Paso 1: Configurar la infraestructura de DirectAccess

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En este tema se describe cómo configurar la infraestructura necesaria para habilitar DirectAccess en una implementación de VPN existente. Antes de empezar con los pasos de implementación, asegúrese de haber completado los pasos de planificación descritos en el Paso 1: Planificar la infraestructura de DirectAccess.

Tarea Descripción
Configurar los valores de red del servidor Configura los valores de red del servidor en el servidor de acceso remoto.
Configurar el enrutamiento en la red corporativa Configura el enrutamiento en la red corporativa para asegurarte de que el tráfico se enruta correctamente.
Configuración de firewalls Configure los firewalls adicionales, si es necesario.
Configurar las entidades de certificación y los certificados El asistente para habilitar DirectAccess configura un proxy Kerberos integrado que autentica utilizando nombres de usuario y contraseñas. También configura un certificado IP-HTTPS en el servidor de acceso remoto.
Configurar el servidor DNS Configura los valores de DNS para el servidor de acceso remoto.
Configurar Active Directory Une los equipos cliente al dominio de Active Directory.
Configurar GPO Configura los GPO para la implementación, si es necesario.
Configurar grupos de seguridad Configura los grupos de seguridad que contendrán equipos cliente de DirectAccess, y cualquier otro grupo de seguridad necesario en la implementación.
Configurar el servidor de ubicación de red El asistente para habilitar DirectAccess configura el servidor de ubicación de red en el servidor de DirectAccess.

Configurar los valores de red del servidor

Los siguientes valores de la interfaz de red son necesarios para una implementación de un solo servidor en un entorno con IPv4 e IPv6. Todas las direcciones IP se configuran mediante Cambiar configuración del adaptador en el Centro de redes y recursos compartidos de Windows.

  • Topología perimetral

    • Una dirección IPv4 o IPv6 estática pública con acceso a Internet.

    • Una sola dirección IPv4 o IPv6 estática interna.

  • Detrás de un dispositivo NAT (dos adaptadores de red)

    • Una sola dirección IPv4 o IPv6 estática interna con acceso a la red.

  • Detrás de un dispositivo NAT (un adaptador de red)

    • Una sola dirección IPv4 o IPv6 estática.

Nota

En el caso de que el servidor de acceso remoto tenga dos adaptadores de red (uno clasificado en el perfil de dominio y el otro en un perfil público/privado) pero se vaya a utilizar una sola topología NIC, se aconseja lo siguiente:

  1. Asegúrate de que el segundo NIC también está clasificado en el perfil de dominio (recomendado).

  2. Si el segundo NIC no puede configurarse para el perfil de dominio por alguna razón, el ámbito de la directiva IPsec de DirectAccess debe ampliarse manualmente a todos los perfiles mediante los siguientes comandos de Windows PowerShell:

    $gposession = Open-NetGPO -PolicyStore <Name of the server GPO>
Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any
Save-NetGPO -GPOSession $gposession

Configurar el enrutamiento en la red corporativa

Configura el enrutamiento en la red corporativa de la siguiente manera:

  • Si se implementa IPv6 nativa en la organización, agrega una ruta para que los enrutadores de la red interna enruten el tráfico IPv6 a través del servidor de acceso remoto.

  • Configura manualmente las rutas de IPv4 e IPv6 de la organización en los servidores de acceso remoto. Agrega una ruta publicada para que todo el tráfico con un prefijo IPv6 (/48) de organización se reenvíe a la red interna. Además, para el tráfico IPv4, agrega rutas explícitas para que el tráfico IPv4 se reenvíe a la red interna.

Configuración de firewalls

Si usas firewalls adicionales en la implementación, aplica las siguientes excepciones del firewall con conexión a Internet para el tráfico de acceso remoto cuando el servidor de acceso remoto se encuentra en Internet IPv4:

  • Tráfico 6to4: protocolo IP 41 de entrada y de salida.

  • IP-HTTPS: puerto de destino 443 del protocolo de control de transmisión (TCP) y puerto de origen TCP 443 de salida. Si el servidor de acceso remoto tiene un único adaptador de red y el servidor de ubicación de red se encuentra en el servidor de acceso remoto, el puerto TCP 62000 también es obligatorio.

Si usas firewalls adicionales, aplica las siguientes excepciones del firewall con conexión a Internet para el tráfico de acceso remoto cuando el servidor de acceso remoto se encuentra en Internet IPv6:

  • Protocolo IP 50

  • Puerto de destino UDP 500 de entrada y puerto de origen UDP 500 de salida.

Si usa firewalls adicionales, aplique las siguientes excepciones de firewall de la red interna para el tráfico de acceso remoto:

  • ISATAP: protocolo 41 de entrada y de salida

  • TCP/UDP para todo el tráfico IPv4/IPv6

Configurar las entidades de certificación y los certificados

El asistente para habilitar DirectAccess configura un proxy Kerberos integrado que autentica utilizando nombres de usuario y contraseñas. También configura un certificado IP-HTTPS en el servidor de acceso remoto.

Configurar las plantillas de certificado

Cuando uses una CA interna para emitir certificados, debes configurar una plantilla de certificado para el certificado IP-HTTPS y el certificado del sitio web del servidor de ubicación de red.

Para configurar una plantilla de certificado

  1. En la CA interna, cree una plantilla de certificado del modo descrito en el tema sobre creación de plantillas de certificado.

  2. Implemente la plantilla de certificado según se indica en el tema sobre implementación de plantillas de certificado.

Configurar el certificado IP-HTTPS

El acceso remoto requiere que un certificado IP-HTTPS autentique las conexiones IP-HTTPS con el servidor de acceso remoto. Hay tres opciones de certificado para el certificado IP-HTTPS:

  • Público: suministrado por terceros.

    Un certificado utilizado para la autenticación IP-HTTPS. Si el nombre del firmante del certificado no es un carácter comodín, debe ser la dirección URL FQDN que pueda resolverse externamente utilizada solo para conexiones IP-HTTPS al servidor de acceso remoto.

  • Privado: se necesita lo siguiente, si aún no existe:

    • Un certificado de sitio web utilizado para la autenticación IP-HTTPS. El firmante del certificado debe ser un nombre de dominio completo (FQDN) que pueda resolverse externamente y accesible desde Internet.

    • Un punto de distribución de lista de revocación de certificados (CRL) que sea accesible desde un FQDN que pueda resolverse públicamente.

  • Autofirmado: se necesita lo siguiente, si aún no existe:

    Nota

    Los certificados autofirmados no pueden usarse en implementaciones multisitio.

    • Un certificado de sitio web utilizado para la autenticación IP-HTTPS. El firmante del certificado debe ser un FQDN que pueda resolverse externamente y accesible desde Internet.

    • Un punto de distribución de CRL accesible desde un nombre de dominio completo (FQDN) que pueda resolverse públicamente.

Asegúrate de que el certificado de sitio web utilizado para la autenticación IP-HTTPS reúna estos requisitos:

  • El nombre común del certificado debe coincidir con el nombre del sitio IP-HTTPS.

  • En el campo Asunto, especifica una dirección IPv4 del adaptador orientado externamente del servidor de acceso remoto, o bien el FQDN de la dirección URL IP-HTTPS.

  • En el campo Uso mejorado de claves, use el identificador de objeto (OID) Autenticación de servidor.

  • En el campo Puntos de distribución CRL, especifique un punto de distribución CRL al que puedan obtener acceso los clientes de DirectAccess que estén conectados a Internet.

  • El certificado IP-HTTPS debe tener una clave privada.

  • El certificado IP-HTTPS se debe importar directamente al almacén personal.

  • Los nombres de certificado IP-HTTPS pueden contener comodines.

Cómo instalar el certificado IP-HTTPS desde una CA interna

  1. En el servidor de Acceso remoto: en la pantalla Inicio, escriba mmc.exe y pulse Entrar.

  2. En el menú Archivo de la consola MMC, haga clic en Agregar o quitar complemento.

  3. En el cuadro de diálogo Agregar o quitar complementos, haz clic en Certificados, Agregar, Cuenta de equipo, Siguiente, Equipo local, Finalizar y Aceptar.

  4. En el árbol de consola del complemento Certificados, abre Certificados (equipo local)\Personal\Certificados.

  5. Haga clic con el botón secundario en Certificados, elija Todas las tareas y, a continuación, haga clic en Solicitar un nuevo certificado.

  6. Haga clic en Siguiente dos veces.

  7. En la página Solicitar certificados, seleccione la casilla de la plantilla de certificado y, si es necesario, haga clic en Se necesita más información para inscribir este certificado.

  8. En el cuadro de diálogo Propiedades de certificado, en la pestaña Firmante, en la zona Nombre del firmante, en Tipo, selecciona Nombre común.

  9. En Valor, especifica una dirección IPv4 del adaptador orientado externamente del servidor de acceso remoto, o bien el FQDN de la dirección URL IP-HTTPS, y haz clic en Agregar.

  10. En la zona Nombre alternativo, en Tipo, selecciona DNS.

  11. En Valor, especifica una dirección IPv4 del adaptador orientado externamente del servidor de acceso remoto, o bien el FQDN de la dirección URL IP-HTTPS, y haz clic en Agregar.

  12. En la pestaña General, en Nombre descriptivo, puedes escribir un nombre que te ayude a identificar el certificado.

  13. En la pestaña Extensiones, junto a Uso mejorado de clave, haz clic en la flecha y asegúrate de que Autenticación de servidor se encuentra en la lista de Opciones seleccionadas.

  14. Haga clic en Aceptar, haga clic en Inscribir y, a continuación, haga clic en Finalizar.

  15. En el panel de detalles del complemento Certificados, comprueba que se inscribió un nuevo certificado con el valor Propósitos planteados de autenticación del servidor.

Configurar el servidor DNS

Debes configurar manualmente una entrada DNS para el sitio web del servidor de ubicación de red para la red interna de tu implementación.

Cómo crear los registros del servidor de ubicación de red y del DNS de sondeo web

  1. En el servidor DNS de red interna: en la pantalla Inicio, escriba** dnsmgmt.msc**, y, después, pulse Enter.

  2. En el panel izquierdo de la consola del Administrador del DNS, expande la zona de búsqueda directa de tu dominio. Haz clic con el botón secundario en el dominio y haz clic en Host nuevo (A o AAAA).

  3. En el cuadro de diálogo Host nuevo, en el cuadro Nombre (si se deja en blanco, se usa el nombre del dominio primario), escribe el nombre DNS del sitio web del servidor de ubicación de red (es el nombre que los clientes de DirectAccess usan para conectarse al servidor de ubicación de red). En el cuadro Dirección IP, escribe la dirección IPv4 del servidor de ubicación de red y haz clic en Agregar host. En el cuadro de diálogo DNS, haz clic en Aceptar.

  4. En el cuadro de diálogo Host nuevo, en el cuadro Nombre (si se deja en blanco, se usa el nombre del dominio primario), escribe el nombre DNS del sondeo web (el nombre del sondeo web predeterminado es directaccess-webprobehost). En el cuadro Dirección IP, escribe la dirección IPv4 del sondeo web y haz clic en Agregar host. Repite este proceso para directaccess-corpconnectivityhost y todos los comprobadores de conectividad creados manualmente. En el cuadro de diálogo DNS, haz clic en Aceptar.

  5. Haga clic en Done(Listo).

Windows PowerShellComandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

También debes configurar entradas DNS para los siguiente:

  • Servidor IP-HTTPS: los clientes de DirectAccess deben ser capaces de resolver el nombre DNS del servidor de Acceso remoto desde Internet.

  • Comprobación de revocación de CRL: DirectAccess usa la comprobación de revocación de certificados para la conexión IP-HTTPS entre clientes de DirectAccess y el servidor de acceso remoto, y para la conexión basada en HTTPS entre el cliente de DirectAccess y el servidor de ubicación de red. En ambos casos, los clientes de DirectAccess deben ser capaces de resolver y acceder a la ubicación del punto de distribución de CRL.

Configurar Active Directory

El servidor de acceso remoto y todos los equipos cliente de DirectAccess deben estar unidos a un dominio de Active Directory. Los equipos cliente de DirectAccess deben pertenecer a uno de los siguientes tipos de dominio:

  • Dominios que pertenecen al mismo bosque que el servidor de acceso remoto.

