Paso 2 Configurar el servidor DirectAccess-VPN

  • 08/07/2020
  • 5 minutos de lectura
    • J
    • e
    • j
    • n
    • m
    • +2

Válido Para: Windows Server (Canal Semestral), Windows Server 2016

En este tema se describe cómo configurar los valores de cliente y servidor necesarios para una implementación básica de acceso remoto mediante el Asistente Habilitar DirectAccess.

La siguiente tabla proporciona una descripción general de los pasos que puede completar utilizando este tema.

Tarea Descripción
Configurar clientes de DirectAccess Configurar el servidor de acceso remoto con los grupos de seguridad que contienen clientes de DirectAccess.
Configure la topología de red Configure la configuración del servidor de acceso remoto.
Configure la Lista de búsqueda de sufijos DNS Modifique la lista de búsqueda de sufijos si lo desea.
Configuración de GPO Modifique los GPO si lo desea.

Para iniciar el Asistente Habilitar DirectAcces

  1. En Administrador del servidor, haga clic en Herramientas y, a continuación, en Acceso remoto.El Asistente Habilitar DirectAccess se inicia automáticamente a menos que haya seleccionado No mostrar esta pantalla de nuevo.

  2. Si el asistente no se inicia automáticamente, haga clic con el botón secundario en el nodo servidor del árbol de enrutamiento y Acceso remoto y, a continuación, haga clic en Habilitar DirectAccess.

  3. Haga clic en Siguiente.

Configurar clientes de DirectAccess

Para que un equipo cliente se aprovisione para usar DirectAccess, debe pertenecer al grupo de seguridad seleccionado. Después de configurar DirectAccess, los equipos cliente del grupo de seguridad se aprovisionan para recibir la directiva de grupo de DirectAccess.

  1. En la página Seleccionar grupos, haga clic en Agregar.

  2. En el cuadro de diálogo Seleccionar grupos, seleccione los grupos de seguridad que contienen equipos cliente de DirectAccess.

  3. Active la casilla Habilitar solo DirectAccess para equipos móviles para permitir que solo los equipos móviles accedan a la red interna.

  4. Active la casilla Usar túnel de fuerza para enrutar todo el tráfico del cliente (a la red interna y a Internet) a través del servidor de acceso remoto.

  5. Haga clic en Siguiente.

Configurar la Topología de red

Para implementar el Acceso remoto, debe configurar el servidor de Acceso remoto con los adaptadores de red correctos, una URL pública para el servidor de Acceso remoto al que se pueden conectar los equipos cliente (la dirección conectar a) y un certificado IP-HTTPS cuyo asunto coincida con la dirección conectar a.

  1. En la página Topología de red, haga clic en la topología de implementación que se utilizará en su organización. En Escriba el nombre público o la dirección IPv4 que usan los clientes para conectarse al servidor de acceso remoto, escriba el nombre público de la implementación (este nombre coincide con el nombre del sujeto del certificado IP-HTTPS, por ejemplo, edge1.contoso.com) y, a continuación, haga clic en Siguiente.

Configurar la lista de búsqueda de sufijos DNS

Para los clientes DNS, puede configurar una lista de búsqueda de sufijos de dominio DNS que amplíe o revise sus capacidades de búsqueda DNS. Al agregar sufijos adicionales a la lista, puede buscar nombres de equipo cortos y no calificados en más de un dominio DNS especificado. Luego, si una consulta DNS falla, el servicio Cliente DNS puede usar esta lista para agregar otras terminaciones de sufijos de nombre al nombre original y repetir consultas DNS al servidor DNS para estos FQDN alternativos.

  1. Seleccione Configurar clientes de DirectAccess con la lista de búsqueda de sufijos de cliente DNS para especificar sufijos adicionales para las búsquedas de nombres de cliente.

  2. Escriba un nombre de sufijo nuevo en Sufijo nuevo y, a continuación, haga clic en Agregar. Además, puede cambiar el orden de búsqueda y eliminar sufijos de los sufijos de dominio a usar.

En un escenario de espacio de nombres disjuntos (en el que uno o más equipos de dominio tienen un sufijo DNS que no coincide con el dominio de Active Directory al que pertenecen los equipos), debe asegurarse de que la lista de búsqueda esté personalizada para incluir todos los sufijos necesarios. El asistente de acceso remoto configurará de forma predeterminada el nombre DNS de Active Directory como el sufijo DNS principal en el cliente. El administrador debe asegurarse de que agrega el sufijo DNS utilizado por los clientes para la resolución de nombres.

Para equipos y servidores, el siguiente comportamiento de búsqueda de DNS predeterminado está predeterminado y se usa al completar y resolver nombres cortos y no calificados.Cuando la lista de búsqueda de sufijos está vacía o no está especificada, el sufijo DNS principal del equipo se agrega a nombres cortos no calificados y se usa una consulta DNS para resolver el FQDN resultante.

Si esta consulta falla, el equipo puede probar consultas adicionales para FQDN alternativos añadiendo cualquier sufijo DNS específico de conexión configurado para conexiones de red.Si no se configuran sufijos específicos de conexión o las consultas para estos FQDN específicos de conexión resultantes fallan, el cliente puede comenzar a reintentar las consultas en función de la reducción sistemática del sufijo principal (también conocido como devolución).

Por ejemplo, si el sufijo principal es «example.microsoft.com,» el proceso de devolución puede reintentar consultas para el nombre corto buscándolo en el «microsoft.com dominios» y «com».

Cuando la lista de búsqueda de sufijos no está vacía y tiene al menos un sufijo DNS especificado, los intentos de calificar y resolver nombres DNS cortos se limitan a buscar solo los FQDN posibles gracias a la lista de sufijos especificada.

Si las consultas para todos los FQDN formados como resultado de agregar y probar cada sufijo de la lista no se resuelven, el proceso de consulta falla, produciendo un resultado de «nombre no encontrado».

Advertencia

Si se utiliza la lista de sufijos de dominio, los clientes continúan enviando consultas alternativas adicionales basadas en nombres de dominio DNS diferentes cuando una consulta no se responde o resuelve. Una vez que un nombre se resuelve utilizando una entrada en la lista de sufijos, las entradas de lista no utilizadas no se prueban. Por esta razón, es más eficiente ordenar primero la lista con los sufijos de dominio más utilizados.

Las búsquedas de sufijos de nombres de dominio solo se usan cuando una entrada de nombre DNS no está completamente calificada. Para calificar completamente un nombre DNS, un período final (.) se introduce al final del nombre.

Configuración de GPO

Al configurar el acceso remoto, los parámetros de DirectAccess se recopilan en Objetos de directiva de grupo (GPO).

En la configuración de GPO, se muestran el nombre de GPO del servidor de DirectAccess y el nombre de GPO del cliente. Además, puede modificar la configuración de selección de GPO.

Dos GPO se rellenan automáticamente con la configuración de DirectAccess y se distribuyen de esta manera:

  1. GPO de cliente de DirectAccess. Este GPO contiene la configuración del cliente, incluida la configuración de la tecnología de transición IPv6, entradas NRPT y Firewall de Windows con reglas de seguridad de conexión de seguridad avanzada. El GPO se aplica a los grupos de seguridad especificados para los equipos cliente.

  2. GPO de servidor de DirectAccess. Este GPO contiene los valores de configuración de DirectAccess que se aplican a cualquier servidor configurado como servidor de acceso remoto en la implementación. También contiene Firewall de Windows con reglas de seguridad de conexión de seguridad avanzadas.

Resumen

Una vez completada la configuración de Acceso remoto, se muestra el Resumen. Puede cambiar la configuración configurada o hacer clic en Finalizar para aplicar la configuración.

Deja una respuesta

Tu dirección de correo electrónico no será publicada.