INSTALACION Y CONFIGURACION DE TERMINAL SERVER

A continuación se indican los pasos necesarios para instalar y configurar el rol Terminal Services.1. Ejecutar el Server Manager.2. Seleccionar Add Roles.

3. Seleccionar Next.4. En el listado de roles, seleccionar Terminal Services, luego, seleccionar Next.

5. Seleccionar Next nuevamente.6. Seleccionar los roles que se requieran, luego, seleccionar Next.Nota: Algunos roles, como TS Gateway, requieren configuraciones adicionales, las cuales se mostrarán al seleccionar el rol en cuestión.

7. Seleccionar Next.8. Seleccionar el nivel de autenticación de red requerido, luego, seleccionar Next.Require Network Authentication: Solo para equipos que ejecuten mismas versiones de sistema operativo y del cliente RDP que soporten Network Level Authentication podrán conectarse al servidor.Do not requiere Network Level Authentication: Para equipos que ejecuten cualquier versión del cliente RDP.

9. Seleccionar el tipo de licenciamiento a utilizar (Per Device, Per User). Luego, seleccionar Next.10. Seleccionar los usuarios o grupos que tendrán acceso al servidor. Luego, seleccionar Next.

11. Si se seleccionó el rol License Server:11.1. Seleccionar el scope que se le dará al License Server (This Domain, The Forest). Luego, seleccionar Next.

12. Si se seleccionó el rol TS Gateway:12.1. Seleccionar la opción que corresponda con respecto a la utilización de un certificado. Luego, seleccionar Next.

12.2. Seleccionar si se desea crear las authorization policies en este momento o luego (en este caso seleccionamos Now). A continuación, seleccionar Next.

12.3. Seleccionar los usuarios o grupos que tendrán acceso a través de TS Gateway. Luego, seleccionarNext.

12.4. Ingresar el nombre para el TS CAP, y seleccionar un método de autenticación. Luego, seleccionar Next.

12.5. Ingresar el nombre para el TS RAP, y configurar en caso de que sea necesario, las restricciones adicionales como pertenencia a determinado grupo, o no. Luego, seleccionar Next.

13. Seleccionar Next.14. Seleccionar los roles de servicio a instalar paraNetwork Policy and Access Services.

15. Asumiendo que seleccionamos todos los roles listados:15.1. En este caso vamos a seleccionar Install Certificate Server as the Network Policy Server for this HRA. Luego, seleccionar Next.

15.2. Seleccionar si se requerirá que los usuarios deban estar previamente autenticados para obtener un healt certificate. Luego, seleccionar Next.

15.3. Seleccionar el certificado para encriptación SSL. Luego, seleccionar Next.

15.4 Seleccionar Next.15.5 Seleccionar los roles a instalar para Active Directory Certificate Services (ADCS). Luego, seleccionar Next.

15.6 Seleccionar el método a utilizar por Certification Authorities. Luego, seleccionar Next.

15.7 Seleccionar el tipo de Certification Authority. Luego, seleccionar Next.

15.8 Seleccionar si se creará una nueva Private Key, o si por lo contrario, se utilizará una existente. En este caso vamos a seleccionar Create a new private key. Luego, seleccionar Next.

15.8.1 Seleccionar el Cryptographic Services Provider (CSP), la longitud a utilizar, y el algoritmo hash. Luego, seleccionar Next.

15.8.2 Ingresar el nombre a asignar para el CA. Luego, seleccionar Next.

15.8.3 Ingresar el período de validez del certificado. Luego, seleccionar Next.

15.8.4 Modificar, en caso de ser necesario, la ubicación de la Certificate Database y la Certificate Database Log. Luego, seleccionar Next.

16. Seleccionar Next.16.1. Seleccionar los roles de servicio a instalar para Web Server (en este caso dejaremos los componentes por defecto). Luego, seleccionarNext.

17. Verificar el sumario pre-instalación. Luego, seleccionarInstall para dar comienzo a la instalación y configuración en base a las opciones y componentes seleccionados.Nota: Durante el proceso, el equipo se reiniciará.18. Una vez finalizado el proceso, seleccionar Close, y luego Yes, para reiniciar el equipo.

Simplemente consiste en instalar todas las aplicaciones que se deseen distribuir a través

de TS Web Access, en el servidor.

Tengan en cuenta ejecutar el comando "change user /install", antes de instalar una

aplicación, y "change user /execute", luego de haber finalizado.

Conexiones remotas:

Por defecto, las conexiones remotas se encuentran habilitadas luego de instalar el rol

Terminal Server. Sin embargo, en los siguientes pasos veremos como personalizar esta

configuración para ajustarla a los requerimientos particulares.

1. Seleccionar Start, Run, e ingresar control system luego, seleccionar OK.

2. En Tasks, seleccionar Remote settings.

3. En System Properties, en el tab Remote, verificar que los parámetros de configuración

de Remote Desktop están configurados de acuerdo al entorno particular, pudiendo elegir

alguna de las siguientes opciones:

3.1. Allow connections from computers running any version of Remote Desktop (less

secure).

3.2. Allow connections only from computers running Remote Desktop with Network

Level Authentication (more secure).

4. Agregar a los usuarios que se consideren necesarios para acceder remotamente.

Nota: Los miembros del grupo local Administrators pueden conectarse sin necesidad de

estar listados.

5. Al finalizar, seleccionar OK.

Agregar aplicaciones a la lista de aplicaciones de RemoteApp

1. Seleccionar Start, Administrative Tools, Terminal Services, y luego TS RemoteApp

Manager.

2. En Actions, seleccionar Add RemoteApp Programs.

3. En la ventana Welcome to the RemoteApp Wizard, seleccionar Next.

4. En la ventana Choose programs to add to the RemoteApp Programs list,

selecccionar el check box correspondiente a cada aplicación que se desee mostrar en el

listado de aplicaciones disponibles deRemoteApp Programs.

Nota: Generalmente no debería suceder ya que los programas listados son los que se

encuentran en All Users, pero si no se llega a encontrar la aplicación deseada, se deberá

seleccionar manualmente a través de browse, como en nuestro caso, en el cual

seleccionamos adicionalmente Internet Explorer.

5. Para configurar las propiedades de cualquier aplicación, seleccionar la aplicación y

luego Properties. Pudiendo configurar:

Nombre.

Ubicación.

Alias.

Disponible o no a través de TS Web Access.

Ícono.

Parámetros adicionales de ejecución, y si estos se habilitan.

6. Al finalizar, seleccionar OK, y luego Next.

7. En la ventana Review Settings, verificar que todo sea tal cual se requiere, y luego

seleccionar Finish.

Luego de haber seguido los pasos anteriormente mencionados, logramos que las

aplicaciones aparezcan listadas.

Vamos a seguir ahora adelante con la 2da parte, que incluye:

Configuración de Terminal Server.

Configuración de TS Gateway.

Distribución de aplicaciones remotas a usuarios.

Configuración de Opciones de Terminal Server

1. En Actions, dentro de TS RemoteApp Manager, seleccionar Terminal Server

Settings.

2. En el tab Terminal Server, Connection settings, configurar el nombre de la granja, el

puerto RDP, y las opciones de autenticación.

3. Si el checkbox Require server authentication está seleccionado, se debe tener en

cuenta que:

3.1. Para equipos con Windows Server 2003 SP1 o XP SP2, se deberá configurar

Terminal Server para que utilice SSL.

3.2. En el caso de aplicaciones para intranet, y los clientes son Windows Server 2008

o Vista, en lugar de utilizar SSL, se utilizará Network Level Authentication.

4. Para proveer un link al escritorio completo del TS, en Remote Desktop Access, se

deberá seleccionar Show a remote desktop connection to this terminal server in TS

Web Access.

5. En Access to unlisted programs, seleccionar alguna de las siguientes opciones:

5.1. Do not allow users to start unlisted program on initial

connection(Recommended). Si bien es una buena alternativa, no previene que,

por ejemplo, si un documento Word contiene un hyperlink, este pueda abrirse

mediante el Internet Explorer.

5.2. Allow users to start both listed and unlisted programs on initial

connection. Desde ya es opción es bastante descriptiva y deja en claro los riesgos

que implica.

6. Al finalizar, seleccionar OK.

Configuración de TS Gateway

Básicamente en esta sección definimos si los usuarios se conectarán a través de un Firewall

por TS Gateway. Para mayor información: TS Gateway Step-by-Step Guide.

Configuración de opciones de TS Gateway

1. En Actions, dentro de TS RemoteApp Manager, seleccionar TS Gateway Settings.

2. En el tab TS Gateway, Configurar las opciones de comportamiento deseadas, entre ellas:

2.1. Detectar automáticamente la configuración del servidor TS Gateway. (Esto

provoca que los clientes intenten utilizar la configuración por Group Policies para

determinar el comportamiento).

2.2. Utilizar las opciones de configuración especificadas.

2.3. No utilizar un servidor TS Gateway.

3. Si se selecciona Use these TS Gateway server settings:

3.1. Se debe configurar el nombre del servidor TS Gateway, y el método de logon.

3.2. Si se quiere utilizar las miasm credenciales de TS Gateway en Terminal Server,

seleccionar Use the same user credentials for TS Gateway and terminal

server.

4. Si lo que se quiere es que los clientes detecten automáticamente cuando TS Gateway es

requerido, seleccionar Bypass TS Gateway server for local addresses (Lo cual optimiza

el rendimiento de los clientes).

5. Para utilizar siempre TS Gateway, deseleccionar Bypass TS Gateway server for local

addresses.

6. Al finalizar, seleccionar OK.

Distribución de aplicaciones remotas a usuarios

Los puntos principales (y los que se tratarán) para llevar a cabo la distribución son los

siguientes:

1. Instalación de TS Web Access.

2. Asignaciones al Security Group TS Web Access Computers.

3. Especificar el servidor desde el cual se completará la lista de aplicaciones remotas que se

mostrarán en el sitio web de TS Web Access.

Instalación de TS Web Access

Algunas aclaraciones previas:

Al instalarlo, se instalará tambien IIS 7.0.

No es necesario que el servidor cumpla el rol de Terminal Server.

1. En la consola Server Manager, seleccionar Add Roles.

2. En el wizard de instalación, en la ventana Before you begin, seleccionar Next.

3. En la ventana Select Server Roles, seleccionar Terminal Services, y luego Next.

4. En la ventana Terminal Services, seleccionar Next.

5. En la ventana Select Role Services, seleccionar TS Web Access, y luego, en la ventana

emergente, seleccionar Add Required Role Services. Por último, Next.

6. En la ventana Web Server (IIS), seleccionar Next.

7. En la ventana Select Role Services, dejar los elementos seleccionados por defecto (ya

no es el objetivo de esta nota entrar en detalle sobre los diferentes tipos de autenticación,

diagnóstico, y demás prestaciones). Luego, seleccionar Next.

8. En la ventana Confirm Installation Selections, verificar que todo coincida con nuestra

selección, y luego seleccionar Install.

9. Una vez finalizada la instalación, podremos ver el informe que muestra el resultado de la

misma. Luego de esto, seleccionar Close.

Con esto finalizamos la instalación del rol TS Web Access.

Asignaciones al security group TS Web Access Computers

En el caso de que TS Web Access y el Terminal Server que contiene las aplicaciones se

encuentren separados, se deberá agregar la cuenta de equipo del TS Web Access al Security

Group TS Web Access Computers del Terminal Server.

Para esto, se deben seguir los siguientes pasos:

1. Seleccionar Start, Administrative Tools, y luego Computer Management.

2. Expandir Local Users and Groups, y luego seleccionar Groups.

3. Seleccionar TS Web Access Computers.

4. En TS Web Access Computers Properties seleccionar Add.

5. En Select Users, Computers, or Groups, seleccionar Object Types.

6. En Object Types, seleccionar Computers, y luego OK.

7. En el campo Enter the object names to select, especificar la cuenta de equipo del TS

Web Access, y luegoOK.

8. Seleccionar OK para cerrar las propiedades.

Especificación de servidor para la obtención de lista de aplicaciones remotas

Por defecto, TS Web Access completa la lista de aplicaciones remotas de un solo Terminal

Server. En este caso veremos como obtener la lista de aplicaciones remotas.

Especificar que Terminal Server se utilizará como source

1. Conectarse al sitio web de TS Web Access, pudiendo hacerlo de las siguientes formas:

Seleccionando Start, Administrative Tools, Terminal Services, y luego TS Web

Access Administration.

Utilizando Internet Explorer, accediendo a la ruta por defecto: http://server_name/ts

2. Iniciar sesión con la cuenta de Administrador Local, o una cuenta miembro del grupo TS

Web Access Administrators group.

3. Seleccionar el tab Configuration.

4. En Editor Zone, en el campo Terminal server name, ingresar el nombre del Terminal

Server que se desea utilizar como Data Source.

5. Seleccionar Apply para aplicar los cambios.

Acceso a aplicaciones remotas desde Internet

El acceso a las aplicaciones remotas desde Internet se lleva a cabo mediante el uso en

conjunto con TS Gateway. Mediante esto, es posible brindar acceso seguro sin necesidad de

tener que establecer previamente una conexión VPN, por ejemplo. Por supuesto que sigue

siendo un escenario válido la implementación de TS Remote App y VPN en conjunto, sin la

utilización de TS Gateway.

Dependiendo del método de implementación que se seleccione, los usuarios podrán acceder

a las aplicaciones mediante un archivo .rdp, un acceso directo a un archivo .MSI, o el tipo de

acceso a tratar en esta nota, mediante TS Web Access.

Para esto se debe tener en cuenta lo siguiente:

La configuración recomendada en estos casos es colocar tanto el TS Gateway como el TS

Web Access en la red perimetral, y el Terminal Server que contiene a las aplicaciones

remotas, detrás de un firewall interno.

Alternativamente, se puede implementar TS Web Access en la red interna, y luego configurar

el acceso al sitio publicándolo mediante ISA Server, por ejemplo.

Más información al respecto en: http://go.microsoft.com/fwlink/?LinkId=86359

Si se implementa TS Web Access en la red perimetral, se debe definir en el firewall que se

permita el tráfico WMI del TS Web Access al Terminal Server que contenga a las aplicaciones.

Además, el sitio de TS Web Access debe configurarse para que utilice Windows

Authentication, la cual está seteada por defecto.

Probando el acceso al sitio TS Web Access

Una vez completada la implementación, probar el acceso es bastante simple.

En primer lugar, accedemos a la url http://TS_Web_Access_Server/ts, donde en primer lugar

tendremos que ingresar las credenciales correspondientes, pudiendo posteriormente ver una

interfaz similar a la siguiente:

Podemos verificar que funciona correctamente accediendo a cualquiera de las aplicaciones

publicadas. Al acceder, se nos preguntará que recursos locales queremos mapear:

Por supuesto, esto depende de los requerimientos de cada aplicación, por lo que queda a

criterio de cada uno seleccionar cualquiera de las siguientes categorías.

Luego, accederemos a la aplicación seleccionada.

Como se puede observar, no existen a simple vista indicios de que estamos ejecutando la

aplicación de manera remota.

Otros métodos de distribución de aplicaciones remotas

Existen otros métodos de distribución de acceso a aplicaciones remotas, los cuales en esta

oportunidad solamente voy a mencionar, y posteriormente en otras notas a explicar. Algunos

de estos son:

Mediante un archivo .rdp.

Mediante la creación de un paquete Windows Installer.