Windows Server 2012: DirectAccess Paso a Paso, Sencillo y Fácil

DirectAccess es una implementación muy útil aunque habitualmente difícil de implementar, tanto por los requerimientos de infraestructura como por los conocimientos necesarios para su implementación

Sin entrar en detalles, DirectAccess permite que los clientes remotos estén conectados automáticamente a la red empresarial automáticamente en cuanto disponen de Internet; sin necesidad de crear y conectar VPNs. El que quiera más información sólo tiene que hacer una búsqueda en Internet, hay infinidad de documentos que explican los detalles

En Windows Server 2008 R2, los requerimientos son realmente complejos para una pequeña empresa (Conectividad IPv6, Autoridad Certificadora, dos direcciones contiguas IPv4 en Interner, etc. etc.) pero a partir de Windows Server 2012, además de la configuración para la “gran empresa” podemos hacer una implementación realmente sencilla y fácil, sin tantos requerimientos: una dirección IPv4 fija de Internet, no haber deshabilitado IPv6 en nuestra red, y realmente poco más

Esta demostración paso a paso, realmente me ha llevado bastante tiempo y trabajo prepararla en mi ambiente de laboratorio, y no por la cantidad de máquinas necesarias, sino porque para la simulación, el servidor de DirectAccess requiere una dirección pública de Internet, y por supuesto yo lo tengo en una red interna con direccionamiento privado, así que me tuve que valer de una configuración adicional que luego mostraré. Además cuando el cliente se conecta “desde afuera” debe tener acceso a Internet, aunque no la utilice, pero tiene que deterctarlo

La infraestructura necesaria es realmente poca:

  • Un Controlador de Dominio (DC1)
  • Un servidor miembro que oficiará de NLS (SRV1)
    Tiene una carpeta compartida (Shared) para probar el acceso del cliente desde Internet
  • Un servidor miembro que conectará a “Internet” (VPN)
  • Un cliente que se conectará adentro y desde afuera

Pero para simulación deberemos contar además con:

  • Un servidor que simule un DNS de Internet (ISP)
  • Una estructura auxiliar para poder salir a Internet (NAT y ROUTER)
    En mi caso ROUTER, es el real que me conecta a Internet, y NAT es una instalación de un servidor que simplemente ofrece eso, NAT
    Atención a esta instalación de NAT, pues la interfaz “interna” tiene dirección públlica (mi Internet simulada), y la interfaz “externa” (mi red interna) tiene dirección privada :-)

El siguiente diagrama explica la configuración inicial mejor que mil palabras, por supuesto todos los servidores son Windows Server 2012, y el cliente es Windows 8

En esta demo, dada la extensión de pasos y además que supongo que el que le interese esto conoce de memoria el funcionamiento básico, no mostraré algunas capturas de pantalla, por ejemplo entiendo que todos sabemos instalar una funcionalidad o complemento. De otra forma esto se haría muy pesado

Comienzo en DC1, creando un grupo donde incluiré las máquinas que pueden conectarse por DirectAccess. El grupo creado lo llamaré “DirectAccess Computers” e incluiré en el mismo al cliente CL1

Luego, ahora en el servidor VPN intalaré el rol “Remote Access”, con todas las opciones por omisión hasta “Install”

Luego que finaliza la instalación veremos la siguiente pantalla, donde elegiremos “Open the Getting Started Wizar”

Elegimos “Deploy DirectAccess Only”

Esta pantalla tiene dos configuraciones importantes. Por un lado, tiene que detectar la configuración como “Edge” (tiene una IPv4 pública), y por otro lado debemos ingresar el nombre con el que seá accedido desde Internet. En mi caso usé “vpn.guillermod.com.ar” (sin “root”).

Para que esto sea así, en el servidor ISP, en este mismo momento, creo una zona “guillermod.com.ar” y agrego un registro A donde el nombre “vpn.guillermod.com.ar” se resuelve a la dirección 131.107.0.1 (externa de VPN)

Y proseguimos con el asistente en VPN hasta que llegamos acá. Por omisión el sistema permitirá que se conecten por DirectAccess todas las “Domain Computers” que detecte como portables.

Este no es nuestro caso, sólo queremos que se conecten las que pertenecen al grupo “DirectAccess Computers” y además no queremos que sean sólo las portables (a las virtuales no las detecta como portables )

Así que en la siguiente figura, entramos por “here”

Entramos por “Change” al lado de “Remote Clients”

Quitamos “Domain Computers”, agregamos “DirectAccess Computers” y desmarcamos la opción “Enable DirectAccess for mobile computers only”

Seguimos con “Next” y “Finish”, luego “Ok”, y nuevamente “Finish”

Nota: Como no disponemos de una infraestructura de clave pública en esta demostración, se crearán en forma automática certificados para IP-HTTPS y el Network Location Server (SRV1), además habilitará automáticamente Kerberos Proxy. El asistente también habilitará NAT64 y DNS64 para la interoperabilidad con nuestro ambiente con sólo IPv4

Todo finalizado correctamente

Habiendo finalizado, nos mostrará el “Dashboard”

Seleccionemos “OPERATION STATUS” y debemos dejar pasar un par de minutos hasta que todo muestre “Ok”. Hacer cada tanto un “Refresh”

Ahora vamos a CL1, debemos asegurarnos que esté incluido en el grupo “DirectAccess Computers” y que le esté aplicando las GPOs creadas. Lo podemos ver con “GPRESULT /R”.
Si no estuviera hacer “GPUPDATE /FORCE” y reinicio

Para probar que para el acceso con DirectAccess no se necesita nada especial, iniciaré sesión con un “usuario normal” que yo llamé “User Uno (u1)”, simplemente para que quede localmente la copia del perfil y pueda iniciar sesión sin estar conectado a la red del Dominio

IMPORTANTE: hay un “bug” que aún ahora con la versión final de los productos persiste y que debemos solucionar manualmente. El servidor DirectAcces espera IP-HTTPS, pero el cliente prueba con 6to4 y Teredo, por lo tanto debemos deshabilitar estas interfases
Para esto, como administrador, debemos ejecutar:

  • NETSH INTERFACE IPV6 6TO4 SET STATE DISABLED
  • NETSH INTERFACE TEREDO SET STATE DISABLED

El paso siguiente es mover este cliente (CL1) a la “Internet simulada”, así que la cambiaré y le pondré la configuración IPv4 que lo simula (ver diagrama al principio de la nota. Lo reinciaremos e inciamos sesión con el usuario “User Uno (u1)”

Abramos PowerShell y veamos si estamos conectados por DirectAccess, para eso abramos PowerShell y escribamos:

  • Get-DAConnectionStatus

Si nos muestra “ConnectedRemotely” es que ya estamos conectados :-)

Probemos ingresar a un recurso de la red interna

Observen un PING a DC1

De todas formas, lo que nos importa es poder acceder a los recusos de la red interna :-)

Y además tenemos “internet directo”

Resumiendo, DirectAccess es algo muy útil, tengamos en cuenta que así como el usuario tiene conectividad a la red interna, desde la red interna podemos administrar al cliente tal cual como si estuviera conectado a la red interna; no necesita ninguna configuración especial en el cliente (salvo la aplicación de la GPO), no necesita privilegios en la cuenta del usuario, ni éste debe hacer alguna tarea para que se conecte

Con sistemas anteriores, teníamos la dificultad de la infraestructura y requerimientos específicos, pero a partir de Windows Server 2012, tenemos también una implementación sencilla

Anuncios
Post a comment or leave a trackback: Trackback URL.

Comentarios

  • Fernando  On 04/11/2012 at 00:38

    Este articulo se ve muy bueno, pero no se puede ver las imágenes.

    • Delprato  On 04/11/2012 at 08:43

      Gracias por el dato Fernando
      Parece que el Live Writer me está jugando alguna broma :-(
      Lo publiqué, no se veían las figuras. Lo republiqué volviendo a incrustar todas las capturas, y controlé que se veían
      Y ahora nuevamente desaparecieron las figuras
      Estoy peleando, probablemente lo tenga que hacer nuevo… vamosa a ver

  • Delprato  On 04/11/2012 at 09:30

    Fernando, o alguien más que ande por aquí un día Domingo :-)
    Por favor ¿pueden confirmar si se ven las capturas de pantalla?
    Gracias

    • Luisiko  On 04/11/2012 at 10:43

      Hola, no se ven , saludos

      • Delprato  On 04/11/2012 at 15:44

        ¡Gracias!
        Algún cambio deben haber hecho en Skydrive que es donde están las figuras
        Sigo peleando :-)

  • Ignacio Sabido  On 10/04/2013 at 05:43

    Muy buenas Delprato! Sigo todos los pasos pero termina siempre con un fallo critico en el Network Location Server (url availability). He abierto un post donde me recomendastes el otro dia, a ver que pista me dan.

    http://social.technet.microsoft.com/Forums/es-ES/wsnies/thread/6c6e6cd1-9041-4dd7-be26-97966cc473aa

  • Angel Dario Moron  On 14/02/2014 at 15:21

    Hola, me gustaria saber si usaste varios servidores individuales, como por ejemplo un servidor para DNS o si configuaste varios servidores en la misma maquina, como por ejemplo en DNS, VPN y NAT en el DC1. Tambien hubiera sido de buena utilidad si hubiera hecho un video con los pasos a seguir. Gracias esta muy bueno tu articulo.

