Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este tema se describe cómo configurar las opciones de cliente y servidor necesarias para la administración remota de clientes de DirectAccess. Antes de empezar con los pasos de implementación, asegúrese de haber completado los pasos de planificación descritos en el Paso 2: Planear la implementación de acceso remoto.
| Tarea | Descripción |
|---|---|
| Instalar el rol de acceso remoto | Instalar el rol de acceso remoto. |
| Configurar el tipo de implementación | Configura el tipo de implementación como DirectAccess y VPN, solo DirectAccess o solo VPN. |
| Configurar los clientes de DirectAccess | Configura el servidor de acceso remoto con los grupos de seguridad que contengan clientes de DirectAccess. |
| Configurar el servidor de acceso remoto | Configure los ajustes del servidor de acceso remoto. |
| Configurar los servidores de infraestructura | Configura los servidores de infraestructura que se usan en la organización. |
| Configurar servidores de aplicaciones | Configure los servidores de aplicaciones para que requieran autenticación y cifrado. |
| Configuración de resumen y GPO alternativos | Consulta el resumen de configuración de acceso remoto y, si fuera necesario, modifica el GPO. |
Nota
Este tema incluye cmdlets de Windows PowerShell de ejemplo que puede usar para automatizar algunos de los procedimientos descritos. Para obtener más información, consulte Uso de Cmdlets.
Instalar el rol de acceso remoto
Debe instalar el rol de acceso remoto en un servidor de la organización que actúe como el servidor de acceso remoto.
Para instalar el rol de acceso remoto
Instalar el rol de acceso remoto en servidores de DirectAccess
En el servidor proxy de aplicación web, en la consola del Administrador del servidor, en el Panel, haga clic en Agregar roles y características.
Haga clic en Siguiente tres veces para ir a la pantalla de selección de roles del servidor.
En el cuadro de diálogo Seleccionar roles de servidor, elija Acceso remoto y haga clic en Siguiente.
Haga clic tres veces en Siguiente.
En el cuadro de diálogo Seleccionar servicios de rol, elija DirectAccess y VPN (RAS), y haga clic en Agregar características.
Seleccione Enrutamiento, elija Proxy de aplicación web, haga clic en Agregar características y, después, en Siguiente.
Haga clic en Siguiente y, después, en Instalar.
En el cuadro de diálogo Progreso de la instalación, compruebe que la instalación se ha realizado correctamente y, a continuación, haga clic en Cerrar.
Comandos de Windows PowerShell equivalentes
Los siguientes cmdlets de Windows PowerShell realizan la misma función que el procedimiento anterior. Escriba cada cmdlet en una sola línea, aunque aquí pueden aparecer con saltos de línea entre varias líneas aquí debido a restricciones de formato.
Install-WindowsFeature RemoteAccess -IncludeManagementTools
Configurar el tipo de implementación
Hay tres opciones que puede usar para implementar el acceso remoto desde la consola de administración de acceso remoto:
DirectAccess y VPN
Solo DirectAccess
Solo VPN
Nota
En esta guía se usa el método de implementación solo de DirectAccess en los procedimientos de ejemplo.
Para configurar el tipo de implementación
En el servidor de acceso remoto, abra la consola de administración de acceso remoto: en la pantalla Inicio, escriba Consola de administración de acceso remoto y presione ENTRAR. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que se muestra es la esperada y, a continuación, haga clic en Sí.
En el panel central de la consola de administración de acceso remoto, haz clic en Ejecutar el Asistente para la instalación de acceso remoto.
En el cuadro de diálogo Configurar acceso remoto, haga clic en DirectAccess y VPN, DirectAccess solo o en VPN solo.
Configurar los clientes de DirectAccess
Para que un equipo cliente se aprovisione para el uso de DirectAccess, este debe pertenecer al grupo de seguridad seleccionado. Después de configurar DirectAccess, los equipos cliente del grupo de seguridad se aprovisionan para recibir el objeto de directiva de grupo (GPO) de DirectAccess para la administración remota.
Cómo configurar los clientes de DirectAccess
En el área Paso 1: Clientes remotos del panel central de la consola de administración de acceso remoto, haz clic en Configurar.
En el Asistente para instalación de cliente de DirectAccess, en la página Escenario de implementación, haga clic en Implementar DirectAccess solo para la administración remota y, a continuación, haga clic en Siguiente.
En la página Seleccionar grupos, haz clic en Agregar.
En el cuadro de diálogo Seleccionar grupos, seleccione los grupos de seguridad que contienen los equipos cliente de DirectAccess y, a continuación, haga clic en Siguiente.
En la página Asistente para la conectividad de red:
En la tabla, agregue los recursos que se usarán para determinar la conectividad a la red interna. Se creará automáticamente un sondeo web predeterminado si no se configuran otros recursos. Al configurar las ubicaciones de sondeo web para determinar la conectividad a la red empresarial deberá configurar como mínimo un sondeo basado en HTTP. Configurar únicamente un sondeo de ping no es suficiente y podría causar que no se detectara correctamente el estado de la conectividad. Esto se debe a que el ping está exento de IPsec. Como resultado, ping no garantiza que los túneles IPsec se establezcan correctamente.
Agrega la dirección de correo del servicio de asistencia para permitir a los usuarios enviar información si tienen problemas de conectividad.
Especifica un nombre descriptivo para la conexión de DirectAccess.
Si fuera necesario, selecciona la casilla Permitir que los clientes de DirectAccess usen la resolución local de nombres.
Nota
Al habilitar la resolución local de nombres, los usuarios que ejecuten el Asistente para la conectividad de red pueden seleccionar que se resuelvan los nombres mediante servidores DNS configurados en el equipo cliente de DirectAccess.
Haga clic en Finalizar
Configurar el servidor de acceso remoto
Para implementar el acceso remoto, debe configurar el servidor que actuará como servidor de acceso remoto con lo siguiente:
Adaptadores de red correctos
Dirección URL pública del servidor de acceso remoto al que se pueden conectar los equipos cliente (la dirección ConnectTo)
Un certificado IP-HTTPS con un asunto que coincida con la dirección ConnectTo
Configuración IPv6
Autenticación del equipo cliente
Para configurar el servidor de acceso remoto
En el área Paso 2: Servidor de acceso remoto del panel central de la consola de administración de acceso remoto, haz clic en Configurar.
En la página Topología de red del Asistente para la instalación del servidor de acceso remoto, haz clic en la topología de implementación que usarás en la organización. En Escriba el nombre público o dirección IPv4 que usan los clientes para conectarse al servidor de acceso remoto, escribe el nombre público de la implementación (este nombre coincide con el nombre del firmante del certificado IP-HTTPS, por ejemplo, edge1.contoso.com) y haz clic en Siguiente.
En la página Adaptadores de red, el asistente detecta automáticamente:
Adaptadores de red para las redes en su implementación Si el asistente no detecta los adaptadores de red correctos, selecciona de forma manual los adaptadores correctos.
Certificado IP-HTTPS Esto se basa en el nombre público de la implementación que estableció durante el paso anterior del asistente. Si el asistente no detecta automáticamente el certificado IP-HTTPS, haga clic en Examinar para seleccionar de forma manual el certificado correcto.
Haga clic en Next.
En la página Configuración de prefijo (que solo se muestra si se implementa IPv6 en la red interna), el asistente detectará automáticamente la configuración de IPv6 que se use en la red interna. Si la implementación requiere prefijos adicionales, configura los prefijos IPv6 para la red interna (un prefijo IPv6 para asignarlo a los equipos cliente de DirectAccess y un prefijo IPv6 para asignarlo a los equipos cliente de VPN).
En la página Autenticación:
Para implementaciones multisitio con autenticación en dos fases es necesario usar la autenticación de certificados de equipo. Active la casilla Usar certificados de equipo para usar autenticación de certificados de equipo y después selecciona el certificado raíz IPsec.
Para permitir que los equipos cliente de Windows 7 se puedan conectar mediante DirectAccess, seleccione la casilla de verificación Habilitar los equipos cliente con Windows 7 para que se conecten mediante DirectAccess. Además, también es necesario usar la autenticación de certificados de equipo en este tipo de implementación.
Haga clic en Finalizar
Configurar los servidores de infraestructura
Para configurar los servidores de infraestructura en una implementación de acceso remoto, debe configurar lo siguiente:
Servidor de ubicación de red
Configuración de DNS, incluida la lista de búsqueda de sufijos DNS
Los servidores de administración que no detectan automáticamente el acceso remoto
Para configurar los servidores de infraestructura
En el área Paso 3: Servidores de infraestructura del panel central de la consola de administración de acceso remoto, haz clic en Configurar.
En el Asistente para la instalación del servidor de infraestructura, en la página Servidor de ubicación de red, haz clic en la opción que se corresponda con la ubicación del servidor de ubicación de red de la implementación.
Si el servidor de ubicación de red se encuentra en un servidor web remoto, especifique la URL y haga clic en Validar antes de continuar.
Si el servidor de ubicación de red se encuentra en el servidor de acceso remoto, haz clic en Examinar para buscar el certificado correspondiente y después haz clic en Siguiente.
En la tabla de la página DNS, especifique los sufijos de nombre adicionales que se aplicarán como exenciones de la Tabla de directivas de resolución de nombres (NRPT). Selecciona una opción de resolución local de nombres y después haz clic en Siguiente.
En la página Lista de búsqueda de sufijos DNS, el servidor de acceso remoto detecta automáticamente los sufijos de dominio de la implementación. Utilice los botones Agregar y Quitar para crear la lista de sufijos de dominio que desea utilizar. Para agregar un nuevo sufijo de dominio, especifica el sufijo en el campo Nuevo sufijo y haz clic en Agregar. Haga clic en Next.
En la página Administración, agregue los servidores de administración que no se detecten automáticamente y después haga clic en Siguiente. Acceso remoto agrega automáticamente los controladores de dominio y los servidores de Configuration Manager.
Haga clic en Finalizar
Configurar servidores de aplicaciones
La configuración de servidores de aplicaciones en la implementación completa de acceso remoto es una tarea opcional. En este escenario para la administración remota de clientes de DirectAccess, los servidores de aplicaciones no se usan y este paso está atenuado para indicar que no está activo. Haga clic en Finalizar para aplicar la configuración.
Configuración de resumen y GPO alternativos
Cuando completes la configuración de acceso remoto verás el cuadro de diálogo Revisión de acceso remoto. Podrás revisar todas las opciones que hayas seleccionado anteriormente, como por ejemplo:
Configuración del GPO
Verá el nombre del GPO del servidor de DirectAccess y el nombre del GPO del cliente. Además, puede hacer clic en el vínculo Cambiar junto al encabezado Configuración del GPO para modificar la configuración del GPO.
Clientes remotos
Muestra la configuración de clientes de DirectAccess, como el grupo de seguridad, comprobadores de conectividad y el nombre de la conexión de DirectAccess.
Servidor de acceso remoto
Se muestra la configuración de DirectAccess, incluidos el nombre público y la dirección, la configuración del adaptador de red y la información del certificado.
Servidores de infraestructura
Esta lista contiene la URL del servidor de ubicación de red, los sufijos DNS usados por clientes de DirectAccess e información sobre el servidor de administración.