 7 Ultimate unidos al dominio.

Controlador de Dominio
Nombre: dc1.guillermo.corp
Dirección IP: 192.168.0.200 /24
Configuración DNS: 192.168.0.200

Cliente CL1
Nombre: cl1.guillermo.corp
Dirección IP: 192.168.0.1 /24
Configuración DNS: 192.168.0.200

Cliente CL2
Nombre: cl2.guillermo.corp
Dirección IP: 192.168.0.2 /24
Configuración DNS: 192.168.0.200

1.- Procedimientos Iniciales

DC1 ya es controlador del dominio de “guillermo.corp” en nivel funcional Nativo Windows 2008R2. Igualmente el nivel funcional del Bosque. Por supuesto, tiene instalado el servicio DNS y es Catálogo Global ya que es el único controlador de dominio del dominio en un único Bosque.

Preparación de la Estructura del Dominio

  • Abrimos Active Directory Users and Computers
  • Creamos una Unidad Organizativa “Clientes” donde tendremos la cuenta de máquina “cl1” que recibirá el soporte y una cuenta de usuario normal que pedirá luego ayuda, y yo llamaré “User Uno” u1@guillermo.corp. Esta cuenta de usuario podría estar creada en otra Unidad Organizativa

  • Creamos otra Unidad Organizativa “Soporte” donde crearemos la cuenta de máquina “cl2” desde donde se brindará el soporte
  • Dentro de esta última Unidad Organizativa, creamos una cuenta de usuario normal, que para este caso yo llamaré “Soporte Uno” s1@guillermo.corp y un grupo global que yo llamaré “SoporteUsuarios-GG”. El usuario “s1” pertenece al grupo “SoporteUsuarios-GG” Este usuario y el grupo podrían estar en cualquier otra Unidad Organizativa

Creación y Configuración de Directiva de Grupo para Asistencia Remota No Solicitada

  • Desde Group Policy Management creamos una directiva enlazada a la Unidad Organizativa Clientes, que yo llamaré “Clients-GPO” y configurando las siguientes opciones
    • Computer Configuration / Policies / Administrative Templates / System / Remote Assistance
      • Solicited Remote Assistance: Enabled
        Offer Remote Assistance de acuerdo a la figura

Verificación de Configuración por Omisión y Aplicación de Directivas

  • Debemos verificar que en “cl1” está permitida la Asistencia Remota; esto es así por omisión

  • Como medida precautoria debemos estar seguros que cada cuenta de máquina se encuentra en la respectiva Unidad Organizativa, y además que está recibiendo la directiva de grupo, por lo cual no es mala idea que reiniciemos el equipo “cl1”.

2.- Demostración

Para esta demostración, vamos a suponer que User Uno u1@guillermo.corp tiene dificultad en ejecutar una tarea y se comunica telefónicamente con Soporte Uno s1@guillermo.corp para que lo asista.

Desde “cl2” que es donde está trabajando Soporte Uno, lo único que tiene que conocer es el nombre de máquina del usuario que pide ayuda, “cl1” en nuestro caso. A partir de ese momento, en el cuadro de búsqueda del menú inicio escribe MSRA y ejecuta Microsoft Remote Assistance, seleccionando las opciones:

  • Help someone who has invited you
  • Advanced conection option for help desk (es un enlace)
  • Ingresar el nombre del equipo al cual se quiere acceder
  • En el equipo que solicita ayuda, en nuestro caso “cl1” se mostrará un cuadro de diálogo, preguntando si deja acceder al soporte a ver el escritorio
  • A partir que el usuario acepte que el soporte vea el escritorio, éste podrá observar en forma directa la pantalla del otro equipo
  • Y si fuera necesario, puede tomar control remoto del mismo, previa aprobación del usuario
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Chong Kim  On 01/07/2013 at 18:31

    Muy buenas tardes, antes que nada te felicito por la calidad de trabajo que tenes y la bondad de compartirlo, excelente la pagina la uso para capacitarme.

    Te queria consultar si esto funciona en un dc con 2008 NO r2 y w7 pro.

    desde el w7 pro cuando ejecuto el mrsa no me da la opcion de conexion avanzada.

    Muchas gracias!

    Saludos!

    • Chong Kim  On 01/07/2013 at 18:50

      Disculpa no agrege la version del 2008 es Standard.
      Saludos!

    • Delprato  On 01/07/2013 at 20:04

      Hola Chong Kimg, gracias por el comentario

      Lo primero a tener en cuenta es que esto, en realidad, es para soporte de usuarios, no de quien está operando un servidor :-)

      Para poder contestarte mejor necesitaría más datos, por ejemplo ¿no puedes ejecutar MSRA en el cliente? ¿da error? ¿cuál? O es que no puede conectarse al servidor
      En cuyo caso ¿está aplicando la GPO al servidor?
      Y de todas formas, revisa en el servidor en System, ficha Remote, que esté marcada la opción “Allow remote Assistance connections to this computer”

      • Chong Kim  On 02/07/2013 at 16:48

        Muchas gracias por tu respuesta, no me estaba aplicando la política en el equipo, con lo que expusiste acá lo pude hacer funcionar correctamente.

        Saludos y gracias por tu tiempo.

      • Delprato  On 02/07/2013 at 20:01

        Me alegro
        :-)

  • Ivan  On 24/09/2013 at 13:24

    Buenas tardes Guillermo:
    Tengo una pequeña duda a ver si consigues resolverla.
    ¿Es obligatorio que todos los equipos esten todos en la misma Unidad Organizativa? En tu caso es “clientes”.
    Tengo unos cuantos equipos y unirlos en una sola seria demasiado trabajo por tema de Directivas que tengo creadas para esas unidades.

    • Guillermo Delprato  On 24/09/2013 at 13:42

      Hola Iván, no es necesario que estén en la misma Unidad Organizativa, lo que sí es necesario es que se le aplique la directiva

      Se podría enlazar la directiva a nivel de Dominio, y filtrar la aplicación de la misma usando grupos
      – Agregar a las máquinas que desees aplicar a un grupo
      – En la ficha seguridad de la directiva, quitar “Authenticated Users”, y agregar el grupo creado

      O si fueran mayoría hacer lo inverso. Crear un grupo con las máquinas que no quieres que le aplique, y en la seguridad denegarle el permiso “Apply Group Policy”

      Lo que te resulte mejor

  • Ivan  On 25/09/2013 at 08:33

    Buenas de nuevo Guillermo:
    Gracias por tu rapida respuesta.
    He metido a todos los equipos dentro de un grupo llamado “clientes”. En la directiva le he puesto que solo afecte a ese grupo.
    Ejecuto el MSRA y todo ok hasta que ingreso el nombre del equipo a dar asistencia.
    Me da el siguiente error: “No se puede enviar la oferta de ayuda”.
    He deshabilitado el firewall, he confirmado que tiene permitida la asistencia remota y nada.
    He realizalo una prueba enviando una invitacion y ahi si me puedo conectar a ese mismo equipo.

    • Guillermo Delprato  On 25/09/2013 at 09:44

      Hola Iván, no puedo usar los comentarios de las notas para soporte porque se harían larguísimos ya que se necesitarían conocer muchos detalles, pero de todas formas trataré de orientarte para encontrar dónde puede estar el problema

      Cosas a probar:
      – Poner a una máquina provisoriamente en una OU de prueba y aplicarle la GPO, no vaya a ser por problemas de aplicación de GPO
      – Verificar la aplicación de la GPO, y de la configuración, con GPMC.MSC modo “results”
      – Que el cliente tenga por lo menos un reinicio, o mejor dos :-)
      – Ver si desde la máquina del soporte, puedes conectarte usando la dirección IP en lugar del nombre
      – ¿Hay algún antivirus de terceros? Probar con una máquina “recién instalada, nueva”
      – Hacer la prueba con firewall directamente deshabilitado, para ver si no viene por ahí el problema

      Como puede ver hay muchas opciones para revisar, y seguro que me han quedado algunas más :-)

  • Ivan  On 25/09/2013 at 12:50

    Antes de nada muchas gracias por todo Guillermo.
    Dandote la razon de que no se debe de convertir en un soporte estas notas, te dejo mi “ultimo” comentario, por ahora.
    He intentado todos los pasos estos ultimos con una maquina virtual nueva, con y sin FWall, sin antivirus, etc. y me resulta imposible.
    Seguiremos intentandolo.
    Si consigo encontrar el error que cometo, lo pondre por si acaso a alguien le pasa lo mismo.
    Enhorabuena y de nuevo gracias por este blog de ayuda.

    • Guillermo Delprato  On 25/09/2013 at 13:15

      Gracias Ivan
      Revisa bien las capturas de pantalla de la nota, porque estoy revisando, y en algunos casos dice “una cosa” y la captura muestra otra, aunque creo que son fáciles de resolver

  • Davis Campos  On 09/06/2016 at 20:21

    Buenas Tardes Guillermo,
    Si deseo conectarme remotamente sin solicitar su aprobación, como la implementaría? es decir, buscar y conectarme a su PC sin requerir avisarle previamente ni esperar su aprobación?

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: