Camino al evento de VMware Partner Exchange & Forum, en mi querída Termibus, os quería compartir mis primeras proves amb DirectAccess, que ya es una tecnología que salió en 2008 R2, pero en 2012 han simplificat su montaje así como sus requisitos. DirectAccess permitirá la connexió segura de los nostres equips clients a la nostra organització sin la necessitat d'utilitzar tediosas VPN's, configuraremos un servidor que serà el que connectem de forma segura a qualsevol recurs de la red interna.

Bo, este sería el esquema de red en el que se basa este documento, desplegaremos un servidor de DirectAccess en la DMZ con una pata también en la LAN, datos adicionales:

Red DMZ: 192.168.2.x/24
Xarxa LAN: 192.168.3.x/24
Dominio interno: tundra-it.com
FQDN DirectAccess: da.tundra-it.es
BUJ-DC-01 (192.168.3.1): DC, DNS interno, CA, fitxers, impressores…
BUJ-DA-01 (192.168.3.13, 192.168.2.13): DirectAccess, 2 NIC's (una en DMZ otra en LAN)
Grupo de equipos del AD con permiso de acceso con DirectAccess: Equipos DirectAccess (miembros los Windows 8 de la organización que nos interesen).
BUJ-DNS-01: Será un servidor DNS externo que utilizaré para crear el registro de Tipo A para el nombre público del sitio DA.

Abrimos el asistente para agregar roles y características, empezaremos agregando el rol de servidor “Acceso remoto”,

En los serveis de rol unicamente marcaremos “DirectAccess y VPN (RAS)”, posem en “Següent” para que se instale

Un cop instal·lat, obrim el “Asistente para introducción” y configuraremos DirectAccess,

Nos saldrá el asistente de introducción, posem en “Implementar solo DirectAccess”,

En este escenario tenemos al servidor de DirectAccess con dos NIC's, una a la DMZ i l'altra a la LAN, así que pulsamos “Detrás de un dispositivo perimetral (con dos adaptadores de red). “Següent”,

Y pulsamos en el enlace “aquí” para editar la configuración predeterminada.

Podremos aceptar la configuración predeterminada o configurar a continuació cada element de la infraestructura. Podremos: Changer el nombre de las GPO's que se crearan, configurar las opciones para los clientes remotos, las del servidor de acceso remoto, las de los servidores de infraestructura o servidores de aplicaciones.

Esta sería la vista general de la configuración a realizar,

Editamos el Paso 1, la configuración de cliente de DirectAccess, marquem “Implementar DirectAccess completo para acceso de clientes y administración remota”, “Següent”,

Seleccionamos el grupo de equipos que hayamos creat previamente y desmarcamos “Habilitar DirectAccess sólo para equipos móviles” y “Usar túnel forzado”, “Següent”,

Dejamos por defecto el host que nos crea para distinguir després en els clients si estem connectats a la LAN 0 a una red externa. Nos creará por defecto un registro en el DNS con la entrada: directaccess-webprobehost.dominio.local y hará la prueba de conexión con HTTP; podremos agregar otro equipo de la red con PING adicionalmente. Indicaremos a los usuarios un correo electrónico del soporte técnico, así como el nombre de la red que creará en los clients del PC; opcionalment podrem “Permetre que els clients de DirectAccess facin servir la resolució local de noms”, “Finalitzar”,

En el Paso 2, en “Servidor d'Accés Remot”, indicarem el nom públic o IPv4 del nostre lloc on es connectaran els equips, “Següent”,

Indiquem que l'adaptador connectat a la xarxa externa és el de la xarxa DMZ i el de la xarxa interna el de la xarxa LAN, a més haurem d'haver generat prèviament un certificat a la nostra CA interna (o pública) per al lloc 'da.tundra-it.es', el seleccionem & “Següent”,

Per ara, per validar els meus equips Windows 8 em serveix marcar “Credencials d'Active Directory (nom d'usuari i contrasenya)”, en documents futurs veremos métodos de autenticación adicionales con certificados y daremos acceso también a equipos con Windows 7. Si tenemos NAP configurado, podremos requerir su cumplimiento para la permitir la conexión a los clientes. “Finalitzar”,

En el Paso 3, “Servidores de infraestructura” indicaremos donde tenemos el servidor de ubicación de red (NLS), en aquest cas “El servidor de ubicación de red se implementa en el servidor de acceso remoto”, deberemos previamente haber generado un certificado de Equipo para el servidor de DirectAccess, “Següent”,

Indicamos los nombres y servidors DNS para els sufijos DNS de la red interna y dejamos por defecto “Usar resolución local de nombres si el nombre no existe en DNS o los servidors de DNS no están disponibles”. “Següent”,

Podrem afegir sufixos DNS addicionals per a altres interns, “Següent”,

Si tenim servidors de revisions o actualitzacions podrem afegir-los per a l'administració dels clients, “Finalitzar”,

I per últim, al Pas 4, podrem estendre l'autenticació entre els clients de DA i els servidors de les aplicacions internes.

Haurem de desar i Aplicar la configuració perquè es creïn les GPO i es configurin de manera automàtica els clients de DirectAccess.

Al Panell veurem el resum d'estat, on veurem si tenim algun problema tant de configuració com de algun tipus de connectivitat, veurem a més els clients connectats o els que fallin en connectar, podremos además sacar unos informes força completos com obtenir molta informació de registre en cas de necessitat.

Bastará para probarlo, primero comprobar que se nos han aplicat las directivas en un client ('gpupdate /force’ & 'gpresult /R'), sacar l'equip de la red corporativa, llevarlo a una red externa i que veu que no pot connectarse al equip HTTP de WebProbe per levantar la connexió de DirectAccess connectandose al nombre públic por HTTPS, confirmamos que la conexión es correcta, desde una PowerShell executamos 'Get-DAConnectionStatus’ y veremos si tot es OK, además de verlo en el panel de Redes. Abrimos un explorador per exemple i confirmamos que podem accedir a los recursos de la organització!!!