En Windows Server® 2008 R2, puede usar el Administrador del servidor para realizar algunas tareas de administración en equipos remotos. Para administrar un equipo de forma remota mediante el Administrador del servidor, se conecta el Administrador del servidor a un equipo remoto de la misma forma que se conectan consolas MMC para otras tecnologías.

Escenarios admitidos de administración remota

Los siguientes escenarios de administración remota se admiten en el Administrador del servidor en Windows Server 2008 R2.

  • De servidor a servidor   El Administrador del servidor en una instalación completa de Windows Server 2008 R2 se puede usar para administrar roles y características que estén instalados en otro servidor que ejecute Windows Server 2008 R2.

  • De servidor a Server Core   El Administrador del servidor en una instalación completa de Windows Server 2008 R2 se puede usar para administrar roles y características que estén instalados en una instalación Server Core de Windows Server 2008 R2.

  • De cliente a servidor   El Administrador del servidor se instala como parte de las Herramientas de administración de servidor remoto en un equipo que ejecute Windows® 7. Se puede usar para administrar roles y características en un equipo que ejecute la instalación completa o Server Core de Windows Server 2008 R2.

De equipo de origenA equipo remotoDominio C (agregado como host de confianza)

Dominio A

Dominio B

Grupo de trabajo

Dominio A

Dominio B

Grupo de trabajo

Notas
  • Si administra un equipo remoto desde un equipo que ejecuta Windows 7, inicie el Servicio de administración remota de Windows (WinRM) para permitir que se agreguen hosts de confianza. Abra una sesión del símbolo del sistema con derechos de usuario elevados; para ello, haga clic en Inicio, Todos los programas y Accesorios, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador. Escriba lo siguiente y presione Entrar: net start winrm
  • Para las conexiones remotas en un escenario de grupo de trabajo a grupo de trabajo o dominio, el equipo remoto debe agregarse a la lista de hosts de confianza en el equipo de origen. Para ello, ejecute el siguiente comando en el equipo de origen en una ventana del símbolo del sistema abierta con derechos de usuario elevados.
  • winrm set winrm/config/client @{TrustedHosts="nombreDeEquipoRemoto"}
  • Para las conexiones remotas en un escenario de grupo de trabajo a grupo de trabajo o dominio, si un usuario no inicia sesión con la cuenta predefinida Administrador del equipo de origen, debe configurarse la siguiente clave del Registro de WinRM para permitir el acceso remoto desde el equipo de origen. Este cambio es necesario debido a una limitación del control de cuentas de usuario (UAC) en las cuentas que no son de administrador y que son miembros del grupo Administradores. Para cambiar esta clave del Registro, ejecute el siguiente comando en el equipo de origen en una ventana del símbolo del sistema abierta con derechos de usuario elevados:
  • reg add HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System /v LocalAccountTokenFilterPolicy /t REG_DWORD /d 1 /f
  • De forma predeterminada, WinRM permite un máximo de cinco conexiones activas a un equipo remoto por usuario. Para aumentar el límite, ejecute el siguiente comando en el equipo de origen, donde X representa el número de conexiones que desea permitir, en una ventana del símbolo del sistema abierta con derechos de usuario elevados:
  • winrm s winrm/config/winrs @{MaxShellsPerUser="X"}

Consideraciones de seguridad para la administración remota con el Administrador del servidor

Importante

Debe ser miembro del grupo Administradores en los equipos que desee administrar con el Administrador del servidor.

Puesto que la capacidad de administración remota del Administrador del servidor se proporciona mediante la tecnología Windows PowerShell, la administración remota del Administrador del servidor hereda las consideraciones de seguridad de Windows PowerShell. Un usuario malintencionado puede intentar robar las credenciales de inicio de sesión proporcionadas por un administrador en una conexión remota pero, en general, el riesgo es bajo. Otras posibles amenazas con riesgo bajo incluyen la modificación de las bibliotecas de vínculos dinámicos (DLL) por parte de usuarios malintencionados o los intentos de obtener datos confidenciales o que identifiquen personalmente a los usuarios en el archivo de registro del Administrador del servidor. Los usuarios que tienen derechos de acceso al equipo local pueden leer los archivos de registro del Administrador del servidor, pero éstos no contienen información confidencial personal o de cuenta como contraseñas.

Tareas que se pueden realizar en un servidor remoto con el Administrador del servidor

Puede realizar las siguientes tareas en el Administrador del servidor de un equipo remoto:

  • Ver el estado de actualización automática de Windows

  • Ejecutar exámenes del Analizador de procedimientos recomendados en los roles (para obtener más información, vea el tema sobre cómo Ejecución y filtrado de exámenes en el Analizador de procedimientos recomendados)

  • Ver o cambiar el estado del Programa para la mejora de la experiencia del usuario de Windows (CEIP)

  • Configurar Informe de errores de Windows

  • Ver o cambiar la información de Firewall de Windows

  • Ver y administrar roles en las páginas principales de rol

    Nota

    Para usar complementos o herramientas específicos de roles o características en una consola del Administrador del servidor conectado a un servidor remoto, dichas herramientas deben instalarse en el equipo de origen mediante las Herramientas de administración de servidor remoto.

  • Ver la configuración avanzada de seguridad de Internet Explorer

  • Administrar servicios en una página principal de rol

Tareas que no se pueden realizar de forma remota con el Administrador del servidor

Principalmente para minimizar los riesgos de seguridad de los servidores, las siguientes tareas no se pueden llevar a cabo en una sesión remota del Administrador del servidor:

  • Agregar o quitar roles, servicios de rol y características

  • Configurar Escritorio remoto

  • Configurar las propiedades del sistema

  • Buscar nuevos roles

  • Cambiar la configuración de actualización automática de Windows.

  • Cambiar la configuración de red

  • Cambiar el nombre del equipo o la pertenencia a dominios

  • Cambiar la configuración avanzada de seguridad de Internet Explorer

  • Ejecutar el Asistente para configuración de seguridad si el equipo de origen es un servidor que ejecuta Windows Server 2008 R2

Habilitación o deshabilitación de la administración remota en Windows Server 2008 R2

Para ayudar a proteger los servidores del acceso no autorizado y antes de que los administradores puedan conectarse a un equipo con Windows Server 2008 R2 de forma remota mediante el Administrador del servidor, debe habilitarse la administración remota del Administrador del servidor en el equipo de destino.

Antes de configurar un servidor para la administración remota con el Administrador del servidor, debe habilitar varias opciones de directiva de grupo que controlan las excepciones de Firewall de Windows. Siga los pasos que se indican en el tema sobre cómo configurar la directiva de grupo para la administración remota del Administrador del servidor para comprobar que ninguna opción de directiva de grupo invalida la configuración del servidor para administración remota.

Nota

Los procedimientos de esta sección solo se pueden realizar en un equipo con Windows Server 2008 R2. No puede habilitar o deshabilitar la administración remota en un equipo con Windows 7 porque Windows 7 no se puede administrar mediante el Administrador del servidor.

Para configurar la directiva de grupo para la administración remota del Administrador del servidor
  1. En el equipo que desee administrar de forma remota, abra el Editor de directivas de grupo local. Para ello, haga clic en el botón Inicio, haga clic en Ejecutar, escriba gpedit.msc en el cuadro Abrir y, a continuación, presione Entrar.

  2. Expanda Configuración del equipo, Plantillas administrativas, Componentes de Windows, Administración remota de Windows y seleccione Servicio WinRM.

  3. En el panel de detalles, haga doble clic en Permitir configuración automática de escuchas.

  4. Haga clic en Habilitada y, a continuación, en Aceptar.

  5. En el panel del árbol, expanda Configuración de Windows, Configuración de seguridad, Firewall de Windows con seguridad avanzada y, a continuación, Firewall de Windows con seguridad avanzada.

  6. Haga clic con el botón secundario en Reglas de entrada y, a continuación, en Nueva regla.

  7. En el Asistente para nueva regla de entrada, en la página Tipo de regla, seleccione Predefinida.

  8. En el menú desplegable Predefinida, seleccione Administración remota de registro de eventos. Haga clic en Siguiente.

  9. En la página Reglas predefinidas, haga clic en Siguiente para aceptar las nuevas reglas.

  10. En la página Acción, seleccione Permitir la conexión y, a continuación, haga clic en Finalizar. Permitir la conexión es la selección predeterminada.

  11. Repita los pasos del 5 al 10 para crear nuevas reglas de entrada para los dos tipos de reglas predefinidas adicionales siguientes:

    • Administración remota de servicios

    • Administración remota de Firewall de Windows

  12. Cierre el Editor de directivas de grupo local.

Para configurar la administración remota del Administrador del servidor con la interfaz de Windows
  1. En el equipo que desee administrar de forma remota, abra el Administrador del servidor. Para abrir Administrador del servidor, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador del servidor.

  2. En el área Resumen de servidores de la página principal del Administrador del servidor, haga clic en Configurar administración remota del Administrador del servidor.

  3. Realice una de las siguientes acciones:

    • Para permitir la administración remota de este equipo con el Administrador del servidor, active Habilitar la administración remota de este servidor desde otros equipos.

    • Para impedir la administración remota de este equipo con el Administrador del servidor, desactive la casilla Habilitar la administración remota de este servidor desde otros equipos.

    • Si desea habilitar la administración remota, pero no puede cambiar la configuración, siga los pasos del procedimiento Para configurar la directiva de grupo para la administración remota del Administrador del servidor y, a continuación, vaya al siguiente paso.

  4. Haga clic en Aceptar.

  5. Compruebe que están habilitadas las excepciones a las siguientes reglas de firewall y que no están deshabilitadas por la configuración de la directiva de grupo.

    • Administración remota de servicios (NP de entrada)

    • Administración remota de servicios (RPC)

    • Administración remota de servicios (RPC-EPMAP)

    • Administración remota de registro de eventos (NP de entrada)

    • Administración remota de registro de eventos (RPC)

    • Administración remota de registro de eventos (RPC-EPMAP)

    • Administración remota de Firewall de Windows (RPC)

    • Administración remota de Firewall de Windows (RPC-EPMAP)

    Para ello, haga lo siguiente:

    1. Abra el complemento Firewall de Windows con seguridad avanzada realizando una de las siguientes acciones:

      • En el área Información de seguridad de la ventana principal del Administrador del servidor, haga clic en Ir a Firewall de Windows.

      • En el panel del árbol del Administrador del servidor, expanda Configuración y, a continuación, haga clic en Firewall de Windows con seguridad avanzada.

      • Haga clic en Inicio, elija Herramientas administrativas y, a continuación, haga clic en Firewall de Windows con seguridad avanzada.

    2. En el área Introducción del panel de detalles de Firewall de Windows con seguridad avanzada, haga clic en Reglas de entrada.

    3. En la lista de reglas, busque las reglas especificadas en este paso.

    4. Si se muestra No en la columna Habilitada de alguna de las reglas especificadas, haga doble clic en la regla para abrir el cuadro de diálogo Propiedades de la regla.

    5. En la ficha General del cuadro de diálogo Propiedades de la regla, seleccione Habilitada. Haga clic en Aceptar.

      Nota

      Aunque la administración remota con el Administrador del servidor sigue siendo posible si las excepciones a las reglas de firewall de Administración remota de registro de eventos están deshabilitadas, los tiempos de conexión remota pueden ser muy lentos, en función del número de roles y características que se ejecuten en el equipo que desee administrar, a menos que estén habilitadas las excepciones a estas reglas de firewall. Se recomienda habilitar las reglas de firewall de Administración remota de registro de eventos para impedir retrasos en la conexión.

Para configurar la administración remota del Administrador del servidor con Windows PowerShell
  1. En el equipo que desee administrar de forma remota, abra una sesión de Windows PowerShell con derechos de usuario elevados. Para ello, haga clic en Inicio, Todos los programas, Accesorios y Windows PowerShell, haga clic con el botón secundario en el acceso directo de Windows PowerShell y haga clic en Ejecutar como administrador.

  2. En la sesión de Windows PowerShell, escriba lo siguiente y, a continuación, presione Entrar:

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

  3. Escriba lo siguiente y presione Entrar para habilitar todas las excepciones de reglas de firewall necesarias:

    Configure-SMRemoting.ps1 -force -enable

Para configurar la administración remota en la opción de instalación Server Core de Windows Server 2008 R2
  1. En el equipo que desee administrar de forma remota, en el símbolo del sistema que se abre de manera predeterminada cuando un miembro del grupo Administradores inicia sesión en el equipo que ejecuta la opción de instalación Server Core de Windows Server 2008 R2, escriba lo siguiente y presione Entrar:

    Dism.exe /Online /Enable-Feature /FeatureName:NetFx2-ServerCore /FeatureName:MicrosoftWindowsPowerShell /FeatureName:ServerManager-PSH-Cmdlets /FeatureName:BestPractices-PSH-Cmdlets

  2. Cuando haya finalizado la instalación, cierre todas las aplicaciones y después reinicie el equipo.

    Para comprobar que Windows PowerShell y los cmdlets del Administrador del servidor y el Analizador de procedimientos recomendados estén instalados, escriba el comando oclist, que devolverá una lista de todas las características de Windows que están instaladas en el equipo.

  3. Cuando el sistema operativo haya terminado de cargar, inicie sesión en el equipo como miembro del grupo Administradores local, como mínimo.

  4. En la ventana del símbolo del sistema que se abre después de iniciar sesión en el equipo, escriba lo siguiente para abrir una sesión de Windows PowerShell y, a continuación, presione Entrar:

    powershell

  5. En la sesión de Windows PowerShell, escriba lo siguiente y, a continuación, presione Entrar:

    Set-ExecutionPolicy -ExecutionPolicy RemoteSigned

  6. Escriba lo siguiente y presione Entrar para habilitar todas las excepciones de reglas de firewall necesarias:

    Configure-SMRemoting.ps1 -force -enable

Conexión a equipos remotos con el Administrador del servidor

Realice las siguientes acciones para administrar un servidor remoto con el Administrador del servidor:

Para conectar a otro equipo con el Administrador del servidor
  1. Abra el Administrador del servidor. Para abrir Administrador del servidor, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador del servidor.

  2. En el panel del árbol, haga clic con el botón secundario en Administrador del servidor y, a continuación, haga clic en Conectarse a otro equipo.

  3. En el cuadro de diálogo Conectarse a otro equipo, escriba el nombre o la dirección IP de otro equipo que ejecute Windows Server 2008 R2 en el cuadro de texto Otro equipo o busque otro servidor en la red. Haga clic en Aceptar.

    En el cuadro de cadena Otro equipo, puede especificar un nombre NetBIOS, un nombre de dominio completo (FQDN) o una dirección IPv4 o IPv6. Si no se especifica ningún número de puerto, se usa el número de puerto predeterminado. Los siguientes son ejemplos de formatos que puede especificar en el cuadro de texto Otro equipo.

    • ComputerName

    • ComputerName:PortNumber

    • Dirección IP: n.n.n.n

    • Dirección IPv6: [n:n:n:n]

    • dirección IPv4 con número de puerto n.n.n.n:PortNumber

    • Dirección IPv6 con número de puerto: [n:n:n:n]:PortNumber

    Nota

    Si un administrador ha cambiado el número de puerto predeterminado del equipo, el puerto no predeterminado se debe abrir en el Firewall de Windows para que permita las conexiones entrantes en dicho puerto. El puerto 5985 se abre de forma predeterminada cuando WinRM se configura como se describe en Para configurar la directiva de grupo para la administración remota del Administrador del servidor en esta tema. Los puertos no predeterminados permanecerán bloqueados hasta que se abran. Para obtener más información acerca de cómo desbloquear un puerto en el Firewall de Windows, vea la Ayuda del Firewall de Windows. Para obtener más información acerca de cómo configurar WinRM, en una sesión de Símbolo del sistema escriba winrm help y, a continuación, presione Entrar.

    Después de conectarse a un equipo remoto, observe que el nombre del equipo cambia en la consola del Administrador del servidor. El nombre de equipo en el nodo del Administrador del servidor del panel del árbol, el campo Nombre completo de equipo en el área Resumen de servidores del Administrador del servidor y el nombre de equipo en el encabezado de la consola cambian al nombre del equipo remoto al que está conectado. Debido a que Administrador del servidor resuelve la direcciones IP en FQDN, si se conectó a un equipo remoto con una dirección IP, la consola de Administrador del servidor muestra el FQDN del equipo remoto.

    Nota

    Si se está conectando a un equipo de un dominio diferente con una dirección IP, se puede producir un error en la conexión remota debido a las limitaciones del Servidor DNS que pueden producir un error al intentar resolver la dirección IP a un nombre de host. Si se da esta situación, trate de conectarse especificando un FQDN.

Para ejecutar el cmdlet Get-WindowsFeature del Administrador del servidor en un equipo remoto desde una sesión de Windows PowerShell
  1. Abra una sesión de Windows PowerShell con derechos de usuario elevados. Para ello, haga clic en Inicio, Todos los programas, Accesorios y Windows PowerShell, haga clic con el botón secundario en el acceso directo de Windows PowerShell y haga clic en Ejecutar como administrador.

  2. Escriba lo siguiente, donde ComputerName es el nombre del equipo remoto que ejecuta Windows Server 2008 R2 y UserName es el nombre de un usuario que es miembro del grupo Administradores en el equipo remoto, y a continuación presione Entrar.

    Enter-PSSession <ComputerName> –credential <UserName>

  3. Se le pedirá que escriba su contraseña en un cuadro de diálogo seguro. Escriba su contraseña y presione Entrar.

  4. En la sesión de Windows PowerShell, escriba lo siguiente para cargar el complemento Administrador del servidor y, a continuación, presione Entrar:

    Import-Module ServerManager

  5. Escriba lo siguiente y presione ENTRAR:

    Get-WindowsFeature

  6. Después de que se muestren los resultados del cmdlet Get-WindowsFeature en la sesión de Windows PowerShell, escriba lo siguiente para cerrar la sesión de Windows PowerShell y, a continuación, presione Entrar:

    Exit-PSSession

Administración de varios equipos con el Administrador del servidor y MMC

También puede crear una consola MMC (Microsoft Management Console) que contenga varios complementos Administrador del servidor, cada uno configurado para administrar un equipo remoto diferente.

