none
Escritorio remoto y active directoy RRS feed

  • Pregunta

  • Buenas tardes,

    He leído que para instalar los servicios de escritorio remoto y active directory en un windows server 2012 standar, es necesario crear un servidor virtual para instalar el active directory.

    Se puede instalar el rol de active directory y el rol de servicios de escritorio remoto en un mismo servidor físico?, en dado caso que se pueda, que consecuencia puede tener instalarlos juntos?

    O es necesario instalar active directory en un servidor virtual y servicios de escritorio remoto en el físico?

    Gracias por su ayuda expertos


    Luis GM

    jueves, 11 de febrero de 2016 23:50

Respuestas

  • Cuando se utiliza Dominio Active Directory, siempre conviene tener por lo menos dos Controladores de Dominio, esto se aconseja que sea así porque da tolerancia a fallas, sean físicos o virtuales. El problema de tener ambos virtuales en un único servidor físico, es que si el físico tiene problemas, pierdes el acceso a las virtuales, y por consiguiente al Dominio. Y por eso uno físico, y el otro como quieras. En realidad lo que se busca es no tener un único punto de falla, y que el servidor físico no depende de una máquina virtual que el mismo contiene

    Si vas a implementar directivas de seguridad, en grupo de trabajo, hay que hacerlo máquina por máquina, configurando cada una manualmente

    En cambio, si tienes Dominio y unes las máquinas al Dominio, entoces cualquier directiva se crea una sola vez en el Dominio y se aplica a todas las máquinas que quieras. Además no necesitas crear los usuarios en cada máquina, sino que los creas una única vez en el Dominio, y muchas ventajas más

    El tema de no poner Escritorio Remoto en un Controlador de Dominio, además de los problemas que te comenté antes, es por seguridad

    Un Controlador de Dominio contiene "lo más valioso de la red" como son los usuarios y sus contraseñas. Cuando permites el acceso por Escritorio Remoto, es igual a que iniciaran desde el teclado, todos los archivos locales están a su disposición, que aunque no sean administradores podrían "tocar mucho"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 12 de febrero de 2016 19:35
    • Marcado como respuesta Moderador M jueves, 18 de febrero de 2016 17:42
    viernes, 12 de febrero de 2016 18:39
    Moderador

Todas las respuestas

  • Hola Luis GM, no es estrictamente necesario tener Dominio para instalar Escritorio Remoto, lo que sí debes tener en cuenta es que en ese caso se pierde parte de las funcionalidades

    Deploying a RDSH Server in a Workgroup – RDS 2012 R2 – Ryan Mangan's IT Blog
    http://ryanmangansitblog.com/2013/10/30/deploying-a-rdsh-server-in-a-workgroup-rds-2012-r2/

    Con respecto a que en ese caso debes instalar un Controlador de Dominio virtual, cuidado con eso porque sin tener por lo menos un Controlador de Dominio real físico puede traer otros problemas

     

    Instalar Escritorio Remoto en un Controlador de Dominio tiene su dificultad, y además puede ser un problema grave de seguridad

    Cómo instalarlo, revisa Deploying RDS 2012 R2 On a Domain Controller – the Walk through Guide – Ryan Mangan's IT Blog
    http://ryanmangansitblog.com/2015/02/22/deploying-rds-2012-r2-on-a-domain-controller-the-walk-through-guide/ 

    Remote Desktop Services role cannot co-exist with AD DS role on Windows Server 2012
    https://support.microsoft.com/en-us/kb/2799605 

    Installing RD Session Host on a Domain Controller
    https://technet.microsoft.com/en-us/library/cc742817.aspx 

    Remote Desktop: Permitir a Usuarios Conectarse a un Controlador de Dominio | WindowServer
    https://windowserver.wordpress.com/2014/10/15/remote-desktop-permitir-a-usuarios-conectarse-a-un-controlador-de-dominio/ 

    Por supuesto que si tienes un único servidor, no hay más alternativas, pero no es nada bueno ni recomendable

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 12 de febrero de 2016 10:38
    Moderador
  • Gracias Guillermo, de hecho en tu blog leí lo que comente.

    Quiero entender lo que dices, debo de tener dos controlador de dominio, uno físico y uno virtual, para poder instalar el rol de servicios de escritorio remoto

    El dominio solo lo voy a crear en el servidor, no voy a meter mis equipos al dominio, Ahora el active directory, solo lo quiero instalar para las Políticas de seguridad, o se pueden crear políticas de seguridad sin active directory?

    En conclusión, por lo que no es recomendable es por la seguridad? o crea otro tipo de problemas que después me vaya ocasionar que falle alguno de los roles?

    Gracias una ves mas Guillermo


    Luis GM

    viernes, 12 de febrero de 2016 15:42
  • Cuando se utiliza Dominio Active Directory, siempre conviene tener por lo menos dos Controladores de Dominio, esto se aconseja que sea así porque da tolerancia a fallas, sean físicos o virtuales. El problema de tener ambos virtuales en un único servidor físico, es que si el físico tiene problemas, pierdes el acceso a las virtuales, y por consiguiente al Dominio. Y por eso uno físico, y el otro como quieras. En realidad lo que se busca es no tener un único punto de falla, y que el servidor físico no depende de una máquina virtual que el mismo contiene

    Si vas a implementar directivas de seguridad, en grupo de trabajo, hay que hacerlo máquina por máquina, configurando cada una manualmente

    En cambio, si tienes Dominio y unes las máquinas al Dominio, entoces cualquier directiva se crea una sola vez en el Dominio y se aplica a todas las máquinas que quieras. Además no necesitas crear los usuarios en cada máquina, sino que los creas una única vez en el Dominio, y muchas ventajas más

    El tema de no poner Escritorio Remoto en un Controlador de Dominio, además de los problemas que te comenté antes, es por seguridad

    Un Controlador de Dominio contiene "lo más valioso de la red" como son los usuarios y sus contraseñas. Cuando permites el acceso por Escritorio Remoto, es igual a que iniciaran desde el teclado, todos los archivos locales están a su disposición, que aunque no sean administradores podrían "tocar mucho"

     


    Guillermo Delprato
    Buenos Aires, Argentina
    El Blog de los paso a paso

    MVP - MCSE - MCSA2012
    MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory/Network Configuration/Applications Configuration/Server Virtualization/Windows 7 Configuration/Windows 7 & Office 2010 Deployment/Vista Configuration

    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    • Propuesto como respuesta Moderador M viernes, 12 de febrero de 2016 19:35
    • Marcado como respuesta Moderador M jueves, 18 de febrero de 2016 17:42
    viernes, 12 de febrero de 2016 18:39
    Moderador