Cómo agregar un equipo con sistema operativo Windows Server 2022 a un dominio existente AD DS (Active Directory Domain Services). Cómo habilitar el acceso remoto (Escritorio Remoto) para administración y gestión. Y cómo establecer una configuración de red lo más segura posible.

Establecer nombre DNS de equipo

En primer lugar, estableceremos el nombre DNS del equipo correcto (antes de agregarlo al dominio). Podemos comprobar el nombre y cambiarlo (si es necesario) desde «Configuración» – «Sistema» (se puede abrir esta ventana pulsando las teclas Windows + Pausa):

Establecer nombre DNS de equipo

Introduciremos el nombre DNS del equipo correcto:

Establecer nombre DNS de equipo

Nos pedirá reiniciar el equipo para aplicar los cambios.

Establecer una configuración de red segura en Windows Server 2022

Revisaremos también su configuración de red (IP estática, a ser posible, al tratarse de un servidor, WINS, DNS y puerta de enlace).

Podremos cambiar las opciones de red desde «Configuración» – «Red e Internet» – «Cambiar opciones del adaptador» (se puede abrir la ventana de Configuración pulsando las teclas Windows + Pausa):

Establecer una configuración de red segura en Windows Server 2022

Pulsaremos con el botón derecho del ratón sobre el adaptador de red que queramos configurar:

Establecer una configuración de red segura en Windows Server 2022

Como medida de seguridad y para reducir la superficie de ataque, es muy recomendable desactivar todos los protocolos no necesarios, dejando únicamente «Cliente para redes Microsoft» y «Protocolo de internet versión 4 (TCP/IPv4)» (si vamos a usar únicamente TCP/IPv4) o bien «Protocolo de Internet versión 6 (TCP/IPv6)» (si vamos a usar este protocolo). Si no vamos a compartir carpetas o impresoras, es recomentable desmarcar la opción «Uso compartido de archivos e impresoras para redes Microsoft»:

Establecer una configuración de red segura en Windows Server 2022

Para modiciar las propiedades de red, seleccionaremos «Protocolo de Internet versión 4 (TCP/IPv4)» (si es este el que estamos usando) y pulsaremos en «Propiedades»:

Establecer una configuración de red segura en Windows Server 2022

Estableceremos las propiedades de red. Para un servidor es recomendable usar IP estáticas (no asignadas por DHCP), salvo alguna excepción. Los datos que introduciremos:

  • Marcaremos «Usar la siguiente dirección IP».
  • Dirección IP: introduciremos la dirección IP para este servidor, así como la máscara de subred.
  • Puerta de enlace predeterminada: introduciremos la puerta de enlace para este servidor (gateway).
  • Servidor DNS preferido: introduciremos el servidor DNS principal, es recomendable, por seguridad, usar un servidor DNS con bloqueos de IP. En nuestro caso usamos Pi-Hole como servidor DNS.
  • Servidor DNS alternativo: un segundo servidor DNS.
Establecer una configuración de red segura en Windows Server 2022

Pulsaremos en «Opciones avanzadas» en la ventana anterior y, también por seguridad, es recomendable desmarcar, en la pestaña «WINS», la opción «Habilitar la búsqueda de LMHOSTS», y marcar también «Deshabilitar NetBios a través de TCP/IP», dado que es un protocolo en desuso y con fallos de seguridad.

Establecer una configuración de red segura en Windows Server 2022

Agregar equipo Windows Server 2022 a dominio AD DS

Antes de agregar el equipo a un dominio, es conveniente revisar el usuario administrador local, por si lo necesitáramos. El usuario «administrador» que se crea en la instalación de Windows Server debe deshabilitarse, por seguridad, y crear un usuario nuevo, administrador local, miembro del grupo de usuarios «Administradores», con una contraseña de fortaleza alta (al menos 14 caracteres, mayúsculas, minúsculas, números, letras y caracteres especiales).

Agregar equipo Windows Server 2022 a dominio AD DS

Para agregar un equipo Windows Server 2022 a un dominio Active Directory Domain Services (AD DS), abriremos «Configuración» – «Sistema» (se puede abrir esta ventana pulsando las teclas Windows + Pausa). En la parte inferior de «Acerca de», pulsaremos en «Cambiar el nombre de este equipo (avanzado)»:

Agregar equipo Windows Server 2022 a dominio AD DS

En la pestaña «Nombre de equipo», pulsaremos en «Cambiar»:

Agregar equipo Windows Server 2022 a dominio AD DS

Desde aquí también podremos cambiar el nombre DNS del equipo, aunque lo recomendable es haberlo hecho antes de agregarlo al dominio, para que no deje «rastro» de un nombre de equipo que se va a cambiar. Marcaremos «Dominio» e introduciremos el nombre completo de nuestro dominio, en el ejemplo «proyectoa.local». Pulsaremos «Aceptar»:

Agregar equipo Windows Server 2022 a dominio AD DS

Nos solicitará usuario y contraseña del dominio para agregar el equipo:

Agregar equipo Windows Server 2022 a dominio AD DS

Si todo es correcto, nos mostrará el mensaje:

Se unión correctamente al dominio proyectoa.local.

Agregar equipo Windows Server 2022 a dominio AD DS

Y nos indicará que para que se apliquen los cambios hay que reiniciar el equipo:

Agregar equipo Windows Server 2022 a dominio AD DS

Lo reiniciaremos y, al acceder, ya podremos iniciar sesión con un usuario del dominio en lugar de con un usuario local.

Agregar equipo Windows Server 2022 a dominio AD DS

Una vez agregado el equipo al dominio, el equipo quedará en la carpeta «Computers» (en el dominio). Es muy recomendable acceder a uno de los controladores de dominio y desde Usuarios y equipos de Active Directory, en «Computers», mover el equipo a su unidad organizativa correcta, para que se le apliquen las directivas GPO asignadas:

Agregar equipo Windows Server 2022 a dominio AD DS

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Windows Server 2022 admite, como máximo, hasta dos usuarios concurrentes de acceso remoto por RDP. Si queremos tener más usuarios de Escritorio Remoto, tendremos que habilitar el rol de Escritorio Remoto, como indicamos en este artículo (requiere de licencia):

En este caso, al tratarse de un servidor para otro uso (no para escritorio remoto) habilitaremos dicho servicio pero solo para acceso de gestión y administración, que es mucho más rápido y sencillo (y no requiere de licencia) que el método anterior. Para ello, accederemos a «Configuración» – «Escritorio remoto» (la ventana de Configuración se puede abrir pulsando las teclas Windows + Pausa). Marcaremos la opción «Activado» en «Habilitar Escritorio remoto». Pulsaremos en «Configuración avanzada»:

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Por seguridad, marcaremos la opción «Requerir equipos que usen autenticación a nivel de red para conectarse». Y, también por seguridad, es recomendable cambiar el puerto por defecto de RDP, que es el 3389 y el más susceptible de ser atacado:

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Para cambiar el puerto por defecto de Escritorio Remoto, accederemos al Registro del sistema, pulsando las teclas Windows + R y en la ventana de Ejecutar, escribiendo «regedit»:

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Accediendo a la ruta:

Y modificando el valor «PortNumber» por el puerto que queramos establecer:

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Estableceremos un valor, a ser posible, alto, por ejemplo 6010 y que, evidentemente, no esté en uso por otro programa:

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Si queremos obtener el puerto actual configurado para RDP (Remote Desktop) mediante PowerShell, ejecutaremos el siguiente comando (en una ventana de PowerShell):

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

También podremos cambiar el puerto de acceso por Escritorio remoto mediante PowerShell. Para ello, deberemos abrir PowerShell como administradores:

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Y ejecutar el siguiente comando para establecer el puerto 6011 para conexiones RDP de Escritorio Remoto:

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Deberemos abrir el puerto que establezcamos en el cortafuegos de Windows Server. Para abrir el puerto también mediante PowerShell, ejecutaremos el comando (desde una ventana de PowerShell abierta como administrador):

Con los comandos anteriores, se crearán dos reglas de apertura del puerto 6011 para el perfil «Domain» (dominio). Estas reglas se aplicarán únicamente a los equipos que pertenezcan al mismo domino que el servidor.

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Lo que hacen los comandos anteriores, es crear estas reglas en el cortafuegos (también pueden crearse desde el modo gráfico):

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Si teníamos alguna regla para el puerto 3389, la deshabilitaremos o eliminaremos.

Dado que el RDP es un servicio muy atacado por los hackers, es MUY recomendable en la propia regla del cortafuegos liminar qué IP (equipos) pueden acceder por escritorio remoto a este equipo y no dejar TODOS.

Por último, deberemos indicar qué usuarios o grupo de usuarios tendrá acceso por Escritorio Remoto al servidor (pueden ser usuarios locales o bien usuarios del dominio). Para ello, desde «Configuración» – «Escritorio remoto», pulsaremos en «Seleccione los usuarios que pueden tener acceso remoto a este equipo»:

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Elegiremos los usuarios/grupos de usuarios a los que permitiremos el acceso remoto. Es muy importante que estos usuarios estén controlados, con una contraseña de fortaleza alta (al menos 14 caracteres, mayúsculas, minúsculas, números, letras y caracteres especiales), dado que este protocolo es muy atacado:

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022

Como vemos en la ventana anterior, los usuarios administradores del dominio, así como los usuarios administradores locales del servidor, ya tendrán acceso y no será necesario establecerlos aquí.

A partir de ahora, tras reiniciar el servidor, accederemos por Escritorio Remoto, pero usando el puerto 6011, indicándoselo en la conexión del mstsc (cliente de Escritorio Remoto):

svfacturacion:6011

Habilitar el acceso por Escritorio Remoto (Remote Desktop RDP) al equipo Windows Server 2022