Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Windows Server 2016 y Windows Server 2012 combinan las VPN de DirectAccess y del servicio de acceso remoto (RAS) en un solo rol de acceso remoto. El acceso remoto se puede implementar en diversos escenarios de empresas. Este artículo ofrece una introducción al escenario empresarial para implementar servidores de acceso remoto en una configuración multisitio.
Descripción del escenario
En una configuración multisitio se implementan dos o más servidores o clústeres de servidores de acceso remoto y se configuran como puntos de entrada diferentes en una sola ubicación o en ubicaciones geográficas dispersas. La implementación de varios puntos de entrada en una sola ubicación permite la redundancia del servidor o la alineación de los servidores de acceso remoto con la arquitectura de red. La implementación por ubicación geográfica garantiza un uso eficaz de los recursos, ya que los equipos cliente remotos se pueden conectar a recursos de red internos mediante un punto de entrada más cercano a ellos. El tráfico en una implementación multisitio se puede distribuir y equilibrar con un equilibrador de carga global externo.
Una implementación multisitio admite equipos cliente que ejecuten Windows 10, Windows 8 o Windows 7. Los equipos cliente que ejecutan Windows 10 o Windows 8 identifican automáticamente un punto de entrada, o bien el usuario puede seleccionar manualmente un punto de entrada. La asignación automática se produce en el siguiente orden de prioridad:
Uso de un punto de entrada seleccionado manualmente por el usuario.
Uso de un punto de entrada identificado por un equilibrador de carga global externo, si hay uno implementado.
Uso del punto de entrada más cercano identificado por el equipo cliente con un mecanismo de sondeo automático.
La compatibilidad con clientes Windows 7 debe habilitarse manualmente en cada punto de entrada y no se permite que estos clientes seleccionen un punto de entrada.
Requisitos previos
Antes de empezar a implementar este escenario, revise esta lista de requisitos importantes:
La implementación de un único servidor de DirectAccess con configuración avanzada debe implementarse antes de llevar a cabo una implementación multisitio.
Los clientes Windows 7 siempre se conectarán a un sitio específico. No podrán conectarse al sitio más cercano en función de la ubicación del cliente (a diferencia de los clientes Windows 10, 8 u 8.1).
No se admite la opción de cambiar directivas fuera de la consola de administración de DirectAccess o cmdlets de Windows PowerShell.
Hay que implementar una infraestructura de clave pública.
Para obtener más información, vea: Minimódulo de la guía de laboratorio de pruebas: PKI básica para Windows Server 2012.
La red corporativa debe estar habilitada para IPv6. Si utilizas ISATAP, debes eliminarlo y usar IPv6 nativo.
En este escenario
El escenario de implementación multisitio incluye varios pasos:
Implementar un único servidor de DirectAccess con configuración avanzada. Debe implementarse un único servidor de acceso remoto con configuración avanzada antes de configurar la implementación multisitio.
Planear una implementación multisitio. Para crear una implementación multisitio a partir de un único servidor, se requieren varios pasos de planeamiento adicionales, incluido el cumplimiento de los requisitos previos para la implementación multisitio y el planeamiento de grupos de seguridad de Active Directory, objetos de directiva de grupo (GPO), DNS y la configuración de cliente.
Configurar una implementación multisitio. Esto consta de varios pasos de configuración, incluidas la preparación de la infraestructura de Active Directory, la configuración del servidor de acceso remoto y la adición de varios servidores de acceso remoto como puntos de entrada a la implementación multisitio.
Solucionar problemas con una implementación multisitio. En esta sección de solución de problemas se describen algunos de los errores más comunes que se pueden producir al implementar el acceso remoto en una implementación multisitio.
Aplicaciones prácticas
Una implementación multisitio proporciona lo siguiente:
Rendimiento mejorado: una implementación multisitio permite a los equipos cliente acceder de forma remota a recursos internos para conectarse por medio del punto de entrada más cercano y adecuado. Los clientes acceden a los recursos internos de forma eficaz y mejora la velocidad de las solicitudes de Internet de los clientes enrutadas a través de DirectAccess. El tráfico entre puntos de entrada se puede equilibrar con un equilibrador de carga global externo.
Facilidad de administración. Una implementación multisitio permite a los administradores alinear la implementación de acceso remoto con una implementación de sitios de Active Directory y proporcionar así una arquitectura simplificada. La configuración compartida se puede establecer fácilmente entre servidores o clústeres de punto de entrada. La configuración de acceso remoto se puede administrar desde cualquiera de los servidores de la implementación, o bien de forma remota con las Herramientas de administración remota del servidor (RSAT). Además, toda la implementación multisitio se puede supervisar desde una sola consola de administración de acceso remoto.
Roles y características que se incluyen en este escenario
En la siguiente tabla se enumeran los roles y características que se usan en este escenario.
| Rol/característica | Compatibilidad con este escenario |
|---|---|
| Rol de acceso remoto | El rol se instala y desinstala mediante la consola del Administrador del servidor. Incluye tanto DirectAccess, que antes era una característica de Windows Server 2008 R2, como los servicios de enrutamiento y acceso remoto (RRAS), que antes eran un servicio de roles de los Servicios de acceso y directivas de redes (NPAS). El rol de acceso remoto consta de dos componentes: - DirectAccess y VPN del servicio Enrutamiento y acceso remoto (RRAS): DirectAccess y VPN se administran juntos en la consola de administración de acceso remoto. Las dependencias son las siguientes: - Servidor web de Internet Information Services (IIS): esta característica es necesaria para configurar el servidor de ubicación de red y el sondeo web predeterminado. |
| Característica Herramientas de administración de acceso remoto | Esta característica se instala de la siguiente manera: - Se instala de forma predeterminada en un servidor de acceso remoto cuando se instala el rol de acceso remoto y admite la interfaz de usuario de la consola de administración remota. La característica de herramientas de administración de acceso remoto consiste de los siguientes elementos: - Herramientas de la línea de comandos y GUI de acceso remoto Las dependencias incluyen: - Consola de administración de directivas de grupo. |
Requisitos de hardware
Los requisitos de hardware para este escenario incluyen los siguientes:
Al menos dos equipos de acceso remoto que se van a incorporar a una implementación multisitio.
Para probar el escenario, se requiere al menos un equipo que ejecute Windows 8 y que esté configurado como cliente de DirectAccess. Para probar el escenario para clientes que ejecutan Windows 7, se requiere al menos un equipo que ejecute Windows 7.
Para equilibrar la carga de tráfico entre los servidores de punto de entrada, se requiere un equilibrador de carga global externo de terceros.
Requisitos de software
Los requisitos de software para este escenario son los siguientes:
Requisitos de software para la implementación de un solo servidor.
Además de los requisitos de software para un solo servidor, hay varios requisitos específicos para una implementación multisitio:
Requisitos de autenticación de IPsec: en una implementación multisitio, DirectAccess debe implementarse usando la autenticación de certificados de máquina IPsec. No se admite la opción de autenticación IPsec usando el servidor de acceso remoto como proxy Kerberos. Se requiere una entidad de certificación interna para implementar los certificados IPsec.
Requisitos del servidor IP-HTTPS y de ubicación de red: los certificados necesarios para el servidor IP-HTTPS y de ubicación de red debe emitirlos una entidad de certificación. No se admite la opción de usar certificados emitidos automáticamente y autofirmados por el servidor de acceso remoto. Los certificados puede emitirlos una entidad de certificación interna o externa.
Requisitos de Active Directory: se requiere al menos un sitio de Active Directory. El servidor de acceso remoto debe encontrarse en el sitio. Para lograr tiempos de actualización más rápidos, se recomienda que cada sitio tenga un controlador de dominio que admita escritura, aunque esto no es obligatorio.
Requisitos de grupo de seguridad:
Se requiere un único grupo de seguridad para todos los equipos cliente que ejecutan Windows 8 de todos los dominios. Se recomienda crear un grupo de seguridad único de estos clientes para cada dominio.
Se requiere un grupo de seguridad único que contenga equipos con Windows 7 para cada punto de entrada configurado para admitir clientes Windows 7. Se recomienda tener un grupo de seguridad único para cada punto de entrada de cada dominio.
Los equipos no deben estar incluidos en más de un grupo de seguridad que incluya clientes de DirectAccess. Si los clientes están incluidos en varios grupos, la resolución de nombres para las solicitudes de los clientes no funcionará según lo esperado.
Requisitos de GPO: los GPO se pueden crear manualmente antes de configurar el acceso remoto, o bien se pueden crear automáticamente durante la implementación del acceso remoto. Los requisitos son los siguientes:
Se requiere un GPO de cliente único para cada dominio.
Se requiere un GPO de servidor para cada punto de entrada, en el dominio donde se encuentre el punto de entrada. Por tanto, si hay varios puntos de entrada en el mismo dominio, habrá varios GPO de servidor (uno para cada punto de entrada) en el dominio.
Se requiere un GPO de cliente Windows 7 único para cada punto de entrada habilitado para la compatibilidad con clientes Windows 7 para cada dominio.
Problemas conocidos
Los problemas que se describen a continuación son problemas conocidos de la configuración de un escenario multisitio:
Varios puntos de entrada en la misma subred IPv4. Si se agregan varios puntos de entrada en la misma subred IPv4, se muestra un mensaje de conflicto de direcciones IP y la dirección DNS64 del punto de entrada no se configura según lo previsto. Este problema se produce cuando IPv6 no se ha implementado en las interfaces internas de los servidores de la red corporativa. Para evitar este problema, ejecute el siguiente comando de Windows PowerShell en todos los servidores de acceso remoto actuales y futuros:
Set-NetIPInterface -InterfaceAlias <InternalInterfaceName> -AddressFamily IPv6 -DadTransmits 0Si la dirección pública especificada para que los clientes de DirectAccess se conecten al servidor de acceso remoto tiene un sufijo incluido en la tabla NRPT, es posible que DirectAccess no funcione según lo previsto. Asegúrese de que la tabla NRPT incluya una exención para el nombre público. En una implementación multisitio, se deben agregar exenciones para los nombres públicos de todos los puntos de entrada. Tenga en cuenta que, si está habilitada la tunelización forzada, estas exenciones se agregan automáticamente. Se quitan si la tunelización forzada está deshabilitada.
Cuando se usa el cmdlet Disable-DAMultiSite de Windows PowerShell, los parámetros WhatIf y Confirm no tienen ningún efecto, se deshabilita la funcionalidad multisitio y se quitan los GPO de Windows 7.
Cuando los clientes Windows 7 que usan DCA en una implementación multisitio se actualizan a Windows 8, el Asistente para la conectividad de red no funciona. Este problema se puede resolver antes de la actualización del cliente modificando los GPO de Windows 7 con los siguientes cmdlets de Windows PowerShell:
Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1 Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant"En el caso de que el cliente ya se haya actualizado, mueva el equipo cliente al grupo de seguridad de Windows 8.
Al modificar la configuración del controlador de dominio con el cmdlet Set-DAEntryPointDC de Windows PowerShell, si el parámetro ComputerName especificado es un servidor de acceso remoto en un punto de entrada distinto del último agregado a la implementación multisitio, se muestra una advertencia que indica que el servidor especificado no se actualizará hasta la siguiente actualización de la directiva. Los servidores que no se han actualizado se pueden consultar con la opción Estado de configuración del PANEL de la Consola de administración de acceso remoto. Esto no acarrea problemas de funcionamiento. Sin embargo, puede ejecutar gpupdate /force en los servidores que no se han actualizado para que se actualice su estado de configuración de inmediato.
Cuando se lleva a cabo una implementación multisitio en una red corporativa que solo admite IPv4, el cambio del prefijo IPv6 de la red interna cambia también la dirección DNS64, pero no actualiza la dirección en las reglas de firewall que permiten el envío de consultas de DNS al servicio DNS64. Para resolver este problema, ejecute los siguientes comandos de Windows PowerShell después de cambiar el prefijo IPv6 de la red interna:
$dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers $serverGpoName = (Get-RemoteAccess).ServerGpoName $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} | Set-NetFirewallRule -LocalAddress $dns64Address Save-NetGPO -GPOSession $gpoSessionSi DirectAccess se implementó cuando había una infraestructura ISATAP, al quitar un punto de entrada que era un host ISATAP, la dirección IPv6 del servicio DNS64 se quita de las direcciones de servidor DNS de todos los sufijos DNS de la tabla NRPT.
Para resolver este problema, en el asistente Configuración del servidor de infraestructura, en la página DNS, quite los sufijos DNS que se han modificado y agréguelos de nuevo con las direcciones de servidor DNS correctas. Para ello, haga clic en Detectar en el cuadro de diálogo Direcciones de servidor DNS.