• Artículo
  • 09/24/2021
  • 16 minutos de lectura
    • D
    • v
    • s
¿Es útil esta página?

Gracias.

Este artículo le ayuda a comprender las configuraciones más comunes que afectan al establecimiento de una sesión de Terminal Services en un entorno empresarial.

Se aplica a: Windows Server 2003
Número de KB original: 2477023

Terminal Server

Un servidor de terminales es el servidor que aloja programas basados en Windows o el escritorio completo de Windows para clientes de Terminal Services. Los usuarios pueden conectarse a Terminal Server para ejecutar programas, guardar archivos y usar recursos de red en ese servidor. Los usuarios pueden acceder a un Servidor de Terminales desde una red corporativa o desde Internet.

Conexiones remotas para fines administrativos

Terminal Services admite dos conexiones remotas simultáneas al equipo. No necesita licencias de acceso de cliente de Terminal Services (CAL de TS) para estas conexiones.

Para permitir más de dos conexiones administrativas o múltiples conexiones de usuario, debe instalar el rol Terminal Services y tener CAL de TS adecuadas.

Solucionar problemas al establecer una sesión de Terminal Services

En las siguientes secciones se describen los problemas que puede encontrar y se proporcionan soluciones.

Es posible que tenga un número limitado de usuarios que pueden conectarse simultáneamente a una sesión de Terminal Services

El número limitado de conexiones RDP puede deberse a una Directiva de grupo mal configurada o a propiedades RDP-Tcp en la configuración de Terminal Services. De forma predeterminada, la conexión está configurada para permitir la conexión al servidor de un número ilimitado de sesiones. Cuando intenta realizar una conexión de Escritorio remoto (RDC), se produce el siguiente error:

Escritorio Remoto Desconectado.
Este equipo no se puede conectar al equipo remoto.
Intente conectarse de nuevo. Si el problema continúa, póngase en contacto con el propietario del equipo remoto o con el administrador de la red.

Verifique que el escritorio remoto esté habilitado

  1. Inicie la herramienta del sistema. Para iniciar la herramienta del sistema, haga clic en Inicio > Panel de control > Icono del sistema y, a continuación, haga clic en Aceptar.
  2. Haga clic en la pestaña Remoto. En Escritorio remoto, haga clic en la casilla Habilitar Escritorio remoto en este equipo.

Verifique la directiva Número límite de conexiones de Terminal Services

  1. Inicie el complemento Directiva de grupo, abra la Directiva de seguridad local o la Directiva de grupo adecuada
  2. Vaya a la ubicación: Directiva de equipo local > Configuración de equipo > Plantillas administrativas > Componentes de Windows > Número límite de conexiones de Terminal Services.
  3. Haga clic en Habilitado.
  4. En el cuadro Conexiones máximas permitidas de TS, escriba el número máximo de conexiones que desea permitir y, a continuación, haga clic en Aceptar.

Verifique las propiedades RDP-Tcp de Terminal Services y establezca a través de Configuración de Terminal Services

  1. Haga clic en Inicio, en Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en **Configuración de Terminal Services.
  2. En el árbol de consola, haga clic en Conexiones.
  3. En el panel de detalles, haga clic con el botón secundario en la conexión para la que desea especificar un número máximo de sesiones y, a continuación, haga clic en Propiedades.
  4. En la ficha Adaptador de red, haga clic en Conexiones máximas, escriba el número máximo de sesiones que se pueden conectar al servidor y, a continuación, haga clic en Aplicar.

Verificar los derechos de registro de servicios de terminal y configurar el Grupo de Usuarios de Escritorio remoto

El grupo de Usuarios de escritorio remoto en un Servidor de Terminal se usa para dar a los usuarios y grupos permiso para conectarse de forma remota a un Servidor de Terminal.

Puede agregar usuarios y grupos al grupo Usuarios de escritorio remoto de las siguientes maneras:

  • Complemento Usuarios y grupos locales
  • En la ficha Remoto del cuadro de diálogo Propiedades del sistema en un servidor Host de sesión de Escritorio remoto
  • Complemento Usuarios y equipos de Active Directory, si el servidor Host de sesión de escritorio remoto está instalado en un controlador de dominio

Puede usar el procedimiento siguiente para agregar usuarios y grupos al grupo Usuarios de escritorio remoto mediante la ficha el cuadro de diálogo Propiedades del sistema en Terminal Server.

La pertenencia al grupo local Administradores, o equivalente, del servidor de Terminal que tiene previsto configurar, es el mínimo necesario para completar este procedimiento.

Agregue usuarios y grupos al grupo Usuarios de escritorio remoto mediante la pestaña Remoto

  1. Inicie la herramienta del sistema. Para iniciar la herramienta del sistema, haga clic en Inicio > Panel de control > Icono del sistema y, a continuación, haga clic en Aceptar.
  2. En el cuadro de diálogo Propiedades del sistema, en la ficha Remoto, haga clic en Seleccionar usuarios remotos. Agregue los usuarios o grupos que necesitan conectarse al servidor de Terminal. Los usuarios y grupos que agregue se agregan al grupo Usuarios de escritorio remoto.

Si no selecciona Permitir que los usuarios se conecten remotamente a este equipo en la ficha Remoto, ningún usuario podrá conectarse remotamente a este equipo, incluso si son miembros del grupo Usuarios de escritorio remoto.

Agregue usuarios y grupos al grupo Usuarios de escritorio remoto mediante el complemento Usuarios y grupos locales

  1. Haga clic en Inicio > Herramientas administrativas, abra Administración de equipos.
  2. En el árbol de consola, haga clic en el nodo Usuarios y grupos locales.
  3. En el panel de detalles, haga doble clic en la carpeta Grupos.
  4. Haga doble clic en Usuarios de escritorio remoto y, a continuación, haga clic en Agregar.
  5. En el cuadro de diálogo Seleccionar usuarios, haga clic en Ubicaciones para especificar la ubicación de búsqueda.
  6. Haga clic en Tipos de objetos para especificar los tipos de objetos que desea buscar.
  7. Escriba el nombre que desea agregar en el cuadro Escriba los nombres de objeto que desea seleccionar (ejemplos).
  8. Haga clic en Comprobar nombres.
  9. Cuando se encuentre el nombre, haga clic en Aceptar.

Nota

  • No se puede conectar a un equipo que esté dormido o hibernando, así que asegúrese de que los ajustes de suspensión e hibernación en el equipo remoto estén configurados en Nunca. (La hibernación no está disponible en todos los equipos. Para obtener información sobre cómo realizar esos cambios, consulte Cambiar, crear o eliminar un plan de energía (esquema).
  • Los miembros del grupo Administradores local pueden conectarse incluso si no están en la lista.

Es posible que tenga un conflicto de asignación de puertos

Este problema podría indicar que otra aplicación en Terminal Server está utilizando el mismo puerto TCP que el Protocolo de Escritorio Remoto (RDP). El puerto predeterminado asignado a RDP es 3389.

Para resolver este problema, determine qué aplicación está utilizando el mismo puerto que RDP. Si no se puede cambiar la asignación de puertos para esa aplicación, cambie el puerto asignado a RDP editando el registro. Después de editar el registro, debe reiniciar el servicio Terminal Services. Después de reiniciar el servicio de Terminal Services, debe confirmar que el puerto RDP se ha cambiado correctamente.

Disponibilidad del receptor de Terminal Server

El componente del receptor se ejecuta en el servidor de Terminal y es responsable de escuchar y aceptar nuevas conexiones de cliente de Protocolo de Escritorio Remoto (RDP), lo que permite a los usuarios establecer nuevas sesiones remotas en el servidor de Terminal. Hay un receptor para cada conexión de Terminal Services que existe en el servidor de Terminal. Las conexiones se pueden crear y configurar mediante la herramienta de configuración de Terminal Services.

Para realizar estas tareas, consulte las siguientes secciones.

Determinar qué aplicación está utilizando el mismo puerto que RDP

Puede ejecutar la herramienta netstat para determinar si otra aplicación del servidor de Terminal está utilizando el puerto 3389 (o el puerto RDP asignado).

