Camino al evento de VMware Partner Exchange & Forum, in mi querída Termibus, os quería condividere mis primeras pruebas con DirectAccess, que ya es una tecnología que salió en 2008 R2, pero en 2012 han semplificato su montaje así come sus requisitos. DirectAccess permitirá la conexión segura de nuestros equipos clientes a nostra organizzazione sin la necessità di utilizzare tediosas VPN's, configuraremos un servidor que será el que nos conecte de forma segura a cualquier recurso de la red interna.

Bene, este sería el esquema de red en el que se basa este documento, desplegaremos un servidor de DirectAccess en la DMZ con una pata también en la LAN, datos adicionales:

Red DMZ: 192.168.2.x/24
LAN: 192.168.3.x/24
Dominio interno: tundra-it.com
FQDN DirectAccess: da.tundra-it.es
BUJ-DC-01 (192.168.3.1): DC, DNS interno, Corrente alternata, file, Stampanti…
BUJ-DA-01 (192.168.3.13, 192.168.2.13): DirectAccess, 2 NIC (una in DMZ e un'altra in LAN)
Gruppo di computer dell'AD con permesso di accesso con DirectAccess: Computer DirectAccess (membri i Windows 8 dell'organizzazione che ci interessano).
BUJ-DNS-01: Sarà un server DNS esterno che utilizzerò per creare il record di Tipo A per il nome pubblico del sito DA.

Apriamo la procedura guidata per aggiungere ruoli e funzionalità, inizieremo aggiungendo il ruolo di server “Accesso remoto”,

Nei servizi di ruolo selezioneremo solo “DirectAccess e VPN (RAS)”, Clicca su “Seguente” per farlo installare

Una volta installato, Apriamo il “Procedura guidata di introduzione” e configureremo DirectAccess,

Ci apparirà la procedura guidata di introduzione, Clicca su “Implementare solo DirectAccess”,

In questo scenario abbiamo il server DirectAccess con due schede di rete (NIC), una en la DMZ y la otra en la LAN, quindi clicchiamo “Dietro un dispositivo perimetrale (con due adattatori di rete). “Seguente”,

Y pulsamos en el enlace “qui” para editar la configuración predeterminada.

Podremos aceptar la configuración predeterminada o configurar a continuación cada elemento de la infraestructura. Podremos: Changer el nombre de las GPO's que se crearan, configurar las opciones para los clientes remotos, las del servidor de acceso remoto, las de los servidores de infraestructura o servidores de aplicaciones.

Esta sería la vista general de la configuración a realizar,

Editamos el Paso 1, la configuración de cliente de DirectAccess, Segno “Implementar DirectAccess completo para acceso de clientes y administración remota”, “Seguente”,

Seleccionamos el grupo de equipos que hayamos creado previamente y desmarcamos “Habilitar DirectAccess sólo para equipos móviles” e “Usar túnel forzado”, “Seguente”,

Dejamos por defecto el host que nos crea para distinguir luego en los clientes si estamos conectados a la LAN 0 a una red externa. Nos creará por defecto un registro en el DNS con la entrada: directaccess-webprobehost.dominio.local y hará la prueba de conexión con HTTP; podremos aggiungere un altro equipo de la red con PING adicionalmente. Indicaremos a los usuarios un correo electrónico del soporte técnico, así como el nombre de la red que creará en los PC's clientes; opcionalmente podremos “Permitir que los clientes de DirectAccess usen la resolución local de nombres”, “Fine”,

A El Paso 2, in “Servidor de Acceso Remoto”, indicaremos el nombre público o IPv4 de nuestro sitio donde se conectarán los equipos, “Seguente”,

Indichiamo che l'adattatore connesso alla rete esterna è quello della rete DMZ e quello della rete interna è quello della rete LAN, Inoltre dovremo aver generato precedentemente un certificato nella nostra CA interna (o pubblica) per il sito 'da.tundra-it.es', lo selezioniamo & “Seguente”,

Per ora, Per convalidare i miei computer Windows 8 Mi basta selezionare “Credenziali di Active Directory (Nome utente e password)”, In documenti futuri vedremo metodi di autenticazione aggiuntivi con certificati e daremo accesso anche ai computer con Windows 7. Se abbiamo NAP configurato, Potremo richiederne il rispetto per consentire la connessione ai client. “Fine”,

A El Paso 3, “Server di infrastruttura” Indicheremo dove abbiamo il server di posizione di rete (NLS), In questo caso “Il server di posizione di rete viene implementato sul server di accesso remoto”, dovremo aver precedentemente generato un certificato di Computer per il server DirectAccess, “Seguente”,

Indichiamo i nomi e i server DNS per i suffissi DNS della rete interna e lasciamo i valori predefiniti “Usare la risoluzione locale dei nomi se il nome non esiste nel DNS o se i server DNS non sono disponibili”. “Seguente”,

Potremo aggiungere suffissi DNS aggiuntivi per altri interni, “Seguente”,

Se abbiamo server di revisione o aggiornamento, potremo aggiungerli per la gestione dei client, “Fine”,

E infine, nel Passo 4, potremo estendere l'autenticazione tra i client DA e i server delle applicazioni interne.

Deberemos guardar y Aplicar la configuración para que se creen las GPO's y se configuren de forma automática los clientes de DirectAccess.

En el Panel veremos el resumen de estado, donde veremos si tenemos algún problema tanto de configuración como de algún tipo de conectividad, veremos además los clientes conectados o los que fallen al conectar, podremos además sacar unos informes bastante completos como ottenere bastante información de registro en caso de necesidad.

Bastará para probarlo, primero comprobar que se nos han aplicado las directivas en un cliente ('gpupdate /force’ & 'gpresult /R'), sacar el equipo de la red corporativa, llevarlo a una red externa y que vea que no puede conectarse al equipo HTTP de WebProbe para levantar la conexión de DirectAccess conectandose al nombre pubblico por HTTPS, confirmamos que la conexión es correcta, desde una PowerShell ejecutamos 'Get-DAConnectionStatus’ y veremos si todo es OK, además de verlo en el panel de Redes. Abrimos un explorador por esempio y confirmamos que possiamo accedere a los recursos de la organización!!!