Por Guillermo Vargas

Cómo configurar el Escritorio remoto y el Terminal Services Gateway.

Escritorio remoto permite a los usuarios controlar su equipo de escritorio en forma remota. Se trata de un concepto simple, que implementándolo correctamente, puede tener un impacto considerable en la productividad de su organización, facilitando que el personal de la empresa pueda trabajar desde sus casas, inclusive sin tener un equipo móvil.

Hasta la aparición de Microsoft Windows Server 2008, la conexión a la red interna ha sido el mayor desafío. La red privada probablemente utiliza direcciones de Protocolo de Internet privadas, que impiden que los usuarios se conecten directamente a sus equipos de escritorio desde el Internet. Aun si se les ofreciera a los usuarios una conexión de red privada virtual, muchos firewalls bloquean VPN.

Para sobrepasar estos límites, Windows Server 2008 presenta el rol de Terminal Services Gateway (TSG), que actúa como un servidor proxy entre el Internet y su red interna. Como se ilustra a continuación, el cliente de escritorio remoto, utiliza un Protocolo de transferencia de hipertexto cifrado sobre Secure Sockets Layer para comunicarse con la puerta de enlace de TS. Porque HTTPS se utiliza principalmente para navegar por el Internet, casi todos los servidores de seguridad lo permiten. La puerta de enlace de TS autentica al usuario (por medio de una contraseña o una tarjeta inteligente), y verifica que el usuario esté autorizado para conectar con el equipo de destino y, seguidamente, utiliza el Protocolo de Escritorio Remoto (RDP) para completar la conexión a la red privada.

image

Nota: A lo largo de este artículo, se hará referencia como un “Servidor de escritorio remoto” a cualquier equipo que tenga habilitado el RDP. El “servidor de escritorio remoto” podría ser cualquier equipo con Windows XP, Windows Server 2003, Windows Vista, Windows 7 o Windows Server 2008 que tenga habilitado Escritorio remoto. También podría ser cualquier versión de Terminal Server.

Planificación de su certificado SSL de Terminal Services Gateway

Debido a que los clientes utilizan HTTPS para conectarse a la puerta de enlace (Gateway) de TS, la puerta de enlace (Gateway) de TS necesitará un certificado SSL, sería lo mismo que un servidor de Web de comercio electrónico. Para simplificar la configuración de los clientes de escritorio remoto, adquiera un certificado SSL de una de las tantas autoridades públicas de emisión de certificados de confianza (CA) que Windows autoriza predeterminadamente. Al configurar el certificado SSL, especifique el nombre de host completo que los clientes van a utilizan para conectarse a la puerta de enlace de TS desde el Internet. Si el nombre del host no coincide con lo que los usuarios introduzcan en el cliente de escritorio remoto, se producirá un error en la autenticación de servidor.

Aunque se puede utilizar un certificado SSL temporal o interno para propósitos de prueba, los clientes deben confiar en el certificado emitido por el CA. Porque muchos escenarios de acceso remoto implican equipos que no son miembros de su dominio de Active Directory (como ordenadores domésticos), sólo los certificados SSL emitidos por entidades públicas de confianza trabajarán de forma predeterminada.

Nota: Para propósitos de prueba, el Asistente para Agregar Funciones puede generar un certificado SSL temporal para usted. Luego, debe importar el certificado de CA raíz que se genera a los equipos del cliente, para eso, haga clic en el botón de “Certificados” en la ficha contenido del cuadro de diálogo “Opciones de Internet” y, a continuación, importe el certificado a la lista de Trusted Root Certification Authorities.

Configuración de la Terminal Services Gateway

Para agregar la función de servicios de Terminal Server para Windows Server 2008, siga estos pasos:

  1. Inicie una sesión como administrador en el equipo de Windows Server 2008. Haga clic en Inicio y, a continuación, haga clic en Administrador de servidores.
  2. Haga clic con el botón secundario del mouse en funciones y, a continuación, haga clic en Agregar funciones.
    Aquí aparecerá el asistente para agregar funciones de servicios.
  3. En la página de “Antes de comenzar”, hacer clic en siguiente.
  4. En la página Seleccionar Funciones del Servidor, seleccione Servicios de Terminal Server. A continuación, haga clic en siguiente.
  5. En la página de servicios de Terminal Server, haga clic en siguiente.
  6. En la página de servicios de función, seleccione TS Gateway. Cuando se le solicite, haga clic en Agregar función de servicios requeridos. A continuación, haga clic en siguiente.
  7. En la página de certificado de autenticación de servidor, seleccione un certificado SSL y, a continuación, haga clic en siguiente.
  8. En la página de las directivas de autorización, haga clic en ahora y, a continuación, haga clic en siguiente.
  9. En la página de grupos de usuarios de TS Gateway, haga clic en Agregar para seleccionar los grupos de usuarios que pueden conectarse a través de la puerta de enlace de terminal server. Normalmente, debe crear un grupo de seguridad de Active Directory para los usuarios de escritorio remoto, que se conectan desde el Internet y agregar todos los usuarios autorizados a ese grupo. A continuación, haga clic en siguiente.
  10. En la página de TS CAP, introduzca un nombre para la política de autorización de conexión a Terminal Server y elija si desea permitir la autenticación mediante contraseñas, tarjetas inteligentes o ambos. Haga clic en siguiente.
  11. En la página de TS RAP, introduzca un nombre para la política de autorización de recursos de Terminal Services. A continuación, elija si desea permitir que los clientes remotos para conectarse a todos los equipos de la red interna o sólo los equipos de un grupo de dominio específico. Para obtener mejores resultados, cree un grupo de seguridad de Active Directory y agregar las cuentas de equipo para todos los servidores de escritorio remoto autorizados a ese grupo. Haga clic en siguiente.

    Nota: El CAP define quién puede conectar a la puerta de enlace de TS, mientras que el RAP define los equipos que pueden utilizar la puerta de enlace para acceder. Ambos deben definirse para que un usuario pueda establecer una conexión.
  12. Complete cualquier otra página del asistente que aparecen para funciones dependientes aceptando la configuración predeterminada y, a continuación, haga clic en instalar en la página de confirmación.
  13. Una vez finalizada la instalación, haga clic en Cerrar y, a continuación, haga clic en para reiniciar el equipo si es necesario.
  14. Después de reiniciar el equipo, iniciar otra sesión y haga clic en Cerrar en la reanudación del Asistente para la instalación.

Más tarde, puede utilizar la consola del administrador del servidor para modificar el CAP o RAP haciendo clic en el nodo correspondiente a roles\terminal services\ts puerta de enlace manager\computer_name\policies.

Si es necesario, configure el firewall para permitir conexiones HTTPS entrantes a su puerta de enlace de TS en el puerto TCP 443. Además, la puerta de enlace de TS debe ser capaz de comunicarse a servidores de escritorio remoto mediante el puerto TCP 3389.

Configurar al cliente de escritorio remoto

Usted debe configurar al cliente de escritorio remoto con la dirección IP de la puerta de enlace de TS antes de conectar a un servidor de escritorio remoto que este en la red interna. Para configurar al cliente de escritorio remoto, siga estos pasos:

  1. Si el equipo cliente está ejecutando Windows XP con Service Pack 1 o Windows Server 2003 con Service Pack 1 o 2, instale el cliente de servicios de Terminal Server 6.0. Puede descargar el software desde el siguiente link support.microsoft.com/kb/925876. Windows Vista y Server 2008 ya vienen con el cliente incluido. Las versiones anteriores de Windows no pueden usar el nuevo servicio de Cliente de Terminal Server y, por lo tanto, no se pueden conectar a través de una puerta de enlace de TS.
  2. Abra “Conexión a Escritorio Remoto” desde el menú Inicio.
  3. Si es necesario, haga clic en el botón de Opciones para mostrar las opciones de conexión a escritorio remoto.
  4. En la ficha General, escriba el nombre del servidor de escritorio remoto o la dirección IP (no la puerta de enlace de TS), inclusive si la dirección IP es privado y no se la pueda alcanzar directamente.
  5. Haga clic en la ficha avanzadas y, a continuación, haga clic en el botón configuración.
  6. En el cuadro de diálogo de configuración del servidor de puerta de enlace, haga clic en usar esta configuración del servidor de puerta de enlace de TS. A continuación, escriba el nombre del servidor (debe coincidir exactamente con el nombre en el certificado del servidor SSL) y seleccione un método de inicio de sesión. Haga clic en Aceptar para guardar la configuración.
  7. Después de la personalización de cualquier otra opción de configuración, haga clic en la ficha General y haga clic en Guardar como para guardar la configuración a un archivo de formato RDP. Porque el archivo RDP incluye la configuración de TS Gateway, puede distribuirla a cualquier equipo que tenga instalado el servicio de cliente de escritorio remoto versión 6.0 o posterior.

Para conectarse al servidor, instruya al cliente que abra el archivo RDP y haga clic en conectar. Si se le solicita, proporcione las credenciales para los dos, tanto como para la puerta de enlace de TS y para el servidor de escritorio remoto. En pocos segundos, tendrá completo control sobre el servidor de escritorio remoto.

Nota: El cliente Remote Desktop versión 6.1, incluido con Windows Server 2008 y actualmente en la fase de prueba beta para otros sistemas operativos, puede configurarse para enviar las mismas credenciales a la puerta de enlace de TS y el servidor de escritorio remoto. Así será necesario entrar la contraseña del usuario una sola vez.

Así que si sus empleados tienen equipos en casa y conexiones de Internet de banda ancha, usted puede permitirles el uso del escritorio remoto para que ellos puedan controlar sus equipos de escritorio en el trabajo. Prácticamente al instante, sus usuarios tendrán acceso a sus archivos, aplicaciones, impresoras y otros recursos de red pertenecientes a la red interna como si estuviesen sentados en sus escritorios. De esta manera se evitara inconvenientes con firewalls o VPN… todo lo que los usuarios necesitan hacer es doble clic en un archivo de RDP que usted proporciona y listo!

¿Necesita más ayuda?