Biblioteca Online : ¡La Suscripción ENI por 9,90 € el primer mes!, con el código PRIMER9. Pulse aquí
¡Acceso ilimitado 24/7 a todos nuestros libros y vídeos! Descubra la Biblioteca Online ENI. Pulse aquí

Servicios de Escritorio remoto

Introducción

Este capítulo está dedicado al rol Servicios de Escritorio remoto (Remote Desktop Services) de Windows Server 2016. Probablemente ya utiliza este servicio para administrar su parque de servidores de forma cotidiana. Tras revisar este uso simple aunque, ciertamente, crítico, veremos la potencia del rol RDS. Esto incluye, en particular, la publicación de aplicaciones, del escritorio en modo sesión o virtual, así como el acceso a estas aplicaciones a través de una pasarela web.

Antes de empezar, vamos a realizar algunas aclaraciones sobre la nomenclatura. El nombre de los servicios se ha visto modificado desde Windows Server 2008 R2, y encontramos nuevos nombres en Windows Server 2016:

Antes de Windows Server 2008

Windows Server 2016

También llamado

Terminal Services

Servicios de Escritorio remoto (Remote Desktop Services)

RDS

Terminal Server

Host de sesión de Escritorio remoto

RDSH

no existía

Host de virtualización de Escritorio remoto

RDVH o VDI

Administración de licencias TS

Administración de licencias de Escritorio remoto

Service Broker TS

Agente de conexión a Escritorio remoto

RDCB (Connection Broker) RDSB (Service Broker) o Broker

Acceso Web TS

Acceso Web para los servicios de Escritorio remoto

RDWA o RDWEB

Puerta de enlace de TS

Puerta de enlace de Escritorio remoto

RDGW

Como podrá observar, el cambio principal es que se ha remplazado "Terminal Services" por "servicios de Escritorio remoto".

De manera errónea, a esto se le une el acrónico TSE para Terminal Server Edition. ¿Por qué esto no es correcto? Simplemente porque este era el nombre de una edición de Windows NT4 Server: Windows NT4 Terminal Server Edition. Hace tiempo, la tecnología ya se llamaba Terminal Server, pero con el tiempo el acrónimo TSE se ha mantenido en lugar de TS. Por tanto, no es raro que incluso en la actualidad, algunas personas utilicen todavía TSE en lugar de TS, incluso RDS.

Esta obra, centrada en Windows Server 2016, utiliza la nueva nomenclatura en lo sucesivo. Aquellas funcionalidades que sólo existan en una versión se destacarán. La denominación "Escritorio remoto" se remplazará, a menudo, por la voz inglesa RDS (Remote Desktop Services) con el objetivo de hacer más legible el texto.

Windows Server 2016 incluye...

Implementar los servicios de Escritorio remoto

Desde un punto de vista técnico, los servicios de Escritorio remoto ya están instalados, por defecto, aunque detenidos, con Windows Server 2016. A diferencia de las versiones anteriores a Windows Server 2008 R2, esto servicios se ejecutan, en lo sucesivo, con la cuenta «Servicio de red» en lugar de como « local System ». La seguridad del sistema se ha visto mejorada y, de este modo, un fallo en el servicio tiene un impacto menor que antes. Como se explica en la base de conocimientos de Microsoft (KB946399), la cuenta "Servicio de red" necesita tres privilegios para ejecutar los servicios de Escritorio remoto:

  • Ajustar las cuotas de memoria para un proceso (SeIncreaseQuotaPrivilege).

  • Generar auditorías de seguridad (SeAuditPrivilege).

  • Remplazar un token a nivel de proceso (SeAssignPrimaryTokenPrivilege).

Estos tres privilegios no deben eliminarse de la cuenta (mediante una GPO...), o existe el riesgo de no poder ejecutar más estos servicios. Desde Windows Server 2008 es, no obstante, posible detener el servicio RDS, lo que no podía hacerse antes. Puede comprobar el estado actual del servicio así como los estados aceptados por el servicio utilizando el siguiente comando (el nombre corto del servicio no se ha modificado):


sc query TermService
 
images/7Pag91.PNG

El servicio RDS utiliza, por defecto, el puerto TCP 3389. Mientras el acceso remoto no se haya autorizado de manera explícita, el servidor no escucha en el puerto TCP para no exponer los servicios sobre la red. El siguiente comando permite verificar que el puerto TCP 3389 no escucha nada sobre el servidor, por el momento:


netstat -an | findstr 3389
 
images/7Pag92.PNG

Para aprovechar el conjunto de funcionalidades que ofrece Windows Server 2016, se requiere el cliente RDP versión 10 (realmente, la versión 10.0.1439, aunque no se corresponde con el sistema operativo). Ya está incluido en Windows 10 versión 1607 y Windows Server 2016. En el momento de escribir estas líneas, no existe un cliente RDP 10 para sistemas anteriores a Windows 10, aunque las versiones, 8.1, 8.0 y 7.0 del cliente RDP siguen siendo compatibles con los servicios de Escritorio remoto de Windows Server 2016, sin las mejoras añadidas por la versión 10 del cliente RDP. También es posible usar la aplicación Escritorio remoto para conectarse al Escritorio remoto.

La aplicación...

Configuración

1. Propiedades de implementación

Para acceder a las propiedades de implementación, abra el Administrador del servidor, vaya a la sección Servicios de escritorio remoto, Colecciones y, a continuación, en el menú Tareas seleccione la opción Editar propiedades de la implementación:

  • Pestaña Puerta de enlace de Escritorio remoto: permite definir el nombre de la puerta de enlace de los servicios de Escritorio remoto que debe utilizarse así como el método de autenticación.

  • Pestaña Administración de licencias de Escritorio remoto: permite definir el modo de licenciamiento (por usuario o por dispositivo) y el servidor de licencias que se debe utilizar.

  • Pestaña Acceso Web a Escritorio remoto: muestra, simplemente, la lista de servidores de Acceso Web.

  • Pestaña Certificados: le permite importar certificados o generar certificados auto-firmados para los servicios de Escritorio remoto.

images/7Pag41.PNG
  • Pestaña Active Directory (requiere, al menos, un despliegue virtual): permite indicar la unidad organizativa donde se crearán las cuentas de equipos correspondientes a los escritorios virtuales de los servicios de Escritorio remoto.

images/7Pag42.PNG
  • Pestaña Ubicación de exportación de escritorio virtual (requiere, al menos, un despliegue virtual): permite especificar la ubicación donde se almacenarán los modelos de escritorio virtual.

Los parámetros de despliegue afectan a todas las colecciones y todos los servidores asociados a esta implementación. Todos estos parámetros afectan, por tanto, a la implementación de los servicios de Escritorio remoto en su conjunto.

2. Configuración de una colección de sesiones

En un entorno RDS en Windows Server 2016, todos los servidores host de sesión de una misma colección comparten los mismos parámetros de sesión, de seguridad, de administración de dispositivos...

Observe que un servidor host de sesión no puede pertenecer a más de una colección.

He aquí el procedimiento que debe seguir si ha realizado una instalación en Implementación estándar o si ha eliminado la colección por defecto o, simplemente, si desea crear una nueva colección:

 Abra el Administrador del servidor, vaya a la sección Servicios de Escritorio remoto, Colecciones...

Configuración avanzada

1. Configuración del Acceso Web de los servicios de Escritorio remoto

El uso de RDS se ha extendido mucho más allá de un simple escritorio remoto. Windows Server 2016 ofrece, ahora, un medio para centralizar los recursos publicados sobre un portal Web. Desde el punto de vista del cliente, siguen siendo necesarios dos criterios:

  • Poder acceder al sitio Web que ofrece el acceso Web desde un navegador de Internet, con o sin proxy.

  • Tener instalado el cliente RDC 7.0 como mínimo.

Este servicio de rol puede instalarse sobre un servidor que tenga o no otros servicios de rol de Escritorio remoto. Requiere, no obstante, como mínimo IIS 10 para poder funcionar y una relación de confianza con los servidores host de sesión para poder enumerar las aplicaciones RemoteApp. Generalmente, ya viene instalado si ha realizado la instalación Inicio rápido o Implementación estándar.

Es posible agregar el servicio de rol Acceso Web para Escritorio remoto mediante la interfaz gráfica o mediante PowerShell.


# Agregar un servidor de Acceso Web 
Add-RDServer -Server MiServidorWebRDS  -Role rds-web-access 
-ConnectionBroker  WS2K16.MISOCIEDAD.Priv 
 

Para acceder al servicio, abra un navegador Web en la siguiente dirección, remplazando MiServidorWebRDS por el nombre del servidor que tenga dicho servicio de rol: http://MiServidorWebRDS/RDWeb/

El nuevo portal de Acceso Web gestiona, ahora, navegadores como Mozilla Firefox o Google Chrome así como Microsoft Internet Explorer o Microsoft Edge (si bien estos dos últimos presenta ciertas ventajas tales como una mejor gestión de la autenticación, por ejemplo).

Por defecto, la autenticación se realiza mediante un portal (formulario):

images/7Pag791.PNG

Una vez autentificado, se muestra la siguiente página:

images/7Pag792.PNG

Se presentan dos pestañas. La pestaña RemoteApp y escritorios se configura dinámicamente con las aplicaciones y escritorios a los que tiene permisos para acceder si la funcionalidad RemoteApp se ha configurado.

La pestaña Conectarse a un escritorio remoto permite iniciar una sesión RDP completa en el servidor especificado a través del sitio. Para una configuración más avanzada del servicio, tiene tres opciones posibles:

  • Dejar que el Administrador de servicios de Escritorio remoto se las apañe él solo (opción recomendada)....

Conclusión

Ahora ya sabe cómo implementar el rol de Escritorio remoto y el conjunto de sus componentes. Puede implementar distintos métodos de acceso, adaptados a cada contexto (desde la red local, Internet, hacia un servidor o VDI) sin reducir la seguridad del sistema de información. Sería una pena privar a los usuarios, y por lo tanto clientes, de una tecnología así de rápida y eficaz.