Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Al usar varios servidores de licencias de Escritorio remoto (RD), después de aplicar la actualización de seguridad para CVE-2024-38231, asegúrese de que los servidores puedan comunicarse correctamente entre sí. Es importante que los servidores de licencias de Escritorio remoto puedan comunicarse entre sí en cualquiera de los escenarios siguientes:
- Se devuelve una licencia a un servidor de licencias de Escritorio remoto que no la emitió
- La detección automática de servidores de licencias, un mecanismo que se retiró a partir de Windows Server 2008 R2, se sigue utilizando en una implementación de Escritorio remoto
Implementación unida a grupos de trabajo
Las implementaciones de Escritorio remoto unidas a grupos de trabajo están diseñadas para implementaciones pequeñas. No se recomienda usar varios servidores de licencias de Escritorio remoto en implementaciones de Escritorio remoto unidas a grupos de trabajo.
Importante
La compatibilidad con varios servidores de licencias en grupos de trabajo se puede quitar en una versión futura de Windows.
Para usar varios servidores de licencias de Escritorio remoto en el mismo grupo de trabajo, asegúrese de que cada servidor de licencias pueda autenticarse entre sí y que se reconozcan entre sí como servidores de licencias.
Asegúrese de que los servidores de licencias estén autenticados
Por ejemplo, supongamos que hay dos servidores de licencias llamados LICSVR1 y LICSVR2.
Para asegurarse de que LICSVR1 puede autenticarse en LICSVR2, debe decidir qué cuenta usa LICSVR1 para conectarse a LICSVR2. Se recomienda crear una cuenta de usuario dedicada en LICSVR2 con los pasos siguientes:
Conéctese a LICSVR2 con una cuenta de administrador. Si lo hace de forma remota, es posible que tenga que iniciar la aplicación Conexión a Escritorio remoto mediante el comando mstsc.exe /admin si la máquina de destino no puede ponerse en contacto con un servidor de licencias de Escritorio remoto.
Una vez conectado, haga clic con el botón derecho en Inicio, seleccione Ejecutar y escriba lusrmgr.msc. A continuación, presione ENTRAR.
En el panel izquierdo, seleccione Usuarios.
Abra el menú Acción y seleccione Nuevo usuario...
Elija un nombre de usuario y una contraseña segura única para el usuario. A continuación, confirme la contraseña.
Desactive la casilla "El usuario debe cambiar la contraseña en el siguiente inicio de sesión".
Seleccione Crear.
A continuación, en LICSVR1, agregue el usuario y sus credenciales para que la cuenta NT AUTHORITY\NETWORK SERVICE pueda autenticarse en LICSVR2 con los pasos siguientes:
Conectarse a LICSVR1. Si lo hace de forma remota, es posible que tenga que iniciar la aplicación Conexión a Escritorio remoto mediante el comando mstsc.exe /admin si la máquina de destino no puede ponerse en contacto con un servidor de licencias de Escritorio remoto.
Inicie un símbolo del sistema como NT AUTHORITY\NETWORK SERVICE. Puede hacerlo con PsExec desde las utilidades Sysinternals; para ello, ejecute el siguiente comando como administrador:
psexec.exe -i -u "NT AUTHORITY\NETWORK SERVICE" cmd.exeA continuación, agregue un nombre de usuario y una contraseña al equipo host con el siguiente comando:
cmdkey /add:LICSVR2 /user:LICSVR2\<USERNAME> /passdonde <USERNAME> es el nombre del usuario que ha decidido que use LICSVR1 para autenticarse en LICSVR2.
Cuando se le solicite la contraseña, introduzca la contraseña de ese usuario.
LICSVR1 ahora debería poder autenticarse en LICSVR2. Para que LICSVR2 pueda reconocer LICSVR1 como otro servidor de licencias, debe agregar el usuario a un grupo local en LICSV2 y registrar ese grupo local con el servicio de licencias de Escritorio remoto. Ejecute el siguiente comando en PowerShell como administrador en LICSVR:
New-LocalGroup -Name <GROUP-NAME>
Add-LocalGroupMember -Group <GROUP-NAME> -Member "LICSVR2\<USERNAME>"
Donde <GROUP-NAME> es el nombre del grupo y <USERNAME> es el nombre del usuario cuyas credenciales se registran en LICSVR1.
Para registrar ese grupo local con el servicio de licencias de Escritorio remoto en el Registro, ejecute el siguiente comando de PowerShell:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\TermServLicensing\Parameters" -Name " WorkgroupLicenseServerAccountsGroup" -Value "LICSVR2\<GROUP-NAME>" -Type String
Implementación unida a un dominio
Para que los servidores de licencias de Escritorio remoto unidos a un dominio se comuniquen correctamente entre sí, deben saber que la comunicación procede de otro servidor de licencias de Escritorio remoto. Esto se puede lograr mediante una de las tres maneras descritas en esta sección.
Un administrador de dominio puede publicar cada servidor de licencias de Escritorio remoto en Servicios de dominio de Active Directory (AD DS) mediante el método WMI PublishLS de la clase Win32_TSLicenseServer. Esto crea un registro de nivel de sitio en AD DS que se puede usar para autorizar la comunicación entre servidores de licencias de Escritorio remoto. En PowerShell como administrador de dominio en un servidor de licencias, ejecute el comando:
Invoke-WmiMethod -Class Win32_TSLicenseServer -Name PublishLSComo alternativa, cada servidor de licencias de Escritorio remoto se puede configurar para autorizar la comunicación desde un conjunto determinado de servidores de licencias de Escritorio remoto mediante la configuración de la directiva de grupo Usar los servidores de licencias de Escritorio remoto especificados. Esa directiva de grupo se describe con más detalle en Licencias de hosts de sesión de Escritorio remoto. O bien, se puede establecer el siguiente valor del Registro para especificar los servidores de licencias. En PowerShell como administrador en un servidor de licencias de Escritorio remoto, ejecute el comando:
Set-ItemProperty -Path "HKLM:\SYSTEM\CurrentControlSet\Services\TermServLicensing\Parameters" -Name " SpecifiedLicenseServers" -Value "<LicSrv1DnsHostName>","<LicSrv2DnsHostName>" -Type MultiStringDonde <LicSrv1DnsHostName> y <LicSrv1DnsHostName> son los nombres de host DNS de los otros servidores de licencias de Escritorio remoto.
Por motivos históricos, los servicios de licencias de Escritorio remoto que se ejecutan en controladores de dominio de Active Directory no requieren configuración adicional.
Importante
Recomendamos encarecidamente instalar el servidor de licencias de Escritorio remoto en controladores de dominio. Use este enfoque bajo su propia responsabilidad. Según los procedimientos recomendados de seguridad de Active Directory, los controladores de dominio deben tratarse como componentes críticos de la infraestructura y deben minimizar la cantidad de software no relacionado que ejecutan. Para obtener más información, consulte Protección de controladores de dominio.