En este documento explicaremos varios temas de configuraciones de Terminal Services en Windows 2008 que no se han tratado en documentos anteriores como son:

Administrador de Terminal Services – AKI
Escritorios Remotos- AKI
Configuración de Servicios de Terminal Server- AKI

Además al final del documento también se detalla diversas opciones de configuración que trae el protocolo RDP 6.0 de Microsoft.

Administrador de Terminal Services,

Para iniciar está consola abrimos desde las “Herramientas Administrativas” > “Terminal Services” > “Administrador de Terminal Services”.

Desde esta consola podemos hacer varias cosillas básicas, lo primero de todo lo ideal es crearse un grupo de servidores de Terminal Server donde meteremos todos los servidores de TS para administrarlos conjuntamente si nos interesa, para ello, sobre el panel de la derecha en “Acciones” pulsamos en “Grupo nuevo…”

Le indicamos un nombre genérico, por ejemplo el nombre de la organización, “Aceptar”,

Y lo que haremos ahora es ir servidor a servidor agregándolos a dicho grupo desde el panel de la derecha de “Acciones” > “Agregar a grupo”,

Nos mostrará los grupos disponibles, lo seleccionamos y “Aceptar”,

Con botón derecho sobre el grupo podremos desconectar la sesión de todos los usuarios si nos interesa en un momento dado…

O si por ejemplo, si nos situamos sobre el grupo, veremos todos los usuarios conectados independientemente de a qué servidor, seleccionando un usuario disponemos de las siguientes posibilidades, cómo “Desconectar” de la sesión a los usuarios, “Enviar mensaje”, realizar un “Control remoto” para solucionar incidencias, “Restablecer” la sesión, ver el “Estado”, o directamente “Cerrar la sesión”.

Escritorios remotos,

Terminal Services además trae una consola bastante básica para tener organizados los diferentes escritorios de los diferentes servidores de Terminal Server que tengamos, llamada “Escritorios Remotos”,

Para abrir dicha consola, nos vamos hasta las “Herramientas Administrativas” > “Terminal Services” > “Remote Desktops”

Y sobre “Escritorios Remotos” con botón derecho podremos agregar conexiones con “Agregar nueva conexión…”

Seleccionamos el nombre de un servidor al que nos queremos conectar y le indicamos un nombre, podemos marcar que nos guarde los credenciales marcando el último check. “Aceptar”,

Indicamos el nombre de usuario con el que nos conectaremos a dicho servidor con el formato de DOMINIOusuario y una contraseña. “Aceptar”,

Y aquí ya vemos el escritorio de un servidor, ahora lo ideal es agregar todos los escritorios de todos los servidores que tengamos en la red, desde está consola tendremos todos ellos centralizados.

Terminal Services Configuration,

Esta es la consola principal para la configuración de los servicios de Terminal Server, donde prodremos modificar todos los parámetros de configuración que dispone un servidor de Terminal Services.

Para abrir dicha consola, nos vamos hasta las “Herramientas Administrativas” > “Terminal Services” > “Configuración de Terminal Services”

Esta sería la consola central de todas las configuraciones que podamos hacer a nivel de Terminal Services, desde aquí vemos el protocolo que usan los servicios, que sería Microsoft RDP 6.0 tcp. En esta pantalla, en la parte central es donde veremos las configuraciones de este servidor, si damos doble click en alguna de ellas, accederemos a las “Propiedades”.

En las propiedades, en la pestaña “General” tenemos diferentes posibilidades, desde forzar a borrar los directorios temporales al salir, o usar directorios temporales por sesión (esto nos creará un directorio con el ID de sesión del usuario en %Temp%) o restringir a cada usuario para que usen sólo una sesión (para que si se loguean, lo hagan sólo una vez y no habran más sesiones de las necesarias, por usuario).

Además, si vamos a realizar algún tipo de mantenimiento sobre este servidor y necesitamos deshabilitar los inicios de sesión en él, lo haremos desde aquí, podemos prohibir los nuevos inicios de sesión, permitirlos o denegarlos hasta que el servidor se reinicie.

En la pestaña “Licensing” es donde podremos configurar todos los parámetros relacionados con el tema de licencias de Terminal Services, indicaremos que tipo de licencias hemos adquirido si de usuario o de dispositivo y además podremos indicar cual es nuestro servidor de licencias de TS, que lo descubra automáticamente en la red o indicándole el nombre específico.

En la pestaña “Agente de sesiones de TS” es donde podremos unirnos a granjas/comunidades de servidores Terminal Services, marcando el primer check uniremos este servidor de Terminal Server en dicha granja, indicando el servidor que tiene los servicios de “Agente de sesiones de TS”, lo interesante es realizar un balanceo de la carga con los usuarios, y a cada servidor le configuraremos un peso en la granja, si queremos que sean todos iguales les pondremos a todos el mismo valor.

En la pantalla principal de “Configuración de Servicios de Terminal Services” tenemos el protocolo que se usa para la conexión entre el cliente y los servidores, RDP (Remote Desktop Protocol), si entramos en sus propiedades nos encontraremos con las siguientes pantallas. En la primera pestaña “General” podremos configurar el nivel de seguridad a nivel de protocolo, tenemos las siguientes posibilidades en “Niveld de seguridad”:
– “Capa de seguridad de protocolo de escritorio remoto (RDP)”: Utiliza el cifrado nativo de protocolo de escritorio remoto para proteger las comunicaciones entre el cliente y el servidor).
– “Negociar”: Utiliza TLS 1.0 para autenticar el servidor, si se admite TLS. Si no se admite TLS, no se autenticará el servidor.
– “SSL (TLS 1.0)”: Requiere la utilización de TLS 1.0 para autenticar el servidor. Si no se admite TLS, fallará la conexión. Este método sólo está disponible si se selecciona un certificado válido en la parte posterior.

Además tenemos la posibilidad de establecer el “Nivel de cifrado” para cifrar los datos que viajen entre el servidor de Terminal Server y el PC cliente:
– “Bajo”: Cifra los datos enviados desde el cliente al servidor empleando el cifrado de 56 bits.
– “Cliente compatible” :Cifra los datos enviados entre el cliente y el servidor con el tipo de clave más segura que admita el cliente.
– “Alto”: Cifra los datos enviados desde el cliente al servidor y viceversa mediante cifrado seguro de 128 bits.
– “Compatible con FIPS”: Cifra y descifra los datos enviados desde el cliente al servidor y viceversa con los algoritmos de cifrado Estándar federal de procesamiento de información (FIPS) 140-1, mediante los módulos criptográficos de Microsoft. Para más info – AKI.

En la pestaña “Configuración de inicio de sesión” es donde prodremos configurar con qué usuario se van a loguear en este servidor, podemos hacer que cada usuario indique su nombre de usuario (“Usar información de inicio de sesión proporcionada por el cliente”), o que sea siempre el mismo indicándolo desde aquí (“Usar siempre la siguiente información de inicio de sesión”) o marcando el check de “Siempre solicitar contraseña” los usuarios finales no podran guardar en su cliente RDP la contraseña para conectarse a este servidor.

En la pestaña de “Sesiones” podremos configurar los siguientes parámetros pudiendo reenplazar la configuración del usuario:
– Finalizar una sesión desconectada: Una sesión desconectada es cuando se cierra la ventana del cliente de TS sin haberle dado a cerrar sesión, es el tiempo que se espera hasta que se finaliza la sesión.
– Limite de sesión activa: El tiempo máximo que puede estar logueado un usuario sin cerrar sesión.
– Limite de sesión inactiva: El tiempo máximo que puede estar cerrada una sesión desconectada en el servidor TS.
– Cuando se alcance el limite de una sesion o se pierde la conexión: Que hace el servidor cuando un usuario desconecta la sesión o cuando no tiene conexión con el servidor. Si la deja desconectada o la finaliza.
– Permitir volverse a conectar: Cuando se desconecta una sesión y se tiene que volver a conectarse el usuario, desde donde se le deja volver a conectarse, si sólo desde su puesto o desde cualquier otro PC.

Hay que tener en cuenta que si se finaliza la sesión puede que haya perdidas de datos

En la pestaña “Entorno” es donde podemos configurar si nos interesa ejecutar una aplicación cuando se conecten por RDP, podemos deshabilitar qie se ejecuten cuando se conecten por Terminal Services y sí que se ejecuten cuando se conecten en local marcando: “No permitir el inicio de un programa inicial; mostrar siempre el escritorio”. O Ejecutar el que está configurado en la pestaña de “Entorno” en las propiedades del usuario en AD. O directamente “Iniciar el programa siguiente cuando el usuario inicie la sesión” por Terminal Server.

En la pestaña “Control remoto” podemos configurar las posibilidades sobre este servidor para que los administradores puedan hacer controles remotos sobre las sesiones de los usuarios que estén conectadas en Terminal Services, podemos usar la configuración según las propiedades del usuario en el DA (“Usar control remoto con la configuración de usuario predeterminada”) o deshabilitarlo, marcando “No permitir el control remoto” en ningún usuario de este servidor. O “Usar control remoto con la siguiente configuración” y jugar con las posibilidades de “Requerir el permiso del usuario” para conectarse en su sesión, que pregunte o no; y cuando nos conectemos que haremos si sólo “Ver la sesión” o “Interactuar con la sesión”.

En la pestaña “Configuración de cliente” podremos configurar la calidad de imagen (“Profundidad de color” > “Limitar máxima profundidad de color” e indicamos los bits por píxel que nos interese, 16 colores, 256 colores, 16bits, 24bits…) y podremos deshabilitar la redirección de diferente hardware al servidor (unidades de disco, impresoras, puertos LPT, puertos COM, portapapeles, audio, plug and play compatibles, y poder establecer la impresora principal de cliente como predeterminada).

En la pestaña “Adaptador de red” es donde podremos indicar si el servidor tiene más de una tarjeta de red desde cual aceptará las conexiones RDP, además de configurar el límite de sesiones que aceptará este servidor pudiendo establecerle un número máximo de conexiones.

Y en la pestaña “Seguridad” es donde podremos establecer el nivel de permisos a lo ‘brusco’, ya que desde aquí si nos interesa, podemos deshabilitar el inicio de sesión de ciertos usuarios metiendolos en la lista y pudiendo denegar el acceso.

www.bujarra.com – Héctor Herrero – nh*****@bu*****.com – v 1.0