Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1)

En esta primera nota veremos “Remote Desktop” o Escritorio Remoto, que es uno de los temas más requeridos, ya que tiene algunas dificultades de implementación, y aunque en su momento hice el desarrollo completo sobre Windows Server 2008 R2, no lo he hecho nunca completo con todas las funcionalidades posibles en Windows Server 2012 R2. Inclusive en notas anteriores alguna configuración ha quedado con algún tema que no había podido terminar de resolver en ese momento

Así que he decidido comenzar una nueva serie, utilizando todos los componentes posibles, solucionando los inconvenientes que quedaron en notas anteriores, e inclusive agregando la funcionalidad “Remote Desktop Gateway” (Puerta de Enlace de Escritorio Remoto) para permitir un acceso seguro a escritorio o aplicaciones desde Internet que no había sido desarrollada

En esta primera nota crearemos la infraestructura necesaria, y luego iremos viendo paso a paso de acuerdo al progreso para llegar a demostrar cada uno de los componentes posibles del servicio

Las máquinas virtuales que utilizaré, siempre sobre VMware Workstation, son de la infraestructura habitual de las notas de este blog, aunque por supuesto que agregué algunas

  • DC1.ad.guillermod.com
    • Controlador de Dominio
    • Instalaré luego la Autoridad Certificadora que necesitaremos
    • Instalaré luego la función de “Remote Desktop License Server”
  • RDSH1.ad.guillermod.com.ar
    • Servidor Miembro del Dominio
    • Instalaré la funcionalidad de “Remote Desktop Session Host”
  • RDSH2.ad.guillermod.com.ar
    • Servidor Miembro del Dominio
    • Instalaré la funcionalidad “Remote Desktop Session Host”
    • Teniendo dos RDSH podremos ver la funcionalidad de “Remote Desktop Connection Broker”
  • RD-WA-CB-GAT
    • Servidor Miembro del Dominio
    • Instalaré las funcionalidades de “Remote Desktop Web Access”, “Remote Desktop Connection Broker” y “Remote Desktop Gateway”
    • Como veremos más adelante hay una ventaja en cuanto a compartir en el mismo equipo RDWA y RDCB (un único certificado)
  • CL1.ad.guillermod.com.ar
    • Máquina cliente de Dominio para las demostraciones
    • Sistema Operativo Windows 8.1
  • CL2.ad.guillermod.com.ar (Opcional)
    • Máquina cliente del Dominio para las demostraciones
    • Sistema Operativo Windows 10 (he visto diferencias de comportamiento con Edge respecto a IE)
  • NAT
    • Para poder mostrar el acceso simulado desde Internet usaré además un “artilugio” que simule un Router/NAT. En mi caso al ser todas máquinas virtuales, lo haré con un Windows Server 2012 R2 configurado adecuadamente

Si alguien tiene dudas sobre las funcionalidades provistas por cada rol, tiene una pequeña descripción en “Windows Server 2012: Remote Desktop – Standard Deployment (Parte 1 – Instalación)

 

Antes que nada muestro la configuración que tengo ya lista con las máquinas antes nombradas

He creado una Unidad Organizativa “Remote Desktop” donde he puesto las tres cuentas de máquinas correspondientes a los servidores

Por otro lado, las cuentas de las máquinas cliente, las he dejado en el contenedor por omisión “Computers”

No demostraré todos los pasos para la instalación de una Autoridad Certificadora Raíz, de tipo Enterprise, pueden consultar los pasos en: “Windows Server 2012: Instalación Simple de Autoridad Certificadora (Certificate Authority) Enterprise Root

Lo que sí, veremos paso a paso, es la configuración de la misma necesaria para el objetivo

Crearé una plantilla de certificado de máquina versión v3 que nos permita personalizarlo, básicamente porque entre otras cosas, la plantilla original del certificado de “Computer” además de las limitaciones propias de Windows 2000, no permite que se publique en Active Directory ni exportar la clave privada, configuraciones que requerimos

Así que en la consola de la autoridad certificadora procederé a crear una nueva plantilla, duplicando la de “Computers” y adaptándola de acuerdo a necesidad, como muestran las siguientes pantallas

Suponiendo que el sistema operativo que utilizarán los clientes es Windows 8.1 o posterior, he cambiado la compatibilidad, ya que ofrece mejoras

Importante: marcar que se publique en Active Directory

Y no olvidarse que debemos seleccionar que la clave privada sea exportable

Y agregamos la nueva plantilla a la Autoridad Certificadora

 

Y vamos ya a la última parte de esta nota que es la instalación de las funcionalidades de Escritorio Remoto que necesitaremos en una primera etapa

Por comodidad, y para facilitar enormemente la instalación lo primero es agregar al resto de los servidores a la consola “Server Manager” de DC1, y así poder hacer la configuración en forma centralizada

Con la configuración anterior podremos agregar los roles en cada uno de los servidores fácilmente y desde un único asistente, de acuerdo a las capturas de pantalla que siguen

Seleccionamos “Remote Desktop Services installation”

Como disponemos de varios servidores no elegiremos “Quick Start”, sino “Standard Deployment”

Ahora no haremos escritorios basados en máquinas virtuales

Seleccionamos el equipo que será en RDCB

El RDWA, será el mismo equipo que RDCB

Y seleccionaremos ambos servidores que serán RDSHs

No olviden marcar que haga los reinicios automáticamente, Bueno, no se van a olvidar, porque hasta que no lo seleccionen no se habilita el botón “Deploy” :)

Trabajará unos minutos …

Podemos ver que los dos RDSHs se reinician

Y esperamos hasta que muestre todo finalizado correctamente

 

Ya tenemos nuestra primera parte de la infraestructura necesaria en funcionamiento

Continuamos en “Remote Desktop – Escritorio Remoto: Acceso al Escritorio Remoto (Nota 2)

 

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Hunt  On 01/03/2016 at 23:54

    Excelentes guías Guillermo, Gracias por el trabajo que realizas hacia la comunidad.

  • Angel  On 04/03/2016 at 11:46

    Excelente guillermo!!! gracias x tu aporte… saludos

  • federicodeluca  On 07/03/2016 at 10:05

    Guillermo, muchas gracias por tu aporte. Es un tema muy solicitado hoy en día por las empresas y no se encuentra (a mi parecer) tanta información como a uno le gustaría.
    Voy a estar sobre las siguientes notas.

    Saludos!

    • Guillermo Delprato  On 07/03/2016 at 12:59

      Me alegro te interesa Federico, esta vez va no sólo con todos los componentes posibles, sino que además he conseguido quitar la mayoría de las advertencias, el único explorador que quedó con algún “click” adicional para hacer es el Edge

  • JESVEPO  On 12/08/2016 at 12:38

    Buen día Guillermo gracias por tus aportes, estoy confundido los RDSH1 y 2 son diferentes servidores es decir por cada uno debes crear un servidor y despues los agregas al mismo dominio? no entiendo bien esa parte, tendra alguna liga para ver como se realiza toda esa configuración? gracias se lo agradecere mucho…

    • Guillermo Delprato  On 12/08/2016 at 13:36

      Si, RDSH1 y RDSH2 son dos servidores unidos al Dominio
      No lo tomes a mal, pero si no sabes unir máquinasa un Dominio, creo que no deberías intentar configurar Escritorio Remoto
      En la nota siguiente tienes enlace a todas las notas donde se comienza con los diferentes tipos de instalación. Salvo una que está específicamente indicada en grupo de trabajo, todas las demás son con Dominio, porque es donde se puede obtener la funcionalidad completa

      • JESVEPO  On 12/08/2016 at 18:46

        Disculpa pero no entendi lo que me quisiste decir con (Creo que no deberias intentar configurar Escritorio Remoto), el escritorio remoto ya lo tengo configurado, lo que aun no puedo hacer es entrar al RDWEB desde Internet, estoy intentando hace todos los paso de estas ultimas 7 notas que creo que es la mas actualizada y con errores corregidos. Pero entiendo que no se puede hacer con un solo servidor, seguiré intentando todos los pasos, gracias…

      • Guillermo Delprato  On 12/08/2016 at 19:08

        El acceso desde Internet recién se hace en la Nota 6, primero hay que completar todas las otras con sus correspondientes pasos y configuraciones
        No puedo usar estos comentarios para soporte, como dice, si tienes dudas puedes acceder a algún foro de soporte, por ejemplo los Technet sobre Escritorio Remoto están en https://social.technet.microsoft.com/Forums/es-ES/home?forum=wstses&filter=alltypes&sort=lastpostdesc

  • Nel Padilla  On 19/10/2016 at 17:17

    Hola buen TUTORIAL gracias, Tengo una consulta la aplicación que quiero compartir es una aplicación de ventas, dentro de la aplicación cada punto de venta tiene asignado un nombre de equipo autorizado.pero al ejecutar desde Remote App la aplicación me coge el nombre del servidor, por lo cual me manda el mensaje “Punto de venta no autorizado”,mi pregunta es ¿ habrá alguna configuración para que la aplicación coja el nombre de la computadora cliente que la ejecuta?.

    • Guillermo Delprato  On 19/10/2016 at 17:29

      Si la aplicación autoriza de esa forma no hay manera que funcione por Escritorio Remoto
      El uso de Escritorio Remoto es justamente que la aplicación se ejecuta en el servidor, no en el cliente

  • Davis C  On 15/11/2016 at 19:02

    Buenas tardes Guillermo,
    Es factible generar una GPO la cual se puede desplegar en los usuarios del dominio para los siguientes casos relacionado con Remote Desktop:
    1ero.- Usar la aplicación como Soporte Remoto o VNC, en Windows es “Asistencia remota” la cual permite ver o controlar una sesión remota pero el anfitrión debe enviar la invitación con su respectiva clave. Desearía restringir solo a los administradores locales o del dominio.

    2do.- Es posible eliminar esta contraseña o permitir a los administradores locales o del dominio, visualizar directamente esta “asistencia remota”, es decir, sin necesidad de una clave?

    3ro.- Es posible restringir la configuración del escritorio remoto de un equipo cliente, es decir, que no pueda modificar parámetros como resolución, calidad de conexión, audio remoto, impresoras, porta papeles, etc.

    Yo eh estado averiguando sobre el tema y habia conseguido referencias muy interesantes, entre ellas las tuyas, para combinar y solucionar mi consulta pero debido a un inconveniente, mi perfil se daño y se borro el historial, mis favoritos y las paginas en pdf que habia descargado para revisar en detalle.

    Agradezco de antemano tu apoyo.

    Saludos
    Davis C

  • Jordi Corbera  On 07/03/2017 at 08:10

    Hola,

    Tengo un problema con la conectividad de usuarios a la granja que tengo echa en W2012R2. Os explico el escenario:

    – DC, con politicas establecidas. Es el que tiene el Broker, licencias y management.
    – Granja de 3 servidores.

    La implementación la realizé con las indicaciones de éste sitio web.

    El problema es que si un usuario esta trabajando, por ejemplo, en el TS1, puede volver a efectuar una conexión, mandándolo a otro servidor de TS, habiéndo 2 conexiones de éste mismo usuario en la granja. ¿Esto se puede configurar para que solo haya 1 conexión de usuario en la granja?

    Saludos,

    • Guillermo Delprato  On 07/03/2017 at 13:04

      Hola Jordi, da para pensar que no está funcionando correctamente el Broker por lo que nombras
      Por acá se haría muy largo y habría que conocer más detalles para poder ayudarte, mejor coloca la pregunta en un foro de soporte como por ejemplo los de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
      Yo también ando por ahí, y hay más compañeros que pueden ayudar a resolver el tema. Y algo importante: indica cómo es que se conecta el usuario si es por RemoteApp, RD-Web, etc. más datos que creas pueden hacer al asunto y ayudar a encontrar el problema

  • Armando Alfaro  On 31/03/2017 at 21:03

    Hola Guillermo, realmente agradezco todo lo que escribes, es sumamente util, profesional y completo. Quiero saber si has escrito o probado algo sobre como usar RDS en windows Server 2012 R2 Standar siendo el mismo servidor Controlador de Dominio, alguna literatura indica que no se puede pero tengo en mis manos una publicacion de microsoft donde se indica una forma de hacerlo cambiando unos indicadores con Power Shell simplemente para indicar que el mismo sera servidor de licencias pero aunque ya lo hice en un escenario de prueba y resulto bien, me gustaria saber si tienes algo sobre esto y sus beneficios o consecuencias.

  • christiaannn  On 20/04/2017 at 07:33

    Hola guillermo como estas
    He seguido todos tus pasos y la verdad es que consegui que funcionara perfectamente.
    Pero tengo una duda.
    Ahora mismo los usuarios al acceder, se balancea la carga entre un session host y otro dependiendo de la capacidad de uso de cada, hasta ahi bien.
    El problema viene cuando los administradores del sistema quieren entrar en una maquina especifica, pues lo qeu ocurre es que balance y a final con suerte entra en la que quiere hahahaa. Una opcion es acceder con admin local pero eso por politicas de seguridad se va a restringir.
    Mi pregunta es, existe alguna manera de evitar que se balancee la carga para los usuarios admins.
    obs: los usuarios normales estan en un grupo de seguridad que da acceso a los session hosts y este grupo es el que esta puesto.
    gracias.

    • Guillermo Delprato  On 20/04/2017 at 09:02

      Que yo sepa no hay forma de no balancear a un grupo. Lo que se me ocurre es que si los administradores deben acceder a un RDSH en particular, por ejemplo para mantenimiento, directamente usen RDP para conectarse a la consola

      • christiaannn  On 20/04/2017 at 09:21

        Es un lio la verdad, estoy buscando una manera de evitar este acceso asi.
        gracias de todos modos.

  • Edmundo Ortiz  On 26/04/2017 at 04:23

    Hola, quisiera saber si todo esto se puede hacer con un solo servidor con Windows server 2012 R2 Foundation ROK o es necesario tener 2 servidores???

  • Julian  On 31/08/2017 at 11:11

    Este año arranque a administrar server 2008 y 2012, y tengo que darte las gracias porque tus guias me fueron de muchisima ayuda en todas las implementaciones que me tocaron hacer.

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: