acceso remoto 2008

Acceso remoto 2008.doc Mdulo ISO. 1 ASIR semipresencial

Pgina 1 de 25

Acceso remoto.

Jos Ramn Ruiz Rodrguez. Usado con permiso del autor.

1.1.1 Escritorio remoto. ................................................................................................. 1 1.1.2 Administracin Remota del Controlador de Dominio .......................................... 2 1.1.3 Escritorio Remoto a un Equipo Cliente ................................................................. 4 1.1.4 RemoteApp ........................................................................................................... 6 1.1.5 Instalacin de Terminal Server ............................................................................. 8 1.1.6 Instalacin de Servicios de Escritorio Remoto en Windows Server 2008 R2 ..... 18 1.1.7 Configuracin de RemoteApp............................................................................. 18 1.1.8 Comprobacin del Funcionamiento de RemoteApp .......................................... 21 1.1.9 Acceso Web a RemoteApp ................................................................................. 24

1.1.1 Escritorio remoto.

Los equipos servidores suelen hallarse en recintos con unas condiciones especiales de temperatura y humedad, de seguridad ante accesos indebidos, de proteccin ante cortes elctricos, etc. Son los denominados CPDs (Centro de Procesamiento de Datos, en ingls Datacenter) los cuales no son aptos para desarrollar una jornada laboral completa en su interior. Si el CPD est bien diseado, la temperatura ambiental ser muy baja, adems al haber muchos equipos en funcionamiento, el ruido de los ventiladores suele sobrepasar los niveles de tolerables por el odo humano. Por otra parte, los equipos suelen instalarse en armarios o racks, muchas veces sin monitor ni teclado, o con una combinacin de ambos que contradice las ms mnimas reglas ergonmicas de salud e higiene laboral.

Ante este panorama cabe preguntarse cmo se administra un equipo servidor en un entorno tan hostil. La respuesta es mediante acceso remoto. Un servicio de acceso remoto permite, segn se configure, iniciar sesin en el equipo remoto, utilizar las aplicaciones que tenga instaladas, administrarlo, etc. Existe bastante software que permite realizar algunas de estas funciones en determinados sistemas operativos como VNC, Teamviewer, x11vnc, OpenSSH, PuTTY, etc.

Los sistemas enumerados anteriormente comparten (entre otras) una utilidad: la de poder administrar de manera remota un equipo (por ejemplo un equipo servidor), de esta manera el administrador del sistema puede realizar sus labores de administracin, gestin, mantenimiento, etc. desde su puesto de trabajo en la oficina (o un emplazamiento an ms remoto) sin tener que acceder fsicamente al equipo servidor (que tambin puede hallarse en un emplazamiento remoto fuera de la oficina o incluso del pas).


Pgina 2 de 25

En este tema trabajaremos con una herramienta propia de los sistemas Windows Server: Terminal Services (sistemas Windows Server 2008), o Remote Desktop Services (en sistemas Windows Server 2008 R2).

1.1.2 Administracin Remota del Controlador de Dominio

Las funciones de Escritorio Remoto mediante Terminal Services vienen instaladas por defecto en los equipos con Windows Server 2008. Para conseguir acceder de una manera remota al servidor tendremos que habilitar en este las conexiones de equipos que ejecuten el Escritorio Remoto (figura 1). Utilizaremos siempre el nivel ms elevado de seguridad, en este caso: "Permitir slo las conexiones desde equipo que ejecuten Escritorio remoto con Autenticacin a nivel de red".

Si fuera necesario, podramos aadir ms usuarios haciendo clic en 'Seleccionar usuarios...' (figura 2), pero como medida de proteccin no permitiremos que otros usuarios puedan acceder mediante el escritorio remoto.


Pgina 3 de 25

Qu pasara si autorizramos a un usuario cualquiera a acceder mediante Escritorio remoto al Controlador de Dominio?

No podra iniciar sesin, porque aunque pudiera establecer un escritorio remoto, en el Controlador de Dominio (a priori) solo puede iniciar sesin un usuario del grupo administradores.

Para acceder desde un equipo cliente al Controlador de Dominio (donde hemos habilitado el acceso del Escritorio remoto), buscaremos la opcin 'Conexin a Escritorio remoto' indicaremos la ruta del equipo al que queremos acceder (figura 3).

Para indicar la ruta del equipo al que acceder podemos utilizar:

La direccin IP.

El nombre de la mquina.

El nombre del dominio (solo si queremos acceder al Controlador de Dominio).

Una vez que hayamos pulsado 'Conectar', e introducido las credenciales del administrador se nos mostrar la siguiente advertencia (figura 4).


Pgina 4 de 25

Una vez ledo el error de certificado, haremos clic en la opcin que estimemos oportuna para garantizar la seguridad de nuestra red.

Si hemos pulsado 'S', tras unos instantes de espera (figura 5) se modificar el escritorio del equipo cliente desde el que estbamos accediendo y se sustituir por el escritorio del controlador de dominio (figura 6), siendo totalmente funcional y permitindonos trabajar como si estuviramos ante el servidor.

Cuando se accede a un equipo mediante Escritorio remoto, automticamente se cierra la interfaz 'local' del equipo, pudindose trabajar nicamente a travs de la red.

1.1.3 Escritorio Remoto a un Equipo Cliente

De la misma manera que en el caso anterior accedamos al Controlador de Dominio desde un equipo cliente (con las credenciales del administrador), es perfectamente posible acceder desde un equipo cliente (por ejemplo el equipo que utiliza habitualmente el administrador) a otro cliente de un usuario de la red que pueda tener algn problema y necesite asistencia, o necesite realizar algn tipo de configuracin por parte del administrador.

El procedimiento a seguir ser el mismo de antes: en el equipo al que queremos acceder, habr que habilitar el acceso desde el Escritorio remoto (figura 1).


Pgina 5 de 25

En principio no es recomendable que otros usuarios, al margen del administrador tengan permiso para realizar esta tarea. Al pulsar sobre 'Aplicar', se aadir automticamente la excepcin en el Firewall para ese servicio, y ya podremos acceder desde otro equipo mediante la 'Conexin a Escritorio remoto' con las credenciales del administrador (figura 2).

Si deseamos acceder como administrador, deberemos indicar como prefijo el nombre del dominio, en este caso CEFIRE\Administrador, en caso contrario estaremos accediendo como el administrador local del equipo cliente.

Como se puede observar en la figura 3 se nos indica que un usuario ya ha iniciado sesin en el equipo cliente y que nuestro acceso provocar su cierre de sesin. A continuacin, se pide permiso al usuario que tiene iniciada la sesin para permitir la Conexin de Escritorio remoto (


Pgina 6 de 25

Tras la aceptacin por parte del usuario local, ya podemos acceder y administrar su equipo cliente (figura 5).

1.1.4 RemoteApp

RemoteApp es un programa ejecutado en un servidor al que se puede acceder desde un equipo remoto mediante Terminal Services. Este programa proporciona un entorno que simula la ejecucin de aplicaciones en el propio equipo remoto. Esta funcin de Windows Server presenta ventajas como:

Permite la implementacin de una manera sencilla de una aplicacin en toda una red sin que los equipos clientes tengan unos requisitos especiales de hardware o software. Puede ser especialmente til cuando queremos ejecutar aplicaciones con una arquitectura diferente a la del cliente, o versiones de software incompatibles con el sistema operativo instalado en el cliente.

Al instalarse las aplicaciones de una manera centralizada en una nica mquina, se facilita la administracin y mantenimiento de estas.

Sin embargo, como inconveniente cabe destacar el consumo de recursos en el servidor ya que la ejecucin de las aplicaciones se lleva a cabo en este ltimo. Dimensionando adecuadamente la red, se puede alcanzar un equilibrio entre los


Pgina 7 de 25

recursos del servidor de aplicaciones y el ahorro en recursos al aligerar cada vez ms los clientes.

Para poner en marcha el programa RemoteAPP, es necesario configurar el servidor Terminal Services lo que est completamente desaconsejado en un controlador de dominio. El motivo de esta separacin fsica entre el controlador de dominio y el servidor de aplicaciones reside en que:

1. Los usuarios del dominio deben poder iniciar sesin en el servidor de aplicaciones para poder ponerlas en marcha, lo cual est completamente desaconsejado en el controlador de domino, ya que en este ltimo se gestionan aspectos de seguridad y autenticacin, demasiado sensibles como para permitir a cualquier usuario del dominio iniciar sesin en l.

2. El consumo de recursos que provoca la ejecucin remota de las aplicaciones puede entorpecer el correcto funcionamiento del controlador de dominio: recordad que este puede tener numerosos servicios ejecutndose (AD, DNS, DHCP, servidor de impresin, VPN, etc.)

De esta manera, el esquema de red propuesto, sera como el de la figura 1, donde un equipo servidor realiza las tareas de controlador de dominio, y otro equipo servidor realiza las tareas de servidor de aplicaciones.

Figura 1. Estructura de red propuesta.

Si en lugar de crear e instalar otro servidor con Windows Server 2008, optis por clonar el equipo que tenis como controlador de dominio tened presente lo siguiente:

Modificad el SID con sysprep.

Cambiad la MAC de la tarjeta de red al clonar.

Degradad el controlador de dominio 'repetido' y eliminad tanto las funciones


Pgina 8 de 25

de DNS como las de AD.

Configurad adecuadamente la nueva direccin del DNS.

Comprobad que en el nombre de la mquina no aparece el sufijo del dominio.

Aadid al dominio el equipo clonado, no como controlador de dominio, sino como un equipo ms.

Tras crear el nuevo servidor y aadirlo al dominio como un equipo ms, aparecer en la Unidad Organizativa Computers.

Dado la cantidad de memoria que requerira utilizar otro servidos del modo que se ha descrito en estas prcticas las realizaremos todo sobre un nico servidor,

1.1.5 Instalacin de Terminal Server

La instalacin y configuracin del servidor de terminales es un proceso algo tedioso que requiere una larga secuencia de pasos que se detallan a continuacin. Se recomienda hacer una copia del disco duro virtual antes de cointinuar.

En primer lugar instalaremos la funcin Terminal Services a travs del Administrador del ServidorAgregar Funciones. En el asistente que se abrir marcamos la casilla de verificacin Terminal Services y hacemos clic en 'Siguiente'

Se abrir una ventana (figura 2) con informacin interesante sobre Terminal Services, especialmente la recomendacin de no instalar el Terminal Server si solamente se trata de administrar equipos remotos, utilizando en su lugar la funcin Escritorio remoto.


Pgina 9 de 25

Si instalramos el Terminal Server en un controlador de dominio nos aparecera la advertencia de la figura 3, la cual nos recomienda que no instalemos el servicio en un equipo de esas caractersticas.

A continuacin podremos seleccionar los servicios que instalaremos (figura 4). Concretamente instalaremos:

Terminal Server: permite que un servidor albergue aplicaciones de Windows o el escritorio Windows completo.

El Administrador de licencias TS: permite instalar y administrar las licencias de utilizacin de Terminal Services, las cuales deben adquirirse al margen de la licencia de Windows Server. Este no es un aspecto problemtico, ya que el equipo servidor cuenta con una licencia de evaluacin con vigencia de 120 das.

Puerta de enlace de TS: permite establecer conexiones de tipo HTTPS a los


Pgina 10 de 25

usuarios autorizados.

Acceso web de TS: este servicio permite el acceso a los servicios de terminal a travs de un explorador web. Ser una de las formas que utilicemos para difundir las aplicaciones a travs de la red

Como en este curso trabajaremos con la licencia de evaluacin de 120 das no configuraremos el servidor de aplicaciones. Sin embargo en este enlace de Technet, tenis descrito paso a paso cmo activar y administrar el servidor de licencias de Terminal Services para un entorno de produccin.

La nica opcin que hemos dejado sin marcar (Agente de sesiones TS) permite establecer mecanismos de control de la carga en el caso de tener varios servidores dedicados a proporcionar sesiones de terminal. Como nicamente tendremos un equipo dedicado a estas labores, no har falta establecer este tipo de mecanismos de balanceo de carga.

A continuacin nos aparece una advertencia indicando la manera correcta de proceder respecto a la instalacin de aplicaciones para difundir entre los usuarios: primero instalar el Terminal Server y posteriormente las aplicaciones.


Pgina 11 de 25

Como norma general, siempre especificaremos el mtodo de autenticacin ms seguro. En este caso requeriremos autenticacin a nivel de red.

Como vamos a utilizar la licencia de evaluacin, disponemos de 120 das para configurar la licencia. De esta manera, seleccionaremos la opcin 'Configurar ms adelante'.

A continuacin viene un paso importante, deberemos indicar los usuarios que estarn autorizados a iniciar una sesin remota. Por defecto est autorizado el grupo administradores, nosotros, en este caso, incluiremos tambin a los 'Usuarios del Dominio' Si no lo hacemos as, no podrn utilizar los servicios de terminal para ejecutar aplicaciones.


Pgina 12 de 25

En el siguiente paso indicaremos que el servidor de licencias (no configurado todava) nicamente acte sobre el dominio, no sobre el bosque.

En la siguiente ventana podremos especificar el tipo de certificado adecuado de autenticacin de servidor para cifrado SSL.

Los pasos que vienen a continuacin tratan de configurar el acceso de los usuarios que podrn conectarse al servidor. Indicaremos que queremos crear 'Ahora' las directivas de autorizacin.


Pgina 13 de 25

Indicaremos que el grupo 'Usuarios del dominio' tambin podr conectarse a travs de la puerta de enlace de Terminal Server.

En las ventanas siguientes crearemos una directiva de autorizacin de conexiones (CAP) y una directiva de autorizacin a recursos (RAP).


Pgina 14 de 25

Opciones de los Servicios de acceso y directivas de redes, que nos permitirn gestionar las conexiones de los clientes.

Una de las ltimas tareas pendientes consistir en la instalacin del servidor web IIS, el cual permite la publicacin de pginas dinmicas ASP, como podra ser Apache para PHP o Tomcat para Java. Mantendremos las opciones por defecto en la pgina del asistente.


Pgina 15 de 25

Muestra un resumen de las tareas a realizar, y si todo est correcto, pulsaremos sobre 'Instalar' y comenzar el proceso de instalacin (figura 22).

Instalacin de todas las caractersticas y funciones aadidas.


Pgina 16 de 25

Tras la instalacin, se nos advertir de que hay que reiniciar el servidor para poder poner en marcha varios de los servicios instalados.

Una vez que hayamos reiniciado, accederemos a la configuracin de Acceso remoto e indicaremos que solo queremos permitir las conexiones desde equipos que ejecuten Escritorio remoto con Autenticacin a nivel de red. En Equipo, Propiedades, Configuracin de Acceso Remoto.


Pgina 17 de 25

Tras pulsar 'Aplicar' se nos mostrar un mensaje que nos advertir de que se crear una excepcin en el Firewall para permitir el acceso las conexiones configuradas.

Tras este proceso ya tenemos instalado el servidor de terminales (por fin).


Pgina 18 de 25

1.1.6 Instalacin de Servicios de Escritorio Remoto en Windows Server 2008 R2

La instalacin de los Servicios de Escritorio Remoto (Remote Desktop Services) vara ligeramente respecto a la instalacin de los Terminal Services de Windows Server 2008 que hemos visto en el punto anterior. Podis comprobar cmo proceder a la instalacin en el siguiente vdeo.

http://www.youtube.com/watch?feature=player_embedded&v=HpJQZUrVik0

1.1.7 Configuracin de RemoteApp

Ahora que ya hemos finalizado la instalacin del servidor de terminales, ya podemos configurar y poner en marcha el servidor de aplicaciones RemoteApp. Para ello, accederemos al 'Administrador de RemoteApp de TS' a travs de InicioHerramientas del SistemaTerminal Services .

Tras unos instantes se abrir el Administrador de RemoteApp de TS.

Para aadir aplicaciones que sern ejecutadas desde los equipos clientes, accederemos al panel derecho 'Acciones', y seleccionaremos la opcin 'Agregar programas RemoteApp'.


Pgina 19 de 25

Se abrir el asistente de la figura 4, el cual nos permitir seleccionar las aplicaciones que permitiremos ejecutar en el servidor a los usuarios del dominio.

En este ejemplo seleccionaremos las aplicaciones LibreOffice Calc, LibreOffice Writer, todas ellas previamente instaladas en el servidor.

Si alguna de las aplicaciones que queremos permitir que se ejecuten en el servidor diera problemas, nos aseguraremos de que se ha instalado posteriormente a la instalacin del servidor de terminales.

La siguiente ventana nos muestra la configuracin de RemoteApp, pulsaremos 'Finalizar' y ya tendremos las tres aplicaciones anteriores listas para ser ejecutadas remotamente.

Para que los usuarios del dominio puedan ejecutar remotamente el programa, crearemos un fichero rdp al que tendrn acceso los usuarios del dominio, que permitir arrancar la aplicacin seleccionada.


Pgina 20 de 25

El asistente (figura 8) nos ir guiando en el proceso. Indicaremos que queremos guardar el archivo rdp generado en una carpeta compartida que hemos creado en C:\aplicaciones (figura 9) y que hemos compartido con el nombre de red de Aplicaciones.

Como siempre, se nos muestra un resumen de la configuracin, y ya se habr creado en la ubicacin seleccionada el archivo que nos permitir establecer la conexin con el servidor de aplicaciones y ejecutar LibreOffice Writer.


Pgina 21 de 25

Fichero rdp creado en la ubicacin definida.

1.1.8 Comprobacin del Funcionamiento de RemoteApp

Para comprobar el correcto funcionamiento de RemoteApp, vamos a iniciar sesin en un equipo cliente con el usuario pepe. A continuacin accederemos a la ubicacin de red \\servidor-sesion\aplicaciones.


Pgina 22 de 25

Hacemos doble clic en el fichero swriter.rdp y lanzamos RemoteApp. Nos aparecer una advertencia y seleccionaremos la opcin que nos parezca ms segura.

Si hemos pulsado 'Conectar' introduciremos las credenciales del usuario, no las del administrador, ya que en la configuracin del servidor de terminales incluimos al grupo 'Usuarios del dominio', ya que esto es precisamente lo que queremos: que puedan ejecutar las aplicaciones un grupo de usuarios de la red ms amplio que nicamente los administradores. Adems,

obviamente, las credenciales del administrador no deben ser conocidas por nadie ms que por este.

.

Como veis falta conceder permiso de inicio de sesin a travs de Terminal Services al usuario pepe. Para ello basta con hacerlo miembro del grupo Usuarios de Escritorio remoto.


Pgina 23 de 25

Ademas hace falta permitir que inicien sesion en el DC a los miembros de grupo Usuarios de escritorio remoto. Si no habias dado cuenta por defectoi el nico usuario que puede iniciar sesin en el controlador de domino es el administrador. Esto en muchas ocasiones es un inconveniente, como acabamos de ver. Podria haber aadido en la ventana inferior al grupo Usuarios del dominio. En ese caso en directivas de seguridad loical del propio servidor.

Y tras unos instantes (dependiendo del tamao del programa y de la carga de trabajo del servidor), aparecer en el equipo cliente la ventana de trabajo de LibreOffice Writer, como si se estuviera ejecutando en local (figura 5).

Pese a la apariencia del entorno de trabajo hay que tener en cuenta que si no lo configuramos de otra manera, los trabajos se guardarn en el servidor, que es donde se est ejecutando realmente la aplicacin.

Comprobemos que distintos usuarios pueden ejecutar la misma aplicacin a la vez. Para ello, desde otro equipo cliente, iniciar sesin simultneamente el usuario pepe y siguiendo los pasos anteriores ejecutar el fichero swriter.rdp albergado en \\servidor-sesion\aplicaciones.


Pgina 24 de 25

Por otra parte el usuario pepe puede iniciar sesin en el controlador:

1.1.9 Acceso Web a RemoteApp

Finalmente, podemos establecer que el acceso a las aplicaciones se realice de una manera ms cmoda al usuario. Como instalamos el servidor web IIS, RemoteApp permite lanzar las aplicaciones a travs del servidor web, que puede ser accesible por ejemplo desde la intranet de la corporacin. En este caso, nosotros accederemos a travs de la direccin IP del servidor de aplicaciones: en este caso http://192.168.123.111/TS. Tras introducir las credenciales, se abrir una pgina como la que se muestra.

Desde el propio server:


Pgina 25 de 25

Desde una estacin, en este caso, ha sido con http://2008server/TS:

Como practica adicional os propongo que inicieis sesion en el servidor desde un equipo que no est en el dominio.

acceso remoto 2008

Documents