Implementación de un solo servidor de DirectAccess con el Asistente para introducción
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016
Importante
Microsoft recomienda encarecidamente usar la VPN de Always On en lugar de DirectAccess para nuevas implementaciones. Para obtener más información, consulte VPN de Always On.
El siguiente tema sirve de introducción a un escenario de DirectAccess en el que se usa un solo servidor de DirectAccess y que permite implementar DirectAccess en unos pocos pasos.
Antes de proceder a la implementación, consulte la siguiente lista de configuraciones no compatibles, problemas conocidos y requisitos previos.
Puede usar los temas siguientes para revisar los requisitos previos y otra información antes de implementar DirectAccess.
Descripción del escenario
En este escenario, un equipo con Windows Server está configurado como un servidor de DirectAccess con la configuración predeterminada. Para esta configuración, solo se necesita completar unos pasos sencillos con un asistente, sin necesidad de establecer la configuración de infraestructura, como una entidad de certificación (CA) o grupos de seguridad de Active Directory.
Nota
Si desea configurar una implementación avanzada con una configuración personalizada, vea Deploy a Single DirectAccess Server with Advanced Settings.
En este escenario
Para configurar un servidor de DirectAccess básico, es necesario completar varios pasos de planeación e implementación.
Requisitos previos
Antes de empezar a implementar este escenario, revise esta lista de requisitos importantes:
El firewall de Windows debe estar habilitado en todos los perfiles.
Este escenario solo es compatible cuando los equipos cliente ejecutan Windows 10, Windows 8.1 o Windows 8.
ISATAP no es compatible con la red corporativa. Si utiliza ISATAP, debe eliminarlo y usar IPv6 nativo.
No es necesaria una infraestructura de clave pública.
No se admite para implementar la autenticación en dos fases. Se necesitan credenciales de dominio para la autenticación.
Implementa DirectAccess automáticamente en todos los equipos móviles del dominio actual.
El tráfico a Internet no pasa por el túnel de DirectAccess. La configuración de túnel forzado no es compatible.
El servidor de DirectAccess es el servidor de ubicación de red.
La Protección de acceso a redes (NAP) no es compatible.
No se admite la opción de cambiar directivas fuera de la consola de administración de DirectAccess o cmdlets de Windows PowerShell.
Para implementar multisitio, ahora o en el futuro, primero implemente un único servidor de DirectAccess con una configuración avanzada.
Pasos de planeación
La planeación se divide en dos fases:
Planificación de la infraestructura de DirectAccess. En esta fase se describe la planificación que se necesita para configurar la infraestructura de red antes de comenzar la implementación de DirectAccess. En la planificación se incluye diseñar la topología de servidor y red, así como el servidor de ubicación de red de DirectAccess.
Planificación de la implementación de DirectAccess. En esta fase se explican los pasos de planificación necesarios para preparar la implementación de DirectAccess. Engloba planear los equipos cliente de DirectAccess, los requisitos de autenticación de servidor y cliente, la configuración de VPN y los servidores de infraestructura, así como los servidores de administración y aplicaciones.
Para conocer los pasos detallados de planificación, consulte Planear una implementación de DirectAccess avanzada.
Pasos de implementación
La implementación se divide en tres fases:
- Configuración de la infraestructura de DirectAccess. En esta fase se configuran los componentes siguientes:
- Red y enrutamiento
- Configuración del firewall (si es necesario)
- Certificados
- Servidores DNS
- Configuración de Active Directory y GPO
- Servidor de ubicación de red de DirectAccess
Configuración de las opciones de servidor de DirectAccess. Esta fase incluye los pasos para configurar los equipos cliente de DirectAccess, el servidor de DirectAccess y los servidores de infraestructura, así como los servidores de administración y aplicaciones.
Comprobación de la implementación. Esta fase incluye pasos para comprobar que la implementación funciona de la forma requerida.
Para conocer los pasos de implementación, consulte Install and Configure Basic DirectAccess.
Aplicaciones prácticas
La implementación de un único servidor de acceso remoto ofrece las ventajas siguientes:
Accesibilidad. Puede configurar los equipos cliente administrados que ejecutan Windows 10, Windows 8.1, Windows 8 y Windows 7 como equipos cliente de DirectAccess. Estos clientes pueden tener acceso a recursos de la red interna a través de DirectAccess en cualquier momento que estén ubicados en Internet sin necesidad de iniciar sesión con una conexión VPN. Los equipos cliente que no ejecuten uno de estos sistemas operativos pueden conectarse a la red interna a través de conexiones VPN tradicionales.
Administrabilidad. Los equipos cliente de DirectAccess ubicados en Internet pueden administrarse de manera remota por administradores de acceso remoto en DirectAccess, incluso cuando los equipos cliente no estén ubicados en la red corporativa interna. Los servidores de administración pueden actualizar automáticamente los equipos cliente que no cumplan los requisitos corporativos. Tanto DirectAccess como VPN se administran en la misma consola y con el mismo conjunto de asistentes. Además, se pueden administrar uno o más servidores de acceso remoto desde una sola consola de administración de acceso remoto.
Roles y características que se incluyen en este escenario
En la siguiente tabla, se muestran los roles y características requeridos para el escenario:
| Rol/característica | Compatibilidad con este escenario |
|---|---|
| Rol de acceso remoto | El rol se instala y desinstala con la consola del Administrador del servidor o con Windows PowerShell. Este rol engloba tanto DirectAccess como los Servicios de acceso remoto y enrutamiento. El rol de acceso remoto consta de dos componentes: 1. DirectAccess y Servicios de enrutamiento y acceso remoto (RRAS). DirectAccess y VPN se administran en la consola de administración de acceso remoto. El rol del servidor de acceso remoto depende de las siguientes características o roles del servidor: - Servidor web de Internet Information Services (IIS): se requiere esta característica para configurar el servidor de ubicación de red en el servidor de acceso remoto, así como el sondeo web predeterminado. |
| Característica Herramientas de administración de acceso remoto | Esta característica se instala de la siguiente manera: - Se instala de forma predeterminada en un servidor de acceso remoto al instalarse el rol de acceso remoto y admite la interfaz de usuario de la consola de administración de acceso remoto y los cmdlets de Windows PowerShell. La característica de herramientas de administración de acceso remoto consiste en los siguientes componentes: - GUI de acceso remoto Las dependencias incluyen: - Consola de administración de directivas de grupo. |
Requisitos de hardware
Los requisitos de hardware para este escenario incluyen los siguientes:
Requisitos del servidor:
Un equipo que cumpla los requisitos de hardware para Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012.
El servidor debe tener al menos un adaptador de red instalado, habilitado y conectado a la red interna. Cuando se utilizan dos adaptadores, debería haber uno conectado a la red corporativa interna y otro, a la red externa (Internet o una red privada).
Al menos un controlador de dominio. Tanto el servidor de acceso remoto como los clientes de DirectAccess deben ser miembros del dominio.
Requisitos de clientes:
Un equipo cliente debe ejecutar Windows 10, Windows 8.1 o Windows 8.
Importante
Si algunos o todos los equipos cliente ejecutan Windows 7, debe usar el Asistente para instalación avanzada. El Asistente para instalación que se describe en este documento no es compatible con equipos cliente que usan Windows 7. Consulte Deploy a Single DirectAccess Server with Advanced Settings (Implementar un servidor de DirectAccess único con configuración avanzada) para obtener instrucciones sobre cómo usar clientes de Windows 7 con DirectAccess.
Nota
A continuación se enumeran los únicos sistemas operativos que se pueden usar como clientes de DirectAccess: Windows 10 Enterprise, Windows 8.1 Enterprise, Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise y Windows 7 Ultimate.
Requisitos de servidores de infraestructura y administración:
- Si VPN está habilitada y no se ha configurado un grupo de direcciones IP estáticas, debe implementar un servidor DHCP para asignar direcciones IP automáticamente a los clientes de VPN.
Se requiere un servidor DNS que ejecute Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 SP2 o Windows Server 2008 R2.
Requisitos de software
A continuación se muestran los requisitos de este escenario:
Requisitos del servidor:
El servidor de acceso remoto debe ser un miembro del dominio. El servidor se puede implementar en el perímetro de la red interna o tras un firewall perimetral u otro dispositivo.
Si el servidor de acceso remoto se encuentra tras un firewall perimetral o un dispositivo NAT, el dispositivo debe estar configurado de modo que permita el tráfico desde el servidor de acceso remoto y hacia él.
La persona que implemente el acceso remoto en el servidor necesita permisos de administrador local en el servidor y permisos de usuario del dominio. Además, el administrador necesita permisos para los GPO que se usan en la implementación de DirectAccess. Se necesitan permisos para crear un filtro WMI en el controlador de dominio para aprovechar las ventajas de las características que restringen la implementación de DirectAccess solamente a los equipos móviles.
Requisitos de clientes de acceso remoto:
Los clientes de DirectAccess deben ser miembros del dominio. Los dominios que contienen clientes pueden pertenecer al mismo bosque que el servidor de acceso remoto, o tener una confianza bidireccional con el bosque del servidor de Acceso remoto.
Se requiere un grupo de seguridad de Active Directory para contener los equipos que se configurarán como clientes de DirectAccess. Si no se ha especificado un grupo de seguridad al establecer la configuración de cliente de DirectAccess, se aplica de forma predeterminada el GPO de cliente a todos los equipos portátiles en el grupo de seguridad Equipos del dominio. A continuación se enumeran los únicos sistemas operativos que se pueden usar como clientes de DirectAccess: Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise y Windows 7 Ultimate.
Vea también
En la siguiente tabla, se proporcionan los vínculos a recursos adicionales:
| Tipo de contenido | Referencias |
|---|---|
| Acceso remoto en TechNet | TechCenter de acceso remoto |
| Herramientas y configuración | Cmdlets de acceso remoto en PowerShelll |
| Recursos de la comunidad | Entradas wiki de DirectAccess |
| Tecnologías relacionadas | Funcionamiento de IPv6 |