DirectAccess
es una implementación muy útil aunque habitualmente difícil de implementar,
tanto por los requerimientos de infraestructura como por los conocimientos
necesarios para su implementación
Sin entrar
en detalles, DirectAccess permite que los clientes remotos estén conectados
automáticamente a la red empresarial automáticamente en cuanto disponen de
Internet; sin necesidad de crear y conectar VPNs. El que quiera más información
sólo tiene que hacer una búsqueda en Internet, hay infinidad de documentos que
explican los detalles.
En Windows
Server 2008 R2, los requerimientos son realmente complejos para una pequeña
empresa (Conectividad IPv6, Autoridad Certificadora, dos direcciones contiguas
IPv4 en Interner, etc. etc.) pero a partir de Windows Server 2012, además de la
configuración para la “gran empresa” podemos hacer una implementación realmente
sencilla y fácil, sin tantos requerimientos: una dirección IPv4 fija de
Internet, no haber deshabilitado IPv6 en nuestra red, y realmente poco más.
Esta
demostración paso a paso, realmente me ha llevado bastante tiempo y trabajo
prepararla en mi ambiente de laboratorio, y no por la cantidad de máquinas
necesarias, sino porque para la simulación, el servidor de DirectAccess requiere
una dirección pública de Internet, y por supuesto yo lo tengo en una red
interna con direccionamiento privado, así que me tuve que valer de una
configuración adicional que luego mostraré. Además cuando el cliente se conecta
“desde afuera” debe tener acceso a Internet, aunque no la utilice, pero tiene
que deterctarlo
La
infraestructura necesaria es realmente poca:
- Un
Controlador de Dominio (DC1)
- Un servidor miembro que oficiará de NLS (SRV1)Tiene una carpeta compartida (Shared) para probar el acceso del cliente desde Internet
- Un
servidor miembro que conectará a “Internet” (VPN)
- Un
cliente que se conectará adentro y desde afuera
Pero para
simulación deberemos contar además con:
- Un
servidor que simule un DNS de Internet (ISP)
- Una
estructura auxiliar para poder salir a Internet (NAT y ROUTER)
En mi caso ROUTER, es el real que me conecta a Internet, y NAT es una instalación de un servidor que simplemente ofrece eso, NAT
Atención a esta instalación de NAT, pues la interfaz “interna” tiene dirección públlica (mi Internet simulada), y la interfaz “externa” (mi red interna) tiene dirección privada :-)
El siguiente
diagrama explica la configuración inicial mejor que mil palabras, por supuesto
todos los servidores son Windows Server 2012, y el cliente es Windows 8.
Basado en un documento que vimos online utilizamos la siguiente configuración de red:
Red DMZ: 192.168.2.x/24
Red LAN: 192.168.3.x/24
Dominio interno: tundra-it.com
FQDN DirectAccess: da.tundra-it.es
BUJ-DC-01 (192.168.3.1): DC, DNS interno, CA, ficheros, impresoras…
BUJ-DA-01 (192.168.3.13, 192.168.2.13): DirectAccess, 2 NIC’s (una en DMZ otra en LAN)
Grupo de equipos del AD con permiso de acceso con DirectAccess: Equipos DirectAccess (miembros los Windows 8 de la organización que nos interesen).
BUJ-DNS-01: Será un servidor DNS externo que utilizaré para crear el registro de Tipo A para el nombre público del sitio DA.
Abrimos el asistente para agregar roles y características, empezaremos agregando el rol de servidor “Acceso remoto”,
En los servicios de rol unicamente marcaremos “DirectAccess y VPN (RAS)”, pulsamos en “Siguiente” para que se instale
Una vez instalado, abrimos el “Asistente para introducción” y configuraremos DirectAccess,
Nos saldrá el asistente de introducción, pulsamos en “Implementar solo DirectAccess”,
En este escenario tenemos al servidor de DirectAccess con dos NIC’s, una en la DMZ y la otra en la LAN, así que pulsamos “Detrás de un dispositivo perimetral (con dos adaptadores de red). “Siguiente”,
Y pulsamos en el enlace “aquí” para editar la configuración predeterminada.
Podremos aceptar la configuración predeterminada o configurar a continuación cada elemento de la infraestructura.
Esta sería la vista general de la configuración a realizar,
Editamos el Paso 1, la configuración de cliente de DirectAccess, marcamos “Implementar DirectAccess completo para acceso de clientes y administración remota”, “Siguiente”,
Seleccionamos el grupo de equipos que hayamos creado previamente y desmarcamos “Habilitar DirectAccess sólo para equipos móviles” y “Usar túnel forzado”, “Siguiente”,
En el Paso 2, en “Servidor de Acceso Remoto”, indicaremos el nombre público o IPv4 de nuestro sitio donde se conectarán los equipos, “Siguiente”,
Indicamos que el adaptador conectado a la red externa es el de la red DMZ y el de la red interna el de la red LAN, además deberemos haber generado previamente un certificado en nuestra CA interna (o pública) para el sitio ‘da.tundra-it.es’, lo seleccionamos & “Siguiente”,
Por ahora, para validar a mis equipos Windows 8 me vale con marcar “Credenciales de Active Directory (nombre de usuario y contraseña)” luego presionamos en “Finalizar”.
En el Paso 3, “Servidores de infraestructura” indicaremos donde tenemos el servidor de ubicación de red (NLS), luego presionamos ha “Siguiente”.
Indicamos los nombres y servidores DNS para los sufijos DNS de la red interna y dejamos por defecto luego presionamos a “Siguiente”.
Podremos agregar sufijos DNS adicionales para otros internos, “Siguiente”,
Si tenemos servidores de revisiones o actualizaciones podremos agregarlos para la administración de los clientes, “Finalizar”,
Y para finalizar, en el Paso 4, podremos extender la autenticación entre los clientes de DA y los servidores de las apps internas.
Deberemos guardar y Aplicar la configuración para que se creen las GPO’s y se configuren de forma automática los clientes de DirectAccess.
En el Panel veremos el resumen de estado.
Bastará para probarlo, primero comprobar que se nos han aplicado las directivas en un cliente (‘gpupdate /force’ & ‘gpresult /R’), sacar el equipo de la red corporativa, llevarlo a una red externa y que vea que no puede conectarse al equipo HTTP de WebProbe para levantar la conexión de DirectAccess conectandose al nombre público por HTTPS, confirmamos que la conexión es correcta, desde una PowerShell ejecutamos ‘Get-DAConnectionStatus’ y veremos si todo esta bien.
No hay comentarios:
Publicar un comentario