{terminal server} sergio reiter primergy product manager fujitsu siemes computer josé parada gimeno...
TRANSCRIPT
{Terminal Server}
Sergio ReiterPrimergy Product ManagerFujitsu Siemes Computer
José Parada GimenoITPro EvangelistMicrosoft Corporation
Sergio Reiter PRIMERGY Product Manager Juan Valls Perales Senior
Consultant
Entorno para la demostración: Un entorno PYME
1 x Chasis BX 600 S3
2 x Blades BX620 S4Procesadores Intel Quad Core 5310Ram de 4 Gb2 x Disco duro de 72 Gb en 2,5 Pulgadas6 tarjetas de red por blade
Watts Matter.ppt 27.02.2007 Bernhard Brandwitte © Fujitsu Siemens Computers 2007 All rights reserved5
Blade Server: Vista frontal
… y Vista trasera
Ventiladores redundantes
PSu´sRedundantes
Gestíon remota
KVM-blade
Dispositivos Pass-through
Switch bladesDual-CPU
server blade
Quad-CPUserver blade
Octo-CPUserver blade
Toda su infraestructura en un solo chasis
Si mejoramos la eficiencia de nuestrasherramientas … ¿Porqué no mejorar la eficienciadel consumo de nuestrosservidores?
Si mejoramos la eficiencia de nuestrasherramientas … ¿Porqué no mejorar la eficienciadel consumo de nuestrosservidores?
Watts Matter.ppt 27.02.2007 Bernhard Brandwitte © Fujitsu Siemens Computers 2007 All rights reserved7
Diseñados para la eficiencia energética: Cool-Safe ™
El mejor concepto en refrigeración del mercado para incrementar la vida de su sistema y mantener su rendimiento:
Cool-safe™ System controla la temperatura duplicando la vida del servidor.
Tranquilidad y seguridad de su inversión durante mucho tiempo gracias a unos de los mejores MTBF del mercado.
Un diseño flexible y preparado para el futuro.
Túneles de aire separados.
Sistemas de refrigeración totalmente automatizados.
© Fujitsu Siemens Computers 2007 All rights reserved8
Entorno DEMO
Partición Padre Particiónes Hijas
Windows Server 2008
Windows Kernel
{Terminal Server y Seguridad}
José Parada GimenoITPro EvangelistMicrosoft
Corporation
{Hoy no me puedo Conectar}
TS Gateway
TS GatewayDMZInternet Red Interna
Terminal Server
Hotel F
irew
all E
xter
no
Fire
wal
l Int
erno
Casa
Business Partner/Client Site
Other RDPHosts
TerminalServer
Internet
Terminal Services Gateway Server
Network Policy Server
Active Directory DC
Tunel RDP sobre
RPC/HTTPS
Pasa tráfico RDP/SSL al
TS
Deshace el RPC/HTTPS
Seguridad FuerteUsa cifrado estándar de la industria (SSL, HTTPS)El tráfico RDP sigue cifrado de extremo a extremo desde el cliente al servidorLa salud del equipo cliente se puede chequear mediante NAPSe puede terminar el trafico SSL en dispositivos intermedios para detectar intrusiones o filtrar en la DMZAutenticación mediante contraseña o smartcards
Conectividad Sencilla
El puerto de SSL, 443 ofrece menos problemas de conectividad que el puerto RDP 3389.
Https esta abierto de salida en casi todos los proxy.Https esta abierto de entrada en casi todos los Firewalls.En dispositivos con NAT, es sencillo redirigir el puerto 443.
DespliegueInstalación1. Instalar el Role TS Gateway2. Obtener un Certificado para el Servidor TS
Gateway3. Configurar el Certificado en IIS4. Crear una política de acceso de clientes
(CAP)5. Crear una política de acceso a equipos
(RAP)6. Limitar el numero de conexiones por el TS
Gateway (Opcional)7. Monitorizar las conexiones por el TS
Gateway
Planificación para Despliegue
• Fácil de configurar• Requiere que se instale el certificado en
el clienteAuto Firmado
• Se debe de comprar• Los certificados “Comodín” se pueden
usar para todos los roles de TS• No hay que instalarlo en el cliente
De un Tercero (ejem. Verisign)
• Complejo de configurar ( A no ser que ya se tenga un “Certificate Server)
• La instalación en cliente se puede automatizar en los clientes gestionados
Certificate Server
Elegir los certificados
Recuerda que el nombre del certificado ha de coincidir con el servidor:• El certificado del Gateway ha de coincidir con el nombre externo de la
máquina• Los certificados de acceso Web tienen que coincidir con el nombre externo del
sitio cuando se usa HTTPS – considerar el uso de HTTP internamente• Un certificado SSL puedes ser usado para firmar RDP (No se necesita otro
certificado)• Los certificados comodín pueden usarse para simplificar , pero ojo con los
riesgos.
{ Configurar Terminal Server Gateway}
NameTitleGroup
demo
{No encuentro la Aplicación}
TS Web Access
TS Web AccessPublicación o despliegue de aplicaciones a través de una pagina Web.
TS Web AccessRequiere que IIS este instalado en el equipoSolo es una página WEB, NO proporciona ningún tipo de canal de comunicaciones como en el caso de TS GatewayGenera automáticamente una Pagina Web con unas WebParts donde están la definición de la conexión RDP.
Fácil de personalizar la Web en función del usuario que se conecte.
El cliente ha de ser Vista SP1 o W2K8
TS Gateway Con TS Web AccessEl host RDP se puede situar tras un
FirewallHTTP/S se usa para atravesar el FirewallSe chequean AD / ISA / NAP antes de permitir la conexiónEl escritorio y las aplicaciones no se ejecutan dentro de IE
AD / IAS / NAP
El Usuario navega a TS Web Access
El usuario inicia la conexión HTTPS al TS Gateway
Terminal Servers o XP / Vista
TS Gateway
TS Web Access
Internet
DMZ Red Interna Network
RDP Sobre HTTP/S se establece a TSG RDP 3389 a host
Chequeo AD / IAS / NAP
Cliente (TS) Vista RDC
Publicación de aplicacionesPuede ser mediante paquetes RDP o MSI
RDP es simplemente un fichero con los parámetros de conexiónMSI es un mínimo paquete de instalación del RDP
Se pueden publicar simplemente compartiéndolos en un directorio o mediante el sistema de distribución de software que queramosEl DA es muy útil para desplegar estas aplicaciones personalizando en función del usuario.
Integración de Aplicaciones en el Escritorio Local
Terminal Server
Parece que los programas se ejecutan en local
Requiere el cliente de
acceso remoto
{ Publicar Aplicaciones con TSWebAccess}
NameTitleGroup
demo
{No puedo ver ni Imprimir mis Foto }Easy PrintRedirección Dispositivos
Terminal Server
Remote Desktop Protocol
Equipo Cliente
Redireccionamiento de Dispositivos
Redireccionamiento de Dispositivos PnPPara dispositivos “Windows Portable
Devices” como reproductores MTP y cámaras PTPConfigurable mediante políticas
Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\Do not allow supported Plug and Play device RedirectionComputer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions
También disponible para dispositivos utilizados en puntos de servicio con Windows embebido (Windows Embedded for Point of Service POS), que utilizan Microsoft POS para .NET 1.11
Terminal Server
Impresión Sencilla
1234El usuario abre Microsoft Word via Terminal ServicesEl documento se imprime en la impresora local
“TS Easy Print” utiliza el driver del cliente y aparece el interface de Usuario completo para impresión.
El usuario quiere imprimir un documento a su impresora local
1
2
3
4
Impresión Sencilla – Easy PrintRe-direccionamiento de impresoras
locales en la aplicación que se ejecuta en el Terminal serverEs un driver del servidor que actúa como Proxy enviando todos los trabajos de impresión al equipo local.No requiere la instalación de ningún driver en el servidor, solo hace falta W2K8Requiere en cliente RDC 6.1 y el Framework 3.0 SP1 (estará disponible para XP y 2003)
{Redireccionamiento de dispositivios e Impresión Sencilla}
NameTitleGroup
demo
{Tengo que volver a escribir mis credenciales}Otras capacidadesAutenticación y SSO
Terminal Server
Terminal Server
Windows Server 2008 1
Gestor de Sesiones o “Session Broker”
Windows Server 20082
1
2
3
4
5
6
123456 El Usuario Remoto Conecta via Terminal Services
TS: El Servidor 1 contacta con el “Session Broker” para determinar donde ha de iniciar sesión el usuario
“Session Broker” indica al Servidor 1 que este usuario no tiene sesión y que el Servidor 2 tiene menos carga
El Servidor 1 indica al cliente vía RDP que ha de redirigirse al Servidor 2El Cliente es redirigido al Servidor 2Se Crea la Sesión en el Servidor 2 para el cliente
Session Broker
Gestor de Sesiones o “Session Broker”Permite la conexión al nodo que
albergue menos sesiones y pesar cada servidor para que alberguen mas o menos sesiones en función de su rendimiento.Guarde el estado de la sesión y en caso de problemas en la conexión, nos permite conectarnos a la sesión ya establecida en el mismo nodo.Permite el drenado de sesiones en un nodo para poder ponerlo fuera de línea para mantenimiento etc.
Capacidades del nuevo Escritorio Remoto
Monitor SpanningDesktop ExperienceDesktop CompositionFont SmoothingDisplay Data Prioritization
Terminal Server
Active Directory
Autenticación a Nivel de Red
AutenticaciónAutenticación a nivel de Red: Se realiza la autenticación del usuario antes de que se conecte a la sesión y se muestre el inicio de sesión en el servidor de Terminales
Evita posibles ataques de DOSAutenticación de Servidor. Verifica que nos conectamos al servidor correcto y evita que nos conectemos a una maquina maliciosaSSO: evita tener que volver a introducir nuestras credenciales
{ Single Sign On}
NameTitleGroup
demo
Mejoras en el Licenciamiento.Seguimiento y reporte de las
licencias por usuario.Las licencias por equipo se pueden revocarMejoras en el Gestor de Licencias que mejoran el diagnostico y la resolución de posibles problemas.Proveedor WMI para poder administrar el Servidor de Licencias
RecursosGuía paso a paso Terminal Server
http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en
Technical Libraryhttp://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true
Terminal Server Bloghttp://blogs.msdn.com/ts/default.aspx
Forohttp://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=580&SiteID=17
Recursos TechNet• TechCenter de Windows Server 2008
http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx
• Webcasts grabados sobre Windows Server
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1
• Webcasts grabados otras tecnologías Microsoft
http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx
• Foros técnicoshttp://forums.microsoft.com/technet-es/default.aspx?siteid=30