Camino al evento de VMware Partner Exchange & Forum, em mi querída Termibus, os queria partilhar mis primeiras provas com DirectAccess, que ya es una tecnología que salió en 2008 R2, pero en 2012 han simplificado su montaje assim como sus requisitos. DirectAccess permitirá a conexão segura de nossos equipas clientes à nossa organização sin a necessidade de utilizar tediosas VPN's, configuraremos un servidor que será el que nos conecte de forma segura a qualquer recurso de la red interna.

Poço, este seria o esquema de rede em que se baseia este documento, iremos desplegar um servidor de DirectAccess na DMZ com uma perna também na LAN, dados adicionais:

Rede DMZ: 192.168.2.x/24
Red LAN: 192.168.3.x/24
Domínio interno: tundra-it.com
FQDN DirectAccess: da.tundra-it.es
BUJ-DC-01 (192.168.3.1): CC, DNS interno, CA, Limas, impressoras…
BUJ-DA-01 (192.168.3.13, 192.168.2.13): DirectAccess, 2 NIC's (uma na DMZ outra na LAN)
Grupo de computadores do AD com permissão de acesso com DirectAccess: Computadores DirectAccess (membros do Windows 8 da organização que nos interesse).
BUJ-DNS-01: Será um servidor DNS externo que utilizarei para criar o registo do Tipo A para o nome público do site DA.

Abrimos o assistente para adicionar funções e funcionalidades, começaremos adicionando a função de servidor “Acesso remoto”,

Nos serviços da função apenas marcaremos “DirectAccess e VPN (RAS)”, Clique em “Seguinte” para que seja instalado

Uma vez instalado, abrimos el “Assistente de introdução” y configuraremos DirectAccess,

Nos saldrá el asistente de introducción, Clique em “Implementar solo DirectAccess”,

En este escenario tenemos al servidor de DirectAccess con dos NIC's, uma na DMZ e outra na LAN, así que pulsamos “Detrás de un dispositivo perimetral (con dos adaptadores de red). “Seguinte”,

Y pulsamos en el enlace “aqui” para editar la configuración predeterminada.

Podremos aceptar la configuración predeterminada o configurar a continuación cada elemento de la infraestructura. Podremos: Changer el nombre de las GPO's que se crearan, configurar las opciones para los clientes remotos, las del servidor de acceso remoto, las de los servidores de infraestructura o servidores de aplicaciones.

Esta sería la vista general de la configuración a realizar,

Editamos el Paso 1, la configuración de cliente de DirectAccess, Assinalar “Implementar DirectAccess completo para acesso de clientes y administración remota”, “Seguinte”,

Selecionamos el grupo de equipos que hayamos criado previamente y desmarcamos “Habilitar DirectAccess sólo para equipos móviles” e “Usar túnel forzado”, “Seguinte”,

Dejamos por defecto el host que nos crea para distinguir luego en los clientes si estamos conectados a la LAN 0 a una red externa. Nos creará por defecto un registo en el DNS con la entrada: directaccess-webprobehost.dominio.local y hará la prueba de conexión con HTTP; podremos agregar outro equipo de la red con PING adicionalmente. Indicaremos a los usuarios un correo electrónico del soporte técnico, así como el nombre de la red que creará en los PC's clientes; opcionalmente podremos “Permitir que los clientes de DirectAccess usen la resolución local de nombres”, “Fim”,

En el Paso 2, em “Servidor de Acceso Remoto”, indicaremos el nombre público o IPv4 de nuestro sitio donde se conectarán los equipos, “Seguinte”,

Indicamos que el adaptador conectado a la red externa es el de la red DMZ y el de la red interna el de la red LAN, además deberemos haber generado previamente un certificado en nuestra CA interna (o pública) para el sitio ‘da.tundra-it.es’, nós selecionamos & “Seguinte”,

Por enquanto, para validar a mis equipos Windows 8 me vale con marcar “Credenciales de Active Directory (nombre de usuario y contraseña)”, en documentos futuros veremos métodos de autenticación adicionales con certificados y daremos acesso también a equipos con Windows 7. Si tenemos NAP configurado, podremos requerir su cumplimiento para la permitir la conexión a los clientes. “Fim”,

En el Paso 3, “Servidores de infraestructura” indicaremos donde tenemos el servidor de ubicación de red (NLS), Neste caso “El servidor de ubicación de red se implementa en el servidor de acceso remoto”, deberemos previamente haber generado un certificado de Equipo para el servidor de DirectAccess, “Seguinte”,

Indicamos los nombres y servidores DNS para los sufijos DNS de la red interna y dejamos por defecto “Usar resolución local de nombres si el nombre no existe en DNS o los servidores de DNS no están disponibles”. “Seguinte”,

Podremos agregar sufijos DNS adicionales para otros internos, “Seguinte”,

Si temos servidores de revisões o actualizaciones podremos agregarlos para la administração de los clientes, “Fim”,

E finalmente, en el Paso 4, podremos extender la autenticación entre los clientes de DA y los servidores de las apps internas.

Deberemos guardar y Aplicar la configuração para que se creen las GPO's y se configuren de forma automática los clientes de DirectAccess.

En el Panel veremos el resumen de estado, donde veremos si tenemos algún problema tanto de configuración como de algún tipo de conectividad, veremos además los clientes conectados o los que fallen al conectar, podremos además sacar unos informes bastante completos como obter bastante informação de registo em caso de necessidade.

Bastará para probarlo, primero comprobar que se nos han aplicado las directivas en un cliente ('gpupdate /force’ & 'gpresult /R'), sacar el equipo de la red corporativa, llevarlo a una red externa y que vea que no pode conectarse al equipo HTTP de WebProbe para levantar la conexión de DirectAccess conectandose al nombre público por HTTPS, confirmamos que la conexión es correcta, desde una PowerShell executamos 'Get-DAConnectionStatus’ y veremos si todo es OK, además de verlo en el panel de Redes. Abrimos un explorador por exemplo y confirmamos que podemos aceder a los recursos de la organização!!!