Montando DirectAccess en Windows 2012

Camino al evento de VMware Partner Exchange & Forum, en mi querída Termibus, os quería compartir mis primeras pruebas con DirectAccess, que ya es una tecnología que salió en 2008 R2, pero en 2012 han simplificado su montaje así como sus requisitos. DirectAccess permitirá la conexión segura de nuestros equipos clientes a nuestra organización sin la necesidad de utilizar tediosas VPN’s, configuraremos un servidor que será el que nos conecte de forma segura a cualquier recurso de la red interna.

windows-2012-directaccess-00-bujarra

Bueno, este sería el esquema de red en el que se basa este documento, desplegaremos un servidor de DirectAccess en la DMZ con una pata también en la LAN, datos adicionales:

Red DMZ: 192.168.2.x/24
Red LAN: 192.168.3.x/24
Dominio interno: tundra-it.com
FQDN DirectAccess: da.tundra-it.es
BUJ-DC-01 (192.168.3.1): DC, DNS interno, CA, ficheros, impresoras…
BUJ-DA-01 (192.168.3.13, 192.168.2.13): DirectAccess, 2 NIC’s (una en DMZ otra en LAN)
Grupo de equipos del AD con permiso de acceso con DirectAccess: Equipos DirectAccess (miembros los Windows 8 de la organización que nos interesen).
BUJ-DNS-01: Será un servidor DNS externo que utilizaré para crear el registro de Tipo A para el nombre público del sitio DA.

 

windows-2012-directaccess-01-bujarra

Abrimos el asistente para agregar roles y características, empezaremos agregando el rol de servidor «Acceso remoto»,

 

windows-2012-directaccess-02-bujarra

En los servicios de rol unicamente marcaremos «DirectAccess y VPN (RAS)», pulsamos en «Siguiente» para que se instale

 

windows-2012-directaccess-03-bujarra

Una vez instalado, abrimos el «Asistente para introducción» y configuraremos DirectAccess,

 

windows-2012-directaccess-04-bujarra

Nos saldrá el asistente de introducción, pulsamos en «Implementar solo DirectAccess»,

 

windows-2012-directaccess-05-bujarra

En este escenario tenemos al servidor de DirectAccess con dos NIC’s, una en la DMZ y la otra en la LAN, así que pulsamos «Detrás de un dispositivo perimetral (con dos adaptadores de red). «Siguiente»,

 

windows-2012-directaccess-06-bujarra

Y pulsamos en el enlace «aquí» para editar la configuración predeterminada.

 

windows-2012-directaccess-07-bujarra

Podremos aceptar la configuración predeterminada o configurar a continuación cada elemento de la infraestructura. Podremos: Cambiar el nombre de las GPO’s que se crearan, configurar las opciones para los clientes remotos, las del servidor de acceso remoto, las de los servidores de infraestructura o servidores de aplicaciones.

 

 

 

windows-2012-directaccess-08-bujarra

Esta sería la vista general de la configuración a realizar,

 

windows-2012-directaccess-09-bujarra

Editamos el Paso 1, la configuración de cliente de DirectAccess, marcamos «Implementar DirectAccess completo para acceso de clientes y administración remota», «Siguiente»,

 

windows-2012-directaccess-10-bujarra

Seleccionamos el grupo de equipos que hayamos creado previamente y desmarcamos «Habilitar DirectAccess sólo para equipos móviles» y «Usar túnel forzado», «Siguiente»,

 

windows-2012-directaccess-11-bujarra

Dejamos por defecto el host que nos crea para distinguir luego en los clientes si estamos conectados a la LAN 0 a una red externa. Nos creará por defecto un registro en el DNS con la entrada: directaccess-webprobehost.dominio.local y hará la prueba de conexión con HTTP; podremos agregar otro equipo de la red con PING adicionalmente. Indicaremos a los usuarios un correo electrónico del soporte técnico, así como el nombre de la red que creará en los PC’s clientes; opcionalmente podremos «Permitir que los clientes de DirectAccess usen la resolución local de nombres», «Finalizar»,

 

windows-2012-directaccess-12-bujarra

 

En el Paso 2, en «Servidor de Acceso Remoto», indicaremos el nombre público o IPv4 de nuestro sitio donde se conectarán los equipos, «Siguiente»,

 

windows-2012-directaccess-13-bujarra

Indicamos que el adaptador conectado a la red externa es el de la red DMZ y el de la red interna el de la red LAN, además deberemos haber generado previamente un certificado en nuestra CA interna (o pública) para el sitio ‘da.tundra-it.es’, lo seleccionamos & «Siguiente»,

 

windows-2012-directaccess-14-bujarra

Por ahora, para validar a mis equipos Windows 8 me vale con marcar «Credenciales de Active Directory (nombre de usuario y contraseña)», en documentos futuros veremos métodos de autenticación adicionales con certificados y daremos acceso también a equipos con Windows 7. Si tenemos NAP configurado, podremos requerir su cumplimiento para la permitir la conexión a los clientes. «Finalizar»,

 

windows-2012-directaccess-15-bujarra

En el Paso 3, «Servidores de infraestructura» indicaremos donde tenemos el servidor de ubicación de red (NLS), en este caso «El servidor de ubicación de red se implementa en el servidor de acceso remoto», deberemos previamente haber generado un certificado de Equipo para el servidor de DirectAccess, «Siguiente»,

 

windows-2012-directaccess-16-bujarra

Indicamos los nombres y servidores DNS para los sufijos DNS de la red interna y dejamos por defecto «Usar resolución local de nombres si el nombre no existe en DNS o los servidores de DNS no están disponibles». «Siguiente»,

 

windows-2012-directaccess-17-bujarra

Podremos agregar sufijos DNS adicionales para otros internos, «Siguiente»,

 

windows-2012-directaccess-18-bujarra

Si tenemos servidores de revisiones o actualizaciones podremos agregarlos para la administración de los clientes, «Finalizar»,

 

windows-2012-directaccess-19-bujarra

Y por último, en el Paso 4, podremos extender la autenticación entre los clientes de DA y los servidores de las apps internas.

Deberemos guardar y Aplicar la configuración para que se creen las GPO’s y se configuren de forma automática los clientes de DirectAccess.

 

windows-2012-directaccess-20-bujarra

 

En el Panel veremos el resumen de estado, donde veremos si tenemos algún problema tanto de configuración como de algún tipo de conectividad, veremos además los clientes conectados o los que fallen al conectar, podremos además sacar unos informes bastante completos como obtener bastante información de registro en caso de necesidad.

 

windows-2012-directaccess-21-bujarra

Bastará para probarlo, primero comprobar que se nos han aplicado las directivas en un cliente (‘gpupdate /force’ & ‘gpresult /R’), sacar el equipo de la red corporativa, llevarlo a una red externa y que vea que no puede conectarse al equipo HTTP de WebProbe para levantar la conexión de DirectAccess conectandose al nombre público por HTTPS, confirmamos que la conexión es correcta, desde una PowerShell ejecutamos ‘Get-DAConnectionStatus’ y veremos si todo es OK, además de verlo en el panel de Redes. Abrimos un explorador por ejemplo y confirmamos que podemos acceder a los recursos de la organización!!!

Héctor Herrero