Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Nota: Windows Server 2012 combina DirectAccess y el Servicio de enrutamiento y acceso remoto (RRAS) en un único rol de acceso remoto.
Este tema describe cómo configurar la infraestructura necesaria para una implementación avanzada de Acceso remoto usando un único servidor de Acceso remoto en un entorno mixto IPv4 e IPv6. Antes de comenzar los pasos de implementación, asegúrese de haber completado los pasos de planificación descritos en Paso 1: Planificar la infraestructura de Acceso remoto.
| Tarea | Descripción |
|---|---|
| Configurar los valores de red del servidor | Configura los valores de red del servidor en el servidor de acceso remoto. |
| Configurar el enrutamiento en la red corporativa | Configura el enrutamiento en la red corporativa para asegurarte de que el tráfico se enruta correctamente. |
| Configuración de firewalls | Configure los firewalls adicionales, si es necesario. |
| Configurar las entidades de certificación y los certificados | Configure una autoridad de certificación (CA), si es necesario, y cualquier otra plantilla de certificado requerida en la implementación. |
| Configurar el servidor DNS | Configura los valores de DNS para el servidor de acceso remoto. |
| Configurar Active Directory | Una los equipos cliente y el servidor de Acceso remoto al dominio de Active Directory. |
| Configurar GPO | Configure los objetos de directiva de grupo (GPO) para la implementación, si es necesario. |
| Configurar grupos de seguridad | Configura los grupos de seguridad que contendrán los equipos cliente de DirectAccess, así como otros grupos de seguridad necesarios para la implementación. |
| Configurar el servidor de ubicación de red | Configura el servidor de ubicación de red y, además, instala el certificado de sitio web del servidor de ubicación de red. |
Nota
Este tema incluye cmdlets de Windows PowerShell de ejemplo que puede usar para automatizar algunos de los procedimientos descritos. Para obtener más información, consulte Uso de Cmdlets.
Configurar los valores de red del servidor
Dependiendo de si decide colocar el servidor de Acceso remoto en el perímetro o detrás de un dispositivo de Traducción de direcciones de red (NAT), se requieren las siguientes configuraciones de dirección de interfaz de red para una implementación de un único servidor en un entorno con IPv4 e IPv6. Todas las direcciones IP se configuran mediante Cambiar configuración del adaptador en el Centro de redes y recursos compartidos de Windows.
Topología perimetral:
Requiere lo siguiente:
Dos direcciones IPv4 o IPv6 que sean estáticas, públicas, consecutivas y accesibles desde Internet.
Nota
Se requieren dos direcciones IPv4 públicas consecutivas para Teredo. Si no usas Teredo, puedes configurar una sola dirección IPv4 estática y pública.
Una sola dirección IPv4 o IPv6 estática interna.
Tras un dispositivo NAT (dos adaptadores de red):
Requiere una única dirección IPv4 o IPv6 estática orientada a la red interna.
Tras un dispositivo NAT (un adaptador de red):
Requiere una única dirección IPv4 o IPv6 estática.
Si el servidor de Acceso remoto tiene dos adaptadores de red (uno para el perfil de dominio y otro para un perfil público o privado), pero usted está usando una topología de adaptador de red único, la recomendación es la siguiente:
Asegúrese de que el segundo adaptador de red también está clasificado en el perfil de dominio.
Si el segundo adaptador de red no puede configurarse para el perfil de dominio por cualquier motivo, deberá aplicarse manualmente la directiva IPsec DirectAccess a todos los perfiles usando el siguiente comando de Windows PowerShell:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionLos nombres de las directivas IPsec que se deben usar en este comando son DirectAccess-DaServerToInfra y DirectAccess-DaServerToCorp.
Configurar el enrutamiento en la red corporativa
Configura el enrutamiento en la red corporativa de la siguiente manera:
Si se implementa IPv6 nativa en la organización, agrega una ruta para que los enrutadores de la red interna enruten el tráfico IPv6 a través del servidor de acceso remoto.
Configura manualmente las rutas de IPv4 e IPv6 de la organización en los servidores de acceso remoto. Agregue una ruta publicada para que todo el tráfico con un prefijo (/48) IPv6 se reenvíe a la red interna. Además, para el tráfico IPv4, agrega rutas explícitas para que el tráfico IPv4 se reenvíe a la red interna.
Configuración de firewalls
Dependiendo de la configuración de red que haya elegido, cuando use cortafuegos adicionales en su implementación, aplique las siguientes excepciones de cortafuegos para el tráfico de Acceso remoto:
Servidor de Acceso remoto en Internet IPv4
Aplique las siguientes excepciones de firewall orientadas a Internet para el tráfico de Acceso remoto cuando el servidor de Acceso remoto esté en Internet IPv4:
Tráfico teredo
El puerto de destino 3544 del protocolo de datagramas de usuario (UDP) de entrada y el puerto de origen UDP 3544 de salida. Aplique esta exención para ambas direcciones IPv4 públicas consecutivas orientadas a Internet en el servidor de Acceso remoto.
Tráfico 6to4
Protocolo IP 41 de entrada y salida. Aplique esta exención para ambas direcciones IPv4 públicas consecutivas orientadas a Internet en el servidor de Acceso remoto.
Tráfico IP-HTTPS
Puerto de destino 443 del Protocolo de control de transmisión (TCP) y puerto de origen 443 de salida TCP. Si el servidor de acceso remoto tiene un único adaptador de red y el servidor de ubicación de red se encuentra en el servidor de acceso remoto, el puerto TCP 62000 también es obligatorio. Aplique estas exenciones solo para la dirección a la que resuelve el nombre externo del servidor.
Nota
Esta exención se configura en el servidor de Acceso remoto. Todas las demás exenciones se configuran en el firewall perimetral.
Servidor de Acceso remoto en Internet IPv6
Aplique las siguientes excepciones de firewall orientadas a Internet para el tráfico de Acceso remoto cuando el servidor de Acceso remoto esté en Internet IPv6:
Protocolo IP 50
Puerto de destino UDP 500 de entrada y puerto de origen UDP 500 de salida.
Tráfico del Protocolo de mensajes de control de Internet para IPv6 (ICMPv6) de entrada y salida, solo para implementaciones Teredo.
Tráfico de acceso remoto
Aplique las siguientes excepciones de firewall de la red interna para el tráfico de Acceso remoto:
ISATAP: protocolo 41 de entrada y de salida
TCP/UDP para todo el tráfico IPv4/IPv6
ICMP para todo el tráfico IPv4/IPv6
Configurar las entidades de certificación y los certificados
Con Acceso remoto en Windows Server 2012 , puede elegir entre usar certificados para la autenticación del equipo o usar una autenticación Kerberos integrada que usa nombres de usuario y contraseñas. También debe configurar un certificado IP-HTTPS en el servidor de Acceso remoto. En esta sección se explica cómo configurar estos certificados.
Para obtener información sobre cómo establecer una infraestructura de clave pública (PKI), consulte Servicios de certificados de Active Directory.
Configurar la autenticación IPsec
Se necesita un certificado en el servidor de Acceso remoto y en todos los clientes de DirectAccess para que puedan usar la autenticación IPsec. El certificado debe ser emitido por una entidad de certificación (CA) interna. Los servidores de Acceso remoto y los clientes de DirectAccess deben confiar en la entidad de certificación que emite los certificados raíz e intermedios.
Para configurar la autenticación IPsec
En la CA interna, decida si va a usar la plantilla de certificado de entidad de certificación predeterminada o si va a crear una nueva plantilla de certificado como se describe en Creación de plantillas de certificado.
Nota
Si crea una plantilla nueva, debe configurarse para la autenticación de cliente.
Si es necesario, implemente la plantilla de certificado. Para obtener más información, consulte Implementación de plantillas de certificado.
Configure la plantilla para la inscripción automática si es necesario.
Configure la inscripción automática de certificados si es necesario. Para obtener más información, consulte Configurar inscripción automática de certificado.
Configurar las plantillas de certificado
Cuando use una CA interna para emitir certificados, debe configurar plantillas de certificado para el certificado IP-HTTPS y el certificado del sitio web del servidor de ubicación de red.
Para configurar una plantilla de certificado
En la CA interna, cree una plantilla de certificado del modo descrito en el tema sobre creación de plantillas de certificado.
Implemente la plantilla de certificado según se indica en el tema sobre implementación de plantillas de certificado.
Después de preparar las plantillas, puede usarlas para configurar los certificados. Consulte los procedimientos siguientes para más información:
Configurar el certificado IP-HTTPS
El acceso remoto requiere que un certificado IP-HTTPS autentique las conexiones IP-HTTPS con el servidor de acceso remoto. Hay tres opciones de certificado para el certificado IP-HTTPS:
Público
Suministrado por un tercero.
Privado
El certificado se basa en la plantilla de certificado que creó en Configuración de plantillas de certificado. Requiere un punto de distribución de la lista de revocación de certificados (CRL) que sea accesible desde un FQDN que se pueda resolver públicamente.
Autofirmado
Este certificado requiere un punto de distribución CRL que sea accesible desde un FQDN que se pueda resolver públicamente.
Nota
Los certificados autofirmados no pueden usarse en implementaciones multisitio.
Asegúrate de que el certificado de sitio web utilizado para la autenticación IP-HTTPS reúna estos requisitos:
El nombre del firmante del certificado debe ser el nombre de dominio completo (FQDN) de la URL IP-HTTPS (la dirección ConnectTo) que se puede resolver externamente y que se usa solo para las conexiones IP-HTTPS del servidor de Acceso remoto.
El nombre común del certificado debe coincidir con el nombre del sitio IP-HTTPS.
En el campo Asunto, especifica una dirección IPv4 del adaptador orientado externamente del servidor de Acceso remoto, o bien el FQDN de la dirección URL IP-HTTPS.
En el campo Uso mejorado de claves, use el identificador de objeto (OID) de Autenticación de servidor.
En el campo Puntos de distribución CRL, especifique un punto de distribución CRL al que puedan obtener acceso los clientes de DirectAccess que estén conectados a Internet.
El certificado IP-HTTPS debe tener una clave privada.
El certificado IP-HTTPS se debe importar directamente al almacén personal.
Los certificados IP-HTTPS pueden contener caracteres comodín en el nombre.
Cómo instalar el certificado IP-HTTPS desde una CA interna
En el servidor de Acceso remoto: en la pantalla Inicio, escriba mmc.exe y pulse Entrar.
En el menú Archivo de la consola MMC, haga clic en Agregar o quitar complemento.
En el cuadro de diálogo Agregar o quitar complementos, haz clic en Certificados, en Agregar, Cuenta de equipo, Siguiente, Equipo local, en Finalizar y, por último, en Aceptar.
En el árbol de consola del complemento Certificados, abre Certificados (equipo local)\Personal\Certificados.
Haga clic con el botón derecho del ratón en Certificados, señale Todas las tareas, haga clic en Solicitar nuevo certificado y, después, haga clic en Siguiente dos veces...
En la página Solicitar certificados, seleccione la casilla de verificación de la plantilla de certificado que creó en Configuración de plantillas de certificado y, si es necesario, haga clic en Se necesita más información para inscribirse en este certificado.
En el cuadro de diálogo Propiedades de certificado, en la pestaña Sujeto, en el área Nombre de sujeto, en Tipo, selecciona Nombre común.
En Valor, especifique la dirección IPv4 del adaptador externo del servidor de Acceso remoto o el FQDN de la URL IP-HTTPS y, después, haga clic en Añadir.
En la zona Nombre alternativo, en Tipo, selecciona DNS.
En Valor, especifique la dirección IPv4 del adaptador externo del servidor de Acceso remoto o el FQDN de la URL IP-HTTPS y, después, haga clic en Añadir.
En la pestaña General, en Nombre descriptivo, puedes escribir un nombre que te ayude a identificar el certificado.
En la pestaña Extensiones, junto a Uso mejorado de clave, haz clic en la flecha y asegúrate de que Autenticación de servidor se encuentra en la lista de Opciones seleccionadas.
Haga clic en Aceptar, haga clic en Inscribir y, a continuación, haga clic en Finalizar.
En el panel de detalles del complemento Certificados, compruebe que el nuevo certificado se ha inscrito con la finalidad prevista de autenticación del servidor.
Configurar el servidor DNS
Debes configurar manualmente una entrada DNS para el sitio web del servidor de ubicación de red para la red interna de tu implementación.
Para agregar el servidor de ubicación de red y el sondeo web
En el servidor DNS de la red interna: En la pantalla Inicio, escriba dnsmgmt.msc y pulse ENTRAR.
En el panel izquierdo de la consola del Administrador del DNS, expande la zona de búsqueda directa de tu dominio. Haga clic con el botón derecho en el dominio y haga clic en Nuevo host (A o AAAA).
En el cuadro de diálogo Nuevo host, en la casilla Nombre (usa el nombre del dominio principal si está en blanco), escriba el nombre DNS del sitio web del servidor de ubicación de red (es el nombre que usan los clientes de DirectAccess para conectarse al servidor de ubicación de red). En el cuadro Dirección IP, escriba la dirección IPv4 del servidor de ubicación de la red, haga clic en Agregar host y, después, haga clic en Aceptar.
En el cuadro de diálogo Nuevo host, en el cuadro Nombre (si se deja en blanco, se usa el nombre del dominio primario), escriba el nombre DNS del sondeo web (el nombre del sondeo web predeterminado es directaccess-webprobehost). En el cuadro Dirección IP, escribe la dirección IPv4 del sondeo web y haz clic en Agregar host.
Repite este proceso para directaccess-corpconnectivityhost y todos los comprobadores de conectividad creados manualmente. En el cuadro de diálogo DNS, haga clic en Aceptar.
Haga clic en Done(Listo).
Comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
También debes configurar entradas DNS para los siguiente:
Servidor IP-HTTPS
Los clientes de DirectAccess han de ser capaces de resolver el nombre DNS del servidor de Acceso remoto desde Internet.
Comprobación de la revocación de CRL
DirectAccess usa la comprobación de revocación de certificados para la conexión IP-HTTPS entre los clientes de DirectAccess y el servidor de Acceso remoto, y para la conexión basada en HTTPS entre el cliente de DirectAccess y el servidor de ubicación de red. En ambos casos, los clientes de DirectAccess deben ser capaces de resolver y acceder a la ubicación del punto de distribución de CRL.
ISATAP
El protocolo ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) usa túneles para permitir a los clientes de DirectAccess conectarse al servidor de Acceso remoto a través de Internet IPv4, ya que encapsula los paquetes IPv6 en un encabezado IPv4. Acceso remoto lo usa para proporcionar conectividad IPv6 a hosts ISATAP a través de una intranet. En un entorno de red IPv6 no nativo, el servidor de Acceso remoto se configura a sí mismo automáticamente como enrutador ISATAP. La resolución debe ser compatible con el nombre de ISATAP.
Configurar Active Directory
El servidor de acceso remoto y todos los equipos cliente de DirectAccess deben estar unidos a un dominio de Active Directory. Los equipos cliente de DirectAccess deben pertenecer a uno de los siguientes tipos de dominio:
Dominios que pertenecen al mismo bosque que el servidor de acceso remoto.
Dominios que pertenecen a bosques con confianza bidireccional con el bosque del servidor de acceso remoto.
Dominios con confianza de dominio bidireccional con el dominio del servidor de acceso remoto.
Para unir el servidor de acceso remoto a un dominio
En el Administrador del servidor, haga clic en Servidor local. En el panel de detalles, haga clic en el vínculo que aparece junto al Nombre de equipo.
En el cuadro de diálogo Propiedades del sistema, haga clic en la ficha Nombre del equipo y, a continuación, en Cambiar.
En el cuadro Nombre de equipo, escriba el nombre del equipo si también está cambiando el nombre del equipo al unir el servidor al dominio. En Miembro de, haga clic en Dominio, escriba el nombre del dominio al que desea unir el servidor (por ejemplo, corp.contoso.com) y haga clic en Aceptar.
Cuando se le pida un nombre de usuario y una contraseña, escriba el nombre de usuario y la contraseña de un usuario con permisos para unir equipos al dominio y, después, haga clic en Aceptar.
Cuando vea un cuadro de diálogo en el que se le da la bienvenida al dominio, haga clic en Aceptar.
Cuando se le indique que debe reiniciar el equipo, haga clic en Aceptar.
En el cuadro de diálogo Propiedades del sistema, haga clic en Cerrar.
Cuando se le pida que reinicie el equipo, haga clic en Reiniciar ahora.
Cómo unir equipos cliente al dominio
En la pantalla Inicio, escriba explorer.exe y presione ENTRAR.
Haz clic con el botón secundario en el icono del equipo y, a continuación, haz clic en Propiedades.
En la página Sistema, haz clic en Configuración avanzada del sistema.
En el cuadro de diálogo Propiedades del sistema, en la pestaña Nombre de equipo, haz clic en Cambiar.
En el cuadro Nombre de equipo, escriba el nombre del equipo si también está cambiando el nombre del equipo al unir el servidor al dominio. En Miembro de, haz clic en Dominio y, después, escribe el nombre del dominio al que quieras que se una el servidor (por ejemplo, corp.contoso.com) y haz clic en Aceptar.
Cuando se le pida un nombre de usuario y una contraseña, escriba el nombre de usuario y la contraseña de un usuario con permisos para unir equipos al dominio y, después, haga clic en Aceptar.
Cuando vea un cuadro de diálogo en el que se le da la bienvenida al dominio, haga clic en Aceptar.
Cuando se le indique que debe reiniciar el equipo, haga clic en Aceptar.
En el cuadro de diálogo Propiedades del sistema, haga clic en Cerrar.
Haz clic en Reiniciar ahora cuando se te solicite.
Comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
Nota
Debe suministrar credenciales de dominio tras escribir el comando siguiente.
Add-Computer -DomainName <domain_name>
Restart-Computer
Configurar GPO
Para implementar Acceso remoto, necesita un mínimo de dos objetos de directiva de grupo. Un objeto de directiva de grupo contiene la configuración para el servidor de Acceso remoto y otro contiene la configuración para los equipos cliente de DirectAccess. Al configurar el acceso remoto, el asistente crea automáticamente el objeto de directiva de grupo necesario. Sin embargo, si su organización impone una convención de nomenclatura o usted no dispone de los permisos necesarios para crear o editar objetos de directiva de grupo, deberá crearlos antes de configurar el Acceso remoto.
Para crear objetos de directiva de grupo, consulte Crear y editar un objeto de directiva de grupo.
Un administrador puede vincular manualmente los objetos de directiva de grupo de DirectAccess a una unidad organizativa (OU). Tenga en cuenta lo siguiente.
Vincule los GPO creados a las unidades organizativas respectivas antes de configurar DirectAccess.
Al configurar DirectAccess, especifica un grupo de seguridad para los equipos cliente.
Los GPO se configuran automáticamente, independientemente de si el administrador tiene permisos para vincular los GPO al dominio.
Si los GPO ya están vinculados a una OU, los vínculos no se eliminarán, pero no se vincularán al dominio.
Para un GPO de servidor, la unidad organizativa debe contener el objeto de equipo del servidor, o el GPO se vinculará a la raíz del dominio.
Si la unidad organizativa no se ha vinculado anteriormente ejecutando el Asistente para instalación de DirectAccess, una vez completada la configuración, el administrador puede vincular los GPO de DirectAccess a las OU necesarias y quitar el vínculo al dominio.
Para obtener más información, consulte Vincular un objeto de directiva de grupo.
Nota
Si un objeto de directiva de grupo se creó manualmente, es posible que durante la configuración de DirectAccess el objeto de directiva de grupo no esté disponible. Es posible que el objeto de directiva de grupo no se haya replicado en el controlador de dominio más cercano al equipo de administración. El administrador puede esperar a que la replicación finalice, o bien forzarla.
Configurar grupos de seguridad
La configuración de DirectAccess contenida en los objetos de directiva de grupo del equipo cliente se aplica solo a los equipos que son miembros de los grupos de seguridad que especifique al configurar el Acceso remoto.
Cómo crear un grupo de seguridad para clientes de DirectAccess
En la pantalla Inicio, escriba dsa.msc y, después, presione ENTRAR.
En la consola Usuarios y equipos de Active Directory, en el panel izquierdo, expande el dominio que contendrá el grupo de seguridad, haz clic con el botón secundario en Usuarios, elige Nuevo y haz clic en Grupo.
En el cuadro de diálogo Nuevo objeto - Grupo, en Nombre de grupo, escribe el nombre del grupo de seguridad.
En Ámbito del grupo, haz clic en Global y, en Tipo de grupo, haz clic en Seguridad y, después, en Aceptar.
Haga doble clic en el grupo de seguridad de equipos cliente de DirectAccess y, en el cuadro de diálogo Propiedades, haga clic en la pestaña Miembros.
En la pestaña Miembros, haga clic en Agregar.
En el cuadro de diálogo Seleccionar usuarios, contactos, equipos o cuentas de servicio, selecciona los equipos cliente que quieras habilitar para DirectAccess y, después, haz clic en Aceptar.
Comandos equivalentes de Windows PowerShell
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>
Configurar el servidor de ubicación de red
El servidor de ubicación en la red debe estar en un servidor con alta disponibilidad y necesita un certificado SSL (Capa de sockets seguros) válido en el que confíen los clientes de DirectAccess.
Nota
Si el sitio web del servidor de ubicación de red está ubicado en el servidor de acceso remoto, se creará automáticamente un sitio web al configurar el acceso remoto y estará vinculado al certificado de servidor que proporcione.
Hay dos opciones de certificados para el certificado de servidor de ubicación de red:
Privado
Nota
El certificado se basa en la plantilla de certificado que creó en Configuración de plantillas de certificado.
Autofirmado
Nota
Los certificados autofirmados no pueden usarse en implementaciones multisitio.
Tanto si usa un certificado privado como un certificado autofirmado, requieren lo siguiente:
Un certificado de sitio web que se use para el servidor de ubicación de red. El firmante del certificado debe ser la dirección URL del servidor de ubicación de red.
Un punto de distribución de CRL de alta disponibilidad en la red interna.
Cómo instalar el certificado de servidor de ubicación de red desde una CA interna
En el servidor que alojará el sitio web del servidor de ubicación de red: En la pantalla Inicio, escribammc.exe y pulse ENTRAR.
En el menú Archivo de la consola MMC, haga clic en Agregar o quitar complemento.
En el cuadro de diálogo Agregar o quitar complementos, haz clic en Certificados, en Agregar, Cuenta de equipo, Siguiente, Equipo local, en Finalizar y, por último, en Aceptar.
En el árbol de consola del complemento Certificados, abre Certificados (equipo local)\Personal\Certificados.
Haga clic con el botón derecho del ratón en Certificados, señale Todas las tareas, haga clic en Solicitar nuevo certificado y, después, haga clic en Siguiente dos veces.
En la página Solicitar certificados, seleccione la casilla de verificación de la plantilla de certificado que creó en Configuración de plantillas de certificado y, si es necesario, haga clic en Se necesita más información para inscribirse en este certificado.
En el cuadro de diálogo Propiedades de certificado, en la pestaña Sujeto, en el área Nombre de sujeto, en Tipo, selecciona Nombre común.
En Valor, escribe el FQDN del sitio web del servidor de ubicación de red y, a continuación, haz clic en Agregar.
En la zona Nombre alternativo, en Tipo, selecciona DNS.
En Valor, escribe el FQDN del sitio web del servidor de ubicación de red y, a continuación, haz clic en Agregar.
En la pestaña General, en Nombre descriptivo, puedes escribir un nombre que te ayude a identificar el certificado.
Haga clic en Aceptar, haga clic en Inscribir y, a continuación, haga clic en Finalizar.
En el panel de detalles del complemento Certificados, compruebe que el nuevo certificado se ha inscrito con la finalidad prevista de autenticación del servidor.
Para configurar el servidor de ubicación de red
Instala un sitio web en un servidor de alta disponibilidad. No es necesario que el sitio web tenga contenidos; pero, cuando lo pruebes, puedes definir una página predeterminada donde se muestre un mensaje a los clientes cuando se conecten.
Este paso no es necesario si el sitio web del servidor de ubicación de red está hospedado en el servidor de Acceso remoto.
Enlaza un certificado de servidor HTTPS al sitio web. El nombre común del certificado debe coincidir con el nombre del sitio del servidor de ubicación de red. Comprueba que los clientes de DirectAccess confíen en la CA emisora.
Este paso no es necesario si el sitio web del servidor de ubicación de red está hospedado en el servidor de Acceso remoto.
Configure un sitio de CRL que tenga alta disponibilidad en la red interna.
Puedes acceder a los puntos de distribución CRL mediante:
Servidores web que usan una URL basada en HTTP, como:
https://crl.corp.contoso.com/crld/corp-APP1-CA.crlServidores de archivos a los que se accede mediante una ruta de acceso UNC (convención de nomenclatura universal) como \\crl.corp.contoso.com\crld\corp-APP1-CA.crl
Si el punto de distribución CRL de la intranet solo es accesible a través de IPv6, deberá configurar una regla de seguridad de conexión de Firewall de Windows con seguridad avanzada. Esto exime la protección IPsec del espacio de direcciones IPv6 de la intranet a las direcciones IPv6 de los puntos de distribución de CRL.
Asegúrese de que los clientes de DirectAccess en la red interna puedan resolver el nombre del servidor de ubicación de red y que los clientes de DirectAccess en Internet no puedan resolver el nombre.