Microsoft ITPro Evangelist jparada@microsoft.com 3/29/2017 9:52 PM José Parada Gimeno Microsoft ITPro Evangelist jparada@microsoft.com © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Agenda Protección de Acceso a Redes (NAP) Server Core Mejoras en los Servicios de Terminal

José Parada Gimeno Microsoft ITPro Evangelist jparada@microsoft.com 3/29/2017 9:52 PM {NAP} Carlos Delso PM HP ProCurve Carlos.delso.foronda@hp.com José Parada Gimeno Microsoft ITPro Evangelist jparada@microsoft.com © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

NAP: Acceso basado en políticas Validación de Políticas: Determina si los equipos cumplen con la política de seguridad de la organización. A los que cumplen se les estima como “Saludables”. Restricciones de Red: Restringe el acceso a la red a los equipos en función de su salud. Remediación: Provee las actualizaciones necesarias para permitir que un equipo se vuelva saludable. Una vez que esto ocurre, se le quitan las restricciones de red. Cumplimiento sobre la marcha: Los cambios en la política de seguridad de la organización o en la salud de los equipos pueden provocar restricciones de red. Chema/Parada

Network Access Protection Funcionamiento Servidor de Políticas 3 DHCP, VPN Switch/Router 1 2 MSFT NPS No Cumple la Política Red Restringida 4 Fix Up Servers e.g. Patch Cliente Windows Cumple la Política El cliente solicita acceso a la red y presenta su estado de salud actual 1 5 Red Corporativa 2 DHCP, VPN o Switch/Router envía el estado de salud al Servidor de Políticas de Red (RADIUS) 3 El Servidor de Políticas (NPS) valida contra la política de salud definida por IT 4 Si no cumple la política el cliente solo tiene acceso a una VLAN restringida donde hay recursos para solucionar sus problemas, descargar actualizaciones, firmas(Repetir 1-4) 5 Si cumple la política al cliente se le permite el acceso total a la red corporativa INF210

Opciones de Forzado Forzado Cliente Saludable Cliente no Saludable DHCP Configuración IP completa. Acceso Total Conjunto de rutas restringido VPN (Microsoft and 3rd Party) Acceso Total VLAN Restringida 802.1X IPsec Puede comunicar con cualquier nodo en que confie Nodos saludables rechazan la conexión de sistemas no Saludables Complementa la protección a nivel 2 Funciona con la infraestructura existente Aislamiento Flexible

Componentes Basicos de NAP Cliente SHA – Agente de salud chequea la salud del sistema QA – Coordina SHA/EC EC – Método de Forzado Servidor de Remedios Proporciona parches, firmas AV , etc… Network Policy Server QS – evalua la salud del cliente SHV – evalua la respuesta SHA System Health Server Proporciona SHV Servidor de Remedios Servidores de Salud Actualizaciones Política de Salud Solicitud Acceso a la Red Cliente Estado de Salud NPS Policy Server (RADIUS) (SHA) MS SHA, SMS (SHA) 3rd Parties Health Certificate System Health Validator Agente de Quarentena QA (EC) (DHCP, IPsec, 802.1X, VPN) (EC) 3rd Party EAP VPN’s Quarantine Server (QS) 802.1x Switches Policy Firewalls SSL VPN Gateways Certificate Servers

Plataforma extensible - NAP APIs publicas para desarrollar SHV o Agentes Mas de 100 partners tienen ya soluciones (Casas antivirus) Hay agentes para otras plataformas (Linux) Integrable con la plataforma de Gestión y Seguridad de Microsoft SCCM 07 o Forefront. Integrable con la plataforma NAC de Cisco Extensible con la electrónica de red apropiada HP Pro Curve.

Protección LAN con NAP Aquí las tienes. Servidores de Chequeo de Salud Red Restringida Servidores de Remediación Aquí las tienes. ¿Puedo obtener Actualizaciones? Actualización de políticas al servidor NPS Patch Status AV Status ¿Puedo acceder? Aquí esta mi estado de Salud Solicitando Acceso. Mi estado de salud MS NPS Tienes acceso restringido hasta que te actualices Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Según las políticas, el cliente cumple. Permitir Acceso. ¿Debe este cliente ser restringido basándonos en su estado de salud? Switch 802.1X Se permite el acceso total al Cliente Cliente

Protección Perimetral con NAP Servidores de Chequeo de Salud Servidores de Remediación Actualización de políticas al servidor NPS Aquí las tienes. ¿Puedo obtener Actualizaciones? ¿Debe este cliente ser restringido basándonos en su estado de salud? ¿Puedo acceder? Aquí esta mi estado de Salud MS NPS Cliente Solicitando Acceso. Aquí esta mi nuevo estado de salud Se permite el acceso total a los recursos al Cliente Recurso bloqueado hasta que te actualices Según las políticas, el cliente cumple. Permitir Acceso. Según las políticas, el cliente no esta al día. Poner en cuarentena y solicitar actualización. Remote Access Gateway

Protección del Host con NAP Sin Política Autenticación Opcional Autenticación Requerida ¿Puedo obtener un certificado de Salud? Aqui esta mi estado de Salud ¿Esta el Cliente ok? SI. Emite el certificado de Salud No. Necesita Actualizarse NO obtienes tu certiificado. Actualizate. Aqui tienes el certificado de Salud  HRA X Necesito Actualizaciones. NPS Cliente Accediendo a la REd Aqui las tienes Servidor de Remediación

Nuevos servicios en el acceso a la red Gestión Control Trazabilidad Cumplimiento Visibilidad CONTROL de ACCESO CONTROL de INTEGRIDAD RESOLUCIÓN de INCIDENCIAS GESTIÓN de ATAQUES Adaptive Edge Servicios IT Corporativos VILTUAR SERVER VILTUAR SERVER VILTUAR SERVER Proactive Defense Red unificada segura

Microsoft Windows server 2008 y HP Procurve Network Policy Server Microsoft NPS Microsoft IAS Authentication Directory Active Directory HTTP Request Web-Auth MAC Address MAC-Auth 802.1X Supplicant NPS RADIUS IAS RADIUS NAP Agent 802.1X Supplicant 802.1X Authenticator Policy Enforcement Point (PEP) Supported in ProCurve Edge Devices 5300 / 5400 / 3400 / 3500 4100 / 4200 2600 / 2600-PWR / 2800 2610/2810/2900 2500 420 / 530 / WESM IDM Agent Network Mgmt Server PCM / IDM 2.3 Server ProCurve hardware ProCurve Microsoft

Integración NAP con la red Acceso ¿Quién soy? Integridad NAP/NAC ¿Cómo estoy? Básico 802.1x Acceso permitido o denegado Medio RFC3580 Acceso permitido a una vlan Si es denegado acceso a Vlan restingrida Avanzado Acceso y Política de uso de acuerdo al contexto Acceso y Política de uso de acuerdo al contexto y/o integridad RADIUS/ Servicio de Directorio Conmutador/ Acceso WIFI Gestión de políticas Integridad Dispositivo de acceso NAP Control de Acceso Políticas: Un Conjunto de: Vlan, permisos, control de ancho de banda y calidad de servicio. Contexto: Basado en: Usuario, momento, dispositivo y localización. 14

Armonizar diferentes sistemas sobre una única RED Dispositivos en cascada (Teléfono IP y PC ) VLAN usuarios (UnTagged) VLAN voz (Tagged) RADIUS Directorio LAN/WAN HP Procurve Diferentes sistemas IP sobre la red. (PCs, telefónia, Camaras IP, etc..) RADIUS Directorio HP Procurve LAN/WAN Wireless Switch

Autenticación multiusuario -Tecnología en puerto lógico Para HP ProCurve, cada dispositivo conectado sobre un mismo puerto pertenece a un puerto lógico distinto. Este puerto lógico se encarga de Proveer procesos de autenticación separados para cada dispositivo. Aprovisionar un entorno de producción diferente para cada dispositivo La tecnología en puerto lógico se utiliza para la arquitectura de conexión de teléfonos y PCs de usuarios en cadena VLAN usuarios VLAN voz RADIUS Directorio LAN/WAN HP Procurve 802.1x/MAC + RFC4675 [VLAN_Voz] 802.1x + RFC3580 [VLAN_Producción]

Beneficios NAP y HP ProCurve Integrado en Windows 2008 Server Unifica y permite diferentes sistemas. Control granular avanzado. Para usuarios y dispositivos cableados, inalámbricos y remotos. Registro para auditoría. Dinámico y automático. Protección antes y después del acceso. 17

demo { Configuración NAP} Name Title Group 3/29/2017 9:52 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Despliegue Planificación de Requerimientos Definir la política de salud requerida Definir los métodos de forzado requeridos Planificar la arquitectura NAP Planificar las excepciones Definir roles y responsabilidades Fases del despliegue Pruebas en Laboratorio Piloto Modo de Reporte Forzado diferido Forzado

Server Core {El Windows sin Windows} 3/29/2017 9:52 PM Server Core {El Windows sin Windows} David Cervigón Luna IT Pro Evangelist Microsoft Ibérica David.cervigon@microsoft.com José Parada Gimeno IT Pro Evangelist Microsoft Ibérica jparada@microsoft.com © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Agenda Introducción Instalación Configuración Roles & Funcionalidades Administración Server Core © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

¿Porqué Server Core? Reduce el mantenimiento del software Solo se instalan los componentes esenciales Reduce la superficie de Ataque Menos cosas que parchear y asegurar Reduce la Gestión Menos cosas que gestionar / actualizar. Menor consumo de recursos Memoria (p.e 184 MB frente a 309 MB en VMs recién instaladas) Almacenamiento (Core: 1.6 GB / Completo: 7.6 GB, en instalación base, sin Pagefile.sys). © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Requisitos de Server Core Hardware Mínimo Recomendado Optimo Procesador 1 GHz 2 GHz 3 GHz Memoria 512 MB 1 GB Disco†† 8 GB 40 GB Server Completo 2 GB Disco 80 GB © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Roles de Servidor de Server Core GUI, CLR, Shell, IE, Media, OE, etc. Server, Server Roles (Por ejemplo, solo) Opciones Mínimas de Instalación Poca superficie de ataque Interfaz por Línea de Comandos Set limitado de Roles de Servidor TS IAS Web Server Share Point® Etc… Servidor With WinFx, Shell, Tools, etc. Roles de Servidor de Server Core DNS DHCP File AD Web Server Media Server Server Core Seguridad, TCP/IP, Sistema de Ficheros, RPC, y otros Sub-Systems del nucleo de Servidor. GUI, CLR, Shell, IE, Media, OE, etc. INF210

AD Lightweight Directory Service Windows Virtualization Server Windows Server Core Server Core – Server Roles Server Core – Server Features DNS DHCP File Server AD Print Server Media Services AD Lightweight Directory Service Windows Virtualization Server Server Core (Command Prompt Only) Thin Management Tools (Local and Remote) Configure IP Address, Join a Domain, Create Users, etc. Core Subsystems Security (Logon Scenarios) Networking (TCP/IP) , File Systems, RPC, Winlogon, Necessary Dependencies. Infrastructure Features Command Shell, Domain Join, Event Log, Performance Counter Infra., WS-Mgmt, WMI Infra, Licensing Service, WFP, HTTP Support, IPSec Resolved Category Dependencies – HAL, Kernel, VGA, Logon, etc. Hardware Support Components – Disk, Network Adapter, etc.

Agenda Introducción Instalación Configuración Roles & Funcionalidades Administración Server Core © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Server Core NO es un "SKU” Seleccionar el modo de instación “Server Core “ en el Unattend.xml: <InstallFrom> <MetaData> <Key>/IMAGE/Name</Key> <Value>Windows Longhorn Server Core</Value> </MetaData> </InstallFrom> © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Agenda Introducción Instalación Configuración Roles & Funcionalidades Administración Server Core © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

SCRegEdit.wsf No todas las tareas se pueden ejecutar mediante la línea de comando o de manera remota SCRegEdit.wsf esta incluido en Server Core para: Permitir las actualizaciones automáticas Permitir Sesiones de terminal en modo administración Permitir la administración remota del Monitor de IPSEC Configurar el peso y la prioridad de un registro DNS SRV Nuevo modificador /CLI que lista comandos y modificadores para tareas comunes Localizado en \Windows\System32

Agenda Introducción Instalación Configuración Roles & Funcionalidades Administración Server Core © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

OCSETUP & PKGMGR

Agenda Introducción Instalación Configuración Roles & Funcionalidades Administración de Server Core © 2005 Microsoft Corporation. All rights reserved. This presentation is for informational purposes only. Microsoft makes no warranties, express or implied, in this summary.

Gestión de Server Core Local Remotas CMD Algunas herramientas ofrecen interfaz gráfica Control intl.cpl , Control timedate.cpl Notepad & Regedit Task Manager WMI Remotas Inicio de sesión con Terminal Server: Como si fuera Local Gestión remota a través de las consolas remotas de los roles instalados Compmgmt.msc IIS Manager es la excepción (APPCMD) Windows Remote management y Windows Remote Shell (WINRM & WINRS) “Event Logging” y “Event Forwarding”

demo { Server Core} 3/29/2017 9:52 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

José Parada Gimeno ITPro Evangelist Microsoft Corporation 3/29/2017 9:52 PM {Terminal Server } José Parada Gimeno ITPro Evangelist Microsoft Corporation © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

{Hoy no me puedo Conectar} 3/29/2017 9:52 PM {Hoy no me puedo Conectar} TS Gateway © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

TS Gateway DMZ Internet Red Interna Firewall Externo Firewall Interno Tunel RDP sobre RPC/HTTPS Deshace el RPC/HTTPS Pasa tráfico RDP/SSL al TS Terminal Server Firewall Externo Firewall Interno Casa Terminal Server Internet Hotel Other RDP Hosts Terminal Services Gateway Server Network Policy Server Active Directory DC Business Partner/ Client Site 38

Seguridad Fuerte Usa cifrado estándar de la industria (SSL, HTTPS) El tráfico RDP sigue cifrado de extremo a extremo desde el cliente al servidor La salud del equipo cliente se puede chequear mediante NAP Se puede terminar el trafico SSL en dispositivos intermedios para detectar intrusiones o filtrar en la DMZ Autenticación mediante contraseña o smartcards INF210

Conectividad Sencilla El puerto de SSL, 443 ofrece menos problemas de conectividad que el puerto RDP 3389. Https esta abierto de salida en casi todos los proxy. Https esta abierto de entrada en casi todos los Firewalls. En dispositivos con NAT, es sencillo redirigir el puerto 443. INF210

Despliegue Instalación Instalar el Role TS Gateway Obtener un Certificado para el Servidor TS Gateway Configurar el Certificado en IIS Crear una política de acceso de clientes (CAP) Crear una política de acceso a equipos (RAP) Limitar el numero de conexiones por el TS Gateway (Opcional) Monitorizar las conexiones por el TS Gateway

Planificación para Despliegue Elegir los certificados Auto Firmado Fácil de configurar Requiere que se instale el certificado en el cliente De un Tercero (ejem. Verisign) Se debe de comprar Los certificados “Comodín” se pueden usar para todos los roles de TS No hay que instalarlo en el cliente Certificate Server Complejo de configurar ( A no ser que ya se tenga un “Certificate Server) La instalación en cliente se puede automatizar en los clientes gestionados Recuerda que el nombre del certificado ha de coincidir con el servidor: El certificado del Gateway ha de coincidir con el nombre externo de la máquina Los certificados de acceso Web tienen que coincidir con el nombre externo del sitio cuando se usa HTTPS – considerar el uso de HTTP internamente Un certificado SSL puedes ser usado para firmar RDP (No se necesita otro certificado) Los certificados comodín pueden usarse para simplificar , pero ojo con los riesgos.

{ Configurar Terminal Server Gateway} 3/29/2017 9:52 PM { Configurar Terminal Server Gateway} demo Configurar el TSGateway para que se confie en el (certificado) Configurar las politicas de CAP y RAP Ejecutar el cliente sin configuración de TSGateway Ejecutar el cliente conconfiguración de TSGateway Name Title Group © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

{No encuentro la Aplicación} 3/29/2017 9:52 PM {No encuentro la Aplicación} TS Web Access © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

TS Web Access Publicación o despliegue de aplicaciones a través de una pagina Web.

TS Web Access Requiere que IIS este instalado en el equipo Solo es una página WEB, NO proporciona ningún tipo de canal de comunicaciones como en el caso de TS Gateway Genera automáticamente una Pagina Web con unas WebParts donde están la definición de la conexión RDP. Fácil de personalizar la Web en función del usuario que se conecte. El cliente ha de ser Vista SP1 o W2K8

TS Gateway Con TS Web Access 3/29/2017 9:52 PM TS Gateway Con TS Web Access El host RDP se puede situar tras un Firewall HTTP/S se usa para atravesar el Firewall Se chequean AD / ISA / NAP antes de permitir la conexión El escritorio y las aplicaciones no se ejecutan dentro de IE AD / IAS / NAP Chequeo AD / IAS / NAP Cliente (TS) Vista RDC TS Gateway El usuario inicia la conexión HTTPS al TS Gateway RDP Sobre HTTP/S se establece a TSG RDP 3389 a host Terminal Servers o XP / Vista El Usuario navega a TS Web Access TS Web Access Internet DMZ Red Interna Network MICROSOFT CONFIDENTIAL © 2006 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Publicación de aplicaciones Puede ser mediante paquetes RDP o MSI RDP es simplemente un fichero con los parámetros de conexión MSI es un mínimo paquete de instalación del RDP Se pueden publicar simplemente compartiéndolos en un directorio o mediante el sistema de distribución de software que queramos El DA es muy útil para desplegar estas aplicaciones personalizando en función del usuario.

Integración de Aplicaciones en el Escritorio Local 3/29/2017 9:52 PM Integración de Aplicaciones en el Escritorio Local Parece que los programas se ejecutan en local Requiere el cliente de acceso remoto Terminal Server 49

{ Publicar Aplicaciones con TSWebAccess} 3/29/2017 9:52 PM { Publicar Aplicaciones con TSWebAccess} demo Name Title Group © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

{No puedo ver ni Imprimir mis Foto } 3/29/2017 9:52 PM {No puedo ver ni Imprimir mis Foto } Easy Print Redirección Dispositivos © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Redireccionamiento de Dispositivos Remote Desktop Protocol Terminal Server Equipo Cliente

Redireccionamiento de Dispositivos PnP Para dispositivos “Windows Portable Devices” como reproductores MTP y cámaras PTP Configurable mediante políticas Computer Configuration\Administrative Templates\Windows Components\Terminal Services\Terminal Server\Device and Resource Redirection\Do not allow supported Plug and Play device Redirection Computer Configuration\Administrative Templates\System\Device Installation\Device Installation Restrictions También disponible para dispositivos utilizados en puntos de servicio con Windows embebido (Windows Embedded for Point of Service POS), que utilizan Microsoft POS para .NET 1.11

Impresión Sencilla Terminal Server 3/29/2017 9:52 PM Impresión Sencilla 3 Terminal Server 2 1 “TS Easy Print” utiliza el driver del cliente y aparece el interface de Usuario completo para impresión. El usuario quiere imprimir un documento a su impresora local El documento se imprime en la impresora local El usuario abre Microsoft Word via Terminal Services 4 2 3 1 4

Impresión Sencilla – Easy Print Re-direccionamiento de impresoras locales en la aplicación que se ejecuta en el Terminal server Es un driver del servidor que actúa como Proxy enviando todos los trabajos de impresión al equipo local. No requiere la instalación de ningún driver en el servidor, solo hace falta W2K8 Requiere en cliente RDC 6.1 y el Framework 3.0 SP1 (estará disponible para XP y 2003)

{Redireccionamiento de dispositivios e Impresión Sencilla} 3/29/2017 9:52 PM {Redireccionamiento de dispositivios e Impresión Sencilla} demo Name Title Group © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

{Tengo que volver a escribir mis credenciales} 3/29/2017 9:52 PM {Tengo que volver a escribir mis credenciales} Otras capacidades Autenticación y SSO © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Gestor de Sesiones o “Session Broker” 3/29/2017 9:52 PM Gestor de Sesiones o “Session Broker” Session Broker 2 Windows Server 20082 Windows Server 2008 1 3 Terminal Server Terminal Server 5 4 6 1 TS: El Servidor 1 contacta con el “Session Broker” para determinar donde ha de iniciar sesión el usuario “Session Broker” indica al Servidor 1 que este usuario no tiene sesión y que el Servidor 2 tiene menos carga Se Crea la Sesión en el Servidor 2 para el cliente 2 3 1 5 6 4 El Servidor 1 indica al cliente vía RDP que ha de redirigirse al Servidor 2 El Cliente es redirigido al Servidor 2 El Usuario Remoto Conecta via Terminal Services

Gestor de Sesiones o “Session Broker” Permite la conexión al nodo que albergue menos sesiones y pesar cada servidor para que alberguen mas o menos sesiones en función de su rendimiento. Guarde el estado de la sesión y en caso de problemas en la conexión, nos permite conectarnos a la sesión ya establecida en el mismo nodo. Permite el drenado de sesiones en un nodo para poder ponerlo fuera de línea para mantenimiento etc.

Capacidades del nuevo Escritorio Remoto 3/29/2017 9:52 PM Capacidades del nuevo Escritorio Remoto Monitor Spanning Desktop Experience Desktop Composition Font Smoothing Display Data Prioritization Large Display Support/Custom Display Resolutions: Custom display resolution provides support for large display and additional display resolution ratios. You can set a custom display resolution in an .rdp file or from a command prompt. 32-bit Color: Windows Server 2008 now supports 32-bit color. Because of the compression technology being employed, the use of 32-bit color is highly recommended as it will result in much better session performance for the end user. Monitor Spanning: Monitor spanning allows you to display your remote desktop session across multiple monitors; you can enable it in an .rdp file or from a command prompt by including the /span switch. Desktop Experience: You can install the Desktop Experience feature on your Windows Server 2008 terminal server which will install features such as Windows Media Player, desktop themes, and photo management. To make the remote computer look and feel more like the user's local Windows Vista desktop experience, RDC 6.0 software then reproduces the TS desktop on the user’s client computer. Desktop Composition Windows Vista provides a visually dynamic experience called Windows Aero™. Windows Aero provides features such as: • Translucent windows. • Taskbar buttons with thumbnail-sized window previews. • A view of your open windows in a three-dimensional stack on your desktop. For more information about Windows Aero features, see Windows Aero (http://go.microsoft.com/fwlink/?LinkId=71741 ). A Windows Server "Longhorn" terminal server can be configured to provide Windows Aero features when a Windows Vista client computer connects to the Windows Server "Longhorn" terminal server by using Remote Desktop Connection. This functionality is referred to as desktop composition. Nota:In order for the Windows Vista client computer to use desktop composition in a remote desktop connection to a Windows Server "Longhorn" terminal server, the Windows Vista client computer must have hardware installed that is capable of supporting Windows Aero. However, the Windows Server "Longhorn" terminal server does not need to have hardware installed that is capable of supporting Windows Aero. Font Smoothing: A Windows Server 2008 terminal server can be configured to provide ClearType functionality (referred to as Font Smoothing) when a client computer connects by using RDC 6.0. This displays computer fonts so that they appear clear and smooth, especially when you are using an LCD monitor. When you allow font smoothing, you are specifying that the local settings on the client computer will help determine the user experience in the remote desktop connection; you are not changing the settings on the Windows Server 2008 terminal server. Using font smoothing in a remote desktop connection will increase the amount of bandwidth used between the client computer and the Windows Server 2008 terminal server. Display Data Prioritization: Display data prioritization automatically controls virtual channel traffic so that display, keyboard, and mouse data is given a higher priority over other virtual channel traffic, such as printing or file transfers. This prioritization is designed to ensure that your screen performance is not adversely affected by bandwidth intensive actions, such as large print jobs. You can adjust the display data prioritization settings by making changes to the registry of the terminal server.

Autenticación a Nivel de Red 3/29/2017 9:52 PM Autenticación a Nivel de Red Terminal Server Windows Server 2008 supports Network Level Authentication, Server Authentication and Single Sign-on when connecting to the Terminal Server from a Windows Server 2008 server, Windows Vista client or from Windows XP Service Pack 2 with the RDP 6.0 update . Network Level Authentication is a new authentication method that finishes user authentication before you establish a full Remote Desktop Connection and the logon screen appears. It requires fewer remote computer resources at first because the remote computer uses a limited number of resources before it authenticates the user. In earlier versions, the remote computer starts a full Remote Desktop Connection. It can help provide better security by reducing the risk of denial of service attacks (a denial of service attack attempts to limit or prevent access to the Internet). In addition, it uses remote computer authentication, which helps protect users from connecting to remote computers that are set up for malicious purposes. Server Authentication verifies that you are connecting to the correct remote computer or server. This security measure helps prevent you from connecting to a different computer or server than you intend to connect to. This also prevents you from unintentionally exposing confidential information. By default, server authentication is enabled for the connection. Single sign-on is an authentication method that allows a user with a domain account to log on once, using a password or smart card, and then gain access to remote servers without being asked for their credentials again. The key scenarios for single sign-on are Line of Business (LOB) applications deployment and centralized application deployment. Due to lower maintenance costs, many companies prefer to install their LOB applications on a terminal server and make these applications available through Terminal Services Remote Programs or Remote Desktop. Single sign-on makes it possible to give users a better experience by eliminating the need for users to enter credentials every time they initiate a remote session. To implement single sign-on functionality in Terminal Services, ensure that you meet the following requirements: You can only use single sign-on for remote connections from a Windows Vista-based computer to a Windows Server 2008-based terminal server. You can also use single sign-on for remote connections from a Windows Server 2008-based server to another Windows Server 2008-based server. User accounts that are used must have appropriate rights to log on to both the terminal server and the Windows Vista client. Both the client computer and the terminal server must be joined to a domain. Active Directory 61

Autenticación Autenticación a nivel de Red: Se realiza la autenticación del usuario antes de que se conecte a la sesión y se muestre el inicio de sesión en el servidor de Terminales Evita posibles ataques de DOS Autenticación de Servidor. Verifica que nos conectamos al servidor correcto y evita que nos conectemos a una maquina maliciosa SSO: evita tener que volver a introducir nuestras credenciales

demo { Single Sign On} Name Title Group 3/29/2017 9:52 PM © 2007 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries. The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.

Mejoras en el Licenciamiento. Seguimiento y reporte de las licencias por usuario. Las licencias por equipo se pueden revocar Mejoras en el Gestor de Licencias que mejoran el diagnostico y la resolución de posibles problemas. Proveedor WMI para poder administrar el Servidor de Licencias

Dimensionamiento 2008 vs 2003 – Dimensiona menos usuarios por Servidor Las nuevas funcionalidades hacen que el sistema tenga mas carga IE7, Shell, Menus etc X64 – Permite escalar Proporciona mas rendimiento – Permite mas usuarios Ideal si con x86 se alcanza el limite de la memoria del sistema No todas las aplicaciones funcionan en x64 Optimizado para $ por usuario – no usuario por máquina Temas de Escritorio Si habilitamos los temas de escritorio impactaremos en el número de usuarios Cantidad de colores y resolución Alta resolución y multi-monitor usan mas memoria – Problema para x86 Color en 32bit – mejor uso del ancho de banda para escenarios que los necesiten (PPT, IE) Font Smoothing impacta en el ancho de banda – usar solo en LAN Windows System Resource Manager Ayuda a acelerar los procesos huidos Permite la gestión de perfiles por sesión

Recursos Guía paso a paso Terminal Server Technical Library http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en Technical Library http://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true Terminal Server Blog http://blogs.msdn.com/ts/default.aspx Foro http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=580&SiteID=17

Recursos TechNet TechCenter de Windows Server 2008 http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx Webcasts grabados sobre Windows Server http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1 Webcasts grabados otras tecnologías Microsoft http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx Foros técnicos http://forums.microsoft.com/technet-es/default.aspx?siteid=30

Recursos Guía paso a paso W2K8 Librería Técnica Foro de Seguridad W2K8 http://www.microsoft.com/downloads/details.aspx?familyid=518D870C-FA3E-4F6A-97F5-ACAF31DE6DCE&displaylang=en Librería Técnica http://technet2.microsoft.com/windowsserver2008/en/library/61d24255-dad1-4fd2-b4a3-a91a22973def1033.mspx?mfr=true Foro de Seguridad W2K8 http://forums.microsoft.com/TechNet/ShowForum.aspx?ForumID=581&SiteID=17

Recursos TechNet TechCenter de Windows Server 2008 http://www.microsoft.com/spain/technet/prodtechnol/windowsserver/2008/default.mspx Próximos webcasts en vivo http://www.microsoft.com/spain/technet/jornadas/default.mspx Webcasts grabados sobre Windows Server http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx?id=1 Webcasts grabados otras tecnologías Microsoft http://www.microsoft.com/spain/technet/jornadas/webcasts/webcasts_ant.aspx Foros técnicos http://forums.microsoft.com/technet-es/default.aspx?siteid=30

http://www.microsoft.es/HOLSistemas