DirectAccess es una implementación muy útil aunque habitualmente difícil de implementar, tanto por los requerimientos de infraestructura como por los conocimientos necesarios para su implementación
Sin entrar en detalles, DirectAccess permite que los clientes remotos estén conectados automáticamente a la red empresarial automáticamente en cuanto disponen de Internet; sin necesidad de crear y conectar VPNs. El que quiera más información sólo tiene que hacer una búsqueda en Internet, hay infinidad de documentos que explican los detalles
En Windows Server 2008 R2, los requerimientos son realmente complejos para una pequeña empresa (Conectividad IPv6, Autoridad Certificadora, dos direcciones contiguas IPv4 en Interner, etc. etc.) pero a partir de Windows Server 2012, además de la configuración para la “gran empresa” podemos hacer una implementación realmente sencilla y fácil, sin tantos requerimientos: una dirección IPv4 fija de Internet, no haber deshabilitado IPv6 en nuestra red, y realmente poco más
Esta demostración paso a paso, realmente me ha llevado bastante tiempo y trabajo prepararla en mi ambiente de laboratorio, y no por la cantidad de máquinas necesarias, sino porque para la simulación, el servidor de DirectAccess requiere una dirección pública de Internet, y por supuesto yo lo tengo en una red interna con direccionamiento privado, así que me tuve que valer de una configuración adicional que luego mostraré. Además cuando el cliente se conecta “desde afuera” debe tener acceso a Internet, aunque no la utilice, pero tiene que deterctarlo
La infraestructura necesaria es realmente poca:
- Un Controlador de Dominio (DC1)
- Un servidor miembro que oficiará de NLS (SRV1)
Tiene una carpeta compartida (Shared) para probar el acceso del cliente desde Internet - Un servidor miembro que conectará a “Internet” (VPN)
- Un cliente que se conectará adentro y desde afuera
Pero para simulación deberemos contar además con:
- Un servidor que simule un DNS de Internet (ISP)
- Una estructura auxiliar para poder salir a Internet (NAT y ROUTER)
En mi caso ROUTER, es el real que me conecta a Internet, y NAT es una instalación de un servidor que simplemente ofrece eso, NAT
Atención a esta instalación de NAT, pues la interfaz “interna” tiene dirección públlica (mi Internet simulada), y la interfaz “externa” (mi red interna) tiene dirección privada :-)
El siguiente diagrama explica la configuración inicial mejor que mil palabras, por supuesto todos los servidores son Windows Server 2012, y el cliente es Windows 8
En esta demo, dada la extensión de pasos y además que supongo que el que le interese esto conoce de memoria el funcionamiento básico, no mostraré algunas capturas de pantalla, por ejemplo entiendo que todos sabemos instalar una funcionalidad o complemento. De otra forma esto se haría muy pesado
Comienzo en DC1, creando un grupo donde incluiré las máquinas que pueden conectarse por DirectAccess. El grupo creado lo llamaré “DirectAccess Computers” e incluiré en el mismo al cliente CL1
Luego, ahora en el servidor VPN intalaré el rol “Remote Access”, con todas las opciones por omisión hasta “Install”
Luego que finaliza la instalación veremos la siguiente pantalla, donde elegiremos “Open the Getting Started Wizar”
Elegimos “Deploy DirectAccess Only”
Esta pantalla tiene dos configuraciones importantes. Por un lado, tiene que detectar la configuración como “Edge” (tiene una IPv4 pública), y por otro lado debemos ingresar el nombre con el que seá accedido desde Internet. En mi caso usé “vpn.guillermod.com.ar” (sin “root”).
Para que esto sea así, en el servidor ISP, en este mismo momento, creo una zona “guillermod.com.ar” y agrego un registro A donde el nombre “vpn.guillermod.com.ar” se resuelve a la dirección 131.107.0.1 (externa de VPN)
Y proseguimos con el asistente en VPN hasta que llegamos acá. Por omisión el sistema permitirá que se conecten por DirectAccess todas las “Domain Computers” que detecte como portables.
Este no es nuestro caso, sólo queremos que se conecten las que pertenecen al grupo “DirectAccess Computers” y además no queremos que sean sólo las portables (a las virtuales no las detecta como portables )
Así que en la siguiente figura, entramos por “here”
Entramos por “Change” al lado de “Remote Clients”
Quitamos “Domain Computers”, agregamos “DirectAccess Computers” y desmarcamos la opción “Enable DirectAccess for mobile computers only”
Seguimos con “Next” y “Finish”, luego “Ok”, y nuevamente “Finish”
Nota: Como no disponemos de una infraestructura de clave pública en esta demostración, se crearán en forma automática certificados para IP-HTTPS y el Network Location Server (SRV1), además habilitará automáticamente Kerberos Proxy. El asistente también habilitará NAT64 y DNS64 para la interoperabilidad con nuestro ambiente con sólo IPv4
Todo finalizado correctamente
Habiendo finalizado, nos mostrará el “Dashboard”
Seleccionemos “OPERATION STATUS” y debemos dejar pasar un par de minutos hasta que todo muestre “Ok”. Hacer cada tanto un “Refresh”
Ahora vamos a CL1, debemos asegurarnos que esté incluido en el grupo “DirectAccess Computers” y que le esté aplicando las GPOs creadas. Lo podemos ver con “GPRESULT /R”.
Si no estuviera hacer “GPUPDATE /FORCE” y reinicio
Para probar que para el acceso con DirectAccess no se necesita nada especial, iniciaré sesión con un “usuario normal” que yo llamé “User Uno (u1)”, simplemente para que quede localmente la copia del perfil y pueda iniciar sesión sin estar conectado a la red del Dominio
IMPORTANTE: hay un “bug” que aún ahora con la versión final de los productos persiste y que debemos solucionar manualmente. El servidor DirectAcces espera IP-HTTPS, pero el cliente prueba con 6to4 y Teredo, por lo tanto debemos deshabilitar estas interfases
Para esto, como administrador, debemos ejecutar:
- NETSH INTERFACE IPV6 6TO4 SET STATE DISABLED
- NETSH INTERFACE TEREDO SET STATE DISABLED
El paso siguiente es mover este cliente (CL1) a la “Internet simulada”, así que la cambiaré y le pondré la configuración IPv4 que lo simula (ver diagrama al principio de la nota. Lo reinciaremos e inciamos sesión con el usuario “User Uno (u1)”
Abramos PowerShell y veamos si estamos conectados por DirectAccess, para eso abramos PowerShell y escribamos:
- Get-DAConnectionStatus
Si nos muestra “ConnectedRemotely” es que ya estamos conectados :-)
Probemos ingresar a un recurso de la red interna
Observen un PING a DC1
De todas formas, lo que nos importa es poder acceder a los recusos de la red interna :-)
Y además tenemos “internet directo”
Resumiendo, DirectAccess es algo muy útil, tengamos en cuenta que así como el usuario tiene conectividad a la red interna, desde la red interna podemos administrar al cliente tal cual como si estuviera conectado a la red interna; no necesita ninguna configuración especial en el cliente (salvo la aplicación de la GPO), no necesita privilegios en la cuenta del usuario, ni éste debe hacer alguna tarea para que se conecte
Con sistemas anteriores, teníamos la dificultad de la infraestructura y requerimientos específicos, pero a partir de Windows Server 2012, tenemos también una implementación sencilla
WindowServer 
Comentarios
Este articulo se ve muy bueno, pero no se puede ver las imágenes.
Gracias por el dato Fernando
Parece que el Live Writer me está jugando alguna broma :-(
Lo publiqué, no se veían las figuras. Lo republiqué volviendo a incrustar todas las capturas, y controlé que se veían
Y ahora nuevamente desaparecieron las figuras
Estoy peleando, probablemente lo tenga que hacer nuevo… vamosa a ver
Fernando, o alguien más que ande por aquí un día Domingo :-)
Por favor ¿pueden confirmar si se ven las capturas de pantalla?
Gracias
Hola, no se ven , saludos
¡Gracias!
Algún cambio deben haber hecho en Skydrive que es donde están las figuras
Sigo peleando :-)
Muy buenas Delprato! Sigo todos los pasos pero termina siempre con un fallo critico en el Network Location Server (url availability). He abierto un post donde me recomendastes el otro dia, a ver que pista me dan.
http://social.technet.microsoft.com/Forums/es-ES/wsnies/thread/6c6e6cd1-9041-4dd7-be26-97966cc473aa
En un rato estoy por los foros y te respondo :-)
Hola, me gustaria saber si usaste varios servidores individuales, como por ejemplo un servidor para DNS o si configuaste varios servidores en la misma maquina, como por ejemplo en DNS, VPN y NAT en el DC1. Tambien hubiera sido de buena utilidad si hubiera hecho un video con los pasos a seguir. Gracias esta muy bueno tu articulo.
Hola Angel, la «verdad pura» es que usé solamente uno porque son todas virtuales, salvo el Router :-)
En la red interna, el Controlador de Dominio (DC1) es el que tiene DNS, además hay servirdor (VPN) que tiene la función de de DirectAccess server, y por supuesto el el cliente (CL1)
En la red externa está el equipo ISP que emula el DNS de un ISP de Internet, y la máquina que hace NAT está puesta por las limitaciones de mi ambiente. Esto último permite que una máquina con direcció IP pública (VPN) pueda tener acceso a Internet, desde mi red con direccionamiento privado. Si VPN no tuviera IP pública no permitiría la selección «Edge» en el asistente de DirectAccess
Hola, buen día!
Me funciona bien hasta la parte de cambiar el cliente a la internet.
Cuando cambias el cliente a la Internet simulada, solo cambias la configuración IP o activas otra interface(de otro conmutador, el que está con las maquinas externas), porque al estar conectada al conmutador(virtual) de la red interna, aunque le pongas otra IP(de la red externa) no se pueda comunicar con el servidor ISP-simulado, NAT, y la interface ext del VPN, bueno a mi me da error, pienso que es por eso.
Hola Coldfran, correcto lo que dices
No es sólo cambiarle la dirección IP, además hay que conectarlo al otro conmuntador (Switch), donde está la «Internet simulada»
El servidor con DirectAccess (VPN) sólo «escucha» en la interfa externa (131.107.0.1)
No puedo conectarme cuando cambio el cliente a la internet simulada, el comando Get-DAConnetionStatus me da error.
y en servicios no puedo activar el servicio Network Connectivity Assistant, está deshabilitado.
Hola coldfran, lamentablemente no es mucho lo que puedo hacer :-(
Debería poder ver todo, y no, no hago soporte
De todos modos y para que revises: si el servicio no está arrancado y no se puede arrancar, el problema tiene que haber aparecido reportado en el «Dashboard»
Una posibilidad, como he comentado en la nota, es que pasan unos minutos hasta que todo funciona, la otra es ver si hubo algún error en el procedimiento. A mí, por ejemplo, algo que me ha costado es que lo puede seleccionar como «Edge» durante el asistente, pues además de dirección IP pública, debe tener conectividad a Internet (la de verdad)
Si, entiendo que debes tener muchas cosas por hacer y que esta configuracin como ya pas algn tiempo no la tienes a mano para revisarla, pues te comentar que a mi me ha salido todo a la primera, lo que mencionas del problema para que lo reconozca como Edge a mi no me ha pasado, el asistente lo pas de lo mas tranquilo y todo me salia en verde, eso cuando el cliente estaba en la red interna, mi problema es cuando lo paso a la red externa, no se conecta :( , tal vez has realizado algn paso mas que no mencionas en el artculo…
Salu2! Bytesss!
Date: Fri, 14 Mar 2014 10:48:12 +0000 To: coldfran@hotmail.com
Algunos datos para que revises, a ver si encontramos el problema
– Cuando está en la red interna NO tiene que usar DirectAccess, sino que debe estar en la red como si no existiera DirectAccess ¿lo haz verificado eso?
– Cuando mueves el cliente a «Internet» ¿recordaste cambiarle la IP y conectarlo a la otra red? Baja los cortafuegos, y los filtros si hubieran en la consola RRAS y verifica con PING, a ver si hay conectividad IP
– ¿No habrán quedado al revés las interfases? ¿La interna como externa y viceversa?
Nunca descarto, pero es muy raro que me olvide algún paso pues voy tomando las capturas a medida que lo voy haciendo
yo aun sigo teniendo una duda grandisisma, como agrego mi cliente al directacces?
No lo ves porque está demasiado a la vista ja ja ja
En el segundo párrafo luego de la figura. Pego el contenido:
————————————————————————————–
Comienzo en DC1, creando un grupo donde incluiré las máquinas que pueden conectarse por DirectAccess. El grupo creado lo llamaré “DirectAccess Computers” e incluiré en el mismo al cliente CL1
————————————————————————————–
Es simplemente crear un grupo al cual agregas las máquinas que quieres que puedan conectarse con DirectAccess. Y luego en la configuración de DirectAccess le dices cuál es el grupo permitido. Por omisión son todos los equipos del Dominio que detecte como portables
Tengo un error que no me permite dormir, cuando trato de conectarme de manera remota me surge el error 0x274c, he tratado ya de muchas formas solucionarlo y el error persiste. Solo logro la conexión local. ¿Alguna idea?
Hola Liliana, probemos primero lo simple, porque de otra forma las posibles soluciones pueden ser complicadas
¿Seguro que los dos comandos NETSH para deshabilitar 6to4 y Teredo funcionaron y no dieron error?
Porque si lo anterior está bien, la posible solución puede ser más compleja
Busqué https://www.google.com.ar/#q=directaccess+error+0x274c y encuentra muchos resultados, algunos que parecen buenos, y otros que son «pura fantasía»
Algunos de los resultados que me parecen interesantes para ver son:
Direct access client fails to connect to UAG DA server through IPHTTPS with various errors (0x800b0109 and 0x274c) – nettracer – Site Home – TechNet Blogs : http://blogs.technet.com/b/nettracer/archive/2013/01/06/direct-access-client-fails-to-connect-to-uag-da-server-through-iphttps-with-various-errors-0x800b0109-and-0x274c.aspx
DirectAccess, IPHTTPS interface disabled and ICMP Destination Unreachable Messages | Dominik’s Cloud Identity and Security Blog : http://blog.gocloud-security.ch/?p=578
How to force an IP-HTTPS connection on a DirectAccess client… | Network World : http://www.networkworld.com/article/2230444/microsoft-subnet/how-to-force-an-ip-https-connection-on-a-directaccess-client-.html
Quiero agrupar En una carpeta 01 para Para poder navegar tambien con codigo abieto
Hola Agustín, estos comentarios son para preguntas sobre la nota y el tema de la misma
No es un sitio de soporte :)
Hola
El piloto esta como el «mio». Pero he llegado aquí precisamente para evitar el internet simulado.
¿has pensado como hacer lo sin el?
Al configurar Direct Access no me deja poner IP privadas, tampoco un «serv.dominio.com» que seria mi IP externa (a la que haría NAT).
¿como poner esa «pata» del servidor en internet?
Seguro que también te a pasado. :D
Saludos
Hola Roberto, no comprendo totalmente la pregunta pero algo imagino :)
Primero que nada, esta simulación está hecha con W2012, posteriormente tuve que hacer algo parecido con W2012R2 y encontré que es más flexible con el tema de las IPs públicas/privadas ¿lo haz revisado?
Y con respecto a la pregunta, lo único que se me ocurre para no hacer la simulación de Internet, que pasaría a ser la real para el piloto deberías tener el registro en los DNSs públicos (tuyo o del ISP)
La máquina VPN debería tener dirección IP pública de Internet. O sea que deberías poder quitar toda la parte que está sombreada en celeste en el gráfico
Otra opción que quizás sea más fácil de implementar para un piloto es usar la configuración de una única placa de red; No he tenido tiempo para probarla
Estoy en estos días con problemas graves de mi server de virtualización, así que no puedo probar nada para tratar de darte más ideas :(
Hola
Correcto!! premio: 2012 R2 tiene la solución.
Se puede poner dentro de la red perimetral con NAT: No hace falta tener una ip pública. Y ademas lo deja crear con un solo interface.
Es una mejora importante ya que lo veía demasiado «cerrado», que aún lo es respecto a una VPN normal.
Habra que migrar los servers a 2012 R2. Mis Hosts, de momento como están, no sea que me pase como a ti con el tullo; que no sea grave.
Es así, en cada versión van flexibilizando cada vez más, ni te imaginas todos los requisitos que tenía W2008R2, entre otras dos IPs públicas consecutivas, certificados digitales y más
Me alegro pudieras encontrar la solución. Y me das idea para hacer otra serie de notas con el tema que muestre las tres opciones de configuración :)
En mi servidor dejó de funcionar el motherboard, lo que implica que por tener más de tres años, tener que cambiar no sólo eso sino además el procesador. Y no puede ser cualquier motherboard porque entre otras cosas necesito que tenga dos controladoras para los RAIDs así que el costo no es poco
Gracias por la ayuda
Gracias a ti Antonio :)
Me encanta tu blog!!! ( ya es la segunda vez que me solucionas la vida !!)
¡Gracias dakseven! Me haz hecho reir :)
O sea que el Cliente tiene una IP de la VPN en el adaptador de red por VPN, y las consultas a la internet, salen por la IP externa de la VPN?
No, no hay VPN técnicamente hablando. DirectAccess funciona encapsulando IPv6 en IPv4 y protegiendo el contenido con IPSec
DirectAccess – Wikipedia
https://en.wikipedia.org/wiki/DirectAccess
Understanding DirectAccess Components
https://technet.microsoft.com/en-us/library/ee216738(v=ws.11).aspx
Si bien no encapsula, L2tp también usa ipsec. Entonces, la única diferencia entre L2tp y direct access son el encapsulado y que se conecta directo?
Según tengo entendido L2TP es un desarrollo conjunto de Cisco y Microsoft que no define cifrado, y por eso el uso combinado con IPSec, para dar confidencialidad. Si no me falla la memoria L2TP es capa 2, ya que aunque la implementación de Microsoft es sólo con IP, podría ser con otro protocolo
Más info:Layer 2 Tunneling Protocol – Wikipedia
https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
Si quieres verlo así, el resultado es similar a una VPN no voluntaria
Que significa exactamente que sea capa 2? Protocolos como PPTP se consideran de capa 3? Que diferencia tienen el Gre con el PPP? Porque por lo que he leído son muy parecidos…
Imposible en estos comentarios explicar protocolos, sólo debe buscar «modelo OSI» y luego los protocolos. Hace mucho que no ingreso, pero Cisco tenía muy buena info (en inglés)
No estaba pidiendo explicación del modelo osi sino de porque se considera L2tp de capa 2 y los otros no. Es algo que no logro entender
L2TP = «Layer 2 Tunneling Protocol»
Point-to-Point Protocol – Wikipedia
https://en.wikipedia.org/wiki/Point-to-Point_Protocol
«In computer networking, Point-to-Point Protocol (PPP) is a data link (layer 2) protocol used to …»
Point-to-Point Tunneling Protocol – Wikipedia
https://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol
«PPTP uses a control channel over TCP and a GRE tunnel operating to encapsulate PPP packets…»
Entonces el PPP encapsulado en PPTP es simplemente una forma de que llegue la información de extremo a extremo nada más o sea entre router y servidor vpn, no es asi?
Estás confundiendo el uso de estos comentarios
Si bien reconozco que pregunto mucho solo esperaba un si o no de respuesta
Estás muy desubicado
Ahora entendi que el tráfico entre clientes es por ipv6, lo «externo» es ipv4 no es asi?
No hay manera de «desconectarse»?
No no hay forma, si hubiera forma de desconectarse, también debería haber forma de conectarse. Y eso se hace con VPN :)
Hola, una dudita que hay que configurar en el NLS (Network locationserver),roles etc. me ha dejado configurar el rol de DirectAccess pero no puedo aplicar las politicas de grupo (DirectAccess Client Settings) y creo que tiene que ver algo con el certificado de NLS. Gracias de antemano.
Hola Iker, realmente habría que revisar todo el procedimiento paso a paso, para encontrar dónde puede estar todo el problema, porque es sólo seguir el asistente. De todas formas si no está aplicando la GPO, el tema debe estar seguramente en que la máquina no pertenece al grupo al que aplica. Otra posibilidad para que verifiques ya que maneja permisos de aplicación de la GPO es que revises porque hay una actualización que modifica el comportamiento
GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355) | WindowServer
Muy buenas Guillermo , antes que nada felicitarte por tu blog. Una pregunta en otras desmostraciones veo que incluyen servidor entidad certificadora , ¿que diferencia hay entre usar uno u otro? A nivel de seguridad entiendo que hay que hacer visible el servidor DA desde internet , ¿es menos seguro que un sistema VPN tradicional ?
Muchas gracias!
Un saludo,
Hola José, gracias por tu comentario :)
Para hacer esta demostración más sencilla no he usado Autoridad Certificadora y estoy usando certificados autofirmado, porque son necesarios para la autenticación entre máquinas, lo mejor es siempre tener certificados emitidos por una autoridad. Si todas las máquinas involucradas son del Dominio se puede usar una interna, de otra forma hay que tener certificados de una comercial
El Controlador de Dominio nunca debe ser visible desde Internet, salvo que se acceda a la red por un método seguro
No es más o menos seguro que VPN, este método tiene la ventaja que la conectividad se produce en forma automática en cuanto se pone en funcionamiento la máquina remota
Entonces segun tus articulos hay tres tipos de VPN a deploy; Site-to-Site, configurando dos routers en cada sitio, luego la de «escucha» solamente, que conecta clientes no importa donde esten dando acceso a la red interna detras del servidor VPN, y luego esta, que es de acceso directo a la vpn sin tener que conectar manualmente (parecida a la segunda)
No, no son «tres tipos» son sólo casos diferentes. Uno para conexión de máquinas a la red interna, otro entre redes en sitios diferentes, y DirectAccess que hace todo transparente. También en las notas hay un caso para que se pueda conectar la VPN antes del inicio de sesión para poder hacerlo
Gracias por responder Guillermo. Entiendo a lo que te referis, sin embargo hay una duda que me queda boyando: cuando uno configura la situacion «redes en sitios diferentes» le da a conocer a los servidores o routers vpn como quieras llamarle, las redes internas LAN que tiene «detras». Porque ese procedimiento no se hace con DirectAccess, ni tampoco con el caso «conexion de maquinas a la red interna»? Saludos!
DirectAccess asume varias cosas, en este ejemplo se da cuenta porque de un lado tiene que tener dirección privada y del otro dirección pública, si no se hace así no funciona, y por eso tuve que hacer la «Internet simulada» con direccionamiento público
Hay tres casos diferentes, por una parte el que está en el ejemplo, pero también están «atrás de un cortafuegos» con IPs privadas, y en la red interna con una única conexión de red
Esta nota está hecha sobre W2012, pero W2012R2 agrega más opciones de configuración y es más sencillo de hacerlo
Trackbacks
[…] Windows Server 2012: DirectAccess Paso a Paso, Sencillo y Fácil « WindowServer […]
[…] Más información: Introducción al acceso remoto (DirectAccess, enrutamiento y acceso remoto) Windows Server 2012: DirectAccess Paso a Paso, Sencillo y Fácil por Guillermo Delprato […]