Implementación de un solo servidor de DirectAccess con el Asistente para introducción

Se aplica a: Windows Server 2012 R2, Windows Server 2012

El siguiente tema sirve de introducción a un escenario de DirectAccess en el que se usa un solo servidor de DirectAccess y que permite implementar DirectAccess en unos pocos pasos.

Para obtener información sobre las rutas de acceso de implementación alternativo, consulte Rutas de acceso de implementación de DirectAccess en Windows Server.

Antes de empezar a migrar, consulte la siguiente lista de configuraciones no compatibles, problemas conocidos y requisitos previos.

Puede usar los temas siguientes para revisar los requisitos previos y otra información antes de implementar DirectAccess con Windows Server® 2012 R2 y Windows Server® 2012.

• Configuraciones no compatibles de DirectAccess

• Problemas conocidos de DirectAccess

• Requisitos previos para la implementación de DirectAccess

Descripción del escenario

En este escenario, se configura un solo equipo que ejecuta Windows Server 2012 R2 o Windows Server 2012 como servidor de DirectAccess en unos pocos pasos sencillos.

1. En el escenario sencillo, DirectAccess se configura con opciones de configuración predeterminadas en unos pocos pasos sencillos con un asistente, sin necesidad de establecer la configuración de infraestructura, como una entidad de certificación (CA) o grupos de seguridad de Active Directory.

2. Si desea configurar una implementación avanzada con una configuración personalizada, vea Deploy a Single DirectAccess Server with Advanced Settings.

3. Si desea configurar DirectAccess con características empresariales como un clúster con equilibrio de carga, una implementación en varios sitios o la autenticación de cliente en dos fases, complete el escenario descrito en este tema para configurar un solo servidor y después configure el escenario empresarial necesario mediante Implementar el acceso directo en una empresa.

En este escenario

Para configurar un servidor de DirectAccess sencillo, es necesario realizar varios pasos de planeación e implementación.

Requisitos previos

Antes de empezar a implementar este escenario, revise esta lista de requisitos importantes:

• El firewall de Windows debe estar habilitado en todos los perfiles.

• Este escenario solo se admite cuando los equipos cliente ejecutan Windows® 8.1 y Windows® 8.

• ISATAP no es compatible con la red corporativa. Si utilizas ISATAP, debes eliminarlo y usar IPv6 nativo.

• No se necesita una infraestructura de clave pública.

• No se admite para implementar la autenticación en dos fases. Se necesitan credenciales de dominio para la autenticación.

• Implementa DirectAccess automáticamente en todos los equipos móviles del dominio actual.

• El tráfico a Internet no pasa por el túnel de DirectAccess. La configuración de túnel forzado no es compatible.

• El servidor de DirectAccess es el servidor de ubicación de red.

• La Protección de acceso a redes (NAP) no es compatible.

• No se admite la opción de cambiar directivas fuera de la consola de administración de DirectAccess o cmdlets de Windows PowerShell.

• Para implementar varios sitios, ahora o en el futuro, primero Deploy a Single DirectAccess Server with Advanced Settings.

Pasos de planeación

La planeación se divide en dos fases:

1. Planeación de la infraestructura de DirectAccess. Esta fase describe la planeación necesaria para configurar la infraestructura de red antes de comenzar la implementación de DirectAccess. Incluye planear la topología de servidor y red, así como el servidor de ubicación de red de DirectAccess.

2. Planeación de la implementación de DirectAccess. Esta fase describe los pasos de planeación necesarios para preparar la implementación de DirectAccess. Engloba planear los equipos cliente de DirectAccess, los requisitos de autenticación de servidor y cliente, la configuración de VPN y los servidores de infraestructura, así como los servidores de administración y aplicaciones.

Para obtener los pasos detallados de planificación, consulta Planear una implementación de DirectAccess avanzada.

Pasos de implementación

La implementación se divide en tres fases:

1. Configuración de la infraestructura de DirectAccess. Esta fase incluye configurar la red y el enrutamiento, establecer la configuración de firewall (de ser necesario), configurar certificados, servidores DNS, los valores de Active Directory y GPO, y el servidor de ubicación de red de DirectAccess.

2. Configuración de las opciones de servidor de DirectAccess. Esta fase incluye los pasos para configurar los equipos cliente de DirectAccess, el servidor de DirectAccess, los servidores de infraestructura, así como los servidores de administración y aplicaciones.

3. Comprobación de la implementación. Esta fase incluye pasos para comprobar que la implementación funcione de la forma requerida.

Para conocer los pasos de implementación, consulte Instalar y configurar una implementación básica de DirectAccess.

