INSTITUTO SUPERIOR TECNOLÓGICO

“VICENTE ROCAFUERTE”
INSTALACION MAQUINA VIRTUAL BOX

INSTALACION WINDOWS SERVER 2003

ACTIVE DIRECTORY &TERMINAL SERVER

ALUMNOS:

PROFESOR:

CURSO:
VI SEMESTRE DE REDES

AÑO LECTIVO
2011- 2012
INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”

Crear una maquina virtual con VirtualBox

Para empezar, ¿Que es

una maquina virtual?
Bueno, una definición
fácil seria que es la
simulación de una PC
dentro de otra, o como
su nombre lo dice,
vitalización. Bueno, ya
sé que es una maquina
virtual, pero, para que
me sirve se
preguntaran, pues para
probar otros sistemas
operativos (huésped)
aparte del que estén
usando (anfitrión) sin
la necesidad de cerrar
el sistema operativo
que estén usando en
ese momento, por ejemplo, correr el Ubuntu en Windows, ó un Windows en Windows. Para
eso nos sirve el VirtualBox, el cual de paso lo pueden descargar de la siguiente pagina:

ó más directo, de aquí, nada mas tendrán que seleccionar en que plataforma lo van a correr:

Ya que lo hemos descargado e instalado, lo abrimos y nos aparecerá una pantalla como esta:

Lo primero que vamos a hacer antes de continuar será irnos al menú Archivos/Preferencias, y
nos aparecerá lo siguiente:

Seleccionamos la opción que dice entrada, y allí nos aparece cual queremos que sea nuestra
tecla anfitrión. La tecla anfitrión es la que se encarga de algunas funciones una vez que estas
utilizando el sistema operativo instalado en la maquina virtual, por ejemplo, al estar utilizando
el sistema operativo, la maquina virtual cacha el teclado y el mouse, y no los suelta hasta que

Win Server 2003 Página 2

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
apagues el sistema operativo huésped, para evitar eso, utilizamos la tecla anfitrión, la cual, al
momento de aplastarla, libera el mouse y el teclado para poderlos utilizar normalmente en el
sistema operativo anfitrión por así decir o el que siempre usamos. Yo utilizo la tecla
APLICACION ya que es la que menos utilizo, podría decirse que nunca, es la tecla que
representa el click derecho del mouse en el teclado. Ya definida la tecla anfitrión, le damos a
OK y ya estamos listos para crear una nueva maquina virtual.

Ya que definimos la tecla anfitrión, aparecemos de nuevo en la pantalla inicial del VirtualBox,
entonces seleccionamos la opción de NUEVO para crear una nueva máquina virtual, así como
la imagen lo muestra:

Entonces nos aparecerá una pantalla de bienvenida, le damos a siguiente, y entonces nos
aparecerá una pantalla como la siguiente:

Win Server 2003 Página 3

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
En esta nos piden que le pongamos un nombre a nuestra maquina virtual, yo le puse Mi
Maquina Virtual y también nos piden que elijamos tipo de sistema operativo a instalar en
nuestra maquina virtual que estamos creando, en este caso elegí el Linux 2.6, para instalar luego
el Ubuntu, pero están para seleccionar los Windows también y otros tipos de sistemas. Le
damos a siguiente y nos aparecerá una pantalla para asignación de memoria RAM:

Como yo elegí Linux, lo mínimo que me pide de memoria es 256 MB pero se le puede poner
mas, claro, eso depende de con cuanta memoria RAM cuentas, yo tengo 2 GB de memoria
RAM en mi compu, y no he llegado a consumir el 1GB de RAM, así que hay que calcularle
cuanto ponerle de memoria para la hora de correr el sistema huésped, ya que se va a consumir
todo lo que se estaba consumiendo de memoria RAM en el sistema anfitrión mas todo lo que
consuma el sistema huésped, pero ya que se cierre el sistema huésped, la memoria que estaba
ocupando se liberara. (OJO: No es nada recomendable ejecutar mas de una maquina virtual a la
vez, al menos que se cuente con una gran cantidad de memoria RAM, si van a correr mas de una
maquina, tengan en cuenta cuanta memoria RAM se va a consumir, es bajo su propia
responsabilidad).

Win Server 2003 Página 4

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
Ya que asignamos la memoria RAM, nos aparece la siguiente pantalla para seleccionar un disco

duro virtual:

Nos piden que elijamos un disco duro que ya se haya creado, pero aun no lo tenemos, así que le
daremos click en NUEVO y nos aparecerá una pantalla de bienvenida, le damos siguiente, y
entonces nos aparece lo siguiente:

Nos pide que elijamos un tipo de disco duro, esta el de EXPANSION DINAMICA en el cual
definimos un tamaño del disco duro, pero en realidad empieza con poca capacidad, y va
aumentando conforme le vayamos metiendo cosas, hasta que llegue al tamaño que le definimos
inicialmente, y esta el de TAMAÑO FIJO este no lo he usado, pero supongo que como su
nombre lo dice, va abarcar en nuestro disco duro el espacio que le asignamos de manera
inmediata en que sea creado. Para mas comodidad utilizamos el de expansión dinámica, lo
seleccionamos y le damos siguiente, entonces nos aparece una pantalla para definir los detalles
de nuestro disco duro virtual:

Win Server 2003 Página 5

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”

Aquí nos piden que le demos un nombre a nuestro disco duro virtual, por default aparece el
nombre que le dimos a la maquina virtual, pero podemos poner el nombre que queramos, luego
de poner el nombre, el siguiente paso será definir el tamaño de nuestro disco duro, aparece un
tamaño por default también, dependiendo del tipo de sistema operativo que se haya elegido,
como yo elegí un sistema de tipo Linux 2.6, por default aparece 8 GB de tamaño, pero se lo
cambie a 16 GB, dependiendo de con cuanto espacio cuente en el disco duro real. Una vez
establecido el nombre y el tamaño, le damos a siguiente, y nos aparecerá una pantalla con el
resumen de nuestro disco duro virtual que acabamos de crear, le damos a TERMINAR para
continuar. Entonces nos regresa a la pantalla donde nos piden elegir un disco duro virtual, como
ya creamos uno, por default ya aparece seleccionado, así que nomas queda dar en siguiente.

Por ultimo nos aparece la pantalla de resumen de toda la maquina virtual que acabamos de
crear, mostrándonos sus características como el nombre, tipo de sistema que correrá, memoria
RAM:

Win Server 2003 Página 6

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”

Ya nomas nos queda dar click en terminar, para que nos regrese a la pantalla principal del
VirtualBox ya mostrándonos nuestra nueva maquina virtual creada:

COMO CREAR UN DOMINÍO

Crear Active Directory

Después de haber instalado Windows Server 2003 en un servidor independiente, ejecute el
Asistente para Active Directory con el fin de crear el nuevo bosque o dominio de Active
Directory y, a continuación, convierta el equipo de Windows Server 2003 en el primer
controlador de dominio del bosque. Para convertir el equipo Windows Server 2003 en el primer
controlador de dominio del bosque, siga estos pasos:

1. Introduzca el CD-ROM de Windows Server 2003 en la unidad de CD-ROM o DVD-

ROM del equipo.
2. Haga clic en Inicio, en Ejecutar y, a continuación, escriba dcpromo.
3. Haga clic en Aceptar para iniciar el Asistente para la instalación de Active Directory
y haga clic en Siguiente.
4. Haga clic en Controlador de dominio para dominio nuevo y, a continuación, haga
clic en Siguiente.
5. Haga clic en Dominio en un bosque nuevo y, a continuación, haga clic en Siguiente.
6. Especifique el nombre DNS completo del nuevo dominio. Tenga en cuenta que como
este procedimiento es para un entorno de laboratorio y no va a integrar este entorno en
su infraestructura DNS, puede utilizar un nombre genérico como miempresa. local para
esta opción. Haga clic en Siguiente.
7. Acepte el nombre NetBIOS predeterminado de dominio (es decir, "miempresa" si siguió
la sugerencia del paso 6). Haga clic en Siguiente.

Win Server 2003 Página 7

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
8. Establezca como ubicación de la base de datos y del archivo de registro el valor
predeterminado de la carpeta c:\winnt\ntds y, después, haga clic en Siguiente.
9. Establezca como ubicación de la carpeta Sysvol el valor predeterminado de la carpeta
c:\winnt\sysvol y, después, haga clic en Siguiente.
10.Haga clic en Instalar y configurar el servidor DNS en este equipo y haga clic en
Siguiente.
11.Haga clic en Permisos compatibles sólo con sistemas operativos de servidor
Windows 2000 o Windows Server 2003 y haga clic en Siguiente.
12.Como éste es un entorno de laboratorio, deje en blanco la contraseña de Contraseña de
administrador del Modo de restauración de servicios de directorio. Tenga en cuenta que
en un entorno de producción, esta contraseña se configuraría con un formato de
contraseña segura. Haga clic en Siguiente.
13.Revise y confirme las opciones que haya seleccionado y haga clic en Siguiente.
14. La instalación de Active Directory continúa. Tenga en cuenta que esta operación puede
tardar varios minutos.
15. Cuando se le indique, reinicie el equipo. Una vez reiniciado, confirme que se han
creado los registros de ubicación del servicio del Sistema de nombres de dominio
(DNS) para el nuevo controlador de dominio. Para confirmar que se han creado los
registros de ubicación del servicio DNS, siga estos pasos:

a. Haga clic en Inicio, seleccione Herramientas administrativas y, a

continuación, haga clic en DNS para iniciar la consola de administración de
DNS.
b. Expanda el nombre del servidor, Zonas de búsqueda directa y el dominio.
c. Compruebe que aparecen las carpetas _msdcs, _sites, _tcp y _udp. Estas
carpetas y los registros de ubicación del servicio que contienen son esenciales
para las operaciones de Active Directory y Windows Server 2003.

Agregar Usuarios de y equipos al dominio de Active Directory

Una vez establecido el nuevo dominio de Active Directory, cree una cuenta de usuario en ese
dominio para utilizar como cuenta administrativa. Cuando ese usuario se agrega a los grupos de
seguridad adecuados, use esa cuenta para agregar equipos al dominio.

1. Para crear un usuario nuevo, siga estos pasos:

a. Haga clic en Inicio, seleccione Herramientas administrativas y, a

continuación, haga clic en Usuarios y equipos de Active Directory para
iniciar la consola de Usuarios y equipos de Active Directory.
b. Haga clic en el nombre de dominio que creó y expanda el contenido.
c. Haga clic con el botón secundario del mouse (ratón) en Usuarios, seleccione
Nuevo y, a continuación, haga clic en Usuario.
d. Escriba el nombre, apellido y nombre de inicio de sesión del nuevo usuario y
haga clic en Siguiente.
e. Escriba una contraseña nueva, confírmela y active una de las casillas de
verificación siguientes:

 Los usuarios deben cambiar la contraseña en el próximo inicio de

sesión (se recomienda para la mayoría de los usuarios)
 El usuario no puede cambiar la contraseña
 La contraseña nunca caduca
 La cuenta está deshabilitada

Haga clic en Siguiente.

Win Server 2003 Página 8

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
f. Examine la información suministrada y, si todo es correcto, haga clic en
Finalizar.
2 Después de crear el nuevo usuario, haga que esta cuenta de usuario sea miembro de un
grupo que le permita realizar tareas administrativas. Dado que se trata de un entorno de
laboratorio que está bajo su control, puede dar acceso administrativo completo a esta cuenta de
usuario convirtiéndola en miembro de los grupos de administradores de dominio, esquema y
organización. Para agregar la cuenta a estos grupos, siga estos pasos:

a. En la consola Usuarios y equipos de Active Directory, haga clic con el botón secundario
del mouse en la nueva cuenta creada y, después, haga clic en Propiedades.
b. Haga clic en la ficha Miembro de y, después, haga clic en Agregar.
c. En el cuadro de diálogo Seleccionar grupos, especifique un grupo y haga clic
en Aceptar para agregar los grupos que desee a la lista.
d. Repita el proceso de selección para cada grupo al que el usuario necesite
pertenecer.
e. Haga clic en Aceptar para finalizar.
2 El paso final de este proceso es agregar un servidor miembro al dominio. Este proceso
también se aplica a las estaciones de trabajo. Para agregar un equipo al dominio, siga estos
pasos:

a. Inicie sesión en el equipo que desea agregar al dominio.

b. Haga clic con el botón secundario del mouse en Mi PC y, a continuación, haga
clic en Propiedades.
c. Haga clic en la ficha Nombre del equipo y, después, haga clic en Cambiar.
d. En el cuadro de diálogo Cambios del nombre de equipo, en Miembro de
haga clic en Dominio y escriba el nombre de dominio. Haga clic en Aceptar.
e. Cuando se le solicite, escriba el nombre de usuario y la contraseña de la cuenta
creada y haga clic en Aceptar.

Se genera un mensaje que le da la bienvenida al dominio.

f. Haga clic en Aceptar para volver a la ficha Nombre de equipo y haga clic en
Aceptar para terminar.
g. Reinicie el equipo si se le pide.

Como crear servidor terminal

puede conectarse a un equipo remoto que está ejecutando Microsoft Windows Terminal
Services mediante una conexión de protocolo de escritorio remoto. Este tipo de conexión
proporciona cifrado de los datos que se envían entre el servidor de terminal server y el equipo
cliente. Sin embargo, este tipo de conexión no proporciona autenticación para el servidor de
terminal server. Quizás desee asegurarse de que el servidor Terminal Server se autentica
correctamente antes de conectarse a él. Para ello, configure su servidor de Terminal Server para
usar seguridad de nivel de transporte (TLS) para autenticar el servidor de terminal server y para
cifrar los datos que se envían entre el servidor de terminal server y el equipo cliente.

Para configurar una conexión TLS, debe configurar el servidor de terminal server y el equipo
cliente. Para configurar el servidor de terminal server, debe realizar los siguientes pasos:

Win Server 2003 Página 9

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
• debe instalar un certificado válido en el servidor Terminal Server.
• debe configurar la autenticación utilizando la herramienta de configuración de servicios
de Terminal Server.

para configurar el equipo cliente, debe realizar los siguientes pasos:

• debe configurar el equipo cliente para que se confíe la raíz de entidad emisora de
certificados que emite certificados de. del servidor de Terminal Server
• debe configurar la autenticación para la conexión remota mediante el programa de
conexión a Escritorio remoto o modificando el registro.

importante Esta sección, el método o la tarea contiene pasos que indican cómo modificar el
registro. Sin embargo, pueden producirse problemas graves si modifica incorrectamente el
registro. Por tanto, asegúrese de que siga estos pasos cuidadosamente. Realice una para agregar
protección, copia de seguridad del registro antes de modificarlo. A continuación, puede
restaurar el registro si se produce un problema. Para obtener más información acerca de cómo
realizar una copia de seguridad y restaurar el registro, haga clic en el número de artículo
siguiente para verlo en Microsoft Knowledge Base:

322756 Cómo realizar una copia de seguridad y restaurar el registro de Windows

Si utiliza el protocolo de escritorio remoto (RDP) para conectarse a un servidor Terminal

Server, RDP proporciona cifrado de datos pero no proporciona autenticación. Por lo tanto, no se
puede comprobar la identidad del servidor de terminal Server. Puede utilizar Microsoft
Windows Server 2003 Service Pack 1 (SP1) junto con nivel de seguridad de transporte (TLS)
versión 1.0 para aumentar la seguridad de terminal server mediante TLS para la autenticación de
servidor y para cifrar las comunicaciones de terminal server.

En este artículo describe cómo configurar Windows Server 2003 SP1 para utilizar TLS 1.0 para
la autenticación de servidor para cifrar las comunicaciones del servidor Terminal Server.

Requisitos previos para configurar la autenticación de servidor

De forma predeterminada, Terminal Server utiliza el cifrado RDP nativo y no puede autenticar
el servidor. Para utilizar TLS para la autenticación de servidor y para cifrar las comunicaciones
de terminal server, debe configurar correctamente el equipo servidor y el equipo cliente.

Requisitos previos del servidor

Para que la autenticación TLS funcione correctamente, el servidor Terminal Server debe
cumplir los siguientes requisitos:

• El servidor Terminal Server debe ejecutar Windows Server 2003 SP1.

• Debe obtener un certificado para el servidor Terminal Server. Para obtener un
certificado, utilice uno de los métodos siguientes:
o Visite el sitio Web para su entidad emisora de certificados. Por ejemplo, visite
http:// servername / certsrv.
o Ejecutar el Asistente para la solicitud de certificado de Windows Server 2003 o
el Asistente para solicitud de certificados de Windows 2000 Server.

Win Server 2003 Página 10

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
o Obtener un certificado de una entidad emisora de certificados de terceros y, a
continuación, instalar manualmente el certificado.

Nota Si desea obtener un certificado mediante la página Web de servicios de Microsoft

Certificate Server o mediante el Asistente para solicitud de certificado, una infraestructura de
claves pública (PKI) debe configurarse correctamente para certificados X.509 problema
compatible con SSL en el servidor de terminal server. Cada certificado debe configurarse como
sigue:

• El certificado debe ser un equipo.

• La finalidad pretendida del certificado debe ser para autenticación de servidor.
• El certificado debe tener una clave privada correspondiente.
• El certificado debe almacenarse en el almacén de certificados cuenta del equipo en el
servidor de terminal server.

Requisitos previos de cliente

Para que funcione correctamente la autenticación de TLS, el equipo de cliente de servicios de

Terminal Server debe cumplir los requisitos siguientes:

• El equipo cliente debe ejecutar Microsoft Windows 2000 o Microsoft Windows XP.
• El equipo cliente debe actualizarse a utilizar el programa de cliente RDP 5.2. El
programa de cliente RDP 5.2 se incluye con Windows Server 2003 SP1. Puede instalar
este paquete de conexión a Escritorio remoto del lado del cliente mediante el archivo
%SYSTEMROOT%\System32\Clients\Tsclient\Win32\Msrdpcli.msi. Se encuentra el
archivo Msrdpcli.msi en servidores Terminal Server basados en Windows Server 2003.
Si instala este archivo desde el servidor de terminal server, la versión de RDP 5.2 de la
conexión a Escritorio remoto se instala en la carpeta de escritorio de files\Remote
%systemdrive%\Archivos de en el equipo de destino. Para obtener más información
acerca de la remoto Desktop Connection para Windows Server 2003, visite el siguiente
sitio Web de Microsoft:

http://www.microsoft.com/downloads/details.aspx?familyid=CC148041-577F-4201-
B62C-D71ADC98ADB1&displaylang=en

• El equipo cliente debe confiar en la raíz de autoridad de certificado del servidor

Terminal Server. Por lo tanto, el equipo cliente debe tener el certificado de la entidad
emisora de certificados en la carpeta entidades emisoras de certificados raíz de
confianza certificados del equipo cliente. Se puede ver esta carpeta mediante el
complemento certificado.

Para configurar el servidor de terminal server

Para configurar el servidor Terminal Server para la autenticación de TLS, siga estos pasos:

Paso 1: Solicitar un certificado de equipo

Si no tiene ya un certificado de equipo que cumpla los requisitos que se mencionan en la
sección "Prerequisites to configure server authentication", obtenga e instale uno. Para ello,
utilice uno de los métodos siguientes.

Método 1: utilizando el sitio Web para su entidad emisora de certificados

Los pasos siguientes describen cómo obtener un certificado de entidad de certificación
independiente de Windows Server 2003. También puede solicitar un certificado de una entidad
de certificación de Windows 2000. Además, debe tener permisos de lectura y permisos de

Win Server 2003 Página 11

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
inscripción en el archivo plantilla de certificados para solicitar correctamente un certificado.
Utilice este método cuando se cumple una o varias de las siguientes condiciones:

• Desea obtener un certificado de una entidad emisora de certificados independiente.

• Desea obtener un certificado que se basa en una plantilla de certificado está configurado
para obtener el nombre del sujeto de éste.
• Desea obtener un certificado que requiere la aprobación del administrador antes de que
se ha emitido el certificado.

Para obtener un certificado, siga estos pasos:

1. Inicie Microsoft Internet Explorer y visite a continuación http:// servername / certsrv,

donde servername es el nombre del servidor que ejecuta Servicios de Microsoft
Certificate Server.
2. En Elija una tarea, haga clic en Solicitar un certificado.
3. Haga clic en solicitud de certificado avanzada y, a continuación, haga clic en crear y
enviar una solicitud a esta CA.
4. Escriba la información de identificación en las casillas de Identificación y, a
continuación, haga clic en Certificado de autenticación de servidor en la lista Tipo
de certificado necesario.
5. Deje seleccionada la opción Crear nueva clave y, a continuación, haga clic en
Proveedor de cifrado Microsoft RSA SChannnel en la lista CSP.

Nota Este proveedor de servicios criptográficos admite derivación de claves para los
protocolos SSL2, PCT1, SSL3 y TLS1.
6. Deje la opción Exchange seleccionada junto a Uso de claves. Esta opción indica que la
clave privada puede utilizarse para habilitar el intercambio de información confidencial.
7. Haga clic para seleccionar la casilla de verificación Marcar claves como exportables.
Al hacerlo, puede guardar la clave pública y la clave privada en un archivo PKCS # 12.
Por tanto, puede copiar este certificado a otro equipo.
8. Active la casilla de verificación almacenar certificado en el almacén de certificados
equipo local y, a continuación, haga clic en Enviar.

importante Para la autenticación TLS a función, debe almacenar el certificado en el

almacén de certificados equipo local.

9. Si recibe una página Web Certificado emitido, haga clic en instalar este certificado.
Si recibe una página Web Certificado pendiente debe esperar hasta que un
administrador apruebe la solicitud de certificado. En este escenario, debe ir nuevo el
sitio Web de servicios de certificados para obtener e instalar este certificado.

Método 2: utilizando el Asistente para solicitud de certificados

Los pasos siguientes describen cómo obtener un certificado desde una entidad emisora de
certificados de Windows Server 2003. También puede solicitar un certificado de una entidad de
certificación de Windows 2000. Además, debe tener permisos de lectura y permisos de
inscripción en el archivo plantilla de certificados para solicitar correctamente un certificado.
Utilice este método cuando se cumple una o varias de las siguientes condiciones:

• Desea solicitar un certificado de una entidad de certificación empresarial.

• Desea solicitar un certificado que se basa en una plantilla donde Windows genera el
nombre del sujeto.
• Desea obtener un certificado que no requiere la aprobación del administrador antes de
que se ha emitido el certificado.

Win Server 2003 Página 12

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
Para obtener un certificado, siga estos pasos:

1. Haga clic en Inicio, haga clic en Ejecutar, escriba mmc y, a continuación, haga clic en
Aceptar.
2. En el menú archivo, haga clic en Agregar o quitar complemento.
3. Haga clic en Agregar, haga clic en certificados y, a continuación, haga clic en
Agregar.
4. Haga clic en cuenta de equipo y, a continuación, haga clic en siguiente.
5. Si desea agregar un certificado al equipo local, haga clic en equipo local. Si desea
agregar un certificado a un equipo remoto, haga clic en otro equipo y, a continuación,
escriba el nombre de ese equipo remoto en el cuadro de otro equipo.
6. Haga clic en Finalizar.
7. En el cuadro de diálogo Agregar complemento independiente, haga clic en Cerrar y,
a continuación, haga clic en Aceptar en el cuadro de diálogo Agregar o quitar
complemento.
8. En la Raíz de consola, haga clic en certificados (equipo local).

Nota Si ha configurado el complemento MMC certificados para administrar un equipo

remoto, haga clic en certificados (servername) en lugar de certificados (equipo local).
9. En el menú Ver, haga clic en Opciones.
10.En el cuadro de diálogo Opciones de vista, haga clic en el propósito del certificado y,
a continuación, haga clic en Aceptar.
11.En el panel derecho, haga clic con el botón secundario del mouse en La autenticación
de servidor, seleccione Todas las tareas y, a continuación, haga clic en Solicitar un
nuevo certificado.
12.En el Asistente solicitud para certificados que se inicia, haga clic en siguiente.
13.En la lista de tipos de certificado, haga clic en Autenticación de servidor, haga clic
para activar la casilla de verificación Opciones avanzadas de en y, a continuación,
haga clic en siguiente.
14.En la lista de Proveedores de servicios criptográficos, haga clic en Microsoft RSA
SChannel Cryptographic Provider.

Nota Este proveedor de servicios criptográficos admite derivación de claves para los
protocolos SSL2, PCT1, SSL3 y TLS1.

15.En la lista Longitud de clave, deje la opción predeterminada de 1024, seleccionado o

haga clic en la longitud de clave que desea utilizar.
16.Haga clic para seleccionar la casilla de verificación Marcar esta clave como
exportable. Al hacerlo, puede guardar la clave pública y la clave privada en un archivo
PKCS # 12. Por tanto, puede copiar este certificado a otro equipo.
17.Si desea habilitar "protección de clave privada segura", haga clic para activar la casilla
de verificación Habilitar protección segura de claves privadas.
18.Haga clic en siguiente, escriba el nombre de su entidad emisora de certificados en el
cuadro de entidad emisora de CERTIFICADOS, haga clic en siguiente, escriba un
nombre para este certificado en el cuadro nombre descriptivo, haga clic en siguiente y,
a continuación, haga clic en Finalizar.

Paso 2: Configurar TLS autenticación y cifrado

Puede configurar la configuración de cifrado en el servidor de terminal server mediante la
directiva de grupo. Sin embargo, no se puede utilizar Directiva de grupo para configurar la
autenticación en el servidor de terminal server. Por lo tanto, en esta sección se describe cómo
configurar la autenticación y cifrado mediante la herramienta de configuración de servicios de

Win Server 2003 Página 13

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
Terminal Server. Para TLS funcione correctamente en un servidor terminal server, debe
configurar todos los elementos siguientes en la ficha General del cuadro de diálogo
Propiedades RDP-TCP:

• Debe seleccionar un certificado que cumpla los requisitos que se mencionan en la

sección "Server Prerequisites".
• Debe establecer la capa de seguridad valor Negotiate o SSL.
• Debe establecer el nivel de cifrado de valor alto, o debe habilitar Federal Information
Processing Standard (FIPS)-cifrado compatible con.

Nota También puede habilitar cifrado compatible con FIPS mediante la directiva de
grupo. Sin embargo, no se puede habilitar TLS mediante Directiva de grupo.

Nota Si habilita la autenticación de TLS en un conjunto de directorio de sesión, deberá

configurar uno de los valores siguientes en cada uno de los servidores que son miembros del
conjunto de directorio de sesión:

• Establezca el valor de capa de seguridad SSL.

• Establezca el valor capa de seguridad para negociar. Si establece la capa de
seguridad para negociar, autenticación TLS sólo se habilita si el equipo cliente admite
autenticación TLS.

Para configurar TLS autenticación y cifrado en el servidor, siga estos pasos:

1. Inicie la herramienta de configuración de servicios de Terminal Server. Para ello, haga

clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic
en Configuración de servicios de Terminal Server.
2. En el panel izquierdo, haga clic en conexiones.
3. En el panel derecho, haga clic con el botón secundario en la conexión que desea
configurar y, a continuación, haga clic en Propiedades.
4. En la ficha General, haga clic en Editar junto a certificados.
5. En el cuadro de diálogo Seleccionar certificado, haga clic en el certificado que desea
utilizar.

Nota Autenticación del servidor debe aparecer en la columna de Propósito planteado

de este certificado. Además, este certificado debe ser un certificado X.509 con una
clave privada correspondiente. Para determinar si el certificado tiene una clave privada,
haga clic en Ver certificado. El siguiente texto de mensaje aparece al final de la
información de certificado:

Tiene una clave privada correspondiente a este certificado.

Haga clic en Aceptar.

6. Haga clic en Aceptar.

7. En la lista capa de seguridad , haga clic en una de las siguientes opciones:
o Negotiate: este método de seguridad utiliza TLS 1.0 para autenticar el servidor
si se admite TLS. Si no se admite TLS, no se autentica el servidor.
o Nivel de seguridad de RDP: este método de seguridad utiliza cifrado de
protocolo de escritorio remoto para comunicaciones seguras entre el equipo
cliente y el servidor. Si selecciona esta opción, no se autentica el servidor.

Win Server 2003 Página 14

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
o SSL: este método de seguridad requiere TLS 1.0 autenticar el servidor. Si no se
admite TLS, no se puede establecer una conexión al servidor. Este método sólo
está disponible si selecciona un certificado válido.

Nota Si hace clic en Negotiate o SSL en la lista capa de seguridad, también debe
configurar uno de los siguientes:

o Establecer el nivel de cifrado alto.

o Configurar cifrado compatible con FIPS.
8. En la lista de nivel de cifrado , haga clic en una de las siguientes opciones:
o Compatible con FIPS: si utiliza esta configuración o si establece la
criptografía de sistema: FIPS usar algoritmos compatibles con para
cifrado, firma y operaciones hash opción mediante Directiva de grupo, los
datos se cifran y descifran entre el equipo cliente y el servidor que tiene
algoritmos FIPS 140-1 cifrado mediante módulos criptográficos de Microsoft.
o alta Si utiliza esta configuración, datos que se envían entre el equipo cliente y
el servidor se cifran mediante cifrado de 128 bits.
o cliente compatible Si utiliza esta configuración, datos que se envían entre el
equipo cliente y servidor se cifran mediante la intensidad de clave máxima que
es compatible por el equipo cliente.
o bajo Si utiliza esta configuración, datos que se envían entre el equipo cliente y
el servidor se cifran mediante cifrado de 56 bits.

Nota Esta opción no está disponible al hacer clic en SSL en la lista capa de
seguridad.
9. Haga clic para seleccionar la casilla de verificación Usar estándar de Windows inicio
de sesión interfaz para especificar que los usuarios inician sesión en el servidor de
terminal server escribiendo sus credenciales en el cuadro de diálogo de inicio de sesión
de Windows de predeterminado.
10.Haga clic en Aceptar.

Nota

• Para configurar estas opciones, debe ser un miembro del grupo Administradores en el
equipo local o debe delegar los derechos adecuados. Si el equipo está unido a un
dominio, los miembros del grupo de seguridad Administradores de dominio tienen
permisos suficientes seguir estos pasos.
• Niveles de cifrado que se configuran mediante Directiva de grupo reemplazar las
opciones de configuración se establece mediante la herramienta de configuración de
servicios de Terminal Server. Además, si habilita la criptografía de sistema: FIPS de
usar algoritmos compatibles con para cifrado, firma y operaciones hash directiva,
el criptografía de sistema: FIPS de usar algoritmos compatibles con para cifrado,
firma y operaciones hash directiva reemplaza la configuración directiva de grupo de
nivel de conjunto de cifrado de conexión de cliente.
• Cuando cambia el nivel de cifrado, el nuevo nivel de cifrado que se configure surte
efecto la próxima vez que un usuario inicie sesión. Si necesita varios niveles de cifrado,
instale varios adaptadores de red y, a continuación, configurar cada adaptador de red
con un nivel de cifrado diferente.

Paso 1: Solicitar un certificado de equipo

1. Inicie Internet Explorer y visite http:// servername / certsrv.

2. Haga clic en Descargar certificado de entidad emisora, cadena de certificados o
CRL.

Win Server 2003 Página 15

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
3. Haga clic en instalar esta cadena de certificado de entidad emisora para configurar
el equipo cliente para confiar en todos los certificados emitidos por esta entidad de
certificación.
4. Haga clic en Sí si se le pide para agregar los certificados desde el sitio Web de entidad
emisora de certificados.
5. Después de recibir el siguiente mensaje, cierre Internet Explorer:

La cadena de certificado de entidad emisora se ha instalado correctamente.

Nota

• No es necesario haber iniciado sesión en el equipo que tiene privilegios administrativos

para realizar esta operación.
• Instale la cadena de certificado de CA para asegurarse de que los equipos cliente
confíen en la raíz de certificado del servidor de Terminal Server. Esto significa que el
certificado de la entidad emisora raíz que emitió el certificado del servidor Terminal
Server se almacenan en almacén de certificados de entidades emisoras de certificados
raíz de confianza del equipo cliente equipo local. Esto es necesario para TLS se utilizará
para la autenticación de servidor cuando los equipos cliente se conecten al servidor de
terminal server.
• Puede utilizar la opción de instalar esta cadena de certificado de entidad emisora
para establecer la confianza en una entidad de certificación subordinadas si no tiene
actualmente el certificado de la entidad emisora raíz en el almacén de certificados.

Método 1: utilizando conexión a Escritorio remoto

1. Iniciar conexión a Escritorio remoto.

2. Haga clic en Opciones y, a continuación, haga clic en la ficha seguridad.

Nota La ficha seguridad aparece si instala la versión de Windows Server 2003 Service
Pack 1 de conexión a Escritorio remoto.
3. En la lista de autenticación , haga clic en una de las siguientes opciones:
o sin autenticación: ésta es la opción predeterminada. Si selecciona esta opción,
no se autentica el servidor de terminal server.
o intento de autenticación: si selecciona esta opción, y si TLS es compatible y
configurado correctamente, se utiliza TLS 1.0 para autenticar el servidor de
terminal server.

Si hace clic en intentar autenticación , puede elegir continuar la conexión de

servicios de Terminal Server sin autenticación TLS si se produce uno de los
siguientes errores de autenticación:
 El certificado de servidor ha caducado.
 El certificado de servidor no está emitido por una entidad emisora de
certificados raíz de confianza.
 El nombre en el certificado no coincide con el nombre del equipo
cliente.

Otros errores de autenticación provocan la conexión de servicios de Terminal

Server a un error.

4. Requerir autenticación: si hace clic en esta opción, se requiere TLS para autenticar el
servidor de terminal server. Si no se admite TLS, o si TLS no está configurado
correctamente, el intento de conexión no es correcto. Esta opción sólo está disponible

Win Server 2003 Página 16

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
para equipos cliente que conectan a servidores Terminal Server que ejecutan Windows
Server 2003 SP1.

Nota No es necesario tener derechos administrativos para configurar la conexión a Escritorio

remoto. Además, después de configurar esta conexión, puede guardar los cambios como un
archivo de escritorio remoto (.rdp). Para configurar otros equipos de cliente utilizar la
configuración de seguridad que haya configurado, distribuir el archivo .RDP a esos equipos.

Un archivo .rdp contiene toda la información para la conexión con el servidor de terminal
server. Esto incluye la configuración de seguridad que configure en la ficha seguridad. Puede
personalizar sus conexiones a un determinado servidor de Terminal Server creando archivos
.RDP diferentes que corresponden a la configuración que desee utilizar cuando se conecta al
servidor de Terminal Server. Además, puede cambiar el archivo .RDP mediante cualquier editor
de texto, como el Bloc de notas. Para modificar la configuración de seguridad de un archivo
.RDP el Bloc de notas, siga estos pasos:

1. Busque el archivo .RDP que desea modificar y, a continuación, abrirlo por con el Bloc
de notas.
2. Busque la línea de nivel de autenticación en el archivo RDP.
3. Establezca el valor del nivel de autenticación en uno de los siguientes valores:
o Este valor de 0 corresponde a "Sin autenticación".
o 1 este valor corresponde a "Requerir autenticación".
o Este valor de 2 corresponde a "Intento de autenticación".

Por ejemplo, para configurar la conexión a Escritorio remoto para que requiera la
autenticación, escriba i: 1: nivel de autenticación.

4. Guarde los cambios en el archivo y salga del Bloc de notas.

Método 2: utilizando el Editor del registro

1. Haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic
en Aceptar.
2. Utilice uno de los métodos siguientes:
o Para modificar la configuración del registro para todos los usuarios que inicien
sesión en el equipo, busque y, a continuación, haga clic en la siguiente subclave del
registro:

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server
Client

o Para modificar la configuración del registro para sólo el usuario que

actualmente ha iniciado la sesión, busque y, a continuación, haga clic en la
siguiente subclave del registro:

HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client

3. En el menú Edición, seleccione nuevo y, a continuación, haga clic en Valor DWORD.

4. En el cuadro nuevo valor # 1, escriba AuthenticationLevelOverride y, a continuación,
presione ENTRAR.
5. Haga clic con el botón secundario del mouse en AuthenticationLevelOverride y, a
continuación, haga clic en Modificar.

Win Server 2003 Página 17

INSTITUTO SUPERIOR TECNOLOGICO
“VICENTE ROCAFUERTE”
6. En el cuadro datos del valor , escriba uno de los siguientes valores y, a continuación,
haga clic en Aceptar :
o 0 escriba este valor para configurar un nivel de autenticación de "Sin
autenticación".
o 1 escriba este valor para configurar un nivel de autenticación de "Requerir
autenticación".
o 2 escriba este valor para configurar un nivel de autenticación de "Intento de
autenticación".

Para información adicional acerca de estos niveles de autenticación, consulte la "Method 1: By

using Remote Desktop Connection" sección.

Nota

• Si configura el nivel de autenticación mediante el registro, los usuarios que han iniciado
sesión en el equipo cliente no pueden modificar la configuración de autenticación.
• El nivel de autenticación se establece mediante la subclave
HKEY_CURRENT_USER\Software\Microsoft\Terminal Server Client reemplaza un
nivel de autenticación que puede configurarse en la subclave
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Terminal Server Client.

Win Server 2003 Página 18