Administrar clientes de DirectAccess de forma remota
Se aplica a: Windows Server 2012 R2, Windows Server 2012
Nota: Windows Server 2012 combina DirectAccess y el servicio de enrutamiento y acceso remoto (RRAS) en un único rol de acceso remoto.
En este tema se proporciona una introducción a un escenario avanzado que puedes utilizar para configurar un solo servidor de acceso remoto para la administración remota de los clientes de DirectAccess.
Descripción del escenario
En este escenario, se configura un solo equipo que ejecute Windows Server 2012 como servidor de acceso remoto con el único fin de administrar remotamente clientes de DirectAccess. El uso de este escenario permite la administración remota de clientes, pero deshabilita otros componentes que puedes utilizar si seleccionas una implementación completa de DirectAccess, incluido el acceso del cliente a redes internas, el túnel forzado, la autenticación firme y la conformidad NAP.
Nota
Si desea configurar una implementación básica solo con ajustes básicos, consulte Implementación de un solo servidor de DirectAccess con el Asistente para introducción. En este sencillo escenario, puedes configurar el acceso remoto con ajustes predeterminados a través de un asistente. No configuras los ajustes de la infraestructura, como la autoridad de certificación (CA) o los grupos de seguridad de Active Directory.
En este escenario
Para configurar un solo servidor de acceso remoto para administrar clientes, se precisa realizar varios pasos de planificación e implementación.
Pasos de planeación
La planificación de este escenario se divide en dos fases:
Infraestructura de acceso remoto: en esta fase, planificas la infraestructura de red antes de comenzar la implementación del acceso remoto. Incluye la planificación de la topología de la red y del servidor, certificados, Sistema de nombres de dominio (DNS), Active Directory, Objetos de directiva de grupo (GPO) y el servidor de ubicación de red de DirectAccess.
Planificación de implementación de acceso remoto: en esta fase, te preparas para la implementación del acceso remoto. Incluye planear los equipos cliente de acceso remoto, los requisitos de autenticación de servidor y cliente, la configuración de VPN, la infraestructura y los servidores de administración.
Para obtener pasos detallados de planificación, consulte Plan de implementación para la administración remota de los clientes de DirectAccess.
Requisitos previos
Antes de comenzar con este escenario, revisa esta lista de requisitos importantes:
- El firewall de Windows debe estar habilitado en todos los perfiles.
- DirectAccess solo es compatible con clientes que ejecutan Windows 8.1, Windows 8 y Windows 7.
- No se admite la opción de cambiar directivas fuera de la consola de administración de DirectAccess o usando los cmdlets de Windows PowerShell.
Pasos de implementación
La implementación de este escenario se divide en tres fases:
Configuración de infraestructura de acceso remoto: esta fase conlleva configurar la red y el enrutamiento, establecer la configuración de firewall (de ser necesario), los certificados, los servidores DNS, los valores de Active Directory y GPO y el servidor de ubicación de red de DirectAccess.
Configuración de ajustes de servidor de acceso remoto: esta fase incluye los pasos para configurar los equipos cliente de acceso remoto, el servidor de acceso remoto y los servidores de infraestructura, así como los servidores de administración y aplicaciones.
Comprobación de la implementación: en esta fase, comprobaremos que la implementación funciona como debe.
Para obtener pasos detallados de implementación, consulte Instalar y configurar la implementación para la administración remota de los clientes de DirectAccess.
Aplicaciones prácticas
La implementación de un solo servidor de acceso remoto para administrar los clientes de DirectAccess ofrece las siguientes ventajas:
Facilidad de acceso: los equipos cliente administrados que disponen de Windows 8.1, Windows 8 o Windows 7 pueden configurarse como equipos cliente de DirectAccess. Estos clientes pueden tener acceso a recursos de la red interna a través de DirectAccess en cualquier momento en que estén conectados a Internet sin necesidad de iniciar sesión con una conexión VPN. Los equipos cliente que no ejecuten uno de estos sistemas operativos pueden conectarse a la red interna a través de VPN. DirectAccess y VPN se administran en la misma consola y con el mismo conjunto de asistentes.
Facilidad de administración: los equipos cliente de DirectAccess conectados a Internet pueden administrarse de manera remota por administradores de acceso remoto en DirectAccess, aun cuando los equipos cliente no estén ubicados en la red corporativa interna. Los equipos cliente que no cumplan los requisitos corporativos pueden ser actualizados automáticamente a través de servidores de administración.
Roles y características que se incluyen en este escenario
La siguiente tabla enumera los roles y características requeridos para planear e implementar este escenario.
Rol/característica |
Compatibilidad con este escenario |
|---|---|
Rol de acceso remoto |
El rol se instala y desinstala con la consola del Administrador del servidor o con Windows PowerShell. Este rol incluye tanto DirectAccess, que antes era una característica de Windows Server 2008 R2, como los servicios de enrutamiento y acceso remoto, que antes eran un servicio de rol bajo el rol del servidor Servicios de acceso y directivas de redes (NPAS). El rol de acceso remoto consta de dos componentes:
El rol del servidor de acceso remoto depende de las siguientes características o roles del servidor:
|
Característica Herramientas de administración de acceso remoto |
Esta característica se instala de la siguiente manera:
La característica de herramientas de administración de acceso remoto consiste de los siguientes elementos:
Las dependencias incluyen:
|
Requisitos de hardware
Los requisitos de hardware para este escenario incluyen los siguientes:
Requisitos del servidor:
Un equipo que cumpla con los requisitos de hardware para Windows Server 2012.
El servidor debe tener al menos un adaptador de red instalado y habilitado. Cuando se usan dos adaptadores, debe haber uno conectado a la red corporativa interna y otro, a la red externa (Internet).
Si se requiere Teredo como protocolo de transición de IPv4 a IPv6, el adaptador externo del servidor requiere dos direcciones IPv4 públicas consecutivas. Si solo está disponible una única dirección IP, entonces solo se puede usar IP-HTTPS como protocolo de transición.
Al menos un controlador de dominio. Tanto el servidor de acceso remoto como los clientes de DirectAccess deben ser miembros del dominio.
Se requiere un servidor CA si no quiere usar certificados autofirmados para IP-HTTPS o el servidor de ubicación de red, o si quiere usar certificados de cliente para la autenticación IPsec de clientes. También puede solicitar certificados a una CA pública.
Si el servidor de ubicación de red no está ubicado en el servidor de acceso remoto, se requiere un servidor web independiente para ejecutarlo.
Requisitos de clientes:
Un equipo cliente debe ejecutar Windows 8 o Windows 7.
Nota
Solo se pueden utilizar como clientes de DirectAccess los siguientes sistemas operativos: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise y Windows 7 Ultimate Edition.
Requisitos de servidores de infraestructura y administración:
Durante la administración remota de los equipos cliente de DirectAccess, los clientes inician comunicaciones con servidores de administración tales como controladores de dominio y servidores de System Center Configuration para servicios que incluyen Windows y actualizaciones de antivirus y la conformidad de clientes de Protección de acceso a redes (NAP). Los servidores requeridos se deben implementar antes de comenzar la implementación de acceso remoto.
Si el acceso remoto requiere la conformidad NAP de clientes, los servidores NPS y HRS se deben implementar antes de comenzar la implementación de acceso remoto
Si VPN está habilitada, se requiere un servidor DHCP para asignar direcciones IP automáticamente a los clientes de VPN, si no se usa un grupo de direcciones estáticas.
Se requiere un servidor DNS que ejecute Windows Server 2008 SP2, Windows Server 2008 R2, o Windows Server 2012.
Requisitos de software
Hay varios requisitos para este escenario:
Requisitos del servidor:
El servidor de acceso remoto debe ser un miembro del dominio. El servidor se puede implementar en el perímetro de la red interna o tras un firewall perimetral u otro dispositivo.
Si el servidor de acceso remoto se encuentra tras un firewall perimetral o un dispositivo NAT, el dispositivo debe estar configurado de modo que permita el tráfico desde el servidor de acceso remoto y hacia él.
La persona que implemente el acceso remoto en el servidor necesita permisos de administrador local en el servidor y permisos de usuario del dominio. Además, el administrador necesita permisos para los GPO que se usan en la implementación de DirectAccess. Se necesitan permisos para crear un filtro WMI en el controlador de dominio para aprovechar las ventajas de las características que restringen la implementación de DirectAccess solamente a los equipos móviles.
Requisitos de clientes de acceso remoto:
Los clientes de DirectAccess deben ser miembros del dominio. Los dominios que contienen clientes pueden pertenecer al mismo bosque que el servidor de acceso remoto, o tener una confianza bidireccional con el bosque o el dominio del servidor de acceso remoto.
Se requiere un grupo de seguridad de Active Directory para contener los equipos que se configurarán como clientes de DirectAccess. Si no se ha especificado un grupo de seguridad al establecer la configuración de cliente de DirectAccess, se aplica de forma predeterminada el GPO de cliente a todos los equipos portátiles en el grupo de seguridad Equipos del dominio. Ten en cuenta lo siguiente:
Recomendamos crear un grupo de seguridad por cada dominio que contenga equipos que se vayan a configurar como clientes de DirectAccess.
Vea también
En la siguiente tabla, se proporcionan los vínculos a recursos adicionales:
Tipo de contenido |
Referencias |
|---|---|
Acceso remoto en TechNet |
|
Evaluación del producto |
Guía del laboratorio de prueba: mostrar DirectAccess en un clúster con Windows NLB Guía de laboratorio de pruebas: Demostrar una implementación multisitio de DirectAccess Guía de laboratorio de pruebas: Demostración de DirectAccess con autenticación OTP y RSA SecurID |
Solucionar problemas |
Solución de problemas de documentación de acceso remoto, cuando estén publicados. |
Herramientas y configuración |
|
Recursos de la comunidad |
Blog del equipo del producto de RRAS | Foro de acceso remoto de TechNet |
Tecnologías relacionadas |