Sistemas Operativos: Configurar Windows 2000 Server para

acceso con Terminal Server y VPN

Explicamos en este artículo cómo configurar la instalación de Windows 2000 Server (también
válido si ya está instalado) para permitir el acceso al servidor de los clientes mediante Terminal
Server y VPN (Red Privada Virtual). Os mostramos cómo conectar un cliente con Windows 98 y
otro con Windows XP.

 Configuración de Windows 2000 Server en la instalación para Terminal Server y VPN.

 Configuración de Terminal Server y Enrutamiento y acceso remoto tras instalación.

o Configuración de la red de Windows 2000 server.

o Configuración y apertura de puertos en el router de la red.

o Configuración de la seguridad y otras opciones de Terminal Server (RDP-Tcp).

 Configuración de la seguridad y otras opciones de Terminal Server (RDP-Tcp).

 Configuración de los equipos clientes para la conexión al servidor con Windows 2000 Server y
VPN.

o Configuración de un equipo con Windows 98 para conexión a la VPN.

o Configuración de un equipo con Windows XP para la conexión a la VPN.

 Artículos relacionados.

 Créditos.

Configuración de Windows 2000 Server en la instalación para Terminal Server y VPN

En primer lugar deberemos disponer de un equipo (servidor) con Windows 2000 Server ó Windows
Server 2003 instalado, este equipo debe disponer de conexión a Internet. En los siguientes pasos
explicaremos cómo configurar Windows 2000 en la instalación para admitir los servicios de Terminal
Server, aunque se pueden agregar si ya está instalado, como indica este manual.

Los pasos a seguir:

Instalamos el sistema operativo Windows 2000 Server en un PC con la siguiente configuración:

a) Modo de licencia de cliente “Por puesto”, si ya tenemos instalado el sistema operativo, esta opción
se puede cambiar desde RDP.

b) Desde las opciones de instalación de Windows 2000 Server o desde "Agregar o Quitar programas" -
"Componentes de Windows" (si ya lo tenemos instalado) marcaremos "Servicios de Terminal Server":

c) Marcaremos para instalar también “Licencias de servicios de Terminal Server”:

d) En la instalación marcaremos la opción "Modo de servidor de aplicaciones”:

Como indica la ventana de instalación: Permite a los usuarios ejecutar remotamente una o más
aplicaciones. Esta configuración optimiza los tiempos de respuesta del programa. Para usar esta
opción, debe instalar un servidor de Licencias de Terminal Server en este dominio o grupo de trabajo
dentro de 90 días.
e) En la instalación de Windows 2000 Server marcaremos la opción "Permisos compatibles con los
usuarios de Servicios de Terminal Server:

Como indica el asistente: Seleccione esta opción para proporcionar un medio que sea compatible con la
mayoría de las aplicaciones heredadas. Bajo esta configuración, todos los usuarios tendrán acceso
completo a la ubicación de registros críticos y archivos de sistema. Esto es necesario para ejecutar
varias aplicaciones heredadas.

f) Para el caso de la configuración de red en la instalación de Windows 2000 Server, será conveniente
marcar la opción "Configuración personalizada" e introducir una IP fija para el servidor, este paso
también será posible hacerlo si ya tenemos instalado Windows 2000 Server (desde las propiedades de
red):
g) No es necesario que el equipo pertenezca a un dominio:
Configuración de Terminal Server y Enrutamiento y acceso remoto tras instalación

Configuración de la red de Windows 2000 server

Una vez instalado Windows 2000 Server, configuraremos la red (si no lo hemos hecho en el proceso de
instalación), desde Conexiones de red y acceso telefónico, botón derecho sobre "Conexión de área
local", seleccionando "Propiedades":
Seleccionaremos "Protocolo Internet (TCP/IP)" y pulsaremos en "Propiedades":

Introduciremos la IP del servidor, la máscara de subred, la puerta de enlace, el servidor DNS preferido
(es recomendable que sea la IP del propio servidor), el servidor DNS alternativo:
En la pestaña "DNS" pondremos agregar más servidor DNS si fuera necesario:
Configuración y apertura de puertos en el router de la red

Tras configurar la red del servidor e instalar los servicios de terminal server, deberemos abrir el puerto
correspondiente a la VPN (1723) en el router o cortafuegos de nuestra red. Si disponemos de un router
accederemos a la consola de administración. Aunque el menú puede variar de un modelo de router a
otro (en el ejemplo es un Vigor 2200) la opción suele llamarse NAT, en este router "NAT Setup":
En la siguiente ventana de NAT Setup pulsaremos en "Configure Port Redirecction Table":

Añadiremos el puerto 1723 en "Public Port" y la IP del servidor de Windows 2000 Server en "Private
IP", en "Protocol" seleccionaremos "TCP", marcaremos la casilla de verificación "Active" y guardaremos
los cambios:
Configuración de la seguridad y otras opciones de Terminal Server (RDP-Tcp)

Para decidir qué usuarios o grupos de usuarios tendrán acceso a Terminal Server desde la Red Local y
desde fuera de la red (Internet) y para configurar (suplantar) las opciones de conexión de los usuarios
(tiempo de sesión, impresoras, control remoto, ...), lo configuraremos desde: "Herramienas
administrativas" - "Configuración de Servicios de Terminal Server" - "Conexiones" - "RDP-Tcp":

IMPORTANTE: la configuración que mostramos a partir de ahora se ha realizado en un controlador de

dominio promocionado (Active Directory), con lo cual, para servidores Windows 2000 Server sin
promocionar a controlador de dominio la configuración puede variar sensiblemente. Todas las
herramientas que vamos a utilizar se encuentran en “Herramientas administrativas” del “Panel de
Control”:
En la pestaña "Permisos" de RDP-Tcp" agregaremos los usuarios y grupos de seguridad que tendrán
acceso a Terminal Server. Por ejemplo, podremos crear un grupo de seguridad llamado "gAcceso
Remoto" y agregar a este grupo todos los usuarios que queramos que accedan mediante Terminal
Server al Servidor:

Desde la pestaña "Adaptadores de red" podremos indicar qué tarjeta de red será la que se utilice para
el servidor de Terminal Server, seleccionando "Todos los adaptadores de red están configurados con
este protocolo" se activará el servicio para todas las tarjetas de red del servidor:
Desde "RDP-Tcp" podremos configurar otras opciones para los usuarios que accedan mediante
conexión a escritorio remoto a nuestro servidor de terminales (terminal server).

En la parte izquierda, seleccionando "Configuración de servidor" podremos configurar otras opciones

de conexión (por ejemplo podremos cambiar el modo de Terminal server para que sólo admita
conexiones para administración o como actualmente lo tenemos, en modo "Servidor de aplicaciones".
Podremos indicar otras opciones:

 Eliminar las carpetas temporales al salir.

 Usar carpetas temporales por sesión.

 Licencia de conector de Internet.

 Active Desktop.

 Compatibilidad de permisos.
Para decidir qué usuarios o grupos de usuarios podrán tener acceso al servidor, también hay que
configurar la Directiva de seguridad, para ello accedemos a "Directiva de seguridad del controlador de
dominio", en la parte izquierda pulsaremos en "Configuración de seguridad", "Directivas locales",
"Asignación de derechos de usuario", en la parte derecha "Inicio de sesión local":
Agregaremos aquí los grupos de seguridad y usuarios que tendrán acceso:

Para activar/desactivar el acceso de un usuario a Terminal Server (tanto en red local como desde
internet), podermos hacerlo desde "Usuarios y equipos de Active Directory":
En la pestaña "Perfil de Servicios de Terminal Server" de las propiedades del usuario, marcaremos o
desmarcaremos la opción "Permitir iniciar la sesión en servidor Terminal Server":
Activación servicio Enrutamiento y acceso remoto (VPN) en Windows 2000 Server

Para permitir el acceso a determinados usuarios desde fuera de la LAN utilizaremos la VPN, para ello
activaremos el “Enrutamiento y acceso remoto”, desde “Herramientas administrativas”, “Enrutamiento
y acceso remoto”, botón derecho sobre el nombre del servidor, en el menú emergente seleccionaremos
"Configurar y habilitar el enrutamiento y acceso remoto:
Pulsaremos "Siguiente" en el asistente que nos aparecerá:
Marcaremos la opción "Servidor de red privada virtual (VPN)" y pulsaremos "Siguiente":

Nos mostrará los protocolos de cliente remoto, en nuestro caso "TCP/IP":

Seleccionaremos la opción "No hay conexión Internet" en "Conexión de Internet":
En la asignación de direcciones IP podremos marcar la opción "Automáticamente" para que sea el
servidor de DHCP de nuestra red el que asigne las IPs, si no disponemos de servidor de DHCP en
nuestra red y marcamos esta opción será el propio servidor el que genere las direcciones IP para los
clientes que accedan mediante la VPN. Si queremos indicar un rango de IP manual marcaremos la
opción "De un intervalo de direcciones especificado":
Si desea utilizar la autenticación RADIUS habrá que marcar la opción "Sí, deseo usar un servidor
RADIUS", en caso contrario marcaremos la opción "No, no quiero configurar este servidor para usar
RADIUS ahora":
Antes de la instalación del servicio de "Enrutamiento y acceso remoto" el asistente nos mostrará la
siguiente ventana, pulsaremos "Finalizar" para concluir el proceso:
El proceso final se iniciará:

Tras la activación del servicio, tendremos nuevas opciones en "Enrutamiento y acceso remoto", por
ejemplo "Directivas de acceso remoto", desde esta directiva indicaremos qué usuarios o grupos
tendrán permiso para acceder mediante VPN al servidor, a la derecha seleccionaremos "Acceso
usuarios remotos":
Marcaremos "Conceder permiso de acceso remoto", pulsaremos "Agregar" en la ventana de
"Propiedades de Acceso usuarios remotos":

Seleccionaremos el atributo "Windows-Groups":

Agregaremos los grupos de seguridad que queramos que tengan acceso a la VPN:
Pulsando con el botón derecho del ratón sobre el servidor, seleccionando "Propiedades" accederemos
a las propiedades del servidor para la VPN (enrutamiento y acceso remoto):
Podremos desmarcar la opción "Enrutador" pues no será necesaria, sí ha de estar marcada la opción
"Servidor de acceso remoto":
Por último, deberemos activar en todos los usuarios que queramos que tengan acceso remoto desde
fuera de la LAN (mediante VPN) la opción “Permitir acceso”, para ello accederemos a "Usuarios y
equipos de Active Directory", seleccionaremos el usuario, accederemos a sus propiedades:
Y en la pestaña "Marcado" marcaremos la opción "Permitir acceso" de "Permiso de acceso remoto
(acceso telefónico o red privada virtual)":
Con los pasos anteriores tendremos configurado el servidor de Windows 2000 Server para permitir
acceso remoto mediante VPN y Terminal Server.

Configuración de los equipos clientes para la conexión al servidor con Windows 2000 Server y VPN

Configuración de un equipo con Windows 98 para conexión a la VPN

Desde "Agregar o quitar programas" del equipo cliente con Windows 98, accederemos a la pestaña
"Instalación de Windows" y marcaremos la opción "Comunicaciones", pulsando en "Detalles":
Seleccionaremos "Red privada virtual":
En "Mi PC" aparecerá un nuevo elemento "Acceso telefónico a redes", haremos doble clic sobre él:

Pulsaremos "Siguiente" en la ventana del asistente para Acceso telefónico a redes:

En "Escriba un nombre para el equipo al que está llamando" introduremos un nombre descriptivo de la
sede a la que nos estemos conectando, por ejemplo "AjpdSoft". En "Seleccione un dispositivo"
seleccionaremos "Microsoft VPN Adapter" (dispositivo que se habrá instalado anteriormente):

En "Nombre del host o dirección IP" escribiremos la dirección IP pública de la sede donde reside
nuestro servidor con Windows 2000 Server y VPN:
El asistente nos mostrará la última ventana, indicando que el proceso de crear una nueva conexión ha
finalizado:

En "Acceso telefónico a redes" del equipo con Windows 98 aparecerá la nueva conexión, haciendo
doble clic sobre ella nos conectaremos a la VPN:
Nos pedirá un nombre de usuario y contraseña (debe ser un usuario existente en el servidor con
Windows 2000 Server que tenga permisos de acceso mediante VPN), en "Servidor VPN" volveremos a
escribir la IP pública de la sede con Windows 2000 Server. Pulsaremos en "Conectar":

El equipo cliente validará el usuario y la contraseña en el equipo servidor al que hace referencia la IP
indicada:

Si todo es correcto nos mostrará la siguiente ventana, indicando que la conexión se ha establecido
correctamente y la forma de desconectarnos cuando ya no sea necesaria:
En el área de notificación aparecerá un icono indicando que estamos conectados a la VPN. En este
momento ya podremos acceder a los recursos compartidos del servidor de Windows 2000 Server como
si estuviésemos en la red de aquella sede (con la limitación del ancho de banda disponible de la
conexión a Internet de que dispongamos):

Por último nos queda instalar en el PC cliente la conexión a Terminal Server (escritorio remoto): si el PC
cliente dispone de Windows XP no será necesario pues la lleva incorporada en “Accesorios” –
“Comunicaciones” – “Conexión a escritorio remoto”:

Indicaríamos la IP local del servidor de Terminal Server con Windows 2000 Server, puesto que con la
conexión VPN realizada anteriormente ya estamos en la red local del PC Servidor:
Para PCs clientes con Windows 98/ME deberemos instalar el cliente de acceso remoto (conexión a
escritorio remoto), bien con los disquetes que se pueden generar desde Windows 2000 Server, desde
"Herramientas administrativas" - "Creador de cliente de Servicios de Terminal Server":

O bien utilizando el CD de instalación de Windows XP y seleccionando “Realizar tareas adicionales”:

Y "Instalar conexión a escritorio remoto":

Configuración de un equipo con Windows XP para la conexión a la VPN

Para configurar la conexión mediante VPN en un equipo cliente conWindows XP accederemosa "Inicio"
- "Configuración" - "Conexiones de red" - "Asistente para conexión nueva":

Pulsaremos "Siguiente" para iniciar el asistente:

En "Tipo de conexión de red" marcaremos la opción "Conectarse a la red de mi lugar de trabajo":
En "Conexión de red" marcaremos la opción "Conexión de red privada virtual":

En "Nombre de la organización" indicaremos un nombre descriptivo para la conexión a la VNP, por

ejemplo "AjpdSoft":
En "Red pública" marcaremos la opción "No usar la conexión inicial":
En "Nombre del host o dirección IP" introduciremos la dirección IP pública de la sede donde reside
nuestro servidor con Windows 2000 Server y VPN:

Marcando la opción "Agregar en mi escritorio un acceso directo a esta conexión" el asistente, tras
pulsar en "Finalizar" nos añadirá un acceso directo en el escritorio para la conexión a la VPN:
Haremos doble clic sobre el acceso directo creado, nos pedirá usuario y contraseña, si todo es correcto
se establecerá la conexión VPN con el servidor y podremos acceder a la red local de éste.

Artículos relacionados

 VPN.

 NAT.

 Instalar Windows Server 2003.

 Promocionar servidor Windows 2003 a controlador principal de dominio.

 Instalar y configurar servicio de Terminal Server en Windows 2003.

 Artículos sobre Windows.

 Abrir puertos en router DSL-G804V y firewall de Windows para optimizar eMule.

 dirección IP pública.