    • Guillermo Delprato  On 14/02/2014 at 16:04

      Hola Angel, la “verdad pura” es que usé solamente uno porque son todas virtuales, salvo el Router :-)
      En la red interna, el Controlador de Dominio (DC1) es el que tiene DNS, además hay servirdor (VPN) que tiene la función de de DirectAccess server, y por supuesto el el cliente (CL1)
      En la red externa está el equipo ISP que emula el DNS de un ISP de Internet, y la máquina que hace NAT está puesta por las limitaciones de mi ambiente. Esto último permite que una máquina con direcció IP pública (VPN) pueda tener acceso a Internet, desde mi red con direccionamiento privado. Si VPN no tuviera IP pública no permitiría la selección “Edge” en el asistente de DirectAccess

      • Coldfran  On 10/03/2014 at 01:06

        Hola, buen día!
        Me funciona bien hasta la parte de cambiar el cliente a la internet.
        Cuando cambias el cliente a la Internet simulada, solo cambias la configuración IP o activas otra interface(de otro conmutador, el que está con las maquinas externas), porque al estar conectada al conmutador(virtual) de la red interna, aunque le pongas otra IP(de la red externa) no se pueda comunicar con el servidor ISP-simulado, NAT, y la interface ext del VPN, bueno a mi me da error, pienso que es por eso.

      • Guillermo Delprato  On 10/03/2014 at 08:19

        Hola Coldfran, correcto lo que dices
        No es sólo cambiarle la dirección IP, además hay que conectarlo al otro conmuntador (Switch), donde está la “Internet simulada”

        El servidor con DirectAccess (VPN) sólo “escucha” en la interfa externa (131.107.0.1)

      • coldfran  On 14/03/2014 at 01:51

        No puedo conectarme cuando cambio el cliente a la internet simulada, el comando Get-DAConnetionStatus me da error.

        y en servicios no puedo activar el servicio Network Connectivity Assistant, está deshabilitado.

      • Guillermo Delprato  On 14/03/2014 at 07:48

        Hola coldfran, lamentablemente no es mucho lo que puedo hacer :-(
        Debería poder ver todo, y no, no hago soporte
        De todos modos y para que revises: si el servicio no está arrancado y no se puede arrancar, el problema tiene que haber aparecido reportado en el “Dashboard”
        Una posibilidad, como he comentado en la nota, es que pasan unos minutos hasta que todo funciona, la otra es ver si hubo algún error en el procedimiento. A mí, por ejemplo, algo que me ha costado es que lo puede seleccionar como “Edge” durante el asistente, pues además de dirección IP pública, debe tener conectividad a Internet (la de verdad)

      • coldfran  On 14/03/2014 at 09:34

        Si, entiendo que debes tener muchas cosas por hacer y que esta configuracin como ya pas algn tiempo no la tienes a mano para revisarla, pues te comentar que a mi me ha salido todo a la primera, lo que mencionas del problema para que lo reconozca como Edge a mi no me ha pasado, el asistente lo pas de lo mas tranquilo y todo me salia en verde, eso cuando el cliente estaba en la red interna, mi problema es cuando lo paso a la red externa, no se conecta :( , tal vez has realizado algn paso mas que no mencionas en el artculo…

        Salu2! Bytesss!

        Date: Fri, 14 Mar 2014 10:48:12 +0000 To: coldfran@hotmail.com

      • Guillermo Delprato  On 14/03/2014 at 10:22

        Algunos datos para que revises, a ver si encontramos el problema
        – Cuando está en la red interna NO tiene que usar DirectAccess, sino que debe estar en la red como si no existiera DirectAccess ¿lo haz verificado eso?
        – Cuando mueves el cliente a “Internet” ¿recordaste cambiarle la IP y conectarlo a la otra red? Baja los cortafuegos, y los filtros si hubieran en la consola RRAS y verifica con PING, a ver si hay conectividad IP
        – ¿No habrán quedado al revés las interfases? ¿La interna como externa y viceversa?

        Nunca descarto, pero es muy raro que me olvide algún paso pues voy tomando las capturas a medida que lo voy haciendo

  • angeluz  On 09/04/2014 at 14:30

    yo aun sigo teniendo una duda grandisisma, como agrego mi cliente al directacces?