  • Dominios que pertenecen a bosques con confianza bidireccional con el bosque del servidor de acceso remoto.

  • Dominios con confianza de dominio bidireccional con el dominio del servidor de acceso remoto.

Cómo unir equipos cliente al dominio

  1. En la pantalla Inicio, escriba explorer.exe y pulse Enter.

  2. Haz clic con el botón secundario en el icono del equipo y, a continuación, haz clic en Propiedades.

  3. En la página Sistema, haz clic en Configuración avanzada del sistema.

  4. En el cuadro de diálogo Propiedades del sistema, en la pestaña Nombre de equipo haz clic en Cambiar.

  5. En Nombre de equipo, escribe el nombre del equipo si también estás cambiando el nombre del equipo al unir el servidor al dominio. En Miembro de, haga clic en Dominio y, a continuación, escriba el nombre del dominio al que desea unir el servidor, por ejemplo corp.contoso.com, y haga clic en Aceptar.

  6. Cuando se le solicite un nombre de usuario y una contraseña, escriba el nombre de usuario y la contraseña de un usuario con derechos para unir equipos al dominio y, a continuación, haga clic en Aceptar.

  7. Cuando vea un cuadro de diálogo en el que se le da la bienvenida al dominio, haga clic en Aceptar.

  8. Cuando se le indique que debe reiniciar el equipo, haga clic en Aceptar.

  9. En el cuadro de diálogo Propiedades del sistema, haga clic en Cerrar. Haz clic en Reiniciar ahora cuando se te solicite.

Windows PowerShellComandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

Tenga en cuenta que debe proporcionar credenciales de dominio después de introducir el comando Add-Computer a continuación.

Add-Computer -DomainName <domain_name>
Restart-Computer

Configurar GPO

Para implementar el acceso remoto, necesita un mínimo de dos Objetos de directiva de grupo: uno contiene la configuración del servidor de acceso remoto y el otro, la configuración de los equipos cliente de DirectAccess. Cuando configure el acceso remoto, el asistente creará automáticamente los Objetos de directiva de grupo. Sin embargo, si su organización impone una convención de nomenclatura o usted no dispone de los permisos necesarios para crear o editar objetos de directiva de grupo, deberá crearlos antes de configurar el Acceso remoto.

Para crear objetos de directiva de grupo, consulte Crear y editar un objeto de directiva de grupo.

Importante

El administrador puede vincular manualmente los Objetos de directiva de grupo de DirectAccess a una unidad organizativa siguiendo estos pasos:

  1. Antes de configurar DirectAccess, vincula los GPO creados a las unidades organizativas respectivas.
  2. Configura DirectAccess, especificando un grupo de seguridad para los equipos cliente.
  3. El administrador puede, o no, tener permisos para vincular los Objetos de directiva de grupo al dominio. En cualquier caso, los objetos de directiva de grupo se configurarán automáticamente. Si los GPO ya están vinculados a una unidad organizativa, los vínculos no se eliminarán y los GPO no se vincularán al dominio. Para un GPO de servidor, la unidad organizativa debe contener el objeto de equipo del servidor, o el GPO se vinculará a la raíz del dominio.
  4. Si no se ha realizado la vinculación a la OU antes de ejecutar el asistente de DirectAccess, una vez finalizada la configuración, el administrador del dominio puede vincular los Objetos de directiva de grupo de DirectAccess a las unidades organizativas necesarias. El vínculo al dominio puede eliminarse. Los pasos para vincular un Objeto de directiva de grupo a una unidad organizativa se encuentran aquí.

Nota

Si un Objeto de directiva de grupo se creó manualmente, es posible que durante la configuración de DirectAccess el objeto de directiva de grupo no esté disponible. El Objeto de directiva de grupo podría no haberse replicado en el controlador de dominio más próximo al equipo de administración. En este caso, el administrador puede esperar a que la replicación finalice, o bien forzarla.

Configurar grupos de seguridad

La configuración de DirectAccess contenida en el Objeto de directiva de grupo solo se aplica a los equipos que son miembros de los grupos de seguridad que se especifiquen cuando se configure el acceso remoto. Además, si usas grupos de seguridad para administrar tus servidores de aplicación, debes crear un grupo de seguridad para dichos servidores.

