Entendiendo DirectAccess
DirectAccess es una conexión siempre encendida que se activa en un entorno de VPN cuando un cliente quiere hacer conexión desde Internet cuando se encuentra en una red no confiable.
Trabajar con DirectAccess nos permite tener los siguientes beneficios:
- Conexión automática a una red de confianza cuando el cliente se conecta a Internet.
- Utiliza una variedad de Protocolos incluyendo el HTTP para activar la conectividad IPv6, esto permite a DirectAccess establecer las conexiones bajo cualquier circunstancia cuando una conexión a Internet este presente.
- Permite soporte de manejo remoto de clientes.
- Se integra con la aislación de servidor y dominio, así como con el NAP, esto permite mantener los clientes de una organización saludables siempre que esten conectados a Internet.
Configurar DirectAccess
Para realizar la configuración de DirectAccess debemos realizar los siguientes pasos:
- 1. Crear un grupo de seguridad en el Active Directory, añadir las cuentas de todas las computadoras que serán clientes de DirectAccess, este grupo puede tener un nombre como por ejemplo Clientes_DirectAccess de forma que sea más fácil recordar su propósito.
- 2. Asegurarnos de configurar el DNS con la siguiente configuración:
- La zona externa del DNS necesita tener un registro del mapping del FQDN de la interfaz externa del servidor DirectAccess a la IPv4 pública del servidor DirectAccess.
- Si se utiliza un certificado del CA de la organización, asegurarnos que el registro DNS existe en la ubicación CRL.
- Remover el ISATAP de la lista global del bloque de consultas en todos los servidores DNS de la organización.
- 3. Si se utiliza el CA de la organización, hay que configurar una plantilla de certificado apropiada así como también hacer deploy de una distribución CRL que pueda ser accedida por los clientes desde Internet.
- 4. Configurar los Firewall de todos los Hosts de la red de confianza, que pueda ser accesible a todos los clientes de DirectAccess.
- Instalar el rol de Acceso Remoto en la máquina que será el servidor DirectAccess.
- Abrir la consola de acceso remoto y elegir entre el Getting Started Wizard o el Remote Access Setup Wizard, el primero permite hacer un deploy rápido al administrador solo solicitando una cantidad de información mínima, en cambio la otra opción requiere información detallada, sin embargo es la mejor opción para configurar y personalizar el deploy.
- La página de configuración de acceso remoto del asistente de configuración de acceso remoto nos permite elegir entre hacer deploy de DirectAccess y VPN, solo DirectAccess o solo VPN.
- Una vez hecho lo anterior podremos acceder al diagrama con los pasos a seguir para concluir la configuración.
Con esto finalizamos el tutorial, con lo cual ya sabemos un poco más sobre