Aplicaciones prácticas

La implementación de un único servidor de acceso remoto ofrece lo siguiente:

• Accesibilidad: puede configurar equipos cliente administrados que ejecutan Windows 8.1, Windows 8 y Windows® 7 como clientes de DirectAccess. Estos clientes pueden tener acceso a recursos de la red interna a través de DirectAccess en cualquier momento que estén ubicados en Internet sin necesidad de iniciar sesión con una conexión VPN. Los equipos cliente que no ejecuten uno de estos sistemas operativos pueden conectarse a la red interna a través de conexiones VPN tradicionales.

• Facilidad de administración: los equipos cliente de DirectAccess ubicados en Internet los pueden administrar de manera remota los administradores de acceso remoto en DirectAccess, aún cuando los equipos cliente no estén ubicados en la red corporativa interna. Los equipos cliente que no cumplan los requisitos corporativos pueden ser actualizados automáticamente por servidores de administración. Tanto DirectAccess como VPN se administran en la misma consola y con el mismo conjunto de asistentes. Además, se pueden administrar uno o más servidores de acceso remoto desde una sola consola de administración de acceso remoto.

Roles y características que se incluyen en este escenario

En la siguiente tabla, se muestran los roles y características requeridos para el escenario:

Requisitos de hardware

Los requisitos de hardware para este escenario incluyen los siguientes:

• Requisitos del servidor:

  • Un equipo que cumple los requisitos de hardware para Windows Server 2012 R2 o Windows Server 2012.

  • El servidor debe tener al menos un adaptador de red instalado, habilitado y conectado a la red interna. Cuando se utilizan dos adaptadores, debería haber uno conectado a la red corporativa interna y otro, a la red externa (Internet o una red privada).

  • Al menos un controlador de dominio. Tanto el servidor de acceso remoto como los clientes de DirectAccess deben ser miembros del dominio.

• Requisitos de clientes:

  • Un equipo cliente debe ejecutar Windows 8.1 o Windows 8.

    Importante

    Si algunos o todos los equipos cliente ejecutan Windows 7, debe usar el Asistente para configuración avanzada. El Asistente para introducción que se describe en este documento no es compatible con equipos cliente que ejecutan Windows 7. Consulte Deploy a Single DirectAccess Server with Advanced Settings para obtener instrucciones sobre cómo usar clientes de Windows 7 con DirectAccess.

    Nota

    Solo se pueden usar como clientes de DirectAccess los siguientes sistemas operativos: Windows® 8.1 Enterprise, Windows Server 2012 R2, Windows Server 2012, Windows® 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise y Windows 7 Ultimate Edition.

• Requisitos de servidores de infraestructura y administración:

  • Si VPN está habilitada y no se ha configurado un grupo de direcciones IP estáticas, debe implementar un servidor DHCP para asignar direcciones IP automáticamente a los clientes de VPN.

• Se requiere un servidor DNS que ejecute Windows Server 2008 SP2, Windows Server 2008 R2 o Windows Server 2012.

Requisitos de software

Hay varios requisitos para este escenario:

• Requisitos del servidor:

  • El servidor de acceso remoto debe ser un miembro del dominio. El servidor se puede implementar en el perímetro de la red interna o tras un firewall perimetral u otro dispositivo.

  • Si el servidor de acceso remoto se encuentra tras un firewall perimetral o un dispositivo NAT, el dispositivo debe estar configurado de modo que permita el tráfico desde el servidor de acceso remoto y hacia él.

  • La persona que implemente el acceso remoto en el servidor necesita permisos de administrador local en el servidor y permisos de usuario del dominio. Además, el administrador necesita permisos para los GPO que se usan en la implementación de DirectAccess. Se necesitan permisos para crear un filtro WMI en el controlador de dominio para aprovechar las ventajas de las características que restringen la implementación de DirectAccess solamente a los equipos móviles.

• Requisitos de clientes de acceso remoto:

  • Los clientes de DirectAccess deben ser miembros del dominio. Los dominios que contienen clientes pueden pertenecer al mismo bosque que el servidor de acceso remoto, o tener una confianza bidireccional con el bosque del servidor de Acceso remoto.

  • Se requiere un grupo de seguridad de Active Directory para contener los equipos que se configurarán como clientes de DirectAccess. Si no se ha especificado un grupo de seguridad al establecer la configuración de cliente de DirectAccess, se aplica de forma predeterminada el GPO de cliente a todos los equipos portátiles en el grupo de seguridad Equipos del dominio. Solo se pueden utilizar como clientes de DirectAccess los siguientes sistemas operativos: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise y Windows 7 Ultimate Edition.

Vea también

En la siguiente tabla, se proporcionan los vínculos a recursos adicionales: