{Terminal Server}

Sergio ReiterPrimergy Product ManagerFujitsu Siemes Computer

José Parada GimenoITPro EvangelistMicrosoft Corporation

Sergio Reiter PRIMERGY Product Manager Juan Valls Perales Senior

Consultant

Entorno para la demostración: Un entorno PYME

1 x Chasis BX 600 S3

2 x Blades BX620 S4Procesadores Intel Quad Core 5310Ram de 4 Gb2 x Disco duro de 72 Gb en 2,5 Pulgadas6 tarjetas de red por blade

Watts Matter.ppt 27.02.2007 Bernhard Brandwitte © Fujitsu Siemens Computers 2007 All rights reserved5

Blade Server: Vista frontal

… y Vista trasera

Ventiladores redundantes

PSu´sRedundantes

Gestíon remota

KVM-blade

Dispositivos Pass-through

Switch bladesDual-CPU

server blade

Quad-CPUserver blade

Octo-CPUserver blade

Toda su infraestructura en un solo chasis

Si mejoramos la eficiencia de nuestrasherramientas … ¿Porqué no mejorar la eficienciadel consumo de nuestrosservidores?

Si mejoramos la eficiencia de nuestrasherramientas … ¿Porqué no mejorar la eficienciadel consumo de nuestrosservidores?

Watts Matter.ppt 27.02.2007 Bernhard Brandwitte © Fujitsu Siemens Computers 2007 All rights reserved7

Diseñados para la eficiencia energética: Cool-Safe ™

El mejor concepto en refrigeración del mercado para incrementar la vida de su sistema y mantener su rendimiento:

Cool-safe™ System controla la temperatura duplicando la vida del servidor.

Tranquilidad y seguridad de su inversión durante mucho tiempo gracias a unos de los mejores MTBF del mercado.

Un diseño flexible y preparado para el futuro.

Túneles de aire separados.

Sistemas de refrigeración totalmente automatizados.

© Fujitsu Siemens Computers 2007 All rights reserved8

Entorno DEMO

Partición Padre Particiónes Hijas

Windows Server 2008

Windows Kernel

{Terminal Server y Seguridad}

José Parada GimenoITPro EvangelistMicrosoft

Corporation

{Hoy no me puedo Conectar}

TS Gateway

TS GatewayDMZInternet Red Interna

Terminal Server

Hotel F

irew

all E

xter

no

Fire

wal

l Int

erno

Casa

Business Partner/Client Site

Other RDPHosts

TerminalServer

Internet

Terminal Services Gateway Server

Network Policy Server

Active Directory DC

Tunel RDP sobre

RPC/HTTPS

Pasa tráfico RDP/SSL al

TS

Deshace el RPC/HTTPS

Seguridad FuerteUsa cifrado estándar de la industria (SSL, HTTPS)El tráfico RDP sigue cifrado de extremo a extremo desde el cliente al servidorLa salud del equipo cliente se puede chequear mediante NAPSe puede terminar el trafico SSL en dispositivos intermedios para detectar intrusiones o filtrar en la DMZAutenticación mediante contraseña o smartcards

Conectividad Sencilla

El puerto de SSL, 443 ofrece menos problemas de conectividad que el puerto RDP 3389.

Https esta abierto de salida en casi todos los proxy.Https esta abierto de entrada en casi todos los Firewalls.En dispositivos con NAT, es sencillo redirigir el puerto 443.

DespliegueInstalación1. Instalar el Role TS Gateway2. Obtener un Certificado para el Servidor TS

Gateway3. Configurar el Certificado en IIS4. Crear una política de acceso de clientes

(CAP)5. Crear una política de acceso a equipos

(RAP)6. Limitar el numero de conexiones por el TS

Gateway (Opcional)7. Monitorizar las conexiones por el TS

Gateway

Planificación para Despliegue

• Fácil de configurar• Requiere que se instale el certificado en

el clienteAuto Firmado

• Se debe de comprar• Los certificados “Comodín” se pueden

usar para todos los roles de TS• No hay que instalarlo en el cliente

De un Tercero (ejem. Verisign)

• Complejo de configurar ( A no ser que ya se tenga un “Certificate Server)

• La instalación en cliente se puede automatizar en los clientes gestionados

Certificate Server

Elegir los certificados

Recuerda que el nombre del certificado ha de coincidir con el servidor:• El certificado del Gateway ha de coincidir con el nombre externo de la

máquina• Los certificados de acceso Web tienen que coincidir con el nombre externo del

sitio cuando se usa HTTPS – considerar el uso de HTTP internamente• Un certificado SSL puedes ser usado para firmar RDP (No se necesita otro

certificado)• Los certificados comodín pueden usarse para simplificar , pero ojo con los

riesgos.

{ Configurar Terminal Server Gateway}

NameTitleGroup

demo

{No encuentro la Aplicación}

TS Web Access

TS Web AccessPublicación o despliegue de aplicaciones a través de una pagina Web.

TS Web AccessRequiere que IIS este instalado en el equipoSolo es una página WEB, NO proporciona ningún tipo de canal de comunicaciones como en el caso de TS GatewayGenera automáticamente una Pagina Web con unas WebParts donde están la definición de la conexión RDP.

Fácil de personalizar la Web en función del usuario que se conecte.

El cliente ha de ser Vista SP1 o W2K8

TS Gateway Con TS Web AccessEl host RDP se puede situar tras un

FirewallHTTP/S se usa para atravesar el FirewallSe chequean AD / ISA / NAP antes de permitir la conexiónEl escritorio y las aplicaciones no se ejecutan dentro de IE

AD / IAS / NAP

El Usuario navega a TS Web Access

El usuario inicia la conexión HTTPS al TS Gateway

Terminal Servers o XP / Vista

TS Gateway

TS Web Access

Internet

DMZ Red Interna Network

RDP Sobre HTTP/S se establece a TSG RDP 3389 a host

Chequeo AD / IAS / NAP

Cliente (TS) Vista RDC

Publicación de aplicacionesPuede ser mediante paquetes RDP o MSI

RDP es simplemente un fichero con los parámetros de conexiónMSI es un mínimo paquete de instalación del RDP

Se pueden publicar simplemente compartiéndolos en un directorio o mediante el sistema de distribución de software que queramosEl DA es muy útil para desplegar estas aplicaciones personalizando en función del usuario.

Integración de Aplicaciones en el Escritorio Local

Terminal Server

Parece que los programas se ejecutan en local

Requiere el cliente de

acceso remoto

{ Publicar Aplicaciones con TSWebAccess}

NameTitleGroup

demo

{No puedo ver ni Imprimir mis Foto }Easy PrintRedirección Dispositivos

Terminal Server

Remote Desktop Protocol

Equipo Cliente

Redireccionamiento de Dispositivos

Redireccionamiento de Dispositivos PnPPara dispositivos “Windows Portable

Devices” como reproductores MTP y cámaras PTPConfigurable mediante políticas

Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\Do not allow supported Plug and Play device RedirectionComputer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions

También disponible para dispositivos utilizados en puntos de servicio con Windows embebido (Windows Embedded for Point of Service POS), que utilizan Microsoft POS para .NET 1.11

Terminal Server

Impresión Sencilla

1234El usuario abre Microsoft Word via Terminal ServicesEl documento se imprime en la impresora local

“TS Easy Print” utiliza el driver del cliente y aparece el interface de Usuario completo para impresión.

El usuario quiere imprimir un documento a su impresora local

1

2

3

4

Impresión Sencilla – Easy PrintRe-direccionamiento de impresoras

locales en la aplicación que se ejecuta en el Terminal serverEs un driver del servidor que actúa como Proxy enviando todos los trabajos de impresión al equipo local.No requiere la instalación de ningún driver en el servidor, solo hace falta W2K8Requiere en cliente RDC 6.1 y el Framework 3.0 SP1 (estará disponible para XP y 2003)

{Redireccionamiento de dispositivios e Impresión Sencilla}

NameTitleGroup

demo

{Tengo que volver a escribir mis credenciales}Otras capacidadesAutenticación y SSO

Terminal Server

Terminal Server

Windows Server 2008 1

Gestor de Sesiones o “Session Broker”

Windows Server 20082

1

2

3

4

5

6

123456 El Usuario Remoto Conecta via Terminal Services

TS: El Servidor 1 contacta con el “Session Broker” para determinar donde ha de iniciar sesión el usuario

“Session Broker” indica al Servidor 1 que este usuario no tiene sesión y que el Servidor 2 tiene menos carga

El Servidor 1 indica al cliente vía RDP que ha de redirigirse al Servidor 2El Cliente es redirigido al Servidor 2Se Crea la Sesión en el Servidor 2 para el cliente

Session Broker

Gestor de Sesiones o “Session Broker”Permite la conexión al nodo que

albergue menos sesiones y pesar cada servidor para que alberguen mas o menos sesiones en función de su rendimiento.Guarde el estado de la sesión y en caso de problemas en la conexión, nos permite conectarnos a la sesión ya establecida en el mismo nodo.Permite el drenado de sesiones en un nodo para poder ponerlo fuera de línea para mantenimiento etc.

Capacidades del nuevo Escritorio Remoto

Monitor SpanningDesktop ExperienceDesktop CompositionFont SmoothingDisplay Data Prioritization

Terminal Server

Active Directory

Autenticación a Nivel de Red

AutenticaciónAutenticación a nivel de Red: Se realiza la autenticación del usuario antes de que se conecte a la sesión y se muestre el inicio de sesión en el servidor de Terminales

Evita posibles ataques de DOSAutenticación de Servidor. Verifica que nos conectamos al servidor correcto y evita que nos conectemos a una maquina maliciosaSSO: evita tener que volver a introducir nuestras credenciales

{ Single Sign On}

NameTitleGroup

demo

Mejoras en el Licenciamiento.Seguimiento y reporte de las

licencias por usuario.Las licencias por equipo se pueden revocarMejoras en el Gestor de Licencias que mejoran el diagnostico y la resolución de posibles problemas.Proveedor WMI para poder administrar el Servidor de Licencias

RecursosGuía paso a paso Terminal Server

http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en

Technical Libraryhttp://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true

Terminal Server Bloghttp://blogs.msdn.com/ts/default.aspx

Forohttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=580&SiteID=17

Recursos TechNet• TechCenter de Windows Server 2008

http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx

• Webcasts grabados sobre Windows Server

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1

• Webcasts grabados otras tecnologías Microsoft

http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx

• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30