Windows XP SP3, Autenticación a Nivel de Red (NLA) y rol Acceso Web (RDWA) en WS2012
Supongamos un escenario de Virtualización de Sesión (Servicios de Escritorio Remoto) bajo Windows Server 2012 formado por dos servidores RDSH, un servidor con los roles de CB y WA, así como su respectivo servidor con el rol de Controlador de Dominio. Los clientes que se conectan a este escenario RDS están formados por equipos con Windows 7 SP1 y Windows XP SP3. El administrador ha configurado que todos los equipos –a través de su navegador Internet Explorer- se conecten a la granja mediante el rol de Web Access (RDWA) para mejorar la experiencia de los usuarios a la hora de ejecutar aplicaciones publicadas. Con los clientes Windows XP SP3 aparece el siguiente error una vez introducidas las credenciales en el navegador.
“El equipo remoto requiere Autenticación a nivel de red, lo que no es compatible con este equipo”
Si desde los Windows XP SP3 se ejecuta directamente el cliente MSTSC, la conexión se realiza de forma correcta sin que aparezca el error relacionado con el NLA.
Comprobación de datos y configuraciones
- La versión del cliente MSTSC en los equipos Windows XP SP3 es la 6.0.6001, que no soporta NLA y que obliga a realizar la acción del siguiente punto.
- En la colección de sesiones creada se comprueba que en sus propiedades, en la sección de Seguridad, se ha desmarcado la opción “Permitir conexiones solo de equipos que ejecuten Escritorio Remoto con Autenticacion a nivel de Red”.
Pero con estas dos comprobaciones realizadas sigue apareciendo el error antes descrito.
“El equipo remoto requiere Autenticación a nivel de red, lo que no es compatible con este equipo”
Solución 1
Aunque se haya desactivado la opción de NLA en la Colección de Sesiones de la Implementación también es necesario desactivarla en el servidor que posee el rol de Agente de Conexión (RDCB). Para ello:
Tecla “Windows”+R, escribir sysdm.cpl para abrir la ventana de “Propiedades del Sistema”. En la ficha “Acceso Remoto” estará seleccionada la opción “Permitir las conexiones Remotas a este equipo”, también estará marcada la opción “Permitir sólo las conexiones desde equipos que ejecuten Escritorio remoto con Autenticacion a nivel de red (recomendado)”. Desactivar esta última opción.
De esta manera, cuando un cliente Windows XP SP3 se conecte a través del rol Acceso Web (RDWB) no se mostrará el error relacionado con NLA.
Solución 2
Si por directrices de seguridad no aplica la desactivación de NLA en los servidores, la otra solución consistiría configurar NLA en los clientes Windows XP SP3. Se dejaría activada la Autenticación a nivel de red (NLA) en los servidores y colección de Sesiones de la Implementación RDS. Para ello es necesario realizar los siguientes pasos:
- Instalar la versión 6.1.7600 del cliente de Escritorio Remoto (http://support.microsoft.com/kb/969084/es)
- Configurar CredSSP en los equipos Windows XP SP3 (http://support.microsoft.com/kb/951608)
Una vez instalado la versión 7 del cliente MSTSC se puede comprobar que aún no se soporta NLA hasta que se aplique el punto relacionado con la configuración de CredSSP.
Antes de aplicar la configuración CredSSP
Después de aplicar la configuración CredSSP
Realizadas ambas configuraciones, los equipos Windows XP SP3 podrán acceder mediante el rol Acceso Web (RDWA) a las aplicaciones publicadas usando la Autenticación a Nivel de Red (NLA).
