Cómo agregar un equipo con sistema operativo Windows Server 2022 a un dominio existente AD DS (Active Directory Domain Services). Cómo habilitar el acceso remoto (Escritorio Remoto) para administración y gestión. Y cómo establecer una configuración de red lo más segura posible.
- Establecer nombre DNS de equipo.
- Establecer una configuración de red segura en Windows Server 2022.
- Agregar equipo Windows Server 2022 a dominio AD DS.
- Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022.
Establecer nombre DNS de equipo
En primer lugar, estableceremos el nombre DNS del equipo correcto (antes de agregarlo al dominio). Podemos comprobar el nombre y cambiarlo (si es necesario) desde «Configuración» – «Sistema» (se puede abrir esta ventana pulsando las teclas Windows + Pausa):
Introduciremos el nombre DNS del equipo correcto:
Nos pedirá reiniciar el equipo para aplicar los cambios.
Establecer una configuración de red segura en Windows Server 2022
Revisaremos también su configuración de red (IP estática, a ser posible, al tratarse de un servidor, WINS, DNS y puerta de enlace).
Podremos cambiar las opciones de red desde «Configuración» – «Red e Internet» – «Cambiar opciones del adaptador» (se puede abrir la ventana de Configuración pulsando las teclas Windows + Pausa):
Pulsaremos con el botón derecho del ratón sobre el adaptador de red que queramos configurar:
Como medida de seguridad y para reducir la superficie de ataque, es muy recomendable desactivar todos los protocolos no necesarios, dejando únicamente «Cliente para redes Microsoft» y «Protocolo de internet versión 4 (TCP/IPv4)» (si vamos a usar únicamente TCP/IPv4) o bien «Protocolo de Internet versión 6 (TCP/IPv6)» (si vamos a usar este protocolo). Si no vamos a compartir carpetas o impresoras, es recomentable desmarcar la opción «Uso compartido de archivos e impresoras para redes Microsoft»:
Para modiciar las propiedades de red, seleccionaremos «Protocolo de Internet versión 4 (TCP/IPv4)» (si es este el que estamos usando) y pulsaremos en «Propiedades»:
Estableceremos las propiedades de red. Para un servidor es recomendable usar IP estáticas (no asignadas por DHCP), salvo alguna excepción. Los datos que introduciremos:
- Marcaremos «Usar la siguiente dirección IP».
- Dirección IP: introduciremos la dirección IP para este servidor, así como la máscara de subred.
- Puerta de enlace predeterminada: introduciremos la puerta de enlace para este servidor (gateway).
- Servidor DNS preferido: introduciremos el servidor DNS principal, es recomendable, por seguridad, usar un servidor DNS con bloqueos de IP. En nuestro caso usamos Pi-Hole como servidor DNS.
- Servidor DNS alternativo: un segundo servidor DNS.
Pulsaremos en «Opciones avanzadas» en la ventana anterior y, también por seguridad, es recomendable desmarcar, en la pestaña «WINS», la opción «Habilitar la búsqueda de LMHOSTS», y marcar también «Deshabilitar NetBios a través de TCP/IP», dado que es un protocolo en desuso y con fallos de seguridad.
Agregar equipo Windows Server 2022 a dominio AD DS
Antes de agregar el equipo a un dominio, es conveniente revisar el usuario administrador local, por si lo necesitáramos. El usuario «administrador» que se crea en la instalación de Windows Server debe deshabilitarse, por seguridad, y crear un usuario nuevo, administrador local, miembro del grupo de usuarios «Administradores», con una contraseña de fortaleza alta (al menos 14 caracteres, mayúsculas, minúsculas, números, letras y caracteres especiales).
Para agregar un equipo Windows Server 2022 a un dominio Active Directory Domain Services (AD DS), abriremos «Configuración» – «Sistema» (se puede abrir esta ventana pulsando las teclas Windows + Pausa). En la parte inferior de «Acerca de», pulsaremos en «Cambiar el nombre de este equipo (avanzado)»:
En la pestaña «Nombre de equipo», pulsaremos en «Cambiar»:
Desde aquí también podremos cambiar el nombre DNS del equipo, aunque lo recomendable es haberlo hecho antes de agregarlo al dominio, para que no deje «rastro» de un nombre de equipo que se va a cambiar. Marcaremos «Dominio» e introduciremos el nombre completo de nuestro dominio, en el ejemplo «proyectoa.local». Pulsaremos «Aceptar»:
Nos solicitará usuario y contraseña del dominio para agregar el equipo:
Si todo es correcto, nos mostrará el mensaje:
Se unión correctamente al dominio proyectoa.local.
Y nos indicará que para que se apliquen los cambios hay que reiniciar el equipo:
Lo reiniciaremos y, al acceder, ya podremos iniciar sesión con un usuario del dominio en lugar de con un usuario local.
Una vez agregado el equipo al dominio, el equipo quedará en la carpeta «Computers» (en el dominio). Es muy recomendable acceder a uno de los controladores de dominio y desde Usuarios y equipos de Active Directory, en «Computers», mover el equipo a su unidad organizativa correcta, para que se le apliquen las directivas GPO asignadas:
Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022
Windows Server 2022 admite, como máximo, hasta dos usuarios concurrentes de acceso remoto por RDP. Si queremos tener más usuarios de Escritorio Remoto, tendremos que habilitar el rol de Escritorio Remoto, como indicamos en este artículo (requiere de licencia):
En este caso, al tratarse de un servidor para otro uso (no para escritorio remoto) habilitaremos dicho servicio pero solo para acceso de gestión y administración, que es mucho más rápido y sencillo (y no requiere de licencia) que el método anterior. Para ello, accederemos a «Configuración» – «Escritorio remoto» (la ventana de Configuración se puede abrir pulsando las teclas Windows + Pausa). Marcaremos la opción «Activado» en «Habilitar Escritorio remoto». Pulsaremos en «Configuración avanzada»:
Por seguridad, marcaremos la opción «Requerir equipos que usen autenticación a nivel de red para conectarse». Y, también por seguridad, es recomendable cambiar el puerto por defecto de RDP, que es el 3389 y el más susceptible de ser atacado:
Para cambiar el puerto por defecto de Escritorio Remoto, accederemos al Registro del sistema, pulsando las teclas Windows + R y en la ventana de Ejecutar, escribiendo «regedit»:
Accediendo a la ruta:
1 |
HKEY_LOCAL_MACHINE\System\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp |
Y modificando el valor «PortNumber» por el puerto que queramos establecer:
Estableceremos un valor, a ser posible, alto, por ejemplo 6010 y que, evidentemente, no esté en uso por otro programa:
Si queremos obtener el puerto actual configurado para RDP (Remote Desktop) mediante PowerShell, ejecutaremos el siguiente comando (en una ventana de PowerShell):
1 |
Get-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber" |
También podremos cambiar el puerto de acceso por Escritorio remoto mediante PowerShell. Para ello, deberemos abrir PowerShell como administradores:
Y ejecutar el siguiente comando para establecer el puerto 6011 para conexiones RDP de Escritorio Remoto:
1 |
Set-ItemProperty -Path 'HKLM:\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp' -name "PortNumber" -Value 6011 |
Deberemos abrir el puerto que establezcamos en el cortafuegos de Windows Server. Para abrir el puerto también mediante PowerShell, ejecutaremos el comando (desde una ventana de PowerShell abierta como administrador):
1 2 |
New-NetFirewallRule -DisplayName 'RDP_TCP' -Profile 'Domain' -Direction Inbound -Action Allow -Protocol TCP -LocalPort 6011 New-NetFirewallRule -DisplayName 'RDP_UDP' -Profile 'Domain' -Direction Inbound -Action Allow -Protocol UDP -LocalPort 6011 |
Con los comandos anteriores, se crearán dos reglas de apertura del puerto 6011 para el perfil «Domain» (dominio). Estas reglas se aplicarán únicamente a los equipos que pertenezcan al mismo domino que el servidor.
Lo que hacen los comandos anteriores, es crear estas reglas en el cortafuegos (también pueden crearse desde el modo gráfico):
Si teníamos alguna regla para el puerto 3389, la deshabilitaremos o eliminaremos.
Dado que el RDP es un servicio muy atacado por los hackers, es MUY recomendable en la propia regla del cortafuegos liminar qué IP (equipos) pueden acceder por escritorio remoto a este equipo y no dejar TODOS.
Por último, deberemos indicar qué usuarios o grupo de usuarios tendrá acceso por Escritorio Remoto al servidor (pueden ser usuarios locales o bien usuarios del dominio). Para ello, desde «Configuración» – «Escritorio remoto», pulsaremos en «Seleccione los usuarios que pueden tener acceso remoto a este equipo»:
Elegiremos los usuarios/grupos de usuarios a los que permitiremos el acceso remoto. Es muy importante que estos usuarios estén controlados, con una contraseña de fortaleza alta (al menos 14 caracteres, mayúsculas, minúsculas, números, letras y caracteres especiales), dado que este protocolo es muy atacado:
Como vemos en la ventana anterior, los usuarios administradores del dominio, así como los usuarios administradores locales del servidor, ya tendrán acceso y no será necesario establecerlos aquí.
A partir de ahora, tras reiniciar el servidor, accederemos por Escritorio Remoto, pero usando el puerto 6011, indicándoselo en la conexión del mstsc (cliente de Escritorio Remoto):
svfacturacion:6011