Montando DirectAccess en Windows 2012
VMware Partner Exchange ekitaldira bidean & Foroa, nire maitea Termibus-en, nire lehen probak DirectAccess-ekin partekatu nahi nizkizuen, dagoeneko teknologia bat da hau, noiz ateratzen zen 2008 R2, baina honetan 2012 haien muntaketa eta eskakizunak sinplifikatu dituzte. DirectAccess-ek gure bezero-taldeen ekipamenduak gure erakundera seguru konektatzea ahalbidetuko du, VPN neketsuak erabiltze beharrik gabe, konfiguratuko dugu zerbitzari bat, gure barruko sareko edozein baliabidera modu seguruan konektatuko gaituena.
Onena, hau da sarearen eskema dokumentu honek oinarritzen dena, DMZ batean DirectAccess zerbitzari bat ezarriko dugu, LAN batean ere hatz bat izango duena, datu osagarriak:
DMZ Sarea: 192.168.2.x/24
LAN Sarea: 192.168.3.x/24
Barruko domeinua: tundra-it.com
DirectAccess FQDN: da.tundra-it.es
BUJ-DC-01 (192.168.3.1): DC, Barruko DNS-a, CA, ficheros, impresoras…
BUJ-DA-01 (192.168.3.13, 192.168.2.13): DirectAccess, 2 NIC's (bat DMZ-n bestea LAN-en)
ADko taldeko ordenagailuak DirectAccess sarbidea duten baimenarekin: DirectAccess Ordenagailuak (Windows kideak 8 antolakuntzako interesatzen zaizkigunak).
BUJ-DNS-01: Kanpoko DNS zerbitzari bat izango da, DA gunearen izen publikoko A motako erregistroa sortzeko erabiliko dudana.
Rol eta ezaugarriak gehitzeko laguntzailea irekitzen dugu, zerbitzari rola gehitzea hasiko dugu “Urruneko sarbidea”,
Rolen zerbitzuetan bakarrik markatuko dugu “DirectAccess eta VPN (RAS)”, sustatu “Hurrengoa” instalatzeko
Behin instalatuta, abrimos el “Sarrera laguntzailea” y configuraremos DirectAccess,
Nos saldrá el asistente de introducción, sustatu “Implementar solo DirectAccess”,
En este escenario tenemos al servidor de DirectAccess con dos NIC's, una en la DMZ y la otra en la LAN, beraz, sakatzen dugu “Detrás de un dispositivo perimetral (con dos adaptadores de red). “Hurrengoa”,
Y pulsamos en el enlace “aquí” para editar la configuración predeterminada.
Podremos aceptar la configuración predeterminada o configurar a continuación cada elemento de la infraestructura. Podremos: Cambiar el nombre de las GPO's que se crearan, configurar las opciones para los clientes remotos, las del servidor de acceso remoto, las de los servidores de infraestructura o servidores de aplicaciones.
Esta sería la vista general de la configuración a realizar,
Editamos el Paso 1, la configuración de cliente de DirectAccess, markatuko dugu “DirectAccess osoa inplementatu bezeroentzako sarbidea eta urruneko kudeaketa egiteko”, “Hurrengoa”,
Aurretik sortu dugun taldeko ordenagailuak hautatzen ditugu eta desmarkatzen dugu “DirectAccess gaitzea mugikorreko ordenagailuentzat bakarrik” eta “Indartutako tunela erabili”, “Hurrengoa”,
Lehenetsitako ostatua utziko dugu, bezeroetan gero banaketa nola dagoen identifikatzeko 0 kanpo sare baterako. Lehenetsitako DNS erregistro bat sortuko du sarrera honekin: directaccess-webprobehost.dominio.local eta HTTP bidezko konexio probak egingo ditu; Sareko beste ordenagailu bat PING bidez gehitu ahal izango dugu. Erabiltzaileei posta elektroniko bat emango diegu laguntza teknikoarentzat, eta baita PC bezeroetan sortuko duen sarearen izena ere; (aukeraz) aukera izango dugu “Utzi DirectAccess bezeroei tokiko izenen ebazpena erabiltzen”, “Amaitu”,
Urratsean 2, en “Sarrera Remota Zerbitzaria”, Adieraziko dugu gure gune publikoaren edo IPv4 helbidea non konektatuko diren ekipamenduak, “Hurrengoa”,
Adierazten dugu sare kanpoko konektatutako egokitzailea DMZ sarekoa dela eta barruko sarekoa LAN sarekoa dela, Gainera, aurrez gure CA barnean ziurtagiri bat sortu behar izan dugu (edo publikoan) 'da.tundra-it.es' gunerako, hautatzen dugu & “Hurrengoa”,
Une honetan, Nire Windows ekipamenduak balidatzeko 8 Nahikoa da markatzea “Active Directory kredentzialak (erabiltzaile izena eta pasahitza)”, en documentos futuros veremos métodos de autenticación adicionales con certificados y daremos acceso también a equipos con Windows 7. Si tenemos NAP configurado, podremos requerir su cumplimiento para la permitir la conexión a los clientes. “Amaitu”,
Urratsean 3, “Servidores de infraestructura” indicaremos donde tenemos el servidor de ubicación de red (NLS), kasu honetan “El servidor de ubicación de red se implementa en el servidor de acceso remoto”, deberemos previamente haber generado un certificado de Equipo para el servidor de DirectAccess, “Hurrengoa”,
Indicamos los nombres y servidores DNS para los sufijos DNS de la red interna y dejamos por defecto “Usar resolución local de nombres si el nombre no existe en DNS o los servidores de DNS no están disponibles”. “Hurrengoa”,
Beste barrukoetarako DNS atzizki gehigarriak gehitu ahal izango ditugu, “Hurrengoa”,
Berrespen edo eguneraketako zerbitzariak baditugu, bezeroen kudeaketarako gehitu ahal izango ditugu, “Amaitu”,
Eta azkenik, Paisean 4, DA bezeroen eta barruko aplikazio zerbitzarien arteko autentikazioa luzatu ahal izango dugu.
Konfigurazioa gorde eta Aplikatu beharko dugu GPOak sortzeko eta DirectAccess bezeroak modu automatikoan konfiguratzeko.
Panel batean egoeraren laburpena ikusiko dugu, Non konfigurazio arazo edo konexio mota batekin arazo bat badugun ikusi ahal izango dugun, Era berean, konektatutako bezeroak edo konektatzean huts egiten dutenak ikusiko ditugu, poderremos además sacar unos informes nahiko completos cómo obtener informazio asko de registro en kasu de necesidad.
Bastará para probarlo, primero comprobar que se nos han aplicado las directivas en un cliente ('gpupdate /force’ & 'gpresult /R'), sacar el red corporativa, llevarlo a red externa y que vea que no puede conectarse al equipo HTTP de WebProbe para levantar la conexión de DirectAccess conectandose al nombre público por HTTPS, confirmamos que la conexión es correcta, desde una PowerShell exekutatu genuen 'Get-DAConnectionStatus’ y veremos si everything es OK, gainera ikusi nahi dut panela de Redes. Abrimos un explorador for example, eta baieztatu dugu posible dela erakundearen baliabideetara sartzea!!!




























































