Agregar DirectAccess a una implementación de acceso remoto (VPN) existente
Se aplica a: Windows Server 2012 R2, Windows Server 2012
Nota: Windows Server 2012 combina DirectAccess y el servicio de enrutamiento y acceso remoto (RRAS) en un único rol de acceso remoto.
El siguiente tema sirve de introducción al Asistente para habilitar DirectAccess de acceso remoto, que sirve para configurar un solo servidor de acceso remoto con las opciones de configuración recomendadas después de haber configurado una red privada virtual (VPN).
Documentación de implementación elaborada sobre el acceso remoto en Windows Server 2012 (DirectAccess)
Aquí te mostramos una lista de temas que se pueden usar para implementar el acceso remoto mediante las tres rutas de acceso principales:
Básica
Avanzado
Enterprise
También encontrarás temas relativos a esta versión en los que se abordan la administración y migración del acceso remoto.
Antes de proceder a la migración, consulta la siguiente lista de configuraciones no compatibles, problemas conocidos y requisitos previos.
Implementación de acceso remoto básica
Implementación de acceso remoto avanzada
Implementación de acceso remoto en una empresa
Administrar el acceso remoto
Migrar el acceso remoto
Descripción del escenario
En este escenario, un solo equipo que ejecuta Windows Server 2012 se ha configurado como un servidor de acceso remoto con las opciones de configuración recomendadas después de haber instalado y configurado la VPN. Si desea configurar el acceso remoto con características empresariales (como un clúster con equilibrio de carga, una implementación multisitio o la autenticación de cliente en dos fases), complete el escenario que se describe en este tema para configurar un solo servidor y, después, configurar el escenario empresarial como se indica en Implementar el acceso directo en una empresa.
En este escenario
Para configurar un solo servidor de acceso remoto, son necesarios varios pasos de planificación e implementación.
Pasos de planeación
La planeación se divide en dos fases:
Planear la infraestructura de acceso remoto
En esta fase se describe la planificación necesaria para configurar la infraestructura de red antes de comenzar la implementación de acceso remoto. Engloba planear la topología de servidores y de red y los certificados, el Sistema de nombres de dominio (DNS), la configuración del objeto de directiva de grupo (GPO) de Active Directory y el servidor de ubicación de red de DirectAccess.
Planear la implementación de acceso remoto
En esta fase se describen los pasos de planificación necesarios para preparar la implementación de acceso remoto. Incluye planear los equipos cliente de acceso remoto, los requisitos de autenticación de servidor y cliente y los servidores de infraestructura.
Pasos de implementación
La implementación se divide en tres fases:
Configurar la infraestructura de acceso remoto
Esta fase conlleva configurar la red y el enrutamiento, establecer la configuración de firewall (de ser necesario), los certificados, los servidores DNS, los valores de Active Directory y GPO y el servidor de ubicación de red de DirectAccess.
Establecer la configuración del servidor de acceso remoto
En esta fase, configuraremos los equipos cliente de acceso remoto, el servidor de acceso remoto y los servidores de la infraestructura.
Comprobar la implementación.
En esta fase, comprobaremos que la implementación funciona como debe.
Aplicaciones prácticas
La implementación de un único servidor de acceso remoto ofrece lo siguiente:
Accesibilidad
Los equipos cliente administrados que ejecutan Windows 8 y Windows 7 pueden configurarse como equipos cliente de DirectAccess. Estos clientes pueden tener acceso a recursos de la red interna a través de DirectAccess en cualquier momento que se encuentren en Internet, y sin necesidad de iniciar sesión con una conexión VPN. Los equipos cliente que no ejecuten uno de estos sistemas operativos pueden conectarse a la red interna a través de VPN. DirectAccess y VPN se administran en la misma consola y con el mismo conjunto de asistentes.
Administrabilidad
Los equipos cliente de DirectAccess con acceso a Internet pueden administrarse de manera remota por administradores de acceso remoto en DirectAccess, aun cuando los equipos cliente no estén ubicados en la red corporativa interna. Los equipos cliente que no cumplan los requisitos corporativos pueden ser actualizados automáticamente por servidores de administración.
Roles y características necesarios en este escenario
En la siguiente tabla se recogen los roles y características necesarios en este escenario:
Rol/característica |
Compatibilidad con este escenario |
---|---|
Rol de acceso remoto |
El rol se instala y desinstala con la consola del Administrador del servidor o con Windows PowerShell. Este rol incluye tanto DirectAccess (que antes era una característica de Windows Server 2008 R2) como los servicios de enrutamiento y acceso remoto, que antes eran un servicio de rol de Servicios de acceso y directivas de redes (NPAS). El rol de acceso remoto consta de dos componentes:
El rol del servidor de acceso remoto depende de las siguientes características del servidor:
|
Característica Herramientas de administración de acceso remoto |
Esta característica se instala de la siguiente manera:
La característica de herramientas de administración de acceso remoto consiste de los siguientes elementos:
Las dependencias incluyen:
|
Requisitos de hardware
Los requisitos de hardware para este escenario incluyen los siguientes:
Requisitos de servidor
Un equipo que cumpla con los requisitos de hardware para Windows Server 2012.
El servidor debe tener al menos un adaptador de red instalado, habilitado y unido a la red interna. Cuando se usan dos adaptadores, debe haber uno conectado a la red corporativa interna y otro, a la red externa (Internet).
Si se requiere Teredo como protocolo de transición de IPv4 a IPv6, el adaptador externo del servidor requiere dos direcciones IPv4 públicas consecutivas. El Asistente para habilitar DirectAccess no habilita Teredo, aun cuando existan dos direcciones IP consecutivas. Para habilitar Teredo, vea Deploy a Single DirectAccess Server with Advanced Settings. Si solo hay disponible una dirección IP, únicamente se puede usar IP-HTTPS como protocolo de transición.
Al menos un controlador de dominio. Tanto el servidor de acceso remoto como los clientes de DirectAccess deben ser miembros del dominio.
El Asistente para habilitar DirectAccess necesita certificados para IP-HTTPS y el servidor de ubicación de red. Si la VPN SSTP ya usa un certificado, este se reutilizará para IP-HTTPS. Si la VPN SSTP no está configurada, puedes configurar un certificado para IP-HTTPS o usar un certificado autofirmado creado automáticamente. Para el servidor de ubicación de red, puedes configurar un certificado o usar un certificado autofirmado creado automáticamente.
Requisitos del cliente
Un equipo cliente debe ejecutar Windows 8 o Windows 7.
Nota
Solo se pueden utilizar como clientes de DirectAccess los siguientes sistemas operativos: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise y Windows 7 Ultimate Edition.
Requisitos de servidores de infraestructura y administración
Durante la administración remota de los equipos cliente de DirectAccess, los clientes inician la comunicación con servidores de administración —como controladores de dominio, servidores de System Center Configuration y servidores de la Autoridad de registro de mantenimiento (HRA)— para obtener servicios que incluyen Windows y actualizaciones de antivirus y la conformidad de clientes de Protección de acceso a redes (NAP). Los servidores necesarios se deben implementar antes de comenzar la implementación de acceso remoto.
Si el acceso remoto requiere la conformidad NAP de los clientes, el Servidor de directivas de red (NPS) y HRA se deben implementar antes de comenzar la implementación de acceso remoto
Se necesita un servidor DNS que ejecute Windows Server 2012, Windows Server 2008 R2 o Windows Server 2008 con SP2.
Requisitos de software
Los requisitos de software para este escenario son los siguientes:
Requisitos de servidor
El servidor de acceso remoto debe ser un miembro del dominio. El servidor se puede implementar en el perímetro de la red interna o tras un firewall perimetral u otro dispositivo.
Si el servidor de acceso remoto se encuentra detrás de un firewall perimetral o un dispositivo de traducción de direcciones de red (NAT), el dispositivo debe estar configurado de modo que permita el tráfico desde y hacia el servidor de acceso remoto.
La persona que implemente el acceso remoto en el servidor necesita permisos de administrador local en el servidor y permisos de usuario del dominio. Además, el administrador necesita permisos para los GPO que se usan en la implementación de DirectAccess. Se necesitan permisos para crear un filtro WMI en el controlador de dominio para aprovechar las ventajas de las características que restringen la implementación de DirectAccess solamente a los equipos móviles.
Requisitos de clientes de acceso remoto
Los clientes de DirectAccess deben ser miembros del dominio. Los dominios que contienen clientes pueden pertenecer al mismo bosque que el servidor de acceso remoto, o tener una confianza bidireccional con el bosque o el dominio del servidor de acceso remoto.
Se requiere un grupo de seguridad de Active Directory para contener los equipos que se configurarán como clientes de DirectAccess. Si no se ha especificado un grupo de seguridad al establecer la configuración de cliente de DirectAccess, se aplica de forma predeterminada el GPO de cliente en todos los equipos portátiles (con capacidad para DirectAccess) en el grupo de seguridad Equipos del dominio. Solo se pueden utilizar como clientes de DirectAccess los siguientes sistemas operativos: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise y Windows 7 Ultimate Edition.
Nota
Recomendamos crear un grupo de seguridad por cada dominio que contenga equipos que se vayan a configurar como clientes de DirectAccess.
Vea también
En la siguiente tabla, se proporcionan los vínculos a recursos adicionales:
Tipo de contenido |
Referencias |
---|---|
Acceso remoto en TechNet |
|
Evaluación del producto |
Mostrar DirectAccess en un clúster con NLB |
Implementación |
|
Herramientas y configuración |
|
Recursos de la comunidad |
|
Tecnologías relacionadas |