Windows Server: el poder de la integración

Windows proporciona aún mayor valor cuando se pueden combinar características en las plataformas de cliente y servidor para formar una solución completa.

Joshua Hoffman

Windows como sistema operativo de escritorio potencia nuestros equipos y nos ayuda a aprovechar al máximo la tecnología moderna. Las características de Windows 7 admiten tareas como la conectividad de redes, que entrega Internet a nuestro escritorio, y la ejecución de aplicaciones, que permiten a los trabajadores de la información captar y compartir conocimientos, analizar datos de negocios y comunicarse con asociados, clientes y colegas en tiempo real.

Windows también es un sólido sistema operativo de servidor que constituye la base de la enorme cantidad de centros de datos. Windows Server realiza todo, desde servicios de archivado e impresión hasta virtualización con Hyper-V para activar sitios web con IIS.

Sin embargo, el mayor valor que proporciona Windows suele producirse cuando ciertas características de las plataformas de cliente y servidor se combinan para formar una solución completa a algún problema de negocios. Existen varias soluciones completas que se pueden crear con componentes existentes de las plataformas de cliente y servidor de Windows. También existen valiosos recursos que lo guiarán por el proceso de construcción de estas soluciones.

Conectividad sin problemas

DirectAccess con Protección de acceso a redes (NAP) proporciona una solución sólida y práctica que se basa en la integración de diversos componentes de Windows. DirectAccess conecta los equipos cliente a recursos de intranet sin la complejidad de una red privada virtual (VPN). La conectividad se realiza sin problemas; además proporciona conectividad remota sencilla y eficiente a la vez que mantiene la seguridad necesaria para proteger los recursos internos.

DirectAccess con NAP también proporciona comprobaciones de estado continuas para equipos remotos (no sólo el equipo remoto sobre el que se intenta establecer una conexión, como se vería en una solución de VPN). También refuerza el cumplimiento del estado antes de permitir la conectividad del usuario remoto.

Los clientes de DirectAccess utilizan un certificado de equipo para la autenticación en el mismo nivel del protocolo de seguridad de Internet (IPsec), de forma predeterminada. Con DirectAccess y NAP, el certificado de autenticación para tener acceso a una intranet es un certificado de mantenimiento. Este certificado de mantenimiento valida la identidad del equipo cliente con DirectAccess y certifica que el cliente de DirectAccess cumple con los requisitos de mantenimiento del sistema.

La solución de DirectAccess con NAP aprovecha una serie de componentes de infraestructura de Windows para proporcionar esta funcionalidad (consulte Figura 1). Estos componentes incluyen:

• Servicios de dominio de Active Directory (AD DS): proporciona pertenencia al dominio para clientes y servidores de DirectAccess, autenticación de credenciales de equipo y usuario y distribuye la configuración de directiva de grupo a los clientes de DirectAccess
• Infraestructura de clave pública (PKI): distribuye certificados digitales a clientes de DirectAccess, servidores de DirectAccess y servidores web para DirectAccess con NAP; una entidad de certificación (CA) emite certificados de equipo y otra CA basada en Windows (conocida como CA NAP) emite certificados de mantenimiento
• Servidor de DirectAccess: un equipo que ejecuta Windows Server 2008 R2 aloja las conexiones de DirectAccess
• Servidor de ubicación de red: un equipo que habitualmente ejecuta Windows Server 2008 o posterior e IIS con el fin de alojar un sitio web seguro, de modo que los clientes de DirectAccess puedan determinar si están conectados a la intranet
• Servidor de directivas de mantenimiento NAP: un equipo que ejecuta Windows Server 2008 o posterior y el Servidor de directivas de redes (NPS) realiza la validación y el registro de mantenimiento del sistema
• Autoridad de registro de mantenimiento (HRA): un equipo que ejecuta Windows Server 2008 o posterior e IIS que obtiene certificados digitales de una CA NAP para clientes que cumplen la directiva de DirectAccess
• Servidores de actualizaciones: equipos que proporcionan las actualizaciones o recursos que los clientes que no cumplen la directiva de DirectAccess necesitan para poder cumplir los requisitos de mantenimiento del sistema. Algunos ejemplos son los servidores de Servicios de actualización de software de Windows (WSUS) y los servidores de distribución de firma de antimalware

Figura 1 Componentes de infraestructura de la solución DirectAccess con NAP.

Teniendo en mente esos componentes de infraestructura, veamos brevemente cómo funciona la solución DirectAccess con NAP. Cuando el cliente de DirectAccess comienza, inicia sesión en el dominio de AD DS y envía su información de estado actual de mantenimiento a la HRA. La HRA luego envía la información de estado de mantenimiento del cliente de DirectAccess al servidor de directivas de mantenimiento NAP.

El servidor de directivas de mantenimiento NAP evalúa el estado de mantenimiento del cliente de DirectAccess, determina si cumple la directiva y envía los resultados a la HRA. Si el cliente de DirectAccess no cumple la directiva, los resultados incluyen instrucciones sobre actualización de mantenimiento.

Si el estado de mantenimiento cumple la directiva, la HRA obtiene un certificado de mantenimiento de la PKI y lo envía al cliente de DirectAccess. El cliente de DirectAccess ahora puede crear el túnel de intranet con el servidor de DirectAccess.

Si el estado de mantenimiento no cumple la directiva, la HRA no emitirá un certificado de mantenimiento. El cliente de DirectAccess no podrá crear el túnel de intranet con el servidor de DirectAccess, de modo que el acceso queda efectivamente bloqueado. Sin embargo, el cliente de DirectAccess puede tener acceso a servidores de actualizaciones para corregir su estado de mantenimiento.

El cliente de DirectAccess contacta a los servidores de actualizaciones para recibir las actualizaciones requeridas para el cumplimiento, si es necesario. Una vez finalizado el proceso, el cliente de DirectAccess actualiza su información de estado de mantenimiento y la envía a la HRA. La HRA envía la información actualizada de estado de mantenimiento al servidor de directivas de mantenimiento NAP. Suponiendo que se hayan realizado todas las actualizaciones requeridas, el servidor de directivas de mantenimiento NAP determina que el cliente de DirectAccess cumple la directiva y envía esos resultados a la HRA.

La HRA luego obtiene un certificado de mantenimiento de la CA NAP y envía ese certificado al cliente de DirectAccess. El cliente de DirectAccess ahora puede usar el certificado de mantenimiento para obtener autenticación para acceder a la intranet a través del servidor de DirectAccess.

El resultado, basado en una combinación de componentes de Windows, constituye un recurso móvil. Ahora se puede tener acceso sin problemas a los recursos internos, a la vez que se conserva la seguridad y la integridad de la red interna.

Para obtener más información sobre la solución DirectAccess con NAP, consulte la Guía de solución completa que se encuentra disponible en la biblioteca de TechNet. También hay disponibles Guías de laboratorio de pruebas sobre DirectAccess con NAP. Estas Guías de laboratorio de pruebas detallan y documentan todos los pasos necesarios para crear un entorno de laboratorio de trabajo, para que así pueda demostrar esta solución y experimentar con ella.

Creación de soluciones integradas

También hay disponibles Guías de laboratorio de pruebas para una serie de otras soluciones de infraestructura de Windows. Por ejemplo, hay Guías de laboratorio de pruebas para configuraciones alternativas de la solución DirectAccess con NAP, incluido el uso del Portal de acceso unificado Forefront con DirectAccess y NAP.

Comience con el laboratorio de pruebas de Configuración base, que le ayuda a establecer una configuración de línea base sobre la cual se puede experimentar con nuevas soluciones en un entorno controlado. Hay disponibles otras Guías de laboratorio de pruebas que se basan en esta configuración base.

Con la configuración base en su lugar, puede explorar otras soluciones integradas. Otros laboratorios de pruebas exploran los nuevos protocolos de red IPv6 y DHCPv6. IPv6 está diseñado para resolver muchos de los problemas que se producen con la versión actual del protocolo de Internet (conocido como IPv4), como el vaciado de direcciones, la seguridad, la configuración automática y la extensibilidad.

La Guía de laboratorio de pruebas de IPv6 le presenta una demostración de los siguientes escenarios:

• El comportamiento predeterminado de IPv6 y la conectividad en una intranet sólo con IPv4
• Conectividad de intranet basada en IPv6 mediante el protocolo Intra-Site Automatic Tunnel Addressing Protocol (ISATAP)
• Conectividad de intranet basada en IPv6 mediante direccionamiento nativo de IPv6
• Conectividad de IPv6 a través de una Internet simulada sólo con IPv4 mediante 6to4

Una vez que se sienta cómodo con IPv6, la extensión de laboratorio DHCPv6 lo llevará paso a paso a través del proceso de emisión y administración dinámica de direcciones IPv6.

Las Guías de laboratorio de pruebas están publicadas en la plataforma social de TechNet, de modo que se encuentran abiertas a la creación y extensión de la comunidad. Dé un vistazo al laboratorio de pruebas de acceso remoto de VPN para Windows Server 2008 R2 como ejemplo. No todas las organizaciones se encuentran en la posición correcta para implementar la solución de DirectAccess que analizamos anteriormente. Esta Guía de laboratorio de pruebas lo llevará por la implementación de una VPN más tradicional, de modo que los usuarios remotos puedan establecer conexiones de red interna seguras y a petición.

Los contribuidores de la comunidad han extendido la Guía de laboratorio de pruebas para demostrar el uso del Kit de administración para el administrador de conexiones (CMAK) con la solución VPN, el uso de VPN Reconnect y mucho más. Por último, para ir más allá del alcance de las soluciones basadas únicamente en los componentes principales de la infraestructura de Windows, existen Guías de laboratorio de pruebas disponibles para una serie de otros productos de infraestructura, incluidos System Center Service Manager 2010, Forefront Identity Manager 2010, SQL Server 2008 R2 y mucho más.

La creación de soluciones integradas al combinar las plataformas de cliente y servidor de Windows le ayuda a develar el potencial oculto en su inversión de tecnología existente. Para obtener más orientación sobre la creación de soluciones integradas de Windows, visite el blog de guías de laboratorio de pruebas en blogs.technet.com/b/tlgs.

Joshua Hoffman es el anterior editor en jefe de TechNet Magazine*. Actualmente es un autor y consultor independiente que proporciona asesoría sobre tecnología y marketing orientado a públicos específicos. Hoffman también trabaja como editor en jefe en ResearchAccess.com, un sitio dedicado al crecimiento y enriquecimiento de la comunidad de investigación de mercado. Reside actualmente en Nueva York.*

Contenido relacionado

• Integración de Windows 7 y Windows 2008 R2
• 77 sugerencias de Windows 7
• Mejoras de PKI en Windows 7 y Windows Server 2008 R2