The Evolution Show Terminal Services En Windows Server 2008

{Terminal Server} Sergio Reiter Primergy Product Manager Fujitsu Siemes Computer

José Parada Gimeno ITPro Evangelist Microsoft Corporation

Sergio Reiter Juan Valls Perales

PRIMERGY Product Manager Senior Consultant

Entorno para la demostración: Un entorno PYME 1 x Chasis BX 600 S3

2 x Blades BX620 S4 Procesadores Intel Quad Core 5310 Ram de 4 Gb 2 x Disco duro de 72 Gb en 2,5 Pulgadas 6 tarjetas de red por blade

Toda su infraestructura en un solo chasis

Blade Server: Vista frontal

… y Vista trasera

Midplane

Dual-CPU server blade Octo-CPU Quad-CPU server bladeserver blade

Watts Matter.ppt

27.02.2007

Bernhard Brandwitte

Dispositivos Pass-through Ventiladores redundantes PSu´s Gestíon Redundantes remota

Switch blades

© Fujitsu Siemens Computers 2007

All rights reserved

KVM-blade

Si mejoramos la eficiencia de nuestras herramientas … ¿Porqué no mejorar la eficiencia del consumo de nuestros servidores?

Diseñados para la eficiencia energética: Cool-Safe ™

El mejor concepto en refrigeración del mercado para incrementar la vida de su sistema y mantener su rendimiento: Cool-safe™ System controla la temperatura duplicando la vida del servidor. Tranquilidad y seguridad de su inversión durante mucho tiempogracias a unos de los mejores MTBF del mercado. Un diseño flexible y preparado para el futuro. Túneles de aire separados. Sistemas de refrigeración totalmente automatizados.

Watts Matter.ppt

27.02.2007

Bernhard Brandwitte

© Fujitsu Siemens Computers 2007

All rights reserved

Entorno DEMO Partició n Padre

Particiónes Hijas

Windows Server 2008

Windows Kernel

© Fujitsu Siemens Computers 2007

All rights reserved

AGENDA Acceso Sencillo y Seguro Publicación de aplicaciones Integración en el escritorio local Otras funcionalidades Session Broker Redirección de dispositivos PnP Impresión sencilla Otras capacidades del Escritorio Remoto Autenticación

{Terminal Server y Seguridad}

José Parada Gimeno ITPro Evangelist Microsoft Corporation

{Hoy no me puedo Conectar}

TS Gateway

DMZ

C asa

Deshace el RPC/HTTPS

Intern et H otel

Business Partner/ Client Site

Terminal Services Gateway

Red Interna Pasa tráfico RDP/SSL al TS

Firewall Interno

Tunel RDP sobre RPC/HTTPS

Firewall Externo

Internet

Termin al Server Termin al Server Other RDP Hosts

Network Policy Server Active Directory DC

Seguridad Fuerte Usa cifrado estándar de la industria (SSL, HTTPS) El tráfico RDP sigue cifrado de extremo a extremo desde el cliente al servidor La salud del equipo cliente se puede chequear mediante NAP Se puede terminar el trafico SSL en dispositivos intermedios para detectar intrusiones o filtrar en la DMZ Autenticación mediante contraseña o smartcards

Conectividad Sencilla El puerto de SSL, 443 ofrece menos problemas de conectividad que el puerto RDP 3389. Https esta abierto de salida en casi todos los proxy. Https esta abierto de entrada en casi todos los Firewalls. En dispositivos con NAT, es sencillo redirigir el puerto 443.

Despliegue Instalación

1. Instalar el Role TS Gateway 2. Obtener un Certificado para el Servidor TS Gateway 3. Configurar el Certificado en IIS 4. Crear una política de acceso de clientes (CAP) 5. Crear una política de acceso a equipos (RAP) 6. Limitar el numero de conexiones por el TS Gateway (Opcional) 7. Monitorizar las conexiones por el TS Gateway

Planificación para Elegir los certificados Despliegue

Recuerda que el nombre del certificado ha de coincidir con el servidor:

• El certificado del Gateway ha de coincidir con el nombre externo de la máquina • Los certificados de acceso Web tienen que coincidir con el nombre externo del sitio cuando se usa HTTPS – considerar el uso de HTTP internamente • Un certificado SSL puedes ser usado para firmar RDP (No se necesita otro

{ Configurar Terminal Server Gateway}

demo Name Title Group

{No encuentro la Aplicación}

TS Web Access

TS Web Access Publicación o despliegue de aplicaciones a través de una pagina Web.

TS Web Access Requiere que IIS este instalado en el equipo Solo es una página WEB, NO proporciona ningún tipo de canal de comunicaciones como en el caso de TS Gateway Genera automáticamente una Pagina Web con unas WebParts donde están la definición de la conexión RDP. Fácil de personalizar la Web en función del usuario que se conecte.

El cliente ha de ser Vista SP1 o W2K8

TS Gateway Con TS Web El host RDP se puede situar tras un Access Firewall HTTP/S se usa para atravesar el Firewall AD / IAS / NAP Se chequean AD / ISA / NAP antes de permitir la conexión El escritorio y las aplicaciones no se TS Cliente (TS) Vista ejecutan dentro de IE Gateway Chequeo AD / IAS / RDC

RDP Sobre se establece El usuario iniciaHTTP/S la conexión HTTPS ala TSG TS Gateway

RDP 3389 a host

NAP

Terminal Servers o XP / Vista

El Usuario navega a TS Web Access

Intern et

TS Web Access DMZ

Red Interna Network

Publicación de aplicaciones Puede ser mediante paquetes RDP o MSI RDP es simplemente un fichero con los parámetros de conexión MSI es un mínimo paquete de instalación del RDP

Se pueden publicar simplemente compartiéndolos en un directorio o mediante el sistema de distribución de software que queramos El DA es muy útil para desplegar estas aplicaciones personalizando en función del usuario.

Integración de Aplicaciones en el Escritorio Local Parece que los programas se ejecutan en local Requiere el cliente de acceso remoto Terminal Server

{ Publicar Aplicaciones con TSWebAccess}

demo Name Title Group

{No puedo ver ni Imprimir mis Foto } Easy Print Redirección Dispositivos

Redireccionamiento de Dispositivos

Remote Deskto p Proto col

Equipo Cliente

Terminal Server

Redireccionamiento de Dispositivos PnP Para dispositivos “Windows Portable Devices” como reproductores MTP y cámaras PTP Configurable mediante políticas

Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\Do not allow supported Plug and Play device Redirection Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions

También disponible para dispositivos utilizados en puntos de servicio con Windows embebido (Windows Embedded for Point of Service POS), que utilizan Microsoft

Impresión Sencilla

Terminal Server

3

2 1

1 2 3 4 4

“TS Easy Print” el driver del El usuario documento quiere imprime imprimir en un la via abreseutiliza Microsoft Word cliente y aparece el interface de impresora documento local a su impresora local Terminal Services Usuario completo para impresión.

Impresión Sencilla – Easy Re-direccionamiento de impresoras Print locales en la aplicación que se ejecuta en el Terminal server Es un driver del servidor que actúa como Proxy enviando todos los trabajos de impresión al equipo local. No requiere la instalación de ningún driver en el servidor, solo hace falta W2K8 Requiere en cliente RDC 6.1 y el Framework 3.0 SP1 (estará disponible para XP y 2003)

{Redireccionamient o de dispositivios e Impresión Sencilla}

demo Name Title Group

{Tengo que volver a escribir mis credenciales } Otras capacidades

Autenticación y SSO

Gestor de Sesiones o “Session Broker” Session Broker

2

Windows Server 20082

Windows Server 2008 1

3

Terminal Server

Terminal Server

5 4 6 1

6 1 2 3 4 5

“Session TS: El Servidor Broker” 1 contacta indica al con Servidor elTerminal 1 SeCliente Crea la Sesión 2RDP El Usuario Remoto Conecta via es alServidor Servidor 2para Servidor 1 redirigido indicaen alelcliente vía “Session que este Broker” usuario no para tiene determinar sesión y que el cliente Services que ha de redirigirse al Servidor 2 donde el Servidor ha de 2 iniciar tiene menos sesión carga el usuario

Gestor de Sesiones o “Session Broker” Permite la conexión al nodo que

albergue menos sesiones y pesar cada servidor para que alberguen mas o menos sesiones en función de su rendimiento. Guarde el estado de la sesión y en caso de problemas en la conexión, nos permite conectarnos a la sesión ya establecida en el mismo nodo. Permite el drenado de sesiones en un nodo para poder ponerlo fuera de línea para mantenimiento etc.

Capacidades del nuevo Escritorio Remoto

Monitor Spanning Desktop Experience Desktop Compositio n Font Smoothing Display Data

Autenticación a Nivel de Red

Terminal Server

Active Directory

Autenticación Autenticación a nivel de Red: Se realiza la autenticación del usuario antes de que se conecte a la sesión y se muestre el inicio de sesión en el servidor de Terminales Evita posibles ataques de DOS

Autenticación de Servidor. Verifica que nos conectamos al servidor correcto y evita que nos conectemos a una maquina maliciosa SSO: evita tener que volver a introducir nuestras credenciales

{ Single Sign On}

demo Name Title Group

Mejoras en el Licenciamiento. Seguimiento y reporte de las

licencias por usuario. Las licencias por equipo se pueden revocar Mejoras en el Gestor de Licencias que mejoran el diagnostico y la resolución de posibles problemas. Proveedor WMI para poder administrar el Servidor de Licencias

Dimensionamiento

Recursos

Guía paso a paso Terminal Server

http://www.microsoft.com/downloads/details.aspx?fa

Technical Library

http://technet2.microsoft.com/windowsserver2008/e

Terminal Server Blog http://blogs.msdn.com/ts/default.aspx

Foro

http://forums.microsoft.com/TechNet/ShowForum.as

Recursos TechNet • TechCenter de Windows Server 2008

http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008

• Webcasts grabados sobre Windows Server

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant

• Webcasts grabados otras tecnologías Microsoft

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant

• Foros técnicos http://forums.microsoft.com/technet-es/default.aspx?siteid=30