En esta segunda nota de la serie, y con lo hecho en la nota anterior, aunque todavía no tenemos posibilidad de ejecutar aplicaciones remotas (RemoteApp), sin embargo ya tenemos aceso a Escritorio Remoto
Podemos acceder a las sesiones de escritorio del “Escritorio Remoto” tanto utilizando “Remote Desktop Connection” (MSTSC:EXE), como también mediante el explorador web
Con un poco de ansiedad para ver que todo funcione, y poder llegar al objetivo final con todas las funcionalidades, creo una cuenta de usuario de prueba en el Dominio (“RD-User”), y lo incluyo manualmente en el grupo “Remote Desktop Users” tanto de RDSH1 como de RDSH2
Y utilizando MSTSC.EXE desde CL1 (W8.1) veo que me puedo conectar sin ningún problema a RDSH1, por supuesto ingresando las credenciales correspondientes
Y análogamente desde CL2, puedo conectarme con este usuario de prueba a RDSH2
Nos falta probar el mismo tipo de acceso pero usando un explorador web, y esto me dio un poco de trabajo :)
En la máquina “rd-wa-cb-gat” lo primero que debemos hacer es obtener un certificado digital de máquina para que no dé advertencia de seguridad. Lo haré creando una consola MMC enfocada en máquina y solicitando un certificado de la plantilla RemoteDesktopServers ya creada. Muestro las capturas de pantalla
En ambos clientes (CL1 y CL2) inciando como administrador he forzado la actualización de GPOs mediante GPUPDATE /FORCE
Esto permite asegurarme que el certificado de la Autoridad Certificadora del que hemos creado anteriormente esté en “Trusted Root Certification Authorities” para que tomen como válido al certificado de RD-CB-WA-GAT
Desde CL1, me conecté a “https://rd-wa-cb-gat.ad.guillermod.com.ar/RDWeb” sin problemas salvo las advertencias normales de IE, aceptándolas todas por ahora ya que luego las sacaremos
Ponemos usuario y contraseña, y marquen que recuerde la contraseña cada vez que el explorador lo solicite
Elegimos “Connect to a remote PC”. Solamente para que vean he abierto las opciones que muestra el botón “Options”
Esta advertencia es por que el cliente de escritorio remoto toma las opciones por omisión
Nuevamente usuario y contraseña (ya lo solucionaremos más adelante)
Y como podemos ver ya tenemos una sesión de Escritorio Remoto desde CL1 a RDSH1
Si tratamos de ingresar por “RemoteApp and Desktops”, como es lógico aparece vacío porque no hemos publicado aún aplicaciones
Al final usen “Sign out”
Ahora van a ver por qué además quise hacer la prueba con un cliente Windows 10. Aclaro que es la versión original RTM sin actualizaciones (Version 10.0.10586)
Pruebo primero con Edge, y ya veo una diferencia con IE, luego de inciar sesión con el mismo usuario de prueba no da las advertencias, pero no me muestra la opción de conectarme a Escritorio Remoto :(
Fíjense cómo altera el URL
Si hago el mismo procedimiento pero esta vez con IE se comporta de la forma “normal” mostrando la opción correspondiente
Y por supuesto el usuario puede abrir Escritorio Remoto sobre, en este caso, RDSH2
Resumiendo lo visto hasta ahora, instalamos funcionalidades accesorias en este caso (Autoridad Certificadora) y hemos hechos una instalación “Standard” de “Remote Desktop” que nos permite que usuarios inicien Escritorio Remoto en ambos servidores RDSH
Continuamos en la próxima nota “Remote Desktop – Escritorio Remoto: Publicar Aplicaciones “RemoteApps” (Nota 3)”
Comentarios
Muchas gracias, sigue asi!:)
¡Gracias! me alegro te sirva
Hola, gracias por compartirnos tu conocimiento. Me han servido mucho tus publicaciones.
Tengo algunas dudas espero me puedas apoyar por favor, mi granja tiene 1 srv Controlador de dominio, 2 srv SH, 1 srv Bróker y también es de licencias.
No ocupo publicar aplicaciones, Requiero que los usuarios entren directamente a escritorio remoto. Todo en una misma red Lan.
1.- Que cambios requiero hacer, siguiendo tu manual?
2.- Debo de tener todos los roles asignados a mis servidores (Web Access y Gateway) y en que servidores me recomiendas deban ir.
Gracias
Saludos
Hola Emma ¡gracias por tu comentario! :)
Si lo que necesitas es que accedan directamente a sesiones remotas de escritorio remoto de un servidor, puedes hacerlo mucho más sencillo. Aunque si quieres que accedan por WebAcces, entonces sí hay que tener el RD y CB
Lo que nunca es conveniente, por seguridad, es que un usuario normal, pueda hacer escritorio remoto a un controlador de dominio, y además en ese caso se requiere configuración adicional
No hay que instalar Escritorio Remoto, como indica el asistente («Quick Start» o «Standard Deployment»), sino agregarlo como funcionalidad, y luego durante el asistente agregar el «feature» de licenciamiento, que puede ser perfectamente en el mismo servidor
En cuanto a roles: en el Controlador de Dominio ninguno, salvo que quieras poner el de licenciamiento, el resto como quieras
Evalúa si realmente necesitas en tu caso el Connection Broker para balancear o si no es mejor hacer dos RDPs independientes para los clientes
Excelente, gracias.
Si requiero que funcione dentro de una granja, por el balanceo de carga.
En este escenario es con el asistente standard Deployment?
Es sin crear colecciones?
Requiero usar el administrador de Puerta de Enlace?
Al servidor Bróker debe llevar una configuración especifica o solo contener el rol?
Gracias
Si, en ese caso es así Emma, para balanceo de carga de necesita el Connection Broker, y por lo tanto usar la configuración «Standard Deployment»
Si con «puerta de enlace» te refieres al RD-Gateway, por lo que me dices no. Esto es si se va a acceder desde afuera sin usar VPN. El RD-Gateway encapsula/desencapsula tráfico RDP en HTTPS
Hay 4 notas anteriores sobre «Standard Deployment», sólo que ahora las estoy rehaciendo mostrando más información y solucionando algunos problemas que antes no pude
Windows Server 2012: Remote Desktop – Standard Deployment (Parte 1 – Instalación) | WindowServer:
https://windowserver.wordpress.com/2012/10/18/windows-server-2012-remote-desktop-standard-deployment-parte-1-instalacin/
Windows Server 2012: Remote Desktop – Standard Deployment (Parte 2 – Publicando Aplicaciones) | WindowServer:
https://windowserver.wordpress.com/2012/10/18/windows-server-2012-remote-desktop-standard-deployment-parte-2-publicando-aplicaciones/
Windows Server 2012: Remote Desktop – Standard Deployment (Parte 3 – Seguridad y Advertencias) | WindowServer:
https://windowserver.wordpress.com/2012/10/25/windows-server-2012-remote-desktop-standard-deployment-parte-3-seguridad-y-advertencias/
Windows Server 2012: Remote Desktop – Standard Deployment (Parte 4 – Instalando licencias RDCAL) | WindowServer:
https://windowserver.wordpress.com/2012/10/25/windows-server-2012-remote-desktop-standard-deployment-parte-4-instalando-licencias-rdcal/
De esta serie nueva, saldrán las 7 notas prometidas, una cada Martes
no me gunciona el certificado o no se que pasa porque me sigue saliendo el aviso que este sitio no es de confianza
Pueden ser varias causas por las que el cliente no considera confiable el certificado, la más común es que no tenga instalado el certificado, y/o la cadena de certificados, de la autoridad certificadora que emitió el certificado del servidor
hola que tal muy agradecido por tu tiempo para estas guias, tengo en este punto un problema porque no me aparece la plantilla de la Autoridad Certificadora que cree en el paso anterior, por ende aun tengo problemas con el certificado
Hola Wender, pego la primera frase de la nota «En esta segunda nota de la serie, y con lo hecho en la nota anterior …». Al ser una serie de notas, cada una va construyendo en base a lo hecho anteriormente
Hola tengo un problema, debido a que solo tengo 3 servidores uno lo configure como DC, CA y WA CB GAT los otros dos servidores son RDSH. el problema se presenta al agregar el certificado en MMC al agregar o solicitar el certificado para personal (boton secundario / todas las tareas / solicitar un nuevo certificado / siguiente, elijo directiva de inspeccion de active directory, y no aparece a menos que marque mostrar todas las plantillas) aparece el certificado creado pero como ESTADO: No Disponible (los permisos de la plantilla de certificado no permiten al usuario actual inscribirse en este tipo de certificados)
Hola Israel, estos comentarios son sobre la nota, no son para soporte, sólo oriento cuando puedo. Puedes dirigirte a un foro de soporte, por ejemplo el de Technet en https://social.technet.microsoft.com/Forums/es-ES/home
Lo que sí te puedo adelantar es que no puedes poner todos esos roles en la misma máquina y menos en un DC
Trackbacks
[…] Remote Desktop – Escritorio Remoto: Acceso al Escritorio Remoto (Nota 2) […]
[…] Remote Desktop – Escritorio Remoto: Acceso al Escritorio Remoto (Nota 2) […]