Cómo configurar la instalación de Windows 2000 Server (también válido si ya está instalado) para permitir el acceso al servidor de los clientes mediante Terminal Server y VPN (Red Privada Virtual). Os mostramos cómo conectar un cliente con Windows 98 y otro con Windows XP.
- Configuración de Windows 2000 Server en la instalación para Terminal Server y VPN.
- Configuración de Terminal Server y Enrutamiento y acceso remoto tras instalación.
- Activación servicio Enrutamiento y acceso remoto (VPN) en Windows 2000 Server.
- Configuración de los equipos clientes para la conexión al servidor con Windows 2000 Server y VPN.
Configuración de Windows 2000 Server en la instalación para Terminal Server y VPN
En primer lugar deberemos disponer de un equipo (servidor) con Windows 2000 Server ó Windows Server 2003 instalado, este equipo debe disponer de conexión a Internet. En los siguientes pasos explicaremos cómo configurar Windows 2000 en la instalación para admitir los servicios de Terminal Server, aunque se pueden agregar si ya está instalado, como indica este manual.
Los pasos a seguir:
Instalamos el sistema operativo Windows 2000 Server en un PC con la siguiente configuración:
a) Modo de licencia de cliente “Por puesto”, si ya tenemos instalado el sistema operativo, esta opción se puede cambiar desde RDP.
b) Desde las opciones de instalación de Windows 2000 Server o desde «Agregar o Quitar programas» – «Componentes de Windows» (si ya lo tenemos instalado) marcaremos «Servicios de Terminal Server»:
c) Marcaremos para instalar también “Licencias de servicios de Terminal Server”:
d) En la instalación marcaremos la opción «Modo de servidor de aplicaciones”:
Como indica la ventana de instalación: Permite a los usuarios ejecutar remotamente una o más aplicaciones. Esta configuración optimiza los tiempos de respuesta del programa. Para usar esta opción, debe instalar un servidor de Licencias de Terminal Server en este dominio o grupo de trabajo dentro de 90 días.
e) En la instalación de Windows 2000 Server marcaremos la opción «Permisos compatibles con los usuarios de Servicios de Terminal Server:
Como indica el asistente: Seleccione esta opción para proporcionar un medio que sea compatible con la mayoría de las aplicaciones heredadas. Bajo esta configuración, todos los usuarios tendrán acceso completo a la ubicación de registros críticos y archivos de sistema. Esto es necesario para ejecutar varias aplicaciones heredadas.
f) Para el caso de la configuración de red en la instalación de Windows 2000 Server, será conveniente marcar la opción «Configuración personalizada» e introducir una IP fija para el servidor, este paso también será posible hacerlo si ya tenemos instalado Windows 2000 Server (desde las propiedades de red):
g) No es necesario que el equipo pertenezca a un dominio:
Configuración de Terminal Server y Enrutamiento y acceso remoto tras instalación
Configuración de la red de Windows 2000 server
Una vez instalado Windows 2000 Server, configuraremos la red (si no lo hemos hecho en el proceso de instalación), desde Conexiones de red y acceso telefónico, botón derecho sobre «Conexión de área local», seleccionando «Propiedades»:
Seleccionaremos «Protocolo Internet (TCP/IP)» y pulsaremos en «Propiedades»:
Introduciremos la IP del servidor, la máscara de subred, la puerta de enlace, el servidor DNS preferido (es recomendable que sea la IP del propio servidor), el servidor DNS alternativo:
En la pestaña «DNS» pondremos agregar más servidor DNS si fuera necesario:
Configuración y apertura de puertos en el router de la red
Tras configurar la red del servidor e instalar los servicios de terminal server, deberemos abrir el puerto correspondiente a la VPN (1723) el el router o cortafuegos de nuestra red. Si disponemos de un router accederemos a la consola de administración. Aunque el menú puede variar de un modelo de router a otro (en el ejemplo es un Vigor 2200) la opción suele llamarse NAT, en este router «NAT Setup»:
En la siguiente ventana de NAT Setup pulsaremos en «Configure Port Redirection Table«:
Añadiremos el puerto 1723 en «Public Port» y la IP del servidor de Windows 2000 Server en «Private IP», en «Protocol» seleccionaremos «TCP», marcaremos la casilla de verificación «Active» y guardaremos los cambios:
Configuración de la seguridad y otras opciones de Terminal Server (RDP-Tcp)
Para decidir qué usuarios o grupos de usuarios tendrán acceso a Terminal Server desde la Red Local y desde fuera de la red (Internet) y para configurar (suplantar) las opciones de conexión de los usuarios (tiempo de sesión, impresoras, control remoto, …), lo configuraremos desde: «Herramientas administrativas» – «Configuración de Servicios de Terminal Server» – «Conexiones» – «RDP-Tcp»:
IMPORTANTE: la configuración que mostramos a partir de ahora se ha realizado en un controlador de dominio promocionado (Active Directory), con lo cual, para servidores Windows 2000 Server sin promocionar a controlador de dominio la configuración puede variar sensiblemente. Todas las herramientas que vamos a utilizar se encuentran en “Herramientas administrativas” del “Panel de Control”:
En la pestaña «Permisos» de RDP-Tcp» agregaremos los usuarios y grupos de seguridad que tendrán acceso a Terminal Server. Por ejemplo, podremos crear un grupo de seguridad llamado «gAcceso Remoto» y agregar a este grupo todos los usuarios que queramos que accedan mediante Terminal Server al Servidor:
Desde la pestaña «Adaptadores de red» podremos indicar qué tarjeta de red será la que se utilice para el servidor de Terminal Server, seleccionando «Todos los adaptadores de red están configurados con este protocolo» se activará el servicio para todas las tarjetas de red del servidor:
Desde «RDP-Tcp» podremos configurar otras opciones para los usuarios que accedan mediante conexión a escritorio remoto a nuestro servidor de terminales (terminal server).
En la parte izquierda, seleccionando «Configuración de servidor» podremos configurar otras opciones de conexión (por ejemplo podremos cambiar el modo de Terminal Server para que sólo admita conexiones para administración o como actualmente lo tenemos, en modo «Servidor de aplicaciones». Podremos indicar otras opciones:
- Eliminar las carpetas temporales al salir.
- Usar carpetas temporales por sesión.
- Licencia de conector de Internet.
- Active Desktop.
- Compatibilidad de permisos.
Para decidir qué usuarios o grupos de usuarios podrán tener acceso al servidor, también hay que configurar la Directiva de seguridad, para ello accedemos a «Directiva de seguridad del controlador de dominio», en la parte izquierda pulsaremos en «Configuración de seguridad», «Directivas locales», «Asignación de derechos de usuario», en la parte derecha «Inicio de sesión local»:
Agregaremos aquí los grupos de seguridad y usuarios que tendrán acceso:
Para activar/desactivar el acceso de un usuario a Terminal Server (tanto en red local como desde internet), podremos hacerlo desde «Usuarios y equipos de Active Directory»:
En la pestaña «Perfil de Servicios de Terminal Server» de las propiedades del usuario, marcaremos o desmarcaremos la opción «Permitir iniciar la sesión en servidor Terminal Server»:
Activación servicio Enrutamiento y acceso remoto (VPN) en Windows 2000 Server
Para permitir el acceso a determinados usuarios desde fuera de la LAN utilizaremos la VPN, para ello activaremos el “Enrutamiento y acceso remoto”, desde “Herramientas administrativas”, “Enrutamiento y acceso remoto”, botón derecho sobre el nombre del servidor, en el menú emergente seleccionaremos «Configurar y habilitar el enrutamiento y acceso remoto:
Pulsaremos «Siguiente» en el asistente que nos aparecerá:
Marcaremos la opción «Servidor de red privada virtual (VPN)» y pulsaremos «Siguiente»:
Nos mostrará los protocolos de cliente remoto, en nuestro caso «TCP/IP»:
Seleccionaremos la opción «No hay conexión Internet» en «Conexión de Internet»:
En la asignación de direcciones IP podremos marcar la opción «Automáticamente» para que sea el servidor de DHCP de nuestra red el que asigne las IPs, si no disponemos de servidor de DHCP en nuestra red y marcamos esta opción será el propio servidor el que genere las direcciones IP para los clientes que accedan mediante la VPN. Si queremos indicar un rango de IP manual marcaremos la opción «De un intervalo de direcciones especificado»:
Si desea utilizar la autenticación RADIUS habrá que marcar la opción «Sí, deseo usar un servidor RADIUS», en caso contrario marcaremos la opción «No, no quiero configurar este servidor para usar RADIUS ahora»:
Antes de la instalación del servicio de «Enrutamiento y acceso remoto» el asistente nos mostrará la siguiente ventana, pulsaremos «Finalizar» para concluir el proceso:
El proceso final se iniciará:
Tras la activación del servicio, tendremos nuevas opciones en «Enrutamiento y acceso remoto», por ejemplo «Directivas de acceso remoto», desde esta directiva indicaremos qué usuarios o grupos tendrán permiso para acceder mediante VPN al servidor, a la derecha seleccionaremos «Acceso usuarios remotos»:
Marcaremos «Conceder permiso de acceso remoto», pulsaremos «Agregar» en la ventana de «Propiedades de Acceso usuarios remotos»:
Seleccionaremos el atributo «Windows-Groups»:
Agregaremos los grupos de seguridad que queramos que tengan acceso a la VPN:
Pulsando con el botón derecho del ratón sobre el servidor, seleccionando «Propiedades» accederemos a las propiedades del servidor para la VPN (enrutamiento y acceso remoto):
Podremos desmarcar la opción «Enrutador» pues no será necesaria, sí ha de estar marcada la opción «Servidor de acceso remoto»:
Por último, deberemos activar en todos los usuarios que queramos que tengan acceso remoto desde fuera de la LAN (mediante VPN) la opción “Permitir acceso”, para ello accederemos a «Usuarios y equipos de Active Directory», seleccionaremos el usuario, accederemos a sus propiedades:
Y en la pestaña «Marcado» marcaremos la opción «Permitir acceso» de «Permiso de acceso remoto (acceso telefónico o red privada virtual)»:
Con los pasos anteriores tendremos configurado el servidor de Windows 2000 Server para permitir acceso remoto mediante VPN y Terminal Server.
Configuración de los equipos clientes para la conexión al servidor con Windows 2000 Server y VPN
Configuración de un equipo con Windows 98 para conexión a la VPN
Desde «Agregar o quitar programas» del equipo cliente con Windows 98, accederemos a la pestaña «Instalación de Windows» y marcaremos la opción «Comunicaciones», pulsando en «Detalles»:
Seleccionaremos «Red privada virtual»:
En «Mi PC» aparecerá un nuevo elemento «Acceso telefónico a redes», haremos doble clic sobre él:
Pulsaremos «Siguiente» en la ventana del asistente para Acceso telefónico a redes:
En «Escriba un nombre para el equipo al que está llamando» introduciremos un nombre descriptivo de la sede a la que nos estemos conectando, por ejemplo «AjpdSoft». En «Seleccione un dispositivo» seleccionaremos «Microsoft VPN Adapter» (dispositivo que se habrá instalado anteriormente):
En «Nombre del host o dirección IP» escribiremos la dirección IP pública de la sede donde reside nuestro servidor con Windows 2000 Server y VPN:
El asistente nos mostrará la última ventana, indicando que el proceso de crear una nueva conexión ha finalizado:
En «Acceso telefónico a redes» del equipo con Windows 98 aparecerá la nueva conexión, haciendo doble clic sobre ella nos conectaremos a la VPN:
Nos pedirá un nombre de usuario y contraseña (debe ser un usuario existente en el servidor con Windows 2000 Server que tenga permisos de acceso mediante VPN), en «Servidor VPN» volveremos a escribir la IP pública de la sede con Windows 2000 Server. Pulsaremos en «Conectar»:
El equipo cliente validará el usuario y la contraseña en el equipo servidor al que hace referencia la IP indicada:
Si todo es correcto nos mostrará la siguiente ventana, indicando que la conexión se ha establecido correctamente y la forma de desconectarnos cuando ya no sea necesaria:
En el área de notificación aparecerá un icono indicando que estamos conectados a la VPN. En este momento ya podremos acceder a los recursos compartidos del servidor de Windows 2000 Server como si estuviésemos en la red de aquella sede (con la limitación del ancho de banda disponible de la conexión a Internet de que dispongamos):
Por último nos queda instalar en el PC cliente la conexión a Terminal Server (escritorio remoto): si el PC cliente dispone de Windows XP no será necesario pues la lleva incorporada en “Accesorios” – “Comunicaciones” – “Conexión a escritorio remoto”:
Indicaríamos la IP local del servidor de Terminal Server con Windows 2000 Server, puesto que con la conexión VPN realizada anteriormente ya estamos en la red local del PC Servidor:
Para PCs clientes con Windows 98/ME deberemos instalar el cliente de acceso remoto (conexión a escritorio remoto), bien con los disquetes que se pueden generar desde Windows 2000 Server, desde «Herramientas administrativas» – «Creador de cliente de Servicios de Terminal Server»:
O bien utilizando el CD de instalación de Windows XP y seleccionando “Realizar tareas adicionales”:
Y «Instalar conexión a escritorio remoto»:
Configuración de un equipo con Windows XP para la conexión a la VPN
Para configurar la conexión mediante VPN en un equipo cliente con Windows XP accederemos a «Inicio» – «Configuración» – «Conexiones de red» – «Asistente para conexión nueva»:
Pulsaremos «Siguiente» para iniciar el asistente:
En «Tipo de conexión de red» marcaremos la opción «Conectarse a la red de mi lugar de trabajo»:
En «Conexión de red» marcaremos la opción «Conexión de red privada virtual»:
En «Nombre de la organización» indicaremos un nombre descriptivo para la conexión a la VNP, por ejemplo «AjpdSoft»:
En «Red pública» marcaremos la opción «No usar la conexión inicial»:
En «Nombre del host o dirección IP» introduciremos la dirección IP pública de la sede donde reside nuestro servidor con Windows 2000 Server y VPN:
Marcando la opción «Agregar en mi escritorio un acceso directo a esta conexión» el asistente, tras pulsar en «Finalizar» nos añadirá un acceso directo en el escritorio para la conexión a la VPN:
Haremos doble clic sobre el acceso directo creado, nos pedirá usuario y contraseña, si todo es correcto se establecerá la conexión VPN con el servidor y podremos acceder a la red local de éste.