INSTALACION Y CONFIGURACION DE TERMINAL SERVER A continuación se indican los pasos necesarios para instalar y configurar el rol Terminal Services. 1. Ejecutar el Server Manager. 2. Seleccionar Add Roles.

3. Seleccionar Next. 4. En el listado de roles, seleccionar Terminal Services, luego, seleccionar Next.

5. Seleccionar Next nuevamente. 6. Seleccionar los roles que se requieran, luego, seleccionar Next. Nota: Algunos roles, como TS Gateway, requieren configuraciones adicionales, las cuales se mostrarán al seleccionar el rol en cuestión.

7. Seleccionar Next. 8. Seleccionar el nivel de autenticación de red requerido, luego, seleccionar Next. Require Network Authentication: Solo para equipos que ejecuten mismas versiones de sistema operativo y del cliente RDP que soporten Network LevelAuthentication podrán conectarse al servidor. Do not requiere Network LevelAuthentication: Para equipos que ejecuten cualquier versión del cliente RDP.

9. Seleccionar el tipo de licenciamiento a utilizar (Per Device, Per User). Luego, seleccionar Next. 10. Seleccionar los usuarios o grupos que tendrán acceso al servidor. Luego, seleccionar Next.

11. Si se seleccionó el rol License Server: 11.1. Seleccionar el scope que se le dará al License Server (ThisDomain, TheForest). Luego, seleccionar Next.

12. Si se seleccionó el rol TS Gateway: 12.1. Seleccionar la opción que corresponda con respecto a la utilización de un certificado. Luego, seleccionar Next.

12.2. Seleccionar si se desea crear las authorizationpolicies en este momento o luego (en este caso seleccionamos Now). A continuación, seleccionar Next.

12.3. Seleccionar los usuarios o grupos que tendrán acceso a través de TS Gateway. Luego, seleccionarNext.

12.4. Ingresar el nombre para el TS CAP, y seleccionar un método de autenticación. Luego, seleccionar Next.

12.5. Ingresar el nombre para el TS RAP, y configurar en caso de que sea necesario, las restricciones adicionales como pertenencia a determinado grupo, o no. Luego, seleccionar Next.

13. Seleccionar Next. 14. Seleccionar los roles de servicio a instalar paraNetworkPolicy and Access Services.

15. Asumiendo que seleccionamos todos los roles listados: 15.1. En este caso vamos a seleccionar InstallCertificate Server as the Network Policy Server forthis HRA. Luego, seleccionar Next.

15.2. Seleccionar si se requerirá que los usuarios deban estar previamente autenticados para obtener un healtcertificate. Luego, seleccionar Next.

15.3. Seleccionar el certificado para encriptación SSL. Luego, seleccionar Next.

15.4 Seleccionar Next. 15.5 Seleccionar los roles a instalar para Active DirectoryCertificateServices (ADCS). Luego, seleccionar Next.

15.6 Seleccionar el método a utilizar por CertificationAuthorities. Luego, seleccionar Next.

15.7 Seleccionar el tipo de CertificationAuthority. Luego, seleccionar Next.

15.8 Seleccionar si se creará una nueva Private Key, o si por lo contrario, se utilizará una existente. En este caso vamos a seleccionar Create a new privatekey. Luego, seleccionar Next.

15.8.1 Seleccionar el CryptographicServicesProvider (CSP), la longitud a utilizar, y el algoritmo hash. Luego, seleccionar Next.

15.8.2 Ingresar el nombre a asignar para el CA. Luego, seleccionar Next.

15.8.3 Ingresar el período de validez del certificado. Luego, seleccionar Next.

15.8.4 Modificar, en caso de ser necesario, la ubicación de la CertificateDatabase y la CertificateDatabase Log. Luego, seleccionar Next.

16. Seleccionar Next. 16.1. Seleccionar los roles de servicio a instalar para Web Server (en este caso dejaremos los componentes por defecto). Luego, seleccionarNext.

17. Verificar el sumario pre-instalación. Luego, seleccionarInstall para dar comienzo a la instalación y configuración en base a las opciones y componentes seleccionados. Nota: Durante el proceso, el equipo se reiniciará. 18. Una vez finalizado el proceso, seleccionar Close, y luego Yes, para reiniciar el equipo.

Simplemente consiste en instalar todas las aplicaciones que se deseen distribuir a través de TS Web

Access, en el servidor.

Tengan en cuenta ejecutar el comando "changeuser /install", antes de instalar una aplicación, y

"changeuser /execute", luego de haber finalizado.

Conexiones remotas:

Por defecto, las conexiones remotas se encuentran habilitadas luego de instalar el rol Terminal Server. Sin

embargo, en los siguientes pasos veremos como personalizar esta configuración para ajustarla a los

requerimientos particulares.

1. Seleccionar Start, Run, e ingresar control system luego, seleccionar OK.

2. En Tasks, seleccionar Remotesettings.

3. En SystemProperties, en el tab Remote, verificar que los parámetros de configuración de Remote

Desktop están configurados de acuerdo al entorno particular, pudiendo elegir alguna de las siguientes

opciones:

3.1. Allow connections from computers running any version of Remote Desktop (less secure).

3.2. Allow connections only from computers running Remote Desktop with Network Level

Authentication (more secure).

4. Agregar a los usuarios que se consideren necesarios para acceder remotamente.

Nota: Los miembros del grupo local Administrators pueden conectarse sin necesidad de estar listados.

5. Al finalizar, seleccionar OK.

Agregar aplicaciones a la lista de aplicaciones de RemoteApp

1. Seleccionar Start, Administrative Tools, Terminal Services, y luego TS RemoteApp Manager.

2. En Actions, seleccionar AddRemoteAppPrograms.

3. En la ventana WelcometotheRemoteAppWizard, seleccionar Next.

4. En la ventana ChooseprogramstoaddtotheRemoteAppProgramslist, selecccionar el check box

correspondiente a cada aplicación que se desee mostrar en el listado de aplicaciones disponibles

deRemoteAppPrograms.

Nota: Generalmente no debería suceder ya que los programas listados son los que se encuentran en

AllUsers, pero si no se llega a encontrar la aplicación deseada, se deberá seleccionar manualmente a través

de browse, como en nuestro caso, en el cual seleccionamos adicionalmente Internet Explorer.

5. Para configurar las propiedades de cualquier aplicación, seleccionar la aplicación y luego Properties.

Pudiendo configurar:

Nombre.

Ubicación.

Alias.

Disponible o no a través de TS Web Access.

Ícono.

Parámetros adicionales de ejecución, y si estos se habilitan.

6. Al finalizar, seleccionar OK, y luego Next.

7. En la ventana ReviewSettings, verificar que todo sea tal cual se requiere, y luego seleccionar Finish.

Luego de haber seguido los pasos anteriormente mencionados, logramos que las aplicaciones aparezcan

listadas.

Vamos a seguir ahora adelante con la 2da parte, que incluye:

Configuración de Terminal Server.

Configuración de TS Gateway.

Distribución de aplicaciones remotas a usuarios.

Configuración de Opciones de Terminal Server

1. En Actions, dentro de TS RemoteApp Manager, seleccionar Terminal Server Settings.

2. En el tab Terminal Server, Connectionsettings, configurar el nombre de la granja, el puerto RDP, y las

opciones de autenticación.

3. Si el checkbox Require server authentication está seleccionado, se debe tener en cuenta que:

3.1. Para equipos con Windows Server 2003 SP1 o XP SP2, se deberá configurar Terminal Server

para que utilice SSL.

3.2. En el caso de aplicaciones para intranet, y los clientes son Windows Server 2008 o Vista, en

lugar de utilizar SSL, se utilizará Network LevelAuthentication.

4. Para proveer un link al escritorio completo del TS, en Remote Desktop Access, se deberá

seleccionar Show a remote desktop connectiontothis terminal server in TS Web Access.

5. En Access tounlistedprograms, seleccionar alguna de las siguientes opciones:

5.1. Do not allow users to start unlisted program on initial connection(Recommended). Si

bien es una buena alternativa, no previene que, por ejemplo, si un documento Word contiene un

hyperlink, este pueda abrirse mediante el Internet Explorer.

5.2. Allow users to start both listed and unlisted programs on initial connection. Desde ya es

opción es bastante descriptiva y deja en claro los riesgos que implica.

6. Al finalizar, seleccionar OK.

Configuración de TS Gateway

Básicamente en esta sección definimos si los usuarios se conectarán a través de un Firewall por TS

Gateway. Para mayor información: TS Gateway Step-by-Step Guide.

Configuración de opciones de TS Gateway

1. En Actions, dentro de TS RemoteApp Manager, seleccionar TS Gateway Settings.

2. En el tab TS Gateway, Configurar las opciones de comportamiento deseadas, entre ellas:

2.1. Detectar automáticamente la configuración del servidor TS Gateway. (Esto provoca que los

clientes intenten utilizar la configuración por GroupPolicies para determinar el comportamiento).

2.2. Utilizar las opciones de configuración especificadas.

2.3. No utilizar un servidor TS Gateway.

3. Si se selecciona Use these TS Gateway server settings:

3.1. Se debe configurar el nombre del servidor TS Gateway, y el método de logon.

3.2. Si se quiere utilizar las miasm credenciales de TS Gateway en Terminal Server, seleccionar Use

thesameusercredentialsfor TS Gateway and terminal server.

4. Si lo que se quiere es que los clientes detecten automáticamente cuando TS Gateway es requerido,

seleccionar Bypass TS Gateway server for local addresses (Lo cual optimiza el rendimiento de los

clientes).

5. Para utilizar siempre TS Gateway, deseleccionar Bypass TS Gateway server for local addresses.

6. Al finalizar, seleccionar OK.

Distribución de aplicaciones remotas a usuarios

Los puntos principales (y los que se tratarán) para llevar a cabo la distribución son los siguientes:

1. Instalación de TS Web Access.

2. Asignaciones al Security Group TS Web Access Computers.

3. Especificar el servidor desde el cual se completará la lista de aplicaciones remotas que se mostrarán en el

sitio web de TS Web Access.

Instalación de TS Web Access

Algunas aclaraciones previas:

Al instalarlo, se instalará tambien IIS 7.0.

No es necesario que el servidor cumpla el rol de Terminal Server.

1. En la consola Server Manager, seleccionar Add Roles.

2. En el wizard de instalación, en la ventana Beforeyoubegin, seleccionar Next.

3. En la ventana Select Server Roles, seleccionar Terminal Services, y luego Next.

4. En la ventana Terminal Services, seleccionar Next.

5. En la ventana Select Role Services, seleccionar TS Web Access, y luego, en la ventana emergente,

seleccionar AddRequired Role Services. Por último, Next.

6. En la ventana Web Server (IIS), seleccionar Next.

7. En la ventana Select Role Services, dejar los elementos seleccionados por defecto (ya no es el objetivo

de esta nota entrar en detalle sobre los diferentes tipos de autenticación, diagnóstico, y demás

prestaciones). Luego, seleccionar Next.

8. En la ventana ConfirmInstallationSelections, verificar que todo coincida con nuestra selección, y luego

seleccionar Install.

9. Una vez finalizada la instalación, podremos ver el informe que muestra el resultado de la misma. Luego

de esto, seleccionar Close.

Con esto finalizamos la instalación del rol TS Web Access.

Asignaciones al security group TS Web Access Computers

En el caso de que TS Web Access y el Terminal Server que contiene las aplicaciones se encuentren

separados, se deberá agregar la cuenta de equipo del TS Web Access al Security Group TS Web Access

Computers del Terminal Server.

Para esto, se deben seguir los siguientes pasos:

1. Seleccionar Start, Administrative Tools, y luego Computer Management.

2. Expandir Local Users and Groups, y luegoseleccionar Groups.

3. Seleccionar TS Web Access Computers.

4. En TS Web Access Computers Properties seleccionar Add.

5. En Select Users, Computers, or Groups, seleccionar Object Types.

6. En ObjectTypes, seleccionar Computers, y luego OK.

7. En el campo Entertheobjectnamestoselect, especificar la cuenta de equipo del TS Web Access, y

luegoOK.

8. Seleccionar OK para cerrar las propiedades.

Especificación de servidor para la obtención de lista de aplicaciones remotas

Por defecto, TS Web Access completa la lista de aplicaciones remotas de un solo Terminal Server. En este

caso veremos como obtener la lista de aplicaciones remotas.

Especificar que Terminal Server se utilizará como source

1. Conectarse al sitio web de TS Web Access, pudiendo hacerlo de las siguientes formas:

Seleccionando Start, Administrative Tools, Terminal Services, y luego TS Web Access

Administration.

Utilizando Internet Explorer, accediendo a la ruta por defecto: http://server_name/ts

2. Iniciar sesión con la cuenta de Administrador Local, o una cuenta miembro del grupo TS Web Access

Administrators group.

3. Seleccionar el tab Configuration.

4. En Editor Zone, en el campo Terminal server name, ingresar el nombre del Terminal Server que se

desea utilizar como Data Source.

5. Seleccionar Apply para aplicar los cambios.

Acceso a aplicaciones remotas desde Internet

El acceso a las aplicaciones remotas desde Internet se lleva a cabo mediante el uso en conjunto con TS

Gateway. Mediante esto, es posible brindar acceso seguro sin necesidad de tener que establecer

previamente una conexión VPN, por ejemplo. Por supuesto que sigue siendo un escenario válido la

implementación de TS Remote App y VPN en conjunto, sin la utilización de TS Gateway.

Dependiendo del método de implementación que se seleccione, los usuarios podrán acceder a las

aplicaciones mediante un archivo .rdp, un acceso directo a un archivo .MSI, o el tipo de acceso a tratar en

esta nota, mediante TS Web Access.

Para esto se debe tener en cuenta lo siguiente:

La configuración recomendada en estos casos es colocar tanto el TS Gateway como el TS Web Access en la

red perimetral, y el Terminal Server que contiene a las aplicaciones remotas, detrás de un firewall interno.

Alternativamente, se puede implementar TS Web Access en la red interna, y luego configurar el acceso al

sitio publicándolo mediante ISA Server, por ejemplo.

Más información al respecto en: http://go.microsoft.com/fwlink/?LinkId=86359

Si se implementa TS Web Access en la red perimetral, se debe definir en el firewall que se permita el tráfico

WMI del TS Web Access al Terminal Server que contenga a las aplicaciones.

Además, el sitio de TS Web Access debe configurarse para que utilice Windows Authentication, la cual está

seteada por defecto.

Probando el acceso al sitio TS Web Access

Una vez completada la implementación, probar el acceso es bastante simple.

En primer lugar, accedemos a la url http://TS_Web_Access_Server/ts, donde en primer lugar tendremos que

ingresar las credenciales correspondientes, pudiendo posteriormente ver una interfaz similar a la siguiente:

Podemos verificar que funciona correctamente accediendo a cualquiera de las aplicaciones publicadas. Al

acceder, se nos preguntará que recursos locales queremos mapear:

Por supuesto, esto depende de los requerimientos de cada aplicación, por lo que queda a criterio de cada

uno seleccionar cualquiera de las siguientes categorías.

Luego, accederemos a la aplicación seleccionada.

Como se puede observar, no existen a simple vista indicios de que estamos ejecutando la aplicación de

manera remota.

Otros métodos de distribución de aplicaciones remotas

Existen otros métodos de distribución de acceso a aplicaciones remotas, los cuales en esta oportunidad

solamente voy a mencionar, y posteriormente en otras notas a explicar. Algunos de estos son:

Mediante un archivo .rdp.

Mediante la creación de un paquete Windows Installer.