    • Guillermo Delprato  On 09/04/2014 at 15:16

      No lo ves porque está demasiado a la vista ja ja ja
      En el segundo párrafo luego de la figura. Pego el contenido:
      ————————————————————————————–
      Comienzo en DC1, creando un grupo donde incluiré las máquinas que pueden conectarse por DirectAccess. El grupo creado lo llamaré “DirectAccess Computers” e incluiré en el mismo al cliente CL1
      ————————————————————————————–
      Es simplemente crear un grupo al cual agregas las máquinas que quieres que puedan conectarse con DirectAccess. Y luego en la configuración de DirectAccess le dices cuál es el grupo permitido. Por omisión son todos los equipos del Dominio que detecte como portables

  • Liliana Sagrero  On 20/08/2014 at 18:04

    Tengo un error que no me permite dormir, cuando trato de conectarme de manera remota me surge el error 0x274c, he tratado ya de muchas formas solucionarlo y el error persiste. Solo logro la conexión local. ¿Alguna idea?

  • agustin  On 03/04/2015 at 17:47

    Quiero agrupar En una carpeta 01 para Para poder navegar tambien con codigo abieto

    • Guillermo Delprato  On 04/04/2015 at 09:19

      Hola Agustín, estos comentarios son para preguntas sobre la nota y el tema de la misma
      No es un sitio de soporte :)

  • Roberto  On 06/04/2015 at 14:36

    Hola

    El piloto esta como el “mio”. Pero he llegado aquí precisamente para evitar el internet simulado.
    ¿has pensado como hacer lo sin el?
    Al configurar Direct Access no me deja poner IP privadas, tampoco un “serv.dominio.com” que seria mi IP externa (a la que haría NAT).
    ¿como poner esa “pata” del servidor en internet?
    Seguro que también te a pasado. :D

    Saludos

    • Guillermo Delprato  On 06/04/2015 at 16:49

      Hola Roberto, no comprendo totalmente la pregunta pero algo imagino :)
      Primero que nada, esta simulación está hecha con W2012, posteriormente tuve que hacer algo parecido con W2012R2 y encontré que es más flexible con el tema de las IPs públicas/privadas ¿lo haz revisado?
      Y con respecto a la pregunta, lo único que se me ocurre para no hacer la simulación de Internet, que pasaría a ser la real para el piloto deberías tener el registro en los DNSs públicos (tuyo o del ISP)
      La máquina VPN debería tener dirección IP pública de Internet. O sea que deberías poder quitar toda la parte que está sombreada en celeste en el gráfico

      Otra opción que quizás sea más fácil de implementar para un piloto es usar la configuración de una única placa de red; No he tenido tiempo para probarla

      Estoy en estos días con problemas graves de mi server de virtualización, así que no puedo probar nada para tratar de darte más ideas :(

      • Roberto  On 06/04/2015 at 19:15

        Hola

        Correcto!! premio: 2012 R2 tiene la solución.
        Se puede poner dentro de la red perimetral con NAT: No hace falta tener una ip pública. Y ademas lo deja crear con un solo interface.
        Es una mejora importante ya que lo veía demasiado “cerrado”, que aún lo es respecto a una VPN normal.

        Habra que migrar los servers a 2012 R2. Mis Hosts, de momento como están, no sea que me pase como a ti con el tullo; que no sea grave.

      • Guillermo Delprato  On 07/04/2015 at 08:05

        Es así, en cada versión van flexibilizando cada vez más, ni te imaginas todos los requisitos que tenía W2008R2, entre otras dos IPs públicas consecutivas, certificados digitales y más
        Me alegro pudieras encontrar la solución. Y me das idea para hacer otra serie de notas con el tema que muestre las tres opciones de configuración :)
        En mi servidor dejó de funcionar el motherboard, lo que implica que por tener más de tres años, tener que cambiar no sólo eso sino además el procesador. Y no puede ser cualquier motherboard porque entre otras cosas necesito que tenga dos controladoras para los RAIDs así que el costo no es poco

  • Antonio  On 13/05/2015 at 22:33

    Gracias por la ayuda

  • dakseven  On 29/05/2015 at 08:20

    Me encanta tu blog!!! ( ya es la segunda vez que me solucionas la vida !!)

  • ad31707  On 16/01/2017 at 15:14

    O sea que el Cliente tiene una IP de la VPN en el adaptador de red por VPN, y las consultas a la internet, salen por la IP externa de la VPN?

    • Guillermo Delprato  On 16/01/2017 at 17:08

      No, no hay VPN técnicamente hablando. DirectAccess funciona encapsulando IPv6 en IPv4 y protegiendo el contenido con IPSec
      DirectAccess – Wikipedia
      https://en.wikipedia.org/wiki/DirectAccess
      Understanding DirectAccess Components
      https://technet.microsoft.com/en-us/library/ee216738(v=ws.11).aspx

      • ad31707  On 22/02/2017 at 17:32

        Si bien no encapsula, L2tp también usa ipsec. Entonces, la única diferencia entre L2tp y direct access son el encapsulado y que se conecta directo?

      • Guillermo Delprato  On 23/02/2017 at 06:46

        Según tengo entendido L2TP es un desarrollo conjunto de Cisco y Microsoft que no define cifrado, y por eso el uso combinado con IPSec, para dar confidencialidad. Si no me falla la memoria L2TP es capa 2, ya que aunque la implementación de Microsoft es sólo con IP, podría ser con otro protocolo
        Más info:Layer 2 Tunneling Protocol – Wikipedia
        https://en.wikipedia.org/wiki/Layer_2_Tunneling_Protocol
        Si quieres verlo así, el resultado es similar a una VPN no voluntaria

      • ad31707  On 24/02/2017 at 17:56

        Que significa exactamente que sea capa 2? Protocolos como PPTP se consideran de capa 3? Que diferencia tienen el Gre con el PPP? Porque por lo que he leído son muy parecidos…

      • Guillermo Delprato  On 24/02/2017 at 18:07

        Imposible en estos comentarios explicar protocolos, sólo debe buscar “modelo OSI” y luego los protocolos. Hace mucho que no ingreso, pero Cisco tenía muy buena info (en inglés)

      • ad31707  On 24/02/2017 at 19:01

        No estaba pidiendo explicación del modelo osi sino de porque se considera L2tp de capa 2 y los otros no. Es algo que no logro entender

      • Guillermo Delprato  On 24/02/2017 at 20:01

        L2TP = “Layer 2 Tunneling Protocol”

        Point-to-Point Protocol – Wikipedia
        https://en.wikipedia.org/wiki/Point-to-Point_Protocol
        “In computer networking, Point-to-Point Protocol (PPP) is a data link (layer 2) protocol used to …”

        Point-to-Point Tunneling Protocol – Wikipedia
        https://en.wikipedia.org/wiki/Point-to-Point_Tunneling_Protocol
        “PPTP uses a control channel over TCP and a GRE tunnel operating to encapsulate PPP packets…”

      • ad31707  On 24/02/2017 at 20:11

        Entonces el PPP encapsulado en PPTP es simplemente una forma de que llegue la información de extremo a extremo nada más o sea entre router y servidor vpn, no es asi?

      • Guillermo Delprato  On 25/02/2017 at 10:02

        Estás confundiendo el uso de estos comentarios

      • ad31707  On 25/02/2017 at 12:12

        Si bien reconozco que pregunto mucho solo esperaba un si o no de respuesta

      • Guillermo Delprato  On 26/02/2017 at 19:25

        Estás muy desubicado

  • ad31707  On 16/01/2017 at 17:28

    Ahora entendi que el tráfico entre clientes es por ipv6, lo “externo” es ipv4 no es asi?
    No hay manera de “desconectarse”?

    • Guillermo Delprato  On 16/01/2017 at 19:15

      No no hay forma, si hubiera forma de desconectarse, también debería haber forma de conectarse. Y eso se hace con VPN :)

  • Iker  On 22/08/2017 at 09:34

    Hola, una dudita que hay que configurar en el NLS (Network locationserver),roles etc. me ha dejado configurar el rol de DirectAccess pero no puedo aplicar las politicas de grupo (DirectAccess Client Settings) y creo que tiene que ver algo con el certificado de NLS. Gracias de antemano.

    • Guillermo Delprato  On 22/08/2017 at 10:26

      Hola Iker, realmente habría que revisar todo el procedimiento paso a paso, para encontrar dónde puede estar todo el problema, porque es sólo seguir el asistente. De todas formas si no está aplicando la GPO, el tema debe estar seguramente en que la máquina no pertenece al grupo al que aplica. Otra posibilidad para que verifiques ya que maneja permisos de aplicación de la GPO es que revises porque hay una actualización que modifica el comportamiento
      GPOs No Se Aplican (MS16-072 – KB3163622 y KB2919355) | WindowServer
      https://windowserver.wordpress.com/2016/07/19/gpos-no-se-aplican-ms16-072-kb3163622-y-kb2919355/

Trackbacks

Este espacio es para comentarios sobre la nota. No es un sitio de soporte

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión / Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión / Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión / Cambiar )

Google+ photo

Estás comentando usando tu cuenta de Google+. Cerrar sesión / Cambiar )

Conectando a %s

A %d blogueros les gusta esto: