rdp

¿Cómo funciona RDP?

Tenemos un equipo cliente: el que vamos a utilizar para conectar, por ejemplo nuestro ordenador de la oficina.

Un equipo al que vamos a conectarnos, al que vamos a llamar servidor. Puede ser realmente un servidor (con windows server) u otro equipo cualquiera de la red con Windows instalado.

Habilitamos las conexiones remotas al servidor:

Inicio > Panel de control > Sistema > Configuración avanzada del sistema > Acceso remoto > Habilitar y aceptar

Desde el equipo cliente abrimos el programa «Conexión a escritorio remoto». Nos pregunta una IP a la que conectar.

Escribimos la IP del equipo servidor y damos a conectar (o el nombre si así lo tenemos configurado en la red).

Se nos abrirá la pantalla del equipo cliente. Si la usamos maximizada, será como si estuviésemos sentados en el ordenador servidor. Es decir, es como si cogemos el teclado, ratón, pantalla etc del equipo cliente, le ponemos unos cables largos y los ponemos en nuestra mesa.

Aunque no lo hemos mencionado, es evidente que al conectar nos va a preguntar el usuario y contraseña de una cuenta con permisos del equipo cliente, que deberemos introducir para acceder.

¿Podemos conectar desde fuera de la red? Como vimos, solo necesitamos la IP (o nombre) del equipo al que queremos conectar para poder establecer la sesión remota. También que el puerto 3389 esté abierto en el lado del servidor, así que deberá estar habilitado en el firewall de windows.

 

terminal server desde fuera de la red

¿Y si queremos acceder desde fuera de nuestra red?

Podemos conectarnos desde fuera de la red.

Como vimos, solo necesitamos la IP (o nombre) del equipo al que queremos conectar para poder establecer la sesión remota.

También que el puerto 3389 esté abierto en el lado del servidor, así que deberá estar habilitado en el firewall de windows.

Lo único que hay que hacer es redirigir el tráfico desde el router / firewall de la empresa hacia el equipo. Lo que coloquialmente se denomina como «abrir el puerto». La regla básicamente es:

Cualquier origen -> TCP 3389 enviar a IP interna del equipo -> TCP3389

¿Y si hay más de un equipo al que queremos conectar? Abrimos mas puertos y lo redirigimos al 3389TCP de cada equipo local que queremos controlar.

  • … -> TCP3390 -> 192.168.1.100:TCP3389
  • … -> TCP3391 -> 192.168.1.101:TCP3389

No es, ni mucho menos, una buena idea conectarse a RDP desde fuera de la red de esta forma.

Cualquier escaneo de Internet detectará que se está utilizando este protocolo. La conexión se convertirá en blanco de todo tipo de intentos de intrusión.

La idea de poder ganar acceso a un ordenador que se encuentra dentro de la red, es muy golosa para los ciberdelincuentes. No pasará mucho tiempo hasta que comiencen los ataques.

Si tenemos un firewall en la red podemos limitar las IPs desde donde nos permite conectar, si bien esta opción nos va a limitar al mismo tiempo la funcionalidad.

Si estamos en un aeropuerto, no podremos conectar un momento a nuestra sesión porque no tenemos identificada esa IP de origen (por poner un ejemplo).

Una opción mucho mejor es establecer una VPN contra el firewall de la empresa. Una vez que tenemos esta conexión segura, ya si que podemos acceder con normalidad. Además no tendremos que «abrir los puertos» porque cuando se establece la conexión VPN, estamos ya dentro de la red y todo se hace de forma local.

También hay que tener en cuenta que si todos los usuarios «usan» el servidor para trabajar, todas las conexiones al exterior se realizaran desde la IP del servidor. Debemos instalar por tanto un firewall en la red que nos permita identificar las conexiones por usuario y no únicamente por origen de la IP.

Se necesita por tanto un firewall que vaya más allá de la capa 3. Os recomendamos Next Generation firewall.

velocidad de rds

¿Cuánto consume una conexión de Terminal Server?

Necesita muy poco ancho de banda para funcionar.

El equipo servidor manda la pantalla al cliente. Pero no manda toda la pantalla de forma constante, sino únicamente lo que cambia.

Por supuesto el ancho de banda necesario dependerá de la resolución con la que se trabaje, etc.

No es lo mismo un usuario trabajando a 1920×1080 y viendo un vídeo en Internet que otro que utilice una resolución de 1024×768 y tenga un documento de Word abierto.

Por eso es muy complicado hacer un cálculo de cuanto ancho de banda se necesita.

Sí que podemos decir que tiene un consumo muy bajo y su rendimiento está muy optimizado. Con las conexiones a Internet que disponemos hoy en día (al menos en España) podemos acceder multitud de usuarios sin ningún problema.

Del mismo modo que hoy en día no suponen ningún problemas las comunicaciones VoIP.

Dentro de la red local no hay ningún problema para acceder tantos equipos como sea necesario.

rds multiusuario

¿Es multiusuario?

Pues sí y no al mismo tiempo. Todo depende de a donde nos conectemos con este protocolo.

Vamos a verlo con ejemplos.

Conexión por Terminal Server a un equipo con un S.O. de escritorio.

Por sistema operativo de escritorio entendemos un XP, Vista, Windows 7, 8, 8.1 ó Windows 10.

En este caso el sistema operativo solo permite una sesión.

Si tenemos un equipo y nos conectamos por Terminal Server a otro que queremos administrar a distancia, nos preguntará los datos de inicio de sesión de una cuenta del equipo cliente (como siempre).

Al validarnos, tendremos acceso completo al equipo. En el equipo servidor se cerrará la sesión activa: le aparecerá para que introduzca su usuario y contraseña. Si se inicia sesión en el equipo servidor, nos desconectará a nosotros (se cerrará la sesión de Terminal Server).

Así como vemos, solo puede haber una sesión iniciada en este equipo que hace las veces de servidor de sesiones de Terminal Server. Es indistinto que se inicie sesión localmente o de forma remota.

No sucede como en los programas de control remoto.

En estos cuando controlamos a distancia un equipo, vemos la pantalla del otro, pero si hay alguien sentado delante del equipo controlado, verá moverse el ratón y todo lo que sucede.

¿Que sucede si conectamos a un Windows Server?

En este caso si que es posible iniciar varias sesiones de forma simultánea.

Dos o más usuarios pueden estar trabajando de forma paralela sobre la misma máquina. Cada uno con su sesión de usuario y con acceso a los recursos de la máquina que tenga disponibles.

De forma predeterminada, el sistema operativo de servidor de Microsoft viene con 2 licencias incorporadas. Ésto permite que se conecten 2 usuarios de forma paralela.

Si un tercero intenta conectar le indicará que no quedan licencias disponibles para la conexión, no desconectará a uno de los ya conectados.

Entonces, ¿pueden conectarse 2 usuarios y usarlos como si fueran sus equipos de trabajo?

Pueden, pero no deberían.

Las licencias incluidas en el servidor se denominan «licencias con propósitos administrativos».

Quiere decir que su función principal es la de que los administradores de los sistemas informáticos, se conecten a los servidores para poder administrarlos. No están pensadas para que se usen como puestos de trabajo. Las conexiones se hacen con el perfil de «administrador del dominio».

Así las sesiones tendrán control total sobre el dominio de la empresa y no son adecuadas para que se utilicen como cuentas de trabajo. Los riesgos de seguridad que conlleva esta práctica son muy altos y además invalida cualquier política de permisos, restricción en el acceso a los datos, etc de la empresa. Puesto que esos usuarios tienen control total para acceder a todo.

¿Cómo hacemos para usar más conexiones simultáneas?

Debemos instalar en el servidor al que se van a conectar un servidor de licencias de Terminal Server.

Esta funcionalidad es un «rol» que se puede añadir desde el panel de control.

Una vez este funcionando, debemos comprar las licencias que necesitemos para conectar y que se venden en paquetes de 1, 5 y 20 licencias.

Cuando alguien se conecte al servidor, se le asignará una licencia y podrá haber tantas conexiones concurrentes como licencias dispongamos.

 

Tipos de licencia de Terminal Server

Como hemos visto necesitamos licencias para que los usuarios se puedan conectar.

Existen 2 tipos de licencias y deberemos decidir cual de ellas queremos utilizar, pues no se pueden combinar.

  • Por equipo: cada equipo que se conecte al servidor recibirá una licencia temporal. Cuando se conecte por segunda vez, recibirá una licencia definitiva. Desde ese equipo se podrán conectar todos los usuarios que quieran. Así hasta alcanzar el límite de licencias contratadas.
  • Por usuario: es el enfoque contrario. Se le asigna una licencia a cada usuario. Puede utilizar todos los equipos que quiera para conectarse.

La conveniencia de uno u otro sistema dependerá de cada empresa y su forma de trabajar.

Puede resultar interesante que en una empresa con 10 equipos y 100 usuarios que van y vienen se contraten 10 licencias por equipo y así no habrá problema de quien accede desde que equipo.

También puede ser que una compañía tenga 10 trabajadores y como se conectan desde casa, trabajo, móviles, etc y decida contratar 10 licencias por usuario para olvidarse de que dispositivo usa cada usuario.

terminal server como puesto de trabajo

¿Se puede usar RDS como puesto de trabajo?

Sí.

Hay que estructurar la red de forma adecuada de forma previa.

Un escenario típico del uso de terminal server para el trabajo son los equipos obsoletos.

Una empresa compra su equipamiento informático y con el paso de los años los equipos se van quedando obsoletos.

Sistemas operativos anticuados, aplicaciones que necesitan más recursos que los disponibles, etc.

A la hora de actualizar los sistemas, ¿cambiamos todos los equipos del negocio o los conectamos por Terminal Server y podemos seguir usando los actuales? Es lo más habitual.

Se utiliza RDS para conectar equipos antiguos y desfasados a un servidor que si es capaz de cumplir con las necesidades de la empresa.

Ésto nos plantea algunos problemas.

Los usuarios ya pueden trabajar y desarrollar su actividad, pero la red sigue estando llena de equipos obsoletos.

Aunque utilicemos un XP para conectar a un Windows Server 2019 y podamos utilizar todas las aplicaciones de hoy en día, en la red sigue habiendo un XP. En este equipo cliente (el XP), aunque solo se utilice para conectar al Windows Server, no podremos tener un antivirus actualizado. No podremos parchear las vulnerabilidades que se vayan conociendo porque Microsoft ya no le da soporte.

No parece una buena opción para la seguridad de la empresa.

Una opción es convertir esos equipos obsoletos en lo que se denomina «thin client».

Borramos el contenido del equipo actual y lo convertimos en un ordenador con un sistema operativo mínimo (normalmente basado en una distribución linux). Su única función es la de conectarse al servidor mediante Terminal Server.

Ésta solución es sin duda mejor que al anterior, pues eliminamos de la red muchos factores de riesgo.

El inconveniente es que siguen siendo equipos antiguos, sujetos a todo tipo de fallos.

La mejor alternativa si vamos a utilizar las conexiones remotas en nuestra red es utilizar thinclient nuevos y destinados y diseñados exclusivamente para este fin.

thinclient rx300

Ejemplo de uso de principio a fin.

La mejor forma de entender como trabajar con este sistema es ver un ejemplo.

Vamos a exponer un caso modelo desde el principio para que veamos el uso real de esta tecnología en una empresa. Vamos a plantear una empresa de 10 trabajadores que quiere utilizar Terminal Server para trabajar.

Los usuarios utilizan programas de ofimática como Office 365 (Word, Excel, Outlook…). También utilizan otras aplicaciones como un software de contabilidad y otro de ventas y gestión de clientes CRM.

Por supuesto todos utilizan Internet para sus funciones diarias y demás aplicaciones habituales.

El hardware

Primero instalamos un servidor.

Hay que tener en cuenta que este equipo va a cumplir con sus funciones habituales y además 10 usuarios lo van a utilizar como equipo de trabajo. Tendremos por tanto que sobredimensionarlo de forma adecuada para que no se quede corto de recursos.

Optamos por un equipo con 2 procesadores, 64GB de RAM, 2 x discos duros 512GB tipo SSD en RAID1 para el sistema operativo y 2 x discos duros 2TB HDD en RAID1 para el almacenamiento de los datos.

Instalamos un equipo aparte para procesar las copias de seguridad.

También incorporamos a la red un firewall que nos permita controlar las conexiones y restringir el tráfico en función de las necesidades.

Como equipos cliente utilizaremos los RX300 de NComputing. Están basados en Raspberry PI3+. Son equipos diminutos, con un consumo eléctrico ínfimo y sin partes móviles que se puedan estropear.

La única misión de estos equipos es arrancar y acceder directamente a la sesión en el servidor. Eliminamos la opción de utilizar el equipo cliente, únicamente nos conectará al servidor de Terminal Server.

Nos evitamos de esta forma multitud de errores y solicitudes de asistencia por parte de los usuarios.

Por lo demás el equipamiento habitual de cualquier oficina: ratones y teclados (si son inalámbricos mejor por reducir los cables), monitores con HDMI e impresoras/multifunciones que cuenten con conexión de red.

El software

Primero instalamos y configuramos VMware ESXi (gratuito) donde vamos a virtualizar los equipos necesarios.

2 licencias de Windows Server 2019 que nos permitirán virtualizar 4 máquinas virtuales con este sistema operativo, aunque de momento solo usaremos 3.

  • Un servidor Windows Server 2019 como controlador de dominio principal.
  • Otro más como controlador de dominio secundario.
  • Por último un servidor como servidor de conexiones de terminal server, documentos, etc etc.

La última máquina virtual es donde se van a concentrar casi todos los recursos de la máquina física, puesto que es la que va a dar servicio a los usuarios de la oficina.

Office 365 para los usuarios de la red, CRM y todos los programas que se necesiten para el trabajo.

10 licencias por usuario de Terminal Server ya que queremos que se conecten estos 10 usuarios desde cualquier dispositivo. Desde dentro y fuera de la red.

Instalación y configuración.

En el servidor virtualizamos los 3 servidores que vimos antes.

El que vamos a usar para Terminal Server, es en el que instalamos el servidor de licencias y también el vSpace.

Este programa nos permite administrar los thinclient RX300 de Ncomputing para actualizarlos y todo lo que necesitemos.

Hacemos que inicien directamente en una sesión de Terminal Server y así cuando el usuario lo encienda, a los pocos segundos le mostrará su pantalla de inicio de sesión en el servidor. Sin dar más opciones.

Damos de alta a los distintos usuarios y habilitamos que puedan conectar de forma remota a sus sesiones.

Configuramos office para cada uno de ellos y todo lo que necesiten.

Las impresoras al ser en red se configuran para los que las necesiten y nos evitamos que estén conectadas al USB de un cliente.

Configuramos el firewall para restringir los accesos en función de las necesidades y comunicándolo con los controladores de dominio. Así tenemos permisos diferentes en función de las credenciales del usuario.

Habilitamos en función de las necesidades las conexiones por VPN para que puedan acceder desde fuera de la red.

ventajas y desventajas de terminal server

Ventajas y desventajas de esta forma de trabajar

Está claro que es una buena alternativa que nos permite simplificar los sistemas, reducir los costes y aumentar la productividad de forma sencilla. También presenta como todo sistema sus desventajas, así que vamos a analizarlo.

Las ventajas de éste sistema

  • Cableado. En nuestro ejemplo hemos utilizado equipos thinclient Ncomputing RX300 que cuentan con wifi. Como el ancho de banda necesario es muy bajo y el tráfico de datos se realiza de forma interna en el servidor y no desde los equipos cliente al servidor, no necesitamos grandes velocidades de red. Por tanto podemos prescindir de las conexiones cableadas y usar el Wifi para la conexión de los equipos clientes.
  • Seguridad. Los terminales de los usuarios no almacenan ningún dato. por tanto toda la información de la empresa está almacenada en el servidor, sin excepción. Evitamos en gran medida la pérdida de información, ya sea de forma intencionada o involuntaria.
  • En cualquier momento en cualquier lugar. podemos conectar a nuestra sesión de usuario desde cualquier sitio en cualquier momento. No importa la ubicación ni el dispositivo. Basta con establecer una conexión VPN a la oficina y conectar por escritorio remoto al servidor. podemos hacerlo desde una tablet, un portátil o incluso desde el móvil.
  • Ampliable. Podemos incoporar a la red, fácilmente, otros sistemas como MDM (control de dispositivos móviles), integrarlo con sistemas de VoIP, DLP (sistema contra la fuga de información), etc
  • Totalmente escalable. siempre podemos ampliar las prestaciones del servidor si es necesario. Además como son máquinas virtuales si nos quedamos cortos, podemos moverlas a otro servidor de mayor prestaciones. También podemos ampliar nuestro sistema de virtualización e incluir vSphere, varias máquinas físicas trabajando en conjunto y un largo etc de posibilidades.
  • Backup centralizado. Como vimos todos los datos se guardan en un único punto por lo que haciendo copia de esa máquina, tenemos la seguridad de haber hecho una copia de toda la empresa en su totalidad.
  • Ahorro de Costes. Las máquinas utilizadas como clientes son mucho más baratas que un ordenador convencional. Su índice de fallos es mucho menor y la velocidad de reemplazo es casi instantánea. El coste eléctrico es de menos de 5w por thinclient, así que los 10 equipos consumen menos que un solo equipo tradicional. Además su vida útil es mucho más larga.
  • Sencillez. La red es sencilla, cómoda y rápida de administrar. Reduce enormemente las tareas de administración de los sistemas.

Los inconvenientes

Como todos los sistemas de trabajo, presenta inconvenientes que hay que sopesar.

  • Centralizado. Si está todo concentrado en un único punto, es vital que ese dispositivo funcione correctamente. Si falla el servidor, falla toda la empresa. Es necesario poner todas las medidas disponibles para que esto no suceda.
  • Perfil de usuario. El usuario trabaja directamente sobre el servidor y de forma paralela al resto de trabajadores. aunque los perfiles están «aislados» unos de otros, un incidente puede comprometer las sesiones de todos. por ejemplo si el usuario se infecta con un ransomware y este logra escalar los privilegios, se verán comprometidas todas las sesiones, no solo la suya. Es necesario contar con los permisos de acceso adecuados en cada usuario. También contar con las soluciones de antivirus, anti-malware y contra el ransomware adecuadas.
  • Coste del servidor. Si el servidor va a realizar las tareas de todos, es evidente que debe ser más potente. Por tanto el coste de este equipo será superior a lo normal para este tipo de empresas. Si bien se verá compensado por el menor valor de los equipos cliente.
  • No es para todos. Hay usuarios que por su trabajo no pueden utilizar esta solución. El mejor ejemplo son aquellos que utilizan programas de diseño, edición de vídeo, etc. Las conexiones de Terminal Server tienen un rendimiento gráfico muy alto pero no es comparable con las prestaciones que obtenemos con una gráfica dedicada en nuestro equipo para estas funciones. Para estas tareas son mejores otras opciones en el mercado como los equipos Mac.
  • RDS vs VDI. Las VDI son máquinas virtuales dedicadas a cada usuario. Es un entorno «similar» pero donde cada uno cuenta con su máquina (virtual) completa y no una sesión en un entorno compartido (sesión de terminal server). Si bien un entorno de VDI es mucho más complejo (y costoso) cada uno cuenta con su entorno propio.

Conclusiones en el uso de Terminal Server

Es un protocolo de comunicaciones que permite conectar a un equipo de forma sencilla y rápida. Si migramos nuestra empresa a un entorno de este tipo ganaremos en velocidad, rendimiento y sobre todo productividad.

En tecnozero podemos ayudarte a mejorar tu negocio. Si tienes un proyecto de este tipo o quieres ver como lo puedes implementar en tu día a día, no lo dudes y contacta con nosotros. Estaremos encantados de ayudarte.

Shares
Shares
Share This