  1. En Terminal Server, haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
  2. En el símbolo del sistema, escriba netstat -a -o y, a continuación, presione ENTRAR.
  3. Busque una entrada para el puerto TCP 3389 (o el puerto RDP asignado) con un estado de escucha. Esto indica que otra aplicación está utilizando este puerto. El PID (Identificador de proceso) del proceso o servicio que utiliza ese puerto aparece en la columna PID.

Para determinar qué aplicación está utilizando el puerto 3389 (o el puerto RDP asignado), utilice la herramienta de línea de comandos tasklist junto con la información PID de la herramienta netstat.

  1. En Terminal Server, haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
  2. Escriba tasklist /svc y, a continuación, presione ENTRAR.
  3. Busque una entrada para el número PID que está asociado con el puerto (de la salida netstat). Los servicios o procesos asociados con ese PID aparecerán a la derecha.

Cambie el puerto asignado a RDP

Debe determinar si esta aplicación puede usar un puerto diferente. Si no puede cambiar el puerto de la aplicación, tendrá que cambiar el puerto asignado a RDP.

Importante

Microsoft no recomienda cambiar el puerto asignado a RDP.

Si tiene que cambiar el puerto asignado a RDP, debe editar el registro.

Para realizar este procedimiento, debe pertenecer al grupo Administradores local o tener delegada la autoridad correspondiente.

Para cambiar el puerto asignado a RDP, siga estos pasos:

Precaución

modificación Incorrecta del registro puede dañar gravemente el sistema. Antes de realizar cambios en el registro, debe realizar una copia de seguridad de cualquier dato valioso.

  1. En Terminal Server, abra el Editor del registro. Para abrir el Editor del registro, haga clic en Inicio, haga clic en Ejecutar, escriba regedit y, a continuación, haga clic en Aceptar.

  2. Busque y, a continuación, haga clic en la siguiente subclave del registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations

RDP-TCP es el nombre de conexión predeterminado. Para cambiar el puerto de una conexión específica en el Servidor de Terminal, seleccione la conexión en la tecla WinStations.

  1. En el panel derecho, haga doble clic en la entrada de registro PortNumber.
  2. Escriba el número de puerto que desea asignar a RDP en el cuadro Datos de valor. El número de puerto se introduce como un valor hexadecimal.
  3. Haga clic en Aceptar para guardar el cambio y, a continuación, cierre el Editor del registro.
  4. Reinicie el servidor de Terminal.

Confirme que el puerto RDP ha cambiado

Para confirmar que se ha cambiado la asignación de puerto RDP, utilice la herramienta netstat.

  1. En Terminal Server, haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
  2. En el símbolo del sistema, escriba netstat -a y presione ENTRAR.
  3. Busque una entrada para el número de puerto que asignó a RDP. El puerto debe aparecer en la lista y tener un estado de escucha.

La conexión de escritorio remoto y el cliente Web de Terminal Server usan el puerto 3389, de forma predeterminada, para conectarse a un servidor de Terminal. Si cambia el puerto RDP en Terminal Server, deberá modificar el puerto utilizado por la conexión de escritorio remoto y el Cliente Web de Terminal Server.

Compruebe que el receptor del servidor de terminales funciona correctamente

Nota

RDP-TCP es el nombre de conexión predeterminado y 3389 es el puerto RDP predeterminado. Utilice el nombre de conexión y el número de puerto específicos de la configuración de Terminal Server.

  • Método 1: Utilice un cliente RDP, como Conexión de escritorio remoto, para establecer una conexión remota con el servidor de Terminal.

  • Método 2: Utilice la herramienta qwinsta para ver el estado del receptor en el servidor de Terminal.

    1. En Terminal Server, haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
    2. En el símbolo del sistema, escriba qwinsta y, a continuación, presione ENTRAR.
    3. El estado de sesión RDP-TCP debe ser Listen.
  • Método 3: Utilice la herramienta netstat para ver el estado del receptor en el servidor de Terminal.

    1. En Terminal Server, haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
    2. En el símbolo del sistema, escriba netstat -a y presione ENTRAR.
    3. La entrada para el puerto TCP 3389 debe estar escuchando.
  • Método 4: Utilice la herramienta telnet para conectarse al puerto RDP del servidor de terminales.

    1. Desde otro equipo, haga clic en Inicio, haga clic en Ejecutar, escriba cmd y, a continuación, haga clic en Aceptar.
    2. En el símbolo del sistema, escriba telnet <servername> 3389, donde <servername> es el nombre del servidor de Terminal y, a continuación, presione ENTRAR.

    Si telnet tiene éxito, recibirá la pantalla de telnet y un cursor.

    Si telnet no funciona correctamente, recibirá este error:

    Conexión A servername…No se pudo abrir la conexión al host, en el puerto 3389: Error de conexión

    Las herramientas qwinsta, netstat y telnet también se incluyen en Windows XP. También puede descargar y utilizar otras herramientas de solución de problemas, como Portqry.

Es posible que tenga una configuración de autenticación y cifrado configurada incorrectamente

Configurar la autenticación y el cifrado mediante la configuración de Terminal Services

  1. En Herramientas administrativas, abra la configuración de Terminal Services.

  2. En el árbol de consola, haga clic en Conexiones.

  3. En el panel de detalles, haga clic con el botón secundario en la conexión que desee modificar y, a continuación, haga clic en Propiedades.

  4. En la ficha General, en Capa de seguridad, seleccione un método de seguridad. El método de seguridad que seleccione determina si el servidor de Terminal está autenticado en el cliente y el nivel de cifrado que puede usar. Puede seleccionar uno de estos métodos de seguridad:

    • El método Negotiate utiliza TLS 1.0 para autenticar el servidor, si se admite TLS. Si no se admite TLS, el servidor no se autentica.

    • El método de capa de seguridad RDP utiliza cifrado de protocolo de escritorio remoto nativo para proteger las comunicaciones entre el cliente y el servidor. Si selecciona esta configuración, el servidor no se autentica.

    • El método SSL requiere el uso de TLS 1.0 para autenticar el servidor. Si no se admite TLS, se produce un error en la conexión. Este método solo está disponible si selecciona un certificado válido, como se describe en el paso 6.

      Si selecciona Negociar o SSL, para que TLS funcione correctamente, también debe establecer el nivel de cifrado en Alto, o debe habilitar el cifrado compatible con FIPS mediante la Directiva de grupo o la Configuración del Servidor de Terminal. También se deben cumplir requisitos adicionales de configuración de servidor y cliente. Para obtener más información sobre los requisitos y las tareas para configurar Terminal Server para que admita la autenticación TLS, consulte Configuración de autenticación y cifrado.

  5. En Nivel de cifrado, haga clic en el nivel que desee. Puede seleccionar Bajo, Compatible con el Cliente, Alto o Compatible con FIPS. Para obtener más información sobre estos niveles, consulte las notas al final de este tema.

  6. Para usar TLS 1.0 para autenticar el servidor, en Certificado, haga clic en Examinar, seleccione Certificado y, a continuación, haga clic en el certificado que desee usar. El certificado debe ser una X.certificado 509 con la clave privada correspondiente. Para obtener instrucciones sobre cómo verificar si el certificado tiene la clave privada correspondiente, consulte las notas al final de este tema.

  7. Para especificar que los clientes inicien sesión en Terminal Server escribiendo sus credenciales en el cuadro de diálogo Inicio de sesión predeterminado de Windows, active la casilla Usar interfaz de inicio de sesión estándar de Windows.

Nota

  • Para realizar este procedimiento, debe ser miembro del grupo Administradores en el equipo local, o usted debe tener delegada la autoridad correspondiente. Si el equipo está unido a un dominio, es posible que los miembros del grupo Administradores de dominio puedan realizar este procedimiento. Como práctica recomendada de seguridad, considere usar Run As para realizar este procedimiento.
  • Para abrir la configuración de Terminal Services, haga clic en Inicio, Panel de control, haga doble clic en Herramientas administrativas y, a continuación, haga doble clic en Configuración de Terminal Services.
  • Cualquier configuración de nivel de cifrado que configure en la Directiva de grupo anula la configuración establecida mediante la herramienta de configuración de Terminal Services. Además, si habilita la criptografía del sistema: Utilice algoritmos compatibles con FIPS para la configuración de directiva de grupo de cifrado, hash y firma, esta configuración anula la configuración de Directiva de grupo Establecer nivel de cifrado de conexión de cliente.
  • Al cambiar el nivel de cifrado, el nuevo nivel de cifrado surtirá efecto la próxima vez que un usuario inicie sesión. Si necesita varios niveles de cifrado en un servidor, instale varios adaptadores de red y configure cada adaptador por separado.
  • Para verificar que el certificado tiene la clave privada correspondiente, en Configuración de Terminal Services, haga clic con el botón secundario en la conexión para la que desea ver el certificado, haga clic en la ficha General, haga clic en Editar, haga clic en el certificado que desea ver y, a continuación, haga clic en Ver certificado. En la parte inferior de la pestaña General, la instrucción, debe aparecer una clave privada que corresponde a este certificado. También puede ver esta información mediante el complemento Certificados.
  • La configuración compatible con FIPS (la criptografía del sistema: Usar algoritmos compatibles con FIPS para la configuración de cifrado, hash y firma en la Directiva de grupo o la configuración compatible con FIPS en la configuración de Terminal Server) cifra y descifra los datos enviados desde el cliente al servidor y desde el servidor al cliente, con los algoritmos de cifrado Federal Information Processing Standard (FIPS) 140-1, utilizando módulos criptográficos de Microsoft. Para obtener más información, consulte Terminal Services en la Referencia técnica de Windows Server 2003.
  • La configuración Alta cifra los datos enviados desde el cliente al servidor y desde el servidor al cliente mediante un cifrado sólido de 128 bits.
  • La configuración Compatible con el cliente cifra los datos enviados entre el cliente y el servidor con la fuerza de clave máxima admitida por el cliente.
  • La configuración Baja cifra los datos enviados desde el cliente al servidor mediante cifrado de 56 bits.

No se puede desconectar por completo una conexión de Terminal Server

Después de que un cliente de Terminal Server pierda la conexión a un Servidor de Terminal, es posible que la sesión en el Servidor de Terminal no pase a un estado desconectado, sino que permanezca activa aunque el cliente esté desconectado físicamente del Servidor de Terminal. Si el cliente vuelve a iniciar sesión en el mismo Servidor de Terminal, es posible que se establezca una nueva sesión y que la sesión original siga activa.

Para solucionar este problema, siga estos pasos:

  1. Haga clic en Inicio, haga clic en Ejecutar y escriba gpedit.msc y, a continuación, haga clic en Aceptar.
  2. Expanda Configuración del equipo, expanda Plantillas administrativas, expanda Componentes de Windows y, a continuación, haga clic en Servicios de Terminal.
  3. En el panel derecho, haga doble clic en Mantener conexiones activas.
  4. Haga clic en Habilitado y, a continuación, en Aceptar.
  5. Cierre el Editor de objetos de directiva de grupo, haga clic en Aceptar y, a continuación, cierre Usuarios y equipos de Active Directory.

Los servicios RDP están actualmente ocupados

Los siguientes problemas pueden ocurrir cuando la función SNP de Windows Server 2003 está activada:

Síntomas

Cuando intenta conectarse al servidor mediante una conexión VPN, recibe el siguiente mensaje de error:

Error 800: No se pudo establecer la conexión.

  • No se puede crear una conexión de Protocolo de Escritorio Remoto (RDP) con el servidor.
  • No se puede conectar a recursos compartidos en el servidor desde un equipo de la red de área local.
  • No se puede unir un equipo cliente al dominio.
  • No puede conectarse a Exchange server desde un equipo que ejecute Microsoft Outlook.
  • Es posible que no se limpien las conexiones inactivas de Outlook con Exchange server.
  • Experimenta un rendimiento de red lento.
  • Puede experimentar un rendimiento de red lento cuando se comunica con un equipo basado en Windows Vista.
  • No puede crear una conexión FTP saliente desde el servidor.
  • El servicio de servidor del Protocolo de Configuración Dinámica de Host (DHCP) se bloquea.
  • Experimenta un rendimiento lento cuando inicia sesión en el dominio.
  • Los clientes de Traducción de direcciones de red (NAT) que se encuentran detrás de Windows Small Business Server 2003 o del servidor de Aceleración y Seguridad de Internet (ISA) experimentan fallos de conexión intermitentes.
  • Experimenta fallos intermitentes de comunicaciones RPC.
  • El servidor deja de responder.
  • El servidor se queda sin memoria de grupo no paginada

Es posible que tenga un daño de certificado

Es posible que a los clientes de Terminal Services se les niegue repetidamente el acceso al servidor de Terminal. Si está utilizando un cliente de Terminal Services para iniciar sesión en el servidor de Terminal, es posible que reciba uno de los siguientes mensajes de error:

  • Mensaje de error 1

    Debido a un error de seguridad, el cliente no pudo conectarse al servidor de Terminal. Después de asegurarse de que ha iniciado sesión en la red, intente conectarse al servidor de nuevo.

  • mensaje de Error 2

    escritorio Remoto desconectado. Debido a un error de seguridad, el cliente no pudo conectarse al equipo remoto. Compruebe que ha iniciado sesión en la red e intente conectarse de nuevo.

Importante

Esta sección, método o tarea contiene pasos que le indican cómo modificar el registro. Sin embargo, pueden producirse problemas graves si modifica el registro de forma incorrecta. Por lo tanto, asegúrese de seguir estos pasos cuidadosamente. Para mayor protección, realice una copia de seguridad del registro antes de modificarlo. A continuación, puede restaurar el registro si se produce un problema. Para obtener más información sobre cómo hacer copias de seguridad y restaurar el registro, consulte Cómo hacer copias de seguridad y restaurar el registro en Windows.

Para resolver este problema, realice una copia de seguridad y, a continuación, elimine las claves de registro del certificado X509, reinicie el equipo y, a continuación, reactive el servidor de licencias de Terminal Services. Para hacer esto, siga estos pasos.

Nota

Realice el siguiente procedimiento en cada uno de los servidores de terminales.

  1. Asegúrese de que la copia de seguridad del registro de Terminal Server se ha realizado correctamente.

  2. Inicie el Editor del Registro.

  3. Busque y, a continuación, haga clic en la siguiente subclave del registro:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService\

  4. En el menú Registro, haga clic en Exportar archivo de registro.

  5. Escriba parámetros exportados en el cuadro Nombre de archivo y, a continuación, haga clic en Guardar.

    Nota

    Si tiene que restaurar esta subclave del registro en el futuro, haga doble clic en los parámetros Exportados.archivo reg que guardaste en este paso.

  6. En la subclave Parámetros del registro, haga clic con el botón secundario en cada uno de los siguientes valores, haga clic en Eliminar y, a continuación, haga clic en Sí para confirmar la eliminación:

    • Certificado
    • Certificado X509
    • ID de certificado X509
  7. Salga del editor del registro y, a continuación, reinicie el servidor.

  8. Reactive el servidor de licencias de Terminal Services mediante el método de conexión telefónica en el Asistente para licencias.

  • Cómo limitar el número de conexiones en un servidor de terminales que ejecuta Windows Server 2003

  • Resolución de Problemas Generales de Mensajes de Error de Escritorio Remoto

  • Debido a un error de seguridad, el cliente no pudo conectarse al servidor de Terminales

Si este artículo no le ayuda a resolver el problema o si experimenta síntomas que difieren de los descritos en este artículo, busque en el soporte técnico de Microsoft. A continuación, escriba el texto del mensaje de error que recibe o una descripción del problema en el cuadro Soporte de búsqueda (KB).

Deja una respuesta

Tu dirección de correo electrónico no será publicada.