none
Configuración correcta Terminal Server RRS feed

  • Pregunta

  • Amigos como estan, tengo un servidor con win2008 en el cual tengo configurado y funcionando bien el terminal server y active directory en el mismo servidor.

    Ahora por temas de lentitud en el server compramos uno nuevo en el cual le pusimos la base de datos sql server y win 2008 r2 y ahi la aplicacion que usamos mejoro mucho. Antes teniamos todo en el mismo servidor.

    Ahora mi consulta es el nuevo servidor lo uni al dominio apuntando al viejo servidor que es el que maneja el ad, en el nuevo servidor configure terminal server, y las licencias apunte al servidor viejo al momento de configurarla.

    Ahora mis usuarios intentan conectarse por esritorio remoto al nuevo servidor les sale el mensaje que dice 

    Se denego la conexion porque las  cuentas de usuario no estan autorizadas para el inicio remoto de sesion.

    Al conectarme uso estas credenciales dominio\usuario, este dominio y usuario estan en el server viejo en el que teniamos configurado

    Entonces no se como debo configurar los usuarios para que se autentiquen en el nuevo server, deberia volverlos a crear en el nuevo server??

    Saludos


    miércoles, 18 de febrero de 2015 18:08

Respuestas

  • Buenos días,

    Vamos por partes:

    • Tu nuevo servidor 2008R2 lo has unido al dominio, no se si en tu dominio tienes una Unidad Organizativa para Servidores, si no la tienes creala, no es recomendable que tu server cuelgue de la OU Computers, desde la consola de Active directory users and computers puedes crear una nueva OU que cualgue del Raiz ... la puedes llamar como quieras y mueves dentro el objeto de tu Server R2..
    • En tu DC puedes utilizar GPMC.msc que es la consola de Group Policy Management para crear un objeto de GPO con la configuración específica para permitir el acceso por terminal services, y luego con el botón derecho del ratón sobre esa GPO tienes la opción de enlazarla a una OU, que será la OU donde se encuentra tu server 2008R2 nuevo.
    • En este enlace los 4 primeros pasos te guian para crear una GPO
    • En estos enlaces se habla de una forma más clara de como permitir el acceso por terminal services, https://technet.microsoft.com/en-us/library/cc781509(v=ws.10).aspx y http://blogs.technet.com/b/askperf/archive/2011/09/09/allow-logon-through-terminal-services-group-policy-and-remote-desktop-users-group.aspx 
    • Si el usuario pertenece a los Administradores locales del server, o a un grupo denominado remote desktop users tendría privilegios para acceder, otra cosa es que no esté activado el remote desktop.
    • Por defecto Remote desktop está desactivado, dentro del server nuevo en las propiedades del sistema, hay una pestaña llamada REMOTE y dentro puedes activarlo. https://technet.microsoft.com/en-us/library/cc794832%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396 y tienes un botón llamado Select Users donde le indicas que usuarios o grupos permites acceder.

    Si lo de la GPO te pierde porque no has hecho nunca antes GPOs, prueba a hacerlo con los dos últimos puntos, que son activar el remote desktop, decirle que usuarios. Pero ahora mismo supongo que no puede acceder ni los administradores porque lo tendrás desactivado.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Propuesto como respuesta Moderador M jueves, 19 de febrero de 2015 23:54
    • Marcado como respuesta Moderador M viernes, 20 de febrero de 2015 15:42
    jueves, 19 de febrero de 2015 7:46

Todas las respuestas

  • Hola Fsigu,

    Lo que comentas está relacionado con los principios básicos de seguridad en máquinas Windows. Hay una serie de directivas de seguridad que son Locales o de dominio que configuran justo ese tipo de cosas, también debes revisar tu firewall local en tu Windows 2008 para que permite las conexiones remotas.

    En el antiguo servidor lo tendrás configurado, son Allow log on locally y Allow log on through terminal services.

    Para acceder a ellas puedes hacerlo editando las Local Policies de tu Windows 2008 R2, o creando que es lo recomendado una GPO a nivel de Dominio que aplique a tu W2008 y configure esos parámetros.

    Te dejo información para que veas como hacer la parte de las directivas de seguridad

    http://www.seanlabrie.com/2011/use-group-policy-to-enable-remote-desktop-connection-on-a-group-of-pcs/

    https://technet.microsoft.com/en-us/library/cc758613(v=ws.10).aspx

    Y aquí la parte relacionada con el Firewall que seguramente tengas ya habilitada pero no está demás revisar:

    https://technet.microsoft.com/en-us/library/cc743162.aspx

    http://www.practicallynetworked.com/networking/win_rem_dsktp_pt3.htm



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    miércoles, 18 de febrero de 2015 18:44
  • gracias Daniel por tu respuesta pero no puedo encontrar las opciones que me indica el enlace que me diste.

    En el enlace dice 

    1. Open Group Policy Management Console and create and link a new GPO to this OU. I typically right click at the root of the GPO, select Properties, and disable the User Configuration Settings. (I do this to cut down on GPO processing time, if we know there will only be computer settings in this GPO, why process all of the unchanged User Policy Settings?)

    Al crear mi OU y dar click en propiedades no tengo la opcion de COnfiguracion de usuario

    Tampoco puedo hacer el paso 5 no encuentro la opcion que indica

    Espero puedan darme una ayuda ya que  soy novato en esto de las GPO

    Saludos

    miércoles, 18 de febrero de 2015 21:36
  • Buenos días,

    Vamos por partes:

    • Tu nuevo servidor 2008R2 lo has unido al dominio, no se si en tu dominio tienes una Unidad Organizativa para Servidores, si no la tienes creala, no es recomendable que tu server cuelgue de la OU Computers, desde la consola de Active directory users and computers puedes crear una nueva OU que cualgue del Raiz ... la puedes llamar como quieras y mueves dentro el objeto de tu Server R2..
    • En tu DC puedes utilizar GPMC.msc que es la consola de Group Policy Management para crear un objeto de GPO con la configuración específica para permitir el acceso por terminal services, y luego con el botón derecho del ratón sobre esa GPO tienes la opción de enlazarla a una OU, que será la OU donde se encuentra tu server 2008R2 nuevo.
    • En este enlace los 4 primeros pasos te guian para crear una GPO
    • En estos enlaces se habla de una forma más clara de como permitir el acceso por terminal services, https://technet.microsoft.com/en-us/library/cc781509(v=ws.10).aspx y http://blogs.technet.com/b/askperf/archive/2011/09/09/allow-logon-through-terminal-services-group-policy-and-remote-desktop-users-group.aspx 
    • Si el usuario pertenece a los Administradores locales del server, o a un grupo denominado remote desktop users tendría privilegios para acceder, otra cosa es que no esté activado el remote desktop.
    • Por defecto Remote desktop está desactivado, dentro del server nuevo en las propiedades del sistema, hay una pestaña llamada REMOTE y dentro puedes activarlo. https://technet.microsoft.com/en-us/library/cc794832%28v=ws.10%29.aspx?f=255&MSPPError=-2147217396 y tienes un botón llamado Select Users donde le indicas que usuarios o grupos permites acceder.

    Si lo de la GPO te pierde porque no has hecho nunca antes GPOs, prueba a hacerlo con los dos últimos puntos, que son activar el remote desktop, decirle que usuarios. Pero ahora mismo supongo que no puede acceder ni los administradores porque lo tendrás desactivado.



    Daniel Graciá - Madrid / España

    MCSA 2012, MCSA 2008, MCITP Enterprise Admin
    MCTS SCOM 2007, Windows Vista Configuration
    MCSA 2003 + Security, MCSE 2003 + Security
    MCP ISA SERVER 2000,ITIL Foundation v3

    El Blog de Dani Gracia
    Dani Gracia en Twitter
    Dani Gracia en LinkedIn

    • Propuesto como respuesta Moderador M jueves, 19 de febrero de 2015 23:54
    • Marcado como respuesta Moderador M viernes, 20 de febrero de 2015 15:42
    jueves, 19 de febrero de 2015 7:46