Deploy a Single DirectAccess Server with Advanced Settings
Se aplica a: Windows Server 2012 R2, Windows Server 2012
El siguiente tema sirve de introducción a un escenario de DirectAccess en el que se usa un único servidor de DirectAccess y que permite implementar DirectAccess con opciones avanzadas.
También puedes implementar entornos de DirectAccess básicos y de DirectAccess para empresas. Para obtener información sobre las rutas de acceso de implementación alternativas, consulta Rutas de acceso de implementación de DirectAccess en Windows Server.
Si quieres configurar una implementación básica solo con ajustes básicos, consulta Implementación de un solo servidor de DirectAccess con el Asistente para introducción. En el escenario de configuración sencilla, DirectAccess se configura con opciones de configuración predeterminadas mediante un asistente, sin necesidad de establecer la configuración de infraestructura, como una entidad de certificación (CA) o grupos de seguridad de Active Directory.
Si quieres es configurar DirectAccess con características de red empresariales (como un clúster de carga equilibrada, una implementación en varios sitios o la autenticación de cliente en dos fases), puedes completar el escenario descrito en este tema para configurar un solo servidor y, después, implementar el escenario empresarial como se indica en Implementar el acceso directo en una empresa.
Importante
Para implementar DirectAccess con esta guía, tienes que usar un servidor de DirectAccess que ejecute Windows Server® 2012 R2 o Windows Server® 2012.
En este escenario
Para configurar un único servidor de DirectAccess con configuración avanzada, debes realizar varios pasos de planificación e implementación.
Requisitos previos
Revisa los siguientes requisitos antes de empezar.
Firewall de Windows debe estar habilitado en todos los perfiles.
El servidor de DirectAccess es el servidor de ubicación de red.
Conviene que todos los equipos inalámbricos estén en el dominio en el que se instale el servidor de DirectAccess para que puedan estar habilitados para DirectAccess. Cuando DirectAccess se implementa, se habilita automáticamente en todos los equipos móviles del dominio actual.
Importante
Algunas tecnologías y configuraciones no pueden usarse cuando DirectAccess se implementa.
-
El protocolo ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) en la red corporativa no es compatible. Si usas ISATAP, deberás quitarlo y usar IPv6 nativo.
Pasos de planeación
La planeación se divide en dos fases:
Planificación de la infraestructura de DirectAccess. En esta fase se describe la planificación necesaria para configurar la infraestructura de red antes de comenzar la implementación de DirectAccess. Engloba planear la topología de servidores y de red y los certificados, DNS, la configuración del objeto de directiva de grupo (GPO) de Active Directory y el servidor de ubicación de red de DirectAccess.
Planificación de la implementación de DirectAccess. En esta fase se explican los pasos de planificación necesarios para preparar la implementación de DirectAccess. Engloba planear los equipos cliente de DirectAccess, los requisitos de autenticación de servidor y cliente, la configuración de VPN y los servidores de infraestructura, así como los servidores de administración y aplicaciones.
Para obtener los pasos detallados de planificación, consulta Planear una implementación de DirectAccess avanzada.
Pasos de implementación
La implementación se divide en tres fases:
Configuración de la infraestructura de DirectAccess. Esta fase conlleva configurar la red y el enrutamiento, establecer la configuración de firewall (de ser necesario), configurar certificados, servidores DNS, los valores de Active Directory y GPO, y el servidor de ubicación de red de DirectAccess.
Configuración de las opciones de servidor de DirectAccess. Esta fase incluye los pasos para configurar los equipos cliente de DirectAccess, el servidor de DirectAccess y los servidores de infraestructura, así como los servidores de administración y aplicaciones.
Comprobación de la implementación. Esta fase engloba los pasos necesarios para comprobar la implementación de DirectAccess.
Para obtener los pasos detallados de implementación, consulta Instalar y configurar una implementación avanzada de DirectAccess.
Aplicaciones prácticas
La implementación de un único servidor de DirectAccess reporta lo siguiente:
Accesibilidad. Los equipos cliente administrados que ejecutan Windows® 8.1, Windows® 8 y Windows® 7 se pueden configurar como equipos cliente de DirectAccess. Estos clientes pueden tener acceso a recursos de la red interna a través de DirectAccess en cualquier momento que estén ubicados en Internet sin necesidad de iniciar sesión con una conexión VPN. Los equipos cliente que no ejecuten uno de estos sistemas operativos pueden conectarse a la red interna a través de VPN.
Administrabilidad. Los equipos cliente de DirectAccess ubicados en Internet pueden administrarse de manera remota por administradores de acceso remoto en DirectAccess, aun cuando los equipos cliente no estén ubicados en la red corporativa interna. Los equipos cliente que no cumplan los requisitos corporativos pueden ser actualizados automáticamente por servidores de administración. Tanto DirectAccess como VPN se administran en la misma consola y con el mismo conjunto de asistentes. Además, se pueden administrar uno o más servidores de DirectAccess desde una sola consola de administración de acceso remoto.
Roles y características necesarios en este escenario
En la siguiente tabla se recogen los roles y características necesarios en este escenario:
Rol/característica |
Compatibilidad con este escenario |
|---|---|
Rol de acceso remoto |
El rol se instala y desinstala con la consola del Administrador del servidor o con Windows PowerShell. Este rol engloba tanto DirectAccess como los Servicios de enrutamiento y acceso remoto (RRAS). El rol de acceso remoto consta de dos componentes:
El rol del servidor de acceso remoto depende de las siguientes características o roles del servidor:
|
Característica Herramientas de administración de acceso remoto |
Esta característica se instala de la siguiente manera:
La característica de herramientas de administración de acceso remoto consiste de los siguientes elementos:
Las dependencias incluyen:
|
Requisitos de hardware
Los requisitos de hardware para este escenario incluyen los siguientes:
Requisitos del servidor:
Un equipo que cumpla con los requisitos de hardware para Windows Server 2012.
El servidor debe tener al menos un adaptador de red instalado, habilitado y conectado a la red interna. Cuando se utilizan dos adaptadores, debería haber uno conectado a la red corporativa interna y otro, a la red externa (Internet o una red privada).
Si se requiere Teredo como protocolo de transición de IPv4 a IPv6, el adaptador externo del servidor requiere dos direcciones IPv4 públicas consecutivas. Si solo está disponible una única dirección IP, entonces solo se puede usar IP-HTTPS como protocolo de transición.
Al menos un controlador de dominio. Tanto el servidor de DirectAccess como los clientes de DirectAccess deben ser miembros del dominio.
Necesitarás una entidad de certificación (CA) si no quieres usar certificados autofirmados para IP-HTTPS o el servidor de ubicación de red, o si quieres usar certificados de cliente para la autenticación IPsec de clientes. También puede solicitar certificados a una CA pública.
Si el servidor de ubicación de red no está ubicado en el servidor de DirectAccess, se necesita un servidor web independiente para ejecutarlo.
Requisitos de clientes:
Un equipo cliente debe ejecutar Windows 8 o Windows 7.
Nota
Solo se pueden utilizar como clientes de DirectAccess los siguientes sistemas operativos: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise y Windows 7 Ultimate Edition.
Requisitos de servidores de infraestructura y administración:
Durante la administración remota de los equipos cliente de DirectAccess, los clientes inician comunicaciones con servidores de administración tales como controladores de dominio, servidores de System Center Configuration y servidores de la Entidad de registro de mantenimiento (HRA) para servicios que incluyen Windows y actualizaciones de antivirus y la conformidad de clientes de Protección de acceso a redes (NAP). Los servidores requeridos se deben implementar antes de comenzar la implementación de acceso remoto.
Si el acceso remoto requiere la conformidad NAP de clientes, los servidores NPS y HRS se deben implementar antes de comenzar la implementación de acceso remoto
Si VPN está habilitada, se requiere un servidor DHCP para asignar direcciones IP automáticamente a los clientes de VPN, si no se usa un grupo de direcciones estáticas.
Requisitos de software
Hay varios requisitos para este escenario:
Requisitos del servidor:
El servidor de DirectAccess debe ser miembro del dominio. El servidor se puede implementar en el perímetro de la red interna o tras un firewall perimetral u otro dispositivo.
Si el servidor de DirectAccess se encuentra detrás de un firewall perimetral o un dispositivo NAT, el dispositivo debe estar configurado de modo que permita el tráfico desde y hacia el servidor de acceso remoto.
La persona que implemente el acceso remoto en el servidor necesita permisos de administrador local en el servidor y permisos de usuario del dominio. Además, el administrador necesita permisos para los GPO que se usan en la implementación de DirectAccess. Se necesitan permisos para crear un filtro WMI en el controlador de dominio para aprovechar las ventajas de las características que restringen la implementación de DirectAccess solamente a los equipos móviles.
Requisitos de clientes de acceso remoto:
Los clientes de DirectAccess deben ser miembros del dominio. Los dominios que contienen clientes pueden pertenecer al mismo bosque que el servidor de DirectAccess, o tener una confianza bidireccional con el bosque o el dominio del servidor de DirectAccess.
Se requiere un grupo de seguridad de Active Directory para contener los equipos que se configurarán como clientes de DirectAccess. Si no se ha especificado un grupo de seguridad al establecer la configuración de cliente de DirectAccess, se aplica de forma predeterminada el GPO de cliente a todos los equipos portátiles en el grupo de seguridad Equipos del dominio. Solo se pueden usar como clientes de DirectAccess los siguientes sistemas operativos: Windows Server 2012 R2, Windows 8.1 Enterprise, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise y Windows 7 Ultimate Edition.
Nota
Se recomienda crear un grupo de seguridad para cada dominio que contenga equipos cliente de DirectAccess.
Importante
Si habilitaste Teredo en la implementación de DirectAccess y quieres proporcionar acceso a clientes de Windows 7, asegúrate de que los clientes están actualizados a Windows 7 con SP1. Los clientes que usen la RTM de Windows 7 no podrán conectarse a través de Teredo. pero sí seguir conectándose a la red corporativa mediante IP-HTTPS.
Vea también
En la siguiente tabla, se proporcionan los vínculos a recursos adicionales:
Tipo de contenido |
Referencias |
|---|---|
Acceso remoto en TechNet |
|
Evaluación del producto |
Guía del laboratorio de prueba: mostrar DirectAccess en un clúster con Windows NLB Guía de laboratorio de pruebas: Demostrar una implementación multisitio de DirectAccess Guía de laboratorio de pruebas: Demostración de DirectAccess con autenticación OTP y RSA SecurID |
Implementación |
Rutas de acceso de implementación de DirectAccess en Windows Server Implementación de un solo servidor de DirectAccess con el Asistente para introducción |
Herramientas y configuración |
|
Recursos de la comunidad |
|
Tecnologías relacionadas |