Cómo crear un grupo de seguridad para clientes de DirectAccess

  1. En la pantalla Inicio, escriba dsa.msc y, después, presione ENTRAR. En la consola Usuarios y equipos de Active Directory, en el panel izquierdo, expande el dominio que contendrá el grupo de seguridad, haz clic con el botón secundario en Usuarios, elige Nuevo y haz clic en Grupo.

  2. En el cuadro de diálogo Nuevo objeto: Grupo, en Nombre de grupo, escribe el nombre de grupo de seguridad.

  3. En Ámbito de grupo haz clic en Global, en Tipo de grupo haz clic en Seguridad y, a continuación, haz clic en Aceptar.

  4. Haz doble clic en el grupo de seguridad de equipos cliente de DirectAccess y, en el cuadro de diálogo de propiedades, haz clic en la pestaña Miembros.

  5. En la pestaña Miembros, haga clic en Agregar.

  6. En el cuadro de diálogo Seleccionar Usuarios, Contactos, Equipos o Cuentas de servicio, selecciona los equipos cliente que deseas habilitar para DirectAccess y haz clic en Aceptar.

Windows PowerShellComandos de Windows PowerShell equivalentes

Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>

Configurar el servidor de ubicación de red

El servidor de ubicación de red debe encontrarse en un servidor con alta disponibilidad y un certificado SSL válido de confianza para los clientes de DirectAccess. Hay dos opciones de certificados para el certificado de servidor de ubicación de red:

  • Privado: se necesita lo siguiente, si aún no existe:

    • Un certificado de sitio web usado para el servidor de ubicación de red. El firmante del certificado debe ser la dirección URL del servidor de ubicación de red.

    • Un punto de distribución de CRL altamente disponible desde la red interna.

  • Autofirmado: se necesita lo siguiente, si aún no existe:

    Nota

    Los certificados autofirmados no pueden usarse en implementaciones multisitio.

    • Un certificado de sitio web usado para el servidor de ubicación de red. El firmante del certificado debe ser la dirección URL del servidor de ubicación de red.

Nota

Si el sitio web del servidor de ubicación de red está ubicado en el servidor de acceso remoto, se creará automáticamente un sitio web al configurar el acceso remoto enlazado al certificado de servidor que proporciones.

Cómo instalar el certificado de servidor de ubicación de red desde una CA interna

  1. En el servidor que alojará el sitio web del servidor de ubicación de red: En la pantalla Inicio, escribammc.exe y pulse ENTRAR.

  2. En el menú Archivo de la consola MMC, haga clic en Agregar o quitar complemento.

  3. En el cuadro de diálogo Agregar o quitar complementos, haz clic en Certificados, Agregar, Cuenta de equipo, Siguiente, Equipo local, Finalizar y Aceptar.

  4. En el árbol de consola del complemento Certificados, abre Certificados (equipo local)\Personal\Certificados.

  5. Haga clic con el botón secundario en Certificados, elija Todas las tareas y, a continuación, haga clic en Solicitar un nuevo certificado.

  6. Haga clic en Siguiente dos veces.

  7. En la página Solicitar certificados, seleccione la casilla de la plantilla de certificado y, si es necesario, haga clic en Se necesita más información para inscribir este certificado.

  8. En el cuadro de diálogo Propiedades de certificado, en la pestaña Firmante, en la zona Nombre del firmante, en Tipo, selecciona Nombre común.

  9. En Valor, escribe el FQDN del sitio web del servidor de ubicación de red y, a continuación, haz clic en Agregar.

  10. En la zona Nombre alternativo, en Tipo, selecciona DNS.

  11. En Valor, escribe el FQDN del sitio web del servidor de ubicación de red y, a continuación, haz clic en Agregar.

  12. En la pestaña General, en Nombre descriptivo, puedes escribir un nombre que te ayude a identificar el certificado.

  13. Haga clic en Aceptar, haga clic en Inscribir y, a continuación, haga clic en Finalizar.

  14. En el panel de detalles del complemento Certificados, comprueba que se inscribió un nuevo certificado con el valor Propósitos planteados de autenticación del servidor.