Para administrar varios equipos con el Administrador del servidor y MMC
  1. Para abrir Microsoft Management Console, haga clic en Inicio, Ejecutar, escriba mmc y, a continuación, haga clic en Aceptar.

  2. En el menú Archivo, haga clic en Agregar o quitar complemento.

  3. En la lista Complementos disponibles, seleccione Administrador del servidor.

  4. Haga clic en Agregar para agregar el Administrador del servidor a la lista Complementos seleccionados.

  5. Repita el paso anterior tantas veces como sea necesario para agregar complementos Administrador del servidor a la consola MMC. Haga clic en Aceptar.

  6. En el panel del árbol de la nueva consola MMC, haga clic con el botón secundario en el nodo superior de un complemento Administrador del servidor y, a continuación, haga clic en Conectarse a otro equipo.

  7. En el cuadro de diálogo Conectarse a otro equipo, escriba el nombre o la dirección IP de otro equipo en el cuadro Otro equipo o busque otro servidor en la red. Haga clic en Aceptar.

    Después de conectarse a un equipo remoto, observe que el nombre del equipo cambia en el nodo Administrador del servidor del panel del árbol.

  8. Si tiene complementos Administrador del servidor adicionales en la consola MMC, repita este procedimiento desde el paso 6 para conectar complementos Administrador del servidor adicionales a otros equipos remotos.

  9. En el menú Archivo, haga clic en Guardar para guardar la consola MMC personalizada.

Administración remota en Windows 7

Aunque los equipos que ejecutan Windows 7 no se pueden administrar con el Administrador del servidor, puede instalar el Administrador del servidor en un equipo que ejecute Windows 7 instalando las Herramientas de administración de servidor remoto. Las Herramientas de administración de servidor remoto para Windows 7 están disponibles para descargar en el sitio web de Microsoft (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=131280). Una vez que las Herramientas de administración de servidor remoto estén instaladas, puede conectar una consola del Administrador del servidor a un equipo remoto que ejecute Windows Server 2008 R2 y realizar las tareas de administración en el servidor de destino que se identifican en Tareas que se pueden realizar en un servidor remoto con el Administrador del servidor en este tema.

Después de instalar las Herramientas de administración de servidor remoto en un equipo que ejecute Windows 7, igual que en un equipo que ejecute Windows Server 2008 R2, puede crear una consola MMC del Administrador del servidor personalizada para administrar varios equipos remotos que ejecuten Windows Server 2008 R2. Para crear una consola MMC del Administrador del servidor personalizada en un equipo que ejecute Windows 7 y las Herramientas de administración de servidor remoto, vea Administración de varios equipos con el Administrador del servidor y MMC en este tema.

Para administrar de forma remota desde un equipo que ejecuta Windows 7
  1. Instale las Herramientas de administración de servidor remoto en el equipo que ejecute Windows 7.

    Descargue el paquete de las Herramientas de administración de servidor remoto en el sitio web de Microsoft (puede estar en inglés) y, a continuación, siga las instrucciones que se proporcionan en la página del Centro de descarga para instalar las Herramientas de administración de servidor remoto.

    Para usar complementos o herramientas específicos de roles o características en una consola del Administrador del servidor conectado a un servidor remoto, dichas herramientas deben instalarse en el equipo de origen mediante las Herramientas de administración de servidor remoto.

  2. Después de que se instalen las Herramientas de administración de servidor remoto, abra el Administrador del servidor. Para abrir Administrador del servidor, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador del servidor.

  3. En el panel del árbol, haga clic con el botón secundario en Administrador del servidor y, a continuación, haga clic en Conectarse a otro equipo.

  4. En el cuadro de diálogo Conectarse a otro equipo, escriba el nombre o la dirección IP de un equipo que ejecute Windows Server 2008 R2 en el cuadro Otro equipo o busque otro servidor en la red. Haga clic en Aceptar.

    Después de conectarse a un equipo remoto, observe que el nombre del equipo se muestra en la consola del Administrador del servidor. Puede ver el nombre del equipo remoto al que está conectado en el nodo del Administrador del servidor del panel del árbol, el campo Nombre completo de equipo en el área Resumen de servidores del Administrador del servidor y el nombre de equipo en el encabezado de la consola.