Trasladar una máquina de la red de la empresa fuera de la red, como todos sabemos, no causa problemas de inicio de sesión con una cuenta de usuario de Dominio, esto es así porque si el usuario ya había iniciado sesión en ese equipo, entonces localmente hay “cacheada” una copia de la contraseña, por lo cual no ofrece ningún problema inciar sesión con una cuenta del Dominio
Pero ¿qué sucede si se tratara de un usuario que nunca inció sesión anteriormente en dicho equipo? la respuesta es que no podrá hacerlo, ya que no se puede contactar a un Controlador de Dominio
La solución no es compleja: se debería poder tener una conexión VPN a la red del Dominio para permitir la autenticación y autorización del usuario, aún antes del incio de sesión
Esto implica tener que hacer un agregado a la pantalla de incio de sesión que permita el inicio a través de VPN
Aunque no lo muestro en esta nota, por supuesto que debemos disponer del servidor VPN ya configurado, y la cuenta de usuario debe tener permiso de acceso por la misma
Para quien tenga dudas sobre el tema dejo enlaces a dos notas ya publicadas sobre el tema:
- Windows Server 2012 (R2): Configurar Servidor VPN | WindowServer
- Conectando Clientes a la Red por VPN – Qué Protocolo Usar | WindowServer
Para esta nota usaré tres máquinas:
- DC1.ad.guillermod.com.ar: Controlador de Dominio
- CL1.ad.guillermod.com.ar: Cliente del Dominio (Windows 8.1)
- CL2.ad.guillermod.com.ar: Cliente del Dominio (Windows 10 RTM)
La configuración la haré a través de Preferencias en una GPO aplicada a las cuentas de máquina, ya que la misma debe estar disponible antes que un usuario inicie sesión
Simplemente he creado una Unidad Organizativa llamada “Notebooks” donde he colocado las cuentas de ambas máquinas
Luego crearé y enlazaré una GPO a dicha Unidad Organizativa
El nombre que mejor les parezca
Y vamos a “Computer Configuration / Preferences / Control Panel Settings / Network Options” y creamos una nueva “VPN Connection”
Ahora cada uno deberá proveer los datos necesarios y ajustar a su necesidad algunas configuraciones, muestro las que he seleccionado
Quedará así
Luego que la GPO es aplicada en los clientes podemos verificar que se ha creado un nuevo icono en la pantalla de inicio de sesión
Muestro primero en Windows 10
Y en forma similar en Windows 8.1
De esta forma podemos lograr no sólo que un usuario “nuevo” pueda inciar sesión aunque la máquina no esté en la red del Dominio, además puede ayudarnos para el caso de soporte a un usuario remoto
WindowServer 
Comentarios
Excelente aporte. Como siempre le felicito por todos los conocimientos impartidos de tal manera tan altruista.
¡Gracias Javier! :)
He de decir que soy un asiduo de tu blog, de lo mejorcito en español con diferencia, mi pregunta es, es posible realizar esto mismo pero si la conexión de VPN corporativa es a través de el cliente Juniper?. He buscado y no encuentro la manera de realizar el proceso.
Hola Luis, llegó duplicada tu pregunta, dejo una sola
Habría que consultar al soporte de Juniper para estar seguro, pero no creo que sea posible. Varios motivos, primero habría que ver cómo lanzarlo desde una GPO que no sería con esta configuración, y segundo y creo que lo más difícil es que al ser de terceros permitirlo en el inicio de la máquina, como no sea servicio creo que va a ser imposible
¡Gracias por tu comentario! Me alegra te sirva el blog
Muchísimas gracias! por la respuesta, eres un crack.
El cliente ROVA de VPN (que usaba de base el sistema de Juniper), tenia esta opcion de agregar un icono a la pantalla de Login. Openvpn no tiene esta opción (o no he visto un cliente que lo implemente), Pero puede setearse por registro la autoconexion al iniciar el servicio (No creo que funcione si se necesitan credenciales para conectarse). Abrazo.
Hola Javier ¡gracias por el aporte! lo publicaré a ver si le ayuda a Luis
De todas formas, lo que hay que iniciar es la interfaz para que pueda iniciar sesión, recién luego se hace la conexión cuando ingresa las credenciales
¡Gracias!
Ese es el problema, que hay que insertar credenciales, muchas gracias, si logro resolverlo os lo haré saber. Muchas gracias compañeros.
Hola Guillermo, ya he implementado con éxito en la empresa donde trabajo el Servidor VPN, sigo cada uno de tus post, los leo, los replico en ambientes virtualizados para comprenderlos mejor, pero disculpa mi ignorancia, no logro entender el beneficio que dices en tu último párrafo «…además puede ayudarnos para el caso de soporte a un usuario remoto»
Mil gracias por ocuparte de estos temas. un abrazo
Hola Sergio, me alegro te sirvan las notas, gracias por tu comentario
Estoy pensando en un ejemplo, si un usuario remoto no puede iniciar sesión, por ejemplo por corrupción de su perfil, o tiene problemas con una aplicación específica, y queremos ver qué sucede con un usuario diferente o nuevo, podemos crear un usuario provisorio e indicarle para que inicie sesión con este
Hola Guillermo, tienes pensado crear algún articulo de como unir dos controladores de dominio que están en diferentes sitios fuera de la red. Por ejemplo dos oficinas de la misma empresa pero en ciudades diferentes.
Hola Jesus, no por ahora, en realidad en el blog están todas las notas como para hacerlo: conectar sitios por VPN, creación de Sitios, Subnets y Site-links, y promoción de segundo Controlador de Dominio