Puerta enlace Escritorio Remoto
CatalàLa conexión de Escritorio Remoto permite trabajar con un equipo mediante una conexión remota, ya sea una máquina virtual o un servidor de sesiones. ¿Pero que pasa cuando el usuario no se encuentra dentro de la red interna, sino que tiene que hacer la conexión desde el exterior? No puede hacer la conexión remota directa mediante Internet a los equipos internos. Bien, no se tendría que poder hacer. Ya he visto alguna que otra instalación publicando el puerto 3389 o, incluso, rangos enteros que apuntan a las máquinas internas. Sin ningún tipo de control ni seguridad. (Abrir comillas de sarcasmo) «Quieres acceder a tu máquina desde fuera, no hay problema, IP pública dos puntos y el puerto que le corresponda.» (cerrar comillas de sarcasmo) NO, NO y NO. Así NO. Después nos pasa lo que nos pasa y no sabemos el porque.
Podemos conectar directamente desde fuera sin tener que utilizar una conexión VPN en la red interna ni inventos de puertos de comunicación. Simplemente con la publicación del puerto TCP 443 en un servicio de proxy reverso que se encargará de controlar quien se puede conectar, quien no y dónde. Y es posible gracias al servicio de puerta de enlace de Escritorio Remoto.
A grandes rasgos consiste en hacer pasar la petición de conexión remota, puerto TCP 3389, por dentro de un túnel SSL que se establece entre el servidor de la puerta de enlace y el cliente sólo para esta finalidad. Es una petición a un servicio Web, por lo que no esperéis utilizar el navegador para ver ninguna página web a diferencia del portal web de Escritorio Remoto. Esta conexión se realiza con el cliente.
En esta entrada veremos como instalar y configurar la puerta enlace de Escritorio Remoto en un servidor, para permitir la conexión desde el exterior sin necesidad de establecer previamente una VPN.
Habilitar la puerta enlace escritorio remoto
Para seguir el ejemplo de esta entrada, se utilizará el mismo servidor que se desplegó en la entrada de portal web de Escritorio Remoto. Normalmente, en entornos productivos este rol se encontrará en otro servidor.
Abrir el Administrador del servidor en el servidor donde deba tener este rol. Asegurar que el administrador del servidor tiene dados de alta todos los servidores que forman parte de la implementación de escritorio remoto. Para comprobar que los servidores que necesitamos están dados de alta, hacer clic en Todos los servidores para verlos.
Hecha la comprobación, en el menú de la izquierda, existe la opción de gestionar el entorno de Escritorio Remoto. Hacer clic en Servicios de Escritorio Remoto.
En la pantalla principal de Información general, en el apartado Información general de implementación, hacer clic en puerta enlace de Escritorio Remoto.
Seleccionar el servidor que debe tener el rol de puerta enlace de Escritorio Remoto, añadirlo en el apartado de Seleccionada. Hacer clic en el botón Siguiente.
Indicar el nombre por el que se accederá al servicio de puerta enlace de escritorio remoto. Al necesitar un certificado, el sistema creará uno con este nombre auto firmado, que no será el que tenemos que utilizar. El nombre se tendrá que poder resolver públicamente para llegar al servicio.
Sin embargo, si el servicio de puerta enlace se ubica en el mismo servidor que el portal web de Escritorio Remoto. El nombre público debe ser el mismo porque utilizan el mismo puerto de entrada. Hacer clic en el botón Siguiente.
Resumen de las operaciones a realizar. Si todo está correcto, hacer clic en el botón Agregar.
Terminada la instalación del rol, queda pendiente la configuración del certificado. Hacer clic en el enlace de Configurar certificado.
Se abre la ventana de propiedades de la implementación por el apartado de certificados. Se comprueba que la puerta enlace no dispone de un certificado asignado. Se puede utilizar un certificado de la entidad propia o de una entidad comercial, en ambos casos los clientes deben confiar con la entidad emisora del certificado.
En el ejemplo, como que también hay instalado el portal web de Escritorio Remoto que también utiliza el puerto HTTPS (TCP-443), el certificado debe ser el mismo. Hacer clic en puerta enlace de Escritorio Remoto. Hacer clic en el botón Seleccionar certificado existente.
Indicar el certificado que contiene la clave privada correspondiente, tal como se vió en el apartado de certificados en la entrada portal web de Escritorio Remoto. Hacer clic en el botón Aceptar.
Hacer clic en el botón agregar o aplicar los cambios.
Al revisar ahora la información general de implementación, se comprueba que se ha creado la puerta enlace de Escritorio Remoto.
Si se editan las propiedades de la implementación, hacer clic en Tareas > Editar propiedades de la implementación.
En el apartado de certificados, se ha cargado correctamente el certificado de la puerta enlace.
También tenemos un nuevo apartado, la puerta enlace de Escritorio Remoto. Donde se configura, en rasgos generales, el nombre del acceso a la puerta enlace y el tipo de autenticación a utilizar. Asegurar que el nombre externo a utilizar por la puerta enlace coincide con el certificado.
Administrar la puerta enlace de Escritorio Remoto
La puerta enlace de Escritorio Remoto se administra mediante una herramienta propia fuera del entorno general del administrador del servidor. En el menú superior de la derecha, desplegamos la opción Herramientas > Terminal Services > Administrador de la puerta enlace de Escritorio Remoto.
Para el funcionamiento correcto de la puerta enlace, hay tres parámetros a configurar: el servidor, las directivas de autorización de conexiones y las directivas de autorización de recursos. A continuación se describe la parte de configuración de cada parámetro.
Servidor
Para configurar los parámetros del servidor, hay que hacer clic con el botón derecho sobre el nombre del servidor, hacer clic en Propiedades.
- General. Para limitar el número de conexiones. Por defecto queda seleccionada la opción conexiones ilimitadas.
- Certificado SSL. Comprobar que sea el correcto. Desde este apartado también se puede cambiar.
- Configuración de transporte HTTP y UDP. Por qué dirección y puerto escuchará el servidor. Como que no queremos complicar el tema de puertos a los usuarios, dejamos el TCP 443.
- Almacén CAP. Donde se encuentran las directivas de autorización de conexiones. Para no complicar en estos momentos la configuración, se utiliza el almacén local.
- Granja de servidores. Sí, es posible disponer de una granja de servidores de puerta enlace para múltiples conexiones y alta disponibilidad. Tampoco es el caso.
- Auditoria. Como su nombre indica, permite registrar quien se conecta, si lo hace de forma correcta o no, etc…
- Protocolo de puente SSL. En caso de hacer saltos entre servidores, por ejemplo en el encadenamiento de servidores en una DMZ.
- Mensajería. Útil para enviar mensajes a los usuarios que se conecten para informar de mantenimientos o aviso legal.
Hacer clic en el botón Aceptar cuando lo tengamos a nuestro gusto.
Directivas de autorización de conexiones
Se define quien se puede conectar mediante la puerta enlace de escritorio remoto. Por defecto, el instalador ya ha creado una que se puede aprovechar para modificar según nuestras necesidades o bien deshabilitar.
Se pueden crear tantas directivas como sean necesarias, teniendo en cuenta diferentes perfiles de usuarios – equipos a los que poder conectar, por ejemplo.
Botón derecho sobre la directiva de autorización de conexión, hacer clic en el botón Propiedades.
- General. Indica el nombre descriptivo de la directiva. Intentar que sea comprensible para vosotros mismos.
- Requerimientos. Como se tiene que hacer la autenticación: Por contraseña, por tarjeta o ambas. Dejar por Contraseña. A que grupo de usuarios debe pertenecer el usuario para poder validar. Por defecto hay Usuarios del dominio. No hace falta decir que no es nada recomendable este grupo. Haciendo clic en el botón Agregar grupo se puede seleccionar un grupo de seguridad más adecuado para permitir el acceso a quien realmente debe acceder.
- Redirección de dispositivos. Por defecto está todo habilitado, pero puede ser que no interese que el usuario tenga acceso a sus unidades locales desde la sesión remota. En la imagen sólo se permite el uso del portapapeles entre el dispositivo y la conexión de escritorio remoto.
- Tiempo de espera. ¿Que hacemos cuando el usuario deja la conexión abierta pero no hace nada? ¿Y la sesión abierta, pero cierra la aplicación de conexión? Se nos puede colapsar el servidor con conexiones abiertas que no se utilizan. Limitar los tiempos de espera e inactividad es una buena manera de sanear estas conexiones. Los valores por defecto pueden ser los adecuados, pero todo depende del comportamiento de vuestros usuarios.
Hacer clic en el botón Aceptar cuando lo tengamos a nuestro gusto.
Directivas de autorización de recursos
Esta directiva es un casamiento entre usuarios y equipos a los que se pueden conectar. Tan sencillo como esto. Al igual que el anterior se puede utilizar la que ha creado por defecto o crear de nuevas.
Botón derecho sobre la directiva de autorización de recursos, hacer clic en el botón Propiedades. 
- General. Indica el nombre descriptivo de la directiva. Intentar que sea comprensible para vosotros mismos.
- Grupos de usuarios. Los grupos de Active Directory que tendrán acceso a los recursos que indicaremos a continuación. No hay que volver a recordar que el grupo Usuarios del dominio no es adecuado.
- Recursos de red. El grupo de seguridad de el Active Directory que contiene las cuentas de los equipos a los que se permite la conexión al grupo de seguridad de usuarios anterior. Tampoco hay que decir que el grupo Equipos del dominio no es el adecuado, ya que incluye a todos los equipos del dominio.
- Puertos permitidos para la conexión de escritorio remoto. Por defecto se utiliza el puerto 3389, pero se puede dar el caso de que hayáis modificado este puerto en alguno de los servidores y requiera cambiar el puerto.
Hacer clic en el botón Aceptar cuando lo tengamos a nuestro gusto
Y sí, ya hemos terminado la configuración. Ahora sólo queda publicar el puerto TCP 443 para que vaya al servidor que tiene la puerta enlace en nuestro cortafuegos y configuar los clientes para poder conectar desde fuera mediante la puerta enlace.
¿Te ha gustado el artículo? Lo puedes compartir en las redes sociales. También puedes dejar tu opinión, comentario o sugerencia. ¡Gracias!
Similar Posts by The Author:
- Microsoft SQL Server con SMB3
- Microsoft SQL Server amb SMB3
- Containers en Linux
- Containers amb Linux
- Migrar el servidor de archivos a Windows Server 2019
- Migrar el servidor de fitxers a Windows Server 2019
- Puerta enlace a Azure en el Windows Admin Center
- Porta enllaç a Azure en el Windows Admin Center
- Hola mundo! WordPress 5 y Gutenberg
- Hola món! WordPress 5 i Gutenberg
Hola nuevamente, esto es lo q busco, pero no quiero hacerlo dentro de un Active Directory si no como Sevidor local, existe alguna manera de hacerlo sin necesidad de pertenecer iniciar como usuario de dominio?
Has dado en el blanco. Pero sin Active Directory, ¿cómo vas a conectarte a las máquinas, que necesitas tener dentro de un grupo de seguridad? No digo que no se pueda hacer, sino más bien una buena prueba. Personalmente nunca lo he probado eso quiere decir que ya tengo deberes.
Saludos.
Si, en Windows Server 2008 R2, q era el q estaba implementado se podia hacer eso, tener el servidor como local sin necesida de un AD y usar terminal server y agregar usuarios para q pudieran trabajar remotamente(a traves de internet), ya q localmente pues no habia problema, podria ser q yo instalar un AD, solo para configurar correctamente Terminal Server, agregar usuarios y se puedan enlazar desde internet al servidor asi como localmente sin necesidad de pertenecer al AD mediante Conexion a Escritorio Remoto…Saludos
Si, si, usarlo como Remote Desktop Services (el antiguo Terminal Server) sin AD no hay problema.
Yo creía que me estaba hablando de la puerta de enlace de escritorio remoto (Remote Desktop Gateway), que requiere usar un grupo de seguridad con las máquinas donde poder conectar desde el exterior. Este apartado no lo he llegado a probar nunca.
Tras realizar todos los pasos que indicas, me aparece el mensaje de que no se puede acceder al servidor de la puerta de enlace del servicio de escritorio remoto porque no se encuentra disponible. ¿Por qué podría ser debido? Por más que reviso las configuraciones no doy con la solución, y en el propio servidor, si me conecto, sí que funciona correctamente. Gracias.
Has publicado el puerto 443? Tienes el IIS en funcionamiento? Cortafuegos?
Es difícil poder diagnosticar que te puede ocurrir con tan poca información. Si lo anterior es correcto, te animo a que revises de nuevo la configuración siguiendo paso a paso el artículo. No deberías tener problemas con ello. Lo único, la publicación de puertos y el certificado.
Saludos
El puerto 443 TCP+UDP se encuentra abierto en el router, el IIS está en funcionamiento, y el firewall permite las conexiones entrantes/salientes para los servicios de escritorio remoto…
En contraste la solución
Buenas, hemos montado una arquitectura parecida a la que expones en tu artículo pero, a la hora de conectar desde los clientes, vemos en el log del firewall que se están intentando conectar directamente a los hosts cuando se deberían conectar sólo al gateway ¿no es así? Parece que se nos ha pasado algún detalle de configuración para que el gateway redirija las peticiones a los hosts de manera transparente a los clientes. ¿Nos podrías dar alguna idea de lo que se nos ha podido pasar, por favor?
Gracias!