Windows Server: Licenciamiento Escritorio Remoto (“Remote Desktop”) – “Terminal Services”

El licenciamiento de Escritorio Remoto (“Remote Desktop”) – “Terminal Services” es uno de los temas difíciles de comprender y administrar en ambiente Windows Server. Las preguntas sobre el tema se ven en todos los foros de soporte, y se repiten constantemente desde hace años

Confieso que fue por pura casualidad, pero encontré unos enlaces que aunque algo desactualizados pueden aclarar bastate el tema

Lo que algunos no van a considerar bueno, porque están en inglés, otros lo vamos a considerar mejor, ya que las traducciones suelen ser confusas o inclusive hasta con errores graves. Algunos de los enlaces tienen traducción automática (cuidado …)

Todo comenzó en este enlace que pongo acá abajo que creo que es el punto incial, ya que trata desde un panorama general, pasando por las diferencias y lo que se puede hacer tanto “Per Device” como “Per User”, la infraestructura necesaria, períodos de gracia, reportes, resolución de problemas, etc.

Sigue leyendo →

Anuncio publicitario

Remote Desktop – Escritorio Remoto: Resumen de notas

Estoy notando que en el blog se están sumando cada vez más, notas sobre el tema “Remote Desktop – Escritorio Remoto”, 40 hasta hoy. Y aunque se puede filtrar por categoría en el margen izquierdo, al haber varias que son la entrada a las demás he escrito este pequeño resumen

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Configuraciones Básicas para Limitar Usuarios

Continuando esta serie de notas sobre Remote Dekstop – Escritorio Remoto, y específicamente esta es continuación de “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores” vamos a ver algunas configuraciones básicas y típicas, para que las conexiones de usuario no afecten al servidor y por lo tanto a otros usuarios

Aunque por supuesto el sistema está protegido relativamente por los bajos privilegios que tiene un usuario normal, siempre viene bien evitar que tengan acceso a determinadas aplicaciones que pueden ser peligrosas

Veremos sólo algunas configuraciones que considero básicas, pero cada uno debe evaluar su entorno, y determinar cuáles pueden interesarles

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Ocultar Discos

Continuando con esta serie de notas para limitar usuarios en el acceso a Escritorio Remoto, y contribuir a la seguridad del servidor, en esta nota veremos las dos opciones que tenemos para ocultar los discos locales del servidor a los usuarios

La demostración de esta nota está basada en la configuración que he hecho sobre las dos anteriores

• “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada”
• “Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores”

Hay dos opciones parecidas para esta nota, una que permite ocultar y otra que evita acceder a los discos, vamos a ver las diferencias y las consecuencias de cada una de ellas

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Configurar una GPO Para Limitar a Usuarios Excepto Administradores

Continuando con la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio” y con el objetivo de cómo podremos (en futuras notas) limitar las capacidades de un usuario cuando se conecta a un servidor utilizando Escritorio Remoto, lo primero es crear y vincular una GPO que tenga dos temas en cuenta:

• Que las restricciones anteriores no se apliquen a los administradores
• Que sean limitaciones específicas para cuando se conecte al servidor usando Escritorio Remoto, pero que no se apliquen a su máquina individual

Para cumplir con estos objetivos debemos denegar el permiso de aplicar la GPO a los administradores y además usar el procedimiento de aplicación de GPO de bucle invertido

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Instalación Simple y Personalizada en Dominio

Hace ya tiempo que he escrito notas sobre “Remote Desktop – Escritorio Remoto”, su instalación y configuración, pero he observado que en muchos casos se necesita una instalación más simple, o aún personalizada de la instalación

Esto es lo que haré en esta nota, y que luego aprovecharé en otras subsiguientes mostrando cómo podremos mejorar la seguridad y limitar muy específicamente qué aplicaciones y configuraciones podrán hacer los usuarios, como así también qué le podremos ocultar en la sesión  remota del servidor

Para el que quiera repasar el tema pongo los enlaces a las tres series anteriores en el blog:

• Windows Server 2012: Remote Desktop – Quick Start (Parte 1)
  https://windowserver.wordpress.com/2012/10/05/windows-server-2012-remote-desktop-quick-start-parte-1/
• Windows Server 2012: Remote Desktop – Standard Deployment (Parte 1 – Instalación)
  https://windowserver.wordpress.com/2012/10/18/windows-server-2012-remote-desktop-standard-deployment-parte-1-instalacin/
• Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1)
  https://windowserver.wordpress.com/2016/03/01/remote-desktop-escritorio-remoto-de-principio-a-fin-nota-1/
• Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)
  https://windowserver.wordpress.com/2016/06/14/remote-desktop-escritorio-remoto-instalacin-bsica-en-grupo-de-trabajo-workgroup/

 

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Configuración del Licenciamiento (RD-CALs) en Grupo de Trabajo (“Workgroup”)

Continuando la nota anterior “Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)” en esta vamos a proceder a la configuración del licenciamiento de Escritorio Remoto, que no es tan sencilla como en ambiente de Dominio Active Directory, una parte se hace a través de la Directiva Local de Seguridad

Además, al estar en Grupo de Trabajo, sólo se puede licenciar por dispositivo, y no por usuario

Recuerdo que Escritorio Remoto requiere licenciamiento aparte de las CALs (“Client Access Licenses”) que permiten acceder al servidor. Para Escritorio Remoto se deben adquirir RD-CALs (“Remote Desktop CALs”), y además instalar y activar el servicio de licenciamiento

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Instalación Básica en Grupo de Trabajo (“Workgroup”)

Muchas veces he visto la consulta sobre la utilización de Remote Dekstop – Escritorio Remoto en ambiente de Grupo de Trabajo. No es que no se pueda, sino que el procedimiento de instalación es diferente, y la funcionalidad reducida con respectoa a la implementación en ambiente de Dominio Active Directory

No se pueden utilizar los procedimientos “normales” de instalación y configuración denominados “Quick Start” y “Standard Deployment” que he documentado en notas anteriores, hay que hacerlo de forma diferente

Además veremos cómo podemos solucionar el mensaje de advertencia sobre el certificado no confiable del servidor que da por omisión

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Instalación y Activación de las Licencias (RD-CAL) (Nota 7)

Ahora que siguiendo las seis notas anteriores tenemos toda nuestra infraestructura objetivo instalada, configurada y probada, es el momento ideal para hacer el licenciamiento legal necesario

Es importante dejar este paso para el final, ya que tenedremos tiempo suficiente para hacer todas las pruebas de configuraciones que necesitemos usando las funcionalidades completas por un plazo de 90 días. Luego de ese plazo los clientes dejarán de poder conectarse; y además a los 120 días dejará de funcionar el servicio

La importancia radica en que una vez activado el servidor de licencias e instalada la clave de licencia de clientes, si hubiera que reactivar en una nueva instalación ya habría que ejecutar pasos adicionales

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Instalación y Configuración de “RD-Gateway” (Nota 6)

En esta sexta nota, y continuando con la serie, veremos la instalación y configuración de la funcionalidad “Remote Dekstop Gateway” (Puerta de Enlace de Escritorio Remoto), describiremos su funcionalidad y por supuesto demostraremos su utilización

Es muy importante tener en claro cuál es su funcionalidad, y qué tipo de acceso permite, y sobre todo las diferencias con “Remote Desktop Web Access” (Acceso Web a Escritorio Remoto) y el uso de cada uno

Además, y no tan conocido, es que “RD-Gateway” permite que se limite qué usuarios se podrán conectar y a qué equipos podrán acceder, entre otras cosas

Así que en este caso veremos primero que nada estas diferencias

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Quitar Advertencias y Preparación para “RD-Gateway” (Nota 5)

En esta quinta nota de la serie, vamos a comenzar a quitar las advertencias de seguridad que aún nos muestra cuando ingresamos por “RD Web Access”

Además y previendo que luego vamos a instalar y configurar “RD Gateway”, para permitir el acceso desde otras redes externas, vamos a hacer unos cambios sobre el certificado digital que identifica a la máquina “rd-wa-cb-gat”

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Configuración de las RemoteApps (Nota 4)

En las tres notas anteriores dejamos instalados los roles para Escritorio Remoto, vimos muchas de las configuraciones necesarias, pero en esta vamos a ver algunas de las propiedades de las aplicaciones publicadas, así como además opciones que tiene el administrador sobre las sesiones abiertas

• Configuraciones adicionales de RemoteApp
• Enviar mensajes a la sesión de usuario
• Ver o tomar control remoto de la sesión de usuario
• Desconectar o cerrar la sesión de usuario

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Publicar Aplicaciones “RemoteApps” (Nota 3)

En esta tercera nota y continuando con el tema que venimos desarrollando en esta demostración, ahora veremos dos temas importantes:

• Publicar aplicaciones via web (RemoteApps)
• Demostrar la funcionalidad de «Remote Desktop Connection Broker»

Para cumplir estos objetivos veremos primero un panorama de las configuraciones tomadas por omisión, luego crearemos y configuraremos una “Collection” donde publicaremos un par de aplicaciones de prueba, para finalmente, utilizando dos usuarios de prueba observaremos la funcionalidad provista por «Remote Desktop Connection Broker», que es muy importante, y nada mejor que verlo directamente

Sigue leyendo →

Remote Desktop – Escritorio Remoto: Acceso al Escritorio Remoto (Nota 2)

En esta segunda nota de la serie, y con lo hecho en la nota anterior, aunque todavía no tenemos posibilidad de ejecutar aplicaciones remotas (RemoteApp), sin embargo ya tenemos aceso a Escritorio Remoto

Podemos acceder a las sesiones de escritorio del “Escritorio Remoto” tanto utilizando “Remote Desktop Connection” (MSTSC:EXE), como también mediante el explorador web
Sigue leyendo →

Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1)

En esta primera nota veremos “Remote Desktop” o Escritorio Remoto, que es uno de los temas más requeridos, ya que tiene algunas dificultades de implementación, y aunque en su momento hice el desarrollo completo sobre Windows Server 2008 R2, no lo he hecho nunca completo con todas las funcionalidades posibles en Windows Server 2012 R2. Inclusive en notas anteriores alguna configuración ha quedado con algún tema que no había podido terminar de resolver en ese momento

Así que he decidido comenzar una nueva serie, utilizando todos los componentes posibles, solucionando los inconvenientes que quedaron en notas anteriores, e inclusive agregando la funcionalidad “Remote Desktop Gateway” (Puerta de Enlace de Escritorio Remoto) para permitir un acceso seguro a escritorio o aplicaciones desde Internet que no había sido desarrollada

En esta primera nota crearemos la infraestructura necesaria, y luego iremos viendo paso a paso de acuerdo al progreso para llegar a demostrar cada uno de los componentes posibles del servicio

• Remote Desktop – Escritorio Remoto: De Principio a Fin (Nota 1)
  • Configuración de Unidades Organizativas y cuentas de máquina
  • Instalación de la Autoridad Certificadora, y la configuración necesaria
  • Mediante GPOs automatizaremos la otorgación e instalación de Certifiados Digitales a cada uno de los servidores de Escritorio Remoto
• Remote Desktop – Escritorio Remoto: Acceso al Escritorio Remoto (Nota 2)
  • Mostraré el acceso desde las máquinas clientes a una sesión de Escritorio Remoto sobre los servidores, mediante dos métodos diferentes:
    • Con MSTSC.EXE
    • Utilizando acceso web (desde la red interna)
• Remote Desktop – Escritorio Remoto: Publicar Aplicaciones “RemoteApps” (Nota 3)
  • Publicaré aplicaciones mediante RemoteApp
  • Demostraré la utilidad de “Remote Desktop Connection Broker”
• Remote Desktop – Escritorio Remoto: Configuración de las RemoteApps (Nota 4)
  • Veremos configuraciones adicionales para RemoteApp
  • Mostraremos opciones útiles, como envío de mensajes, ver o controlar sesiones y finalizar sesiones de usuarios
• Remote Desktop – Escritorio Remoto: Quitar Advertencias y Preparación para “RD-Gateway” (Nota 5)
  • Estableceremos configuraciones para que no muestre molestas advertencias a los clientes
  • Haremos un cambio en el certificado digital previemdo que luego a través de “RD-Gateway” deberemos poder acceder a la máquina desde Internet
• Remote Desktop – Escritorio Remoto: Instalación y Configuración de “RD-Gateway” (Nota 6)
  • En esta nota instalaremos y configuraremos “RD-Gateway” mostrando el acceso de los clientes desde una red externa, como puede ser Internet
  • Veremos además configuraciones de seguridad propias de esta funcionalidad: qué usuarios y a qué recursos (RDCAPs y RDRAPs)
• Remote Desktop – Escritorio Remoto: Instalación y Activación de las Licencias (RD-CAL) (Nota 7)
  • Veremos la instalación configuración y activación de licencias de Escritorio Remoto
  • Haremos primero la activación del servidor de licencias, y luego la activación de las licencias para los clientes
  • Por último veremos cómo sacar reportes de licenciamiento

Sigue leyendo →

Nueva Serie de Notas Sobre Escritorio Remoto (“Remote Desktop”)

El tema Escritorio Remoto, es uno que he tratado en varias ocasiones en este blog. La primera serie fue sobre Windows Server 2008 R2 donde he desarrollado el tema en forma completa a través de 12 notas, que comienzan en:

• Remote Desktop (Terminal Services) – Escritorio Remoto (Parte 1 de …) Configuración Básica:
  https://windowserver.wordpress.com/2011/11/25/remote-desktop-terminal-services-escritorio-remoto/

Luego, sobre Windows Server 2012 (no R2) he hecho dos series más, una usando “Quick Start”, y otra “Standard Deployment”

• Windows Server 2012: Remote Desktop – Quick Start (Parte 1):
  https://windowserver.wordpress.com/2012/10/05/windows-server-2012-remote-desktop-quick-start-parte-1/
• Windows Server 2012: Remote Desktop – Standard Deployment (Parte 1 – Instalación):
  https://windowserver.wordpress.com/2012/10/18/windows-server-2012-remote-desktop-standard-deployment-parte-1-instalacin/

Aunque el objetivo de esta última era hacer un desarrollo completo, al final quedó inconcluso pues algunos roles como “Remote Desktop Gateway” que no fue instalado, y es muy importante para poder ofrecer acceso  a Escritorio Remoto desde Internet
También quedó una advertencia de seguridad que no había podido resolver en ese momento

Sigue leyendo →

Remote Desktop – “Shadow Session” de Escritorio Remoto para Administración

Poder ver e interactuar desde una sesión de Escritorio Remoto es algo fácil de hacer cuando se ha instalado la funcionalidad del mismo. Pero ¿qué se puede hacer si sólo se ha habilitado el Escritorio Remoto para Administración”? O sea sin los roles normales

Este problema se me planteó por el tema de los cursos de capacitación que ofrezco a los asistentes, ya que mientras hicieran las prácticas seguramente algunos iban a necesitar asistencia, y por lo tanto tenía que poder ver la pantalla de la máquina que el asistente está usando

Como en las prácticas se accede a las máquinas virtuales a través de Escritorio Remoto para Administración, el tema es cómo hacer “Shadow Session” en este caso

Se consigue fácil

Sigue leyendo →

Remote Desktop – Limitando Aplicaciones a Usuarios

Muchas veces he visto la consulta sobre limitar a los usuarios que se conectan por escritorio remoto a un servidor, porque aunque lógicamente al no ser administradores no pueden modificar la mayoría de las configuraciones, pero sin embargo pueden utilizar aplicaciones que no deseamos, o simplemente que no puedan ver ciertas configuraciones

Una configuración que creo no tan conocida es la de limitar a un usuario que se conecta por escritorio remoto a una única aplicación, no disponiendo ni siquiera de la barra de tareas

[Actualización] He actualizado la nota asignando la aplicación mediante GPO, en lugar de por usuario

Sigue leyendo →

Remote Desktop: Limitar a un Usuario Normal las Herramientas Administrativas que Puede Utilizar

En las dos notas anteriores vimos cómo configurar para permitir que un usuario normal pueda acceder por Remote Desktop (Escritorio Remoto) en modo administración a un Controlador de Dominio, y además cómo permitirle utilizar las herramientas administrativas

En esta ocasión veremos cómo podemos limitar qué herramientas puede utilizar, ya que el hecho de que pueda, aunque sólo sea ver información, es un problema de seguridad

Como había comentado en la nota anterior, supondré un caso como es: una persona de confianza que sólo debe poder acceder al “Event Viewer” (Visor de Sucesos)

Sigue leyendo →

Remote Desktop: Permitir a Usuarios Normales Utilizar las Heramientas Administrativas en Controlador de Dominio

En la nota anterior vimos cómo configurar un Controlador de Dominio para permitir que un usuario normal pueda conectarse por Remote Desktop (Escritorio Remoto) en modo administración

Pero hemos visto que con la configuración hecha, no alcanza para que pueda ejecutar las herramientas administrativas

En esta nota veremos la configuración adicional, para que pueda utilizarlas, aunque por supuesto si no se ha delegado ninguna tarea administrativa no podrá modificar nada. Pero que sólo pueda ver toda la información del Dominio ya es un riesgo importante de seguridad. En la tercera y última nota de la serie veremos cómo podemos limitar qué consolas y aplicaciones podrá utilizar

Sigue leyendo →