Menu

Publicando el Escritorio Remoto de un Windows 2003 SBS R2

21/06/2007 - Troubleshooting

Aunque no es una práctica recomendada, publicar el servicio de Escritorio Remoto del Servidor SBS para poder acceder a administrar las funciones del mismo remotamente nos suele salvar de apuros rápidamente.

¡Atención! Esta práctica incrementa la superficie de ataque de un servidor (Attack Surface). Como práctica conviene configurar una conexión VPN contra el servidor, y una vez conectado, establecer las conexiones como si fueran locales.

El siguiente gráfico muestra la topología de red que utilizo para este ejemplo:

Todavía no instalé SBS 2003 !!!

Durante la instalación del adicional Premium de SBS, cuando instalas ISA Server 2004, durante el asistente, se solicita que se seleccionen que Servicios estarán publicados en las interfaces de red del ISA. En una de las entradas se menciona Terminal Server. Si se selecciona dicha entrada se habilita la conexión desde cualquier red a Local Host al puerto 3389 TCP que es el que utiliza Escritorio Remoto para las conexiones.

Si ya lo instalé y configuré ISA con el asistente pero me olvide configurar la opción de publicación…

En caso de no haberlo habilitado durante el asistente, y para no recorrer todo el proceso de configuración nuevamente, se puede habilitar desde el ISA Server Management.

Para ello abrir el ISA Server Management:

Con la consola abierta, expandir el objeto NombreServidor (en el ejemplo, el servidor se llama SBSR2) y seleccionar Firewall Policy. Dentro de la lista de políticas hay una que se llama SBS RDP Server Access Rule.


Si esta regla tiene un ícono indica que la regla está deshabilitada. Solamente hay que hacer click con botón derecho y habilitarla.

Luego aplicar los cambios y listo

Si no encuentro la maldita regla!!! WTF#$%#”!!!!
A no desesperar, esta regla es igual a cualquier otra regla con la diferencia que debo publicarla a Localhost…
Para ello crear una nueva regla de acceso. Para crear una nueva regla click con botón derecho sobre Firewall Policy, New, Access Policy
Inicia el Asistente ingresando un nombre para la regla… Seleccionar que la Regla va a ser una regla de Permitir (Allow) y luego seleccionar el Protocolo RDP (Terminal Server)¡OJO! No elegir el Item RDP (Terminal Server) Server!!

Seleccioná la red desde donde aceptarás las conexiones. En este caso debería ser la Red Externa.
Indicar hacia donde se realizarán las conexiones. Dado que el servicio de escritorio remoto corre en LocalHost, seleccionar dicha red que hace referencia al propio servidor.
El siguiente paso es seleccionar que usuarios tienen permisos.
¡OJO! Dado que la conexión se realiza desde afuera, esta opción no tiene validez ya que no se puede comprobar la autenticación del usuario. Una vez conectado al servicio, es Escritorio Remoto y WinLogon quien permitirá o denegará el acceso a un usuario dependiendo de si tiene derechos a iniciar sesión mediante terminal server.
Por último ver el resúmen y Finalizar el Asistente.

Luego Aplicar los cambios y listo. Para acceder se debe ingresar la IP pública que tiene configurado el ISA Server en su placa externa.

Para iniciar la conexión desde internet hay que abrir el programa Escritorio Remoto (un Tip! se puede ejecutar clickeando en Inicio, Ejecutar y ejecutando mstsc) e ingresarle la dirección IP de la interface externa del ISA Server (en el ejemplo sería 172.16.10.1)

Tags: , , ,

2 thoughts on “Publicando el Escritorio Remoto de un Windows 2003 SBS R2

Ricardo Mendoza

¿y si lo que necesito es publicar es el escritorio remoto de un equipo con windows vista que tengo en la red interna para que sea visto desde la red externa?

Reply
Dave Sanchez

Pues en lugar de dirigir el trafico al localhost lo diriges al equipo en cuestion, obviamente que siempre tenga la misma ip…creo

Reply

Leave a Reply

Your email address will not be published. Required fields are marked *