Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1)

En esta primera nota veremos “Remote Desktop” o Escritorio Remoto, que es uno de los temas más requeridos, ya que tiene algunas dificultades de implementación, y aunque en su momento hice el desarrollo completo sobre Windows Server 2008 R2, no lo he hecho nunca completo con todas las funcionalidades posibles en Windows Server 2012 R2. Inclusive en notas anteriores alguna configuración ha quedado con algún tema que no había podido terminar de resolver en ese momento

Así que he decidido comenzar una nueva serie, utilizando todos los componentes posibles, solucionando los inconvenientes que quedaron en notas anteriores, e inclusive agregando la funcionalidad “Remote Desktop Gateway” (Puerta de Enlace de Escritorio Remoto) para permitir un acceso seguro a escritorio o aplicaciones desde Internet que no había sido desarrollada

En esta primera nota crearemos la infraestructura necesaria, y luego iremos viendo paso a paso de acuerdo al progreso para llegar a demostrar cada uno de los componentes posibles del servicio

Las máquinas virtuales que utilizaré, siempre sobre VMware Workstation, son de la infraestructura habitual de las notas de este blog, aunque por supuesto que agregué algunas

  • DC1.ad.guillermod.com
    • Controlador de Dominio
    • Instalaré luego la Autoridad Certificadora que necesitaremos
    • Instalaré luego la función de “Remote Desktop License Server”
  • RDSH1.ad.guillermod.com.ar
    • Servidor Miembro del Dominio
    • Instalaré la funcionalidad de “Remote Desktop Session Host”
  • RDSH2.ad.guillermod.com.ar
    • Servidor Miembro del Dominio
    • Instalaré la funcionalidad “Remote Desktop Session Host”
    • Teniendo dos RDSH podremos ver la funcionalidad de “Remote Desktop Connection Broker”
  • RD-WA-CB-GAT
    • Servidor Miembro del Dominio
    • Instalaré las funcionalidades de “Remote Desktop Web Access”, “Remote Desktop Connection Broker” y “Remote Desktop Gateway”
    • Como veremos más adelante hay una ventaja en cuanto a compartir en el mismo equipo RDWA y RDCB (un único certificado)
  • CL1.ad.guillermod.com.ar
    • Máquina cliente de Dominio para las demostraciones
    • Sistema Operativo Windows 8.1
  • CL2.ad.guillermod.com.ar (Opcional)
    • Máquina cliente del Dominio para las demostraciones
    • Sistema Operativo Windows 10 (he visto diferencias de comportamiento con Edge respecto a IE)
  • NAT
    • Para poder mostrar el acceso simulado desde Internet usaré además un “artilugio” que simule un Router/NAT. En mi caso al ser todas máquinas virtuales, lo haré con un Windows Server 2012 R2 configurado adecuadamente

Si alguien tiene dudas sobre las funcionalidades provistas por cada rol, tiene una pequeña descripción en “Windows Server 2012: Remote Desktop – Standard Deployment (Parte 1 – Instalación)

 

Antes que nada muestro la configuración que tengo ya lista con las máquinas antes nombradas

He creado una Unidad Organizativa “Remote Desktop” donde he puesto las tres cuentas de máquinas correspondientes a los servidores

Por otro lado, las cuentas de las máquinas cliente, las he dejado en el contenedor por omisión “Computers”

No demostraré todos los pasos para la instalación de una Autoridad Certificadora Raíz, de tipo Enterprise, pueden consultar los pasos en: “Windows Server 2012: Instalación Simple de Autoridad Certificadora (Certificate Authority) Enterprise Root

Lo que sí, veremos paso a paso, es la configuración de la misma necesaria para el objetivo

Crearé una plantilla de certificado de máquina versión v3 que nos permita personalizarlo, básicamente porque entre otras cosas, la plantilla original del certificado de “Computer” además de las limitaciones propias de Windows 2000, no permite que se publique en Active Directory ni exportar la clave privada, configuraciones que requerimos

Así que en la consola de la autoridad certificadora procederé a crear una nueva plantilla, duplicando la de “Computers” y adaptándola de acuerdo a necesidad, como muestran las siguientes pantallas

Suponiendo que el sistema operativo que utilizarán los clientes es Windows 8.1 o posterior, he cambiado la compatibilidad, ya que ofrece mejoras

Importante: marcar que se publique en Active Directory

Y no olvidarse que debemos seleccionar que la clave privada sea exportable

Y agregamos la nueva plantilla a la Autoridad Certificadora

 

Y vamos ya a la última parte de esta nota que es la instalación de las funcionalidades de Escritorio Remoto que necesitaremos en una primera etapa

Por comodidad, y para facilitar enormemente la instalación lo primero es agregar al resto de los servidores a la consola “Server Manager” de DC1, y así poder hacer la configuración en forma centralizada

Con la configuración anterior podremos agregar los roles en cada uno de los servidores fácilmente y desde un único asistente, de acuerdo a las capturas de pantalla que siguen

Seleccionamos “Remote Desktop Services installation”

Como disponemos de varios servidores no elegiremos “Quick Start”, sino “Standard Deployment”

Ahora no haremos escritorios basados en máquinas virtuales

Seleccionamos el equipo que será en RDCB

El RDWA, será el mismo equipo que RDCB

Y seleccionaremos ambos servidores que serán RDSHs

No olviden marcar que haga los reinicios automáticamente, Bueno, no se van a olvidar, porque hasta que no lo seleccionen no se habilita el botón “Deploy” :)

Trabajará unos minutos …

Podemos ver que los dos RDSHs se reinician

Y esperamos hasta que muestre todo finalizado correctamente

 

Ya tenemos nuestra primera parte de la infraestructura necesaria en funcionamiento

«Continuamos en “Remote Desktop – Escritorio Remoto: Acceso al Escritorio Remoto (Nota 2)

 

By Guillermo Delprato, on 01/03/2016 at 06:52, under How To - Step-by-step - Paso a paso, Remote Desktop - Terminal Services, Windows Server, Windows Server 2012 R2. Etiquetas: , , , , , . 41 comentarios
Publica un comentario o deja una referencia: URL de la referencia.

Comentarios

  • Hunt  El 01/03/2016 a las 23:54
    Permalink | Responder

    Excelentes guías Guillermo, Gracias por el trabajo que realizas hacia la comunidad.

  • Angel  El 04/03/2016 a las 11:46
    Permalink | Responder

    Excelente guillermo!!! gracias x tu aporte… saludos

  • federicodeluca  El 07/03/2016 a las 10:05
    Permalink | Responder

    Guillermo, muchas gracias por tu aporte. Es un tema muy solicitado hoy en día por las empresas y no se encuentra (a mi parecer) tanta información como a uno le gustaría.
    Voy a estar sobre las siguientes notas.

    Saludos!

    • Guillermo Delprato  El 07/03/2016 a las 12:59
      Permalink | Responder

      Me alegro te interesa Federico, esta vez va no sólo con todos los componentes posibles, sino que además he conseguido quitar la mayoría de las advertencias, el único explorador que quedó con algún «click» adicional para hacer es el Edge

  • JESVEPO  El 12/08/2016 a las 12:38
    Permalink | Responder

    Buen día Guillermo gracias por tus aportes, estoy confundido los RDSH1 y 2 son diferentes servidores es decir por cada uno debes crear un servidor y despues los agregas al mismo dominio? no entiendo bien esa parte, tendra alguna liga para ver como se realiza toda esa configuración? gracias se lo agradecere mucho…

    • Guillermo Delprato  El 12/08/2016 a las 13:36
      Permalink | Responder

      Si, RDSH1 y RDSH2 son dos servidores unidos al Dominio
      No lo tomes a mal, pero si no sabes unir máquinasa un Dominio, creo que no deberías intentar configurar Escritorio Remoto
      En la nota siguiente tienes enlace a todas las notas donde se comienza con los diferentes tipos de instalación. Salvo una que está específicamente indicada en grupo de trabajo, todas las demás son con Dominio, porque es donde se puede obtener la funcionalidad completa

      • JESVEPO  El 12/08/2016 a las 18:46
        Permalink

        Disculpa pero no entendi lo que me quisiste decir con (Creo que no deberias intentar configurar Escritorio Remoto), el escritorio remoto ya lo tengo configurado, lo que aun no puedo hacer es entrar al RDWEB desde Internet, estoy intentando hace todos los paso de estas ultimas 7 notas que creo que es la mas actualizada y con errores corregidos. Pero entiendo que no se puede hacer con un solo servidor, seguiré intentando todos los pasos, gracias…

      • Guillermo Delprato  El 12/08/2016 a las 19:08
        Permalink

        El acceso desde Internet recién se hace en la Nota 6, primero hay que completar todas las otras con sus correspondientes pasos y configuraciones
        No puedo usar estos comentarios para soporte, como dice, si tienes dudas puedes acceder a algún foro de soporte, por ejemplo los Technet sobre Escritorio Remoto están en https://social.technet.microsoft.com/Forums/es-ES/home?forum=wstses&filter=alltypes&sort=lastpostdesc

  • Nel Padilla  El 19/10/2016 a las 17:17
    Permalink | Responder

    Hola buen TUTORIAL gracias, Tengo una consulta la aplicación que quiero compartir es una aplicación de ventas, dentro de la aplicación cada punto de venta tiene asignado un nombre de equipo autorizado.pero al ejecutar desde Remote App la aplicación me coge el nombre del servidor, por lo cual me manda el mensaje «Punto de venta no autorizado»,mi pregunta es ¿ habrá alguna configuración para que la aplicación coja el nombre de la computadora cliente que la ejecuta?.

    • Guillermo Delprato  El 19/10/2016 a las 17:29
      Permalink | Responder

      Si la aplicación autoriza de esa forma no hay manera que funcione por Escritorio Remoto
      El uso de Escritorio Remoto es justamente que la aplicación se ejecuta en el servidor, no en el cliente

  • Davis C  El 15/11/2016 a las 19:02
    Permalink | Responder

    Buenas tardes Guillermo,
    Es factible generar una GPO la cual se puede desplegar en los usuarios del dominio para los siguientes casos relacionado con Remote Desktop:
    1ero.- Usar la aplicación como Soporte Remoto o VNC, en Windows es «Asistencia remota» la cual permite ver o controlar una sesión remota pero el anfitrión debe enviar la invitación con su respectiva clave. Desearía restringir solo a los administradores locales o del dominio.

    2do.- Es posible eliminar esta contraseña o permitir a los administradores locales o del dominio, visualizar directamente esta «asistencia remota», es decir, sin necesidad de una clave?

    3ro.- Es posible restringir la configuración del escritorio remoto de un equipo cliente, es decir, que no pueda modificar parámetros como resolución, calidad de conexión, audio remoto, impresoras, porta papeles, etc.

    Yo eh estado averiguando sobre el tema y habia conseguido referencias muy interesantes, entre ellas las tuyas, para combinar y solucionar mi consulta pero debido a un inconveniente, mi perfil se daño y se borro el historial, mis favoritos y las paginas en pdf que habia descargado para revisar en detalle.

    Agradezco de antemano tu apoyo.

    Saludos
    Davis C

  • Jordi Corbera  El 07/03/2017 a las 08:10
    Permalink | Responder

    Hola,

    Tengo un problema con la conectividad de usuarios a la granja que tengo echa en W2012R2. Os explico el escenario:

    – DC, con politicas establecidas. Es el que tiene el Broker, licencias y management.
    – Granja de 3 servidores.

    La implementación la realizé con las indicaciones de éste sitio web.

    El problema es que si un usuario esta trabajando, por ejemplo, en el TS1, puede volver a efectuar una conexión, mandándolo a otro servidor de TS, habiéndo 2 conexiones de éste mismo usuario en la granja. ¿Esto se puede configurar para que solo haya 1 conexión de usuario en la granja?

    Saludos,

    • Guillermo Delprato  El 07/03/2017 a las 13:04
      Permalink | Responder

      Hola Jordi, da para pensar que no está funcionando correctamente el Broker por lo que nombras
      Por acá se haría muy largo y habría que conocer más detalles para poder ayudarte, mejor coloca la pregunta en un foro de soporte como por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
      Yo también ando por ahí, y hay más compañeros que pueden ayudar a resolver el tema. Y algo importante: indica cómo es que se conecta el usuario si es por RemoteApp, RD-Web, etc. más datos que creas pueden hacer al asunto y ayudar a encontrar el problema

  • Armando Alfaro  El 31/03/2017 a las 21:03
    Permalink | Responder

    Hola Guillermo, realmente agradezco todo lo que escribes, es sumamente util, profesional y completo. Quiero saber si has escrito o probado algo sobre como usar RDS en windows Server 2012 R2 Standar siendo el mismo servidor Controlador de Dominio, alguna literatura indica que no se puede pero tengo en mis manos una publicacion de microsoft donde se indica una forma de hacerlo cambiando unos indicadores con Power Shell simplemente para indicar que el mismo sera servidor de licencias pero aunque ya lo hice en un escenario de prueba y resulto bien, me gustaria saber si tienes algo sobre esto y sus beneficios o consecuencias.

  • christiaannn  El 20/04/2017 a las 07:33
    Permalink | Responder

    Hola guillermo como estas
    He seguido todos tus pasos y la verdad es que consegui que funcionara perfectamente.
    Pero tengo una duda.
    Ahora mismo los usuarios al acceder, se balancea la carga entre un session host y otro dependiendo de la capacidad de uso de cada, hasta ahi bien.
    El problema viene cuando los administradores del sistema quieren entrar en una maquina especifica, pues lo qeu ocurre es que balance y a final con suerte entra en la que quiere hahahaa. Una opcion es acceder con admin local pero eso por politicas de seguridad se va a restringir.
    Mi pregunta es, existe alguna manera de evitar que se balancee la carga para los usuarios admins.
    obs: los usuarios normales estan en un grupo de seguridad que da acceso a los session hosts y este grupo es el que esta puesto.
    gracias.

    • Guillermo Delprato  El 20/04/2017 a las 09:02
      Permalink | Responder

      Que yo sepa no hay forma de no balancear a un grupo. Lo que se me ocurre es que si los administradores deben acceder a un RDSH en particular, por ejemplo para mantenimiento, directamente usen RDP para conectarse a la consola

      • christiaannn  El 20/04/2017 a las 09:21
        Permalink

        Es un lio la verdad, estoy buscando una manera de evitar este acceso asi.
        gracias de todos modos.

  • Edmundo Ortiz  El 26/04/2017 a las 04:23
    Permalink | Responder

    Hola, quisiera saber si todo esto se puede hacer con un solo servidor con Windows server 2012 R2 Foundation ROK o es necesario tener 2 servidores???

  • Julian  El 31/08/2017 a las 11:11
    Permalink | Responder

    Este año arranque a administrar server 2008 y 2012, y tengo que darte las gracias porque tus guias me fueron de muchisima ayuda en todas las implementaciones que me tocaron hacer.

  • Baresi Rivas Ortiz  El 16/10/2018 a las 19:41
    Permalink | Responder

    Cuando realizo todo para instalar los roles de escritori virtual, me aparece Error, cual sera el problema???? Ayuda!!

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Gravatar
Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Salir /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Salir /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Salir /  Cambiar )

Cancelar

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

A %d blogueros les gusta esto: