Configuración de la puerta de enlace de servicios de Terminal de Windows Server 2008 (Parte 1)

Si desea leer la siguiente parte de esta serie de artículos, vaya a Configuración de Windows Server 2008 Terminal Services Gateway (Parte 2)

Los administradores de seguridad de Microsoft siempre han sido un poco cautelosos con la publicación de Servidores de terminales en Internet. Y por una buena razón, no había capacidad para autenticar previamente las conexiones o usar la política para determinar qué usuarios podían acceder a qué Servidores de terminales. La falta de autenticación previa es un problema especialmente difícil. Sin autenticación previa, los usuarios anónimos podrían aprovechar sus conexiones anónimas para comprometer el servidor de Terminal publicado. Un Servidor de Terminal comprometido es quizás el exploit más peligroso posible contra su red, ya que el atacante tiene acceso a un sistema operativo completo para lanzar sus ataques.

Windows Server 2008 proporciona una solución a este problema de seguridad: Puerta de enlace de Terminal Services. Mediante una puerta de enlace de Terminal Services, puede autenticar previamente a los usuarios y controlar a qué pueden acceder los usuarios de Terminal Server en función de las credenciales y la directiva. Esto le brinda el control de grano fino que necesita para asegurarse de tener una solución RDP de acceso remoto seguro.

En esta serie de dos partes sobre cómo armar una solución de puerta de enlace de servicios de terminal que funcione, usaremos la red de laboratorio que se ve en la figura a continuación. Las flechas muestran el flujo de comunicaciones desde el cliente RDP externo al servidor de terminales.


Figura 1

Cada uno de los servidores de este escenario ejecuta Windows Server 2008 Enterprise Edition.

En este ejemplo de red, estoy usando el servidor NAT de Windows Server 2008 como mi puerta de enlace de Internet. Puede usar cualquier otro dispositivo NAT simple o enrutador de filtrado de paquetes, como un PIX, o incluso un firewall avanzado como el Firewall ISA de Microsoft. La opción de configuración clave aquí es reenviar las conexiones del puerto TCP 443 al equipo de Terminal Service Gateway.

El Controlador de dominio tiene instalado DNS, DHCP, Servicios de certificados en modo CA empresarial y WINS.

El Terminal Server solo tiene instalado el sistema operativo base. Instalaremos otros servicios durante el transcurso de esta serie de artículos.

La puerta de enlace TS solo tiene instalado el sistema operativo base. Instalaremos otros servicios durante el transcurso de esta serie de artículos.

En esta serie de artículos describiré los siguientes procesos y procedimientos que debe realizar para ejecutar la solución básica:

  • Instalar Terminal Services y Licencias de Terminal Services en el Servidor de Terminales
  • Configurar licencias de Terminal Services
  • Instalar la experiencia de escritorio en el Servidor de Terminales (opcional)
  • Configurar el modo de licencias de Terminal Services
  • Instalar el servicio de puerta de enlace de Terminal Services en la puerta de enlace de Terminal Services
  • Solicitar un certificado para el Terminal Puerta de enlace de servicios
  • Configurar Puerta de enlace de Servicios de Terminal para usar el certificado
  • Crear una puerta de enlace de servicios de Terminal RAP
  • Crear una Terminal Services Gateway CAP
  • Configure el cliente RDP para usar Terminal Services Gateway

Instale Terminal Services y licencias de Terminal Services en el servidor de Terminal

El primer paso es instalar Terminal Services en el equipo de Terminal Services.

Realice los siguientes pasos para instalar Terminal Services y Licencias de Terminal Services:

  1. En el equipo Terminal Server, abra el Administrador del servidor. En el Administrador del servidor, haga clic en el nodo Roles en el panel izquierdo de la consola.
  2. Haga clic en el vínculo Agregar roles en el panel derecho de la consola.


Figura 2

  1. haga Clic en Siguiente en la página Antes de Comenzar.
  2. En la página Seleccionar roles de servidor, marque la casilla de verificación Terminal Services. Haga clic en Siguiente.


Gráfico 3

  1. Haga clic en Siguiente en la página de Servicios de Terminal.
  2. En la página Seleccionar servicios de rol, marque las casillas de verificación Terminal Server y TS Licensing. Haga clic en Siguiente.


Gráfico 4

  1. Haga clic en Siguiente en la página Desinstalar y reinstalar la aplicación para la compatibilidad.
  2. En la página Especificar método de autenticación para Terminal Server, seleccione Requerir autenticación a nivel de red. Podemos seleccionar esta opción en nuestro escenario actual porque solo estamos utilizando clientes Vista SP1 para conectarnos al Servidor de Terminales a través de la puerta de enlace TS. No podríamos usar esta opción si necesitáramos admitir clientes SP2 de Windows XP. Sin embargo, debería poder admitir la autenticación a nivel de red con Windows XP SP3. Sin embargo, aún no he confirmado esto, así que asegúrese de revisar las notas de la versión en Windows XP SP3 cuando se lance a finales de este año. Haga clic en Siguiente.


Gráfico 5

  1. En la página Especificar modo de licencia, seleccione la opción Configurar más tarde. Podríamos seleccionar una opción ahora, pero decidí que deberíamos seleccionar Configurar más tarde para que pueda mostrarle dónde en la consola de Terminal Services configura el modo de licencia. Haga clic en Siguiente.


Gráfico 6

  1. En la página Seleccionar Usar Grupos De acceso permitido A Este Servidor de Terminal, utilice las opciones predeterminadas. Puede agregar o quitar grupos si desea un control de acceso más preciso sobre el servidor de Terminal. Sin embargo, si todos los usuarios pasan por la puerta de enlace de Terminal Services, puede controlar quién puede conectarse al servidor de Terminal mediante la configuración de directiva de puerta de enlace de TS. Deje la configuración predeterminada tal como está y haga clic en Siguiente.


Gráfico 7

  1. En la página Configurar ámbito de detección para licencias de TS, seleccione la opción Este dominio. Seleccionamos esta opción en este escenario porque solo tenemos un único dominio. Si tiene un bosque de varios dominios, puede considerar seleccionar la opción bosque. Haga clic en Siguiente.


Gráfico 8

  1. En la página Confirmar selecciones de instalación, compruebe la información de advertencia que indica que es posible que tenga que reinstalar aplicaciones que ya estaban instaladas en este equipo si desea que funcionen correctamente en un entorno de sesión de Terminal Services. También tenga en cuenta que la configuración de Seguridad mejorada de IE se desactivará. Haga clic en Instalar.


Gráfico 9

  1. En la página de resultados de la instalación, verá una advertencia de que debe reiniciar el servidor para completar la instalación. Haz clic en Cerrar.


Gráfico 10

  1. Haga clic en Sí en el cuadro de diálogo Asistente para agregar roles, que le preguntará si desea reiniciar el servidor.
  2. Inicie sesión como Administrador. La instalación continuará durante unos minutos a medida que aparezca la página de progreso de la instalación después de que aparezca el Administrador del servidor.
  3. Haga clic en Cerrar en la página de resultados de la instalación después de ver el mensaje Instalación exitosa.


Gráfico 11

  1. Es posible que vea un globo que le indica que el modo de licencia de Terminal Services no está configurado. Puede descartar esa advertencia, ya que a continuación configuraremos las licencias de Terminal Services y, a continuación, configuraremos el modo de licencias en Terminal Server.


Figura 12

Configurar licencias de servicios de Terminal

En el punto en que estamos listos para configurar licencias de servicios de Terminal. En este ejemplo, usaré algunos datos ficticios, que no cumplen con los requisitos reales para las conexiones de cliente de licencias de Terminal Services, pero proporcionarán un ejemplo de cómo funciona el proceso. Por favor, no utilice el mismo procedimiento que muestro aquí para licenciar a sus clientes de Terminal Services, porque no cumplirá con los requisitos de licencia reales.

Realice los siguientes pasos para activar el servidor de licencias de Terminal Services:

  1. En el menú Herramientas administrativas, haga clic en el menú Servicios de Terminal y, a continuación, haga clic en Administrador de licencias de TS.
  2. En la consola de TS Licensing Manager, haga clic con el botón secundario en el nombre del servidor en el panel izquierdo de la consola. Haga clic en Activar servidor.


Gráfico 13

  1. Haga clic en Siguiente en la página Asistente para Activar el servidor.
  2. En la página Método de conexión, seleccione la opción Conexión automática (recomendada). Haga clic en Siguiente.


Gráfico 14

  1. En la página Información de la empresa, ingrese la información de su empresa y haga clic en Siguiente.


Gráfico 15

  1. Ingrese información opcional si lo desea en la página de Información de la empresa. Haga clic en Siguiente.


Gráfico 16

  1. En la página Completar el Asistente para activar servidor, asegúrese de que la opción Iniciar Asistente para instalar licencias ahora esté marcada. Haga clic en Siguiente.


Gráfico 17

  1. Haga clic en Siguiente en la página del asistente de Bienvenida a la instalación de licencias.
  2. En la página Programa de licencias, haga clic en la flecha hacia abajo de la lista de programas de licencias y seleccione el programa de licencias en el que participa. En este ejemplo, seleccionaré Otro acuerdo, ya que este laboratorio no participa en ningún programa de licencia. Haga clic en Siguiente.


Gráfico 18

  1. En la página del Programa de licencias, ingrese su número de contrato. En este ejemplo, solo ingresaremos 1234567. Haga clic en Siguiente.


Gráfico 19

  1. En la página Versión del producto y Tipo de licencia, seleccione la versión del producto, el tipo de licencia y la Cantidad que se ajusten a las necesidades de su entorno. En esta configuración de laboratorio, estamos utilizando Servidores de terminal de Windows Server 2008, por lo que seleccionaremos Windows Server 2008. Usaremos CAL por usuario en esta red de ejemplo, por lo que seleccionaremos Windows Server 2008 TS por CAL de usuario. E ingresaremos 50 en el cuadro de texto Cantidad. Haga clic en Siguiente.


Gráfico 20

  1. Haga clic en Finalizar en la página Completar el asistente para instalar licencias.

Instalar experiencia de escritorio en Terminal Server (opcional)

Cuando los clientes de Windows Vista se conectan a un servidor de Terminal de Windows Server 2008, pueden tener una experiencia de escritorio similar a Vista en la sesión de Terminal Services si instala la opción Experiencia de escritorio en Terminal Server.

Realice los siguientes pasos para instalar la función de Experiencia de escritorio en el Servidor de terminales:

  1. En la página Seleccionar características, marque la casilla Experiencia de escritorio. Haga clic en Siguiente.


Gráfico 21

  1. Haga clic en Instalar en la página Confirmar selecciones de instalación.
  2. En la página de resultados de la instalación, lea la información de advertencia de que debe reiniciar el equipo para finalizar el proceso de instalación. Haz clic en Cerrar.
  3. Haga clic en Sí en el cuadro de diálogo para preguntar si desea reiniciar ahora.
  4. Inicie sesión como administrador. La instalación se reanudará y tomará unos minutos, así que sea paciente.
  5. Haga clic en Cerrar en la página de resultados de la instalación, que muestra que la instalación se realizó correctamente.

Configurar el modo de licencia de Terminal Services

Ahora terminaremos con la configuración de Terminal Server configurando el Modo de licencia de Terminal Services. Realice los siguientes pasos para configurar el modo de licencias de Terminal Services:

  1. En el menú Herramientas administrativas, haga clic en la entrada Terminal Services y, a continuación, en Configuración de Terminal Services.
  2. En el panel central de la consola de configuración de Terminal Services, haga doble clic en Modo de licencia de Terminal Services.


Gráfico 22

  1. En el cuadro de diálogo Propiedades, seleccione la opción Por usuario para Especificar el modo de licencia de Terminal Services. Seleccione Detectar automáticamente el servidor de licencias para la opción Especificar el modo de detección del servidor de licencias. Haga clic en Aceptar.


Gráfico 23

  1. Haga clic en el nodo Diagnóstico de licencias en el panel izquierdo de la consola. En el panel central verá los detalles de la configuración de licencias para este servidor de Terminales.


Gráfico 24

  1. Cierre la consola de configuración del servicio de Terminal.

Resumen

En esta parte 1 de una serie de dos partes sobre la creación de una solución de puerta de enlace de servicios de terminal utilizando Windows Server 2008, repasamos la instalación de los servicios de Terminal Server y las licencias de servicios de Terminal en el servidor de Terminal, luego configuramos las licencias de servicios de Terminal, luego instalamos la Experiencia de escritorio en el Servidor de Terminal y finalmente configuramos el modo de licencia para el servidor de terminal. La próxima vez terminaremos instalando y configurando la puerta de enlace de Terminal Services y el cliente RDP. Luego terminaremos haciendo la conexión desde una ubicación externa. Nos vemos entonces! – Tom.

Si desea leer la siguiente parte de esta serie de artículos, vaya a Configuración de Windows Server 2008 Terminal Services Gateway (Parte 2)

Leave a Reply

Deja una respuesta

Tu dirección de correo electrónico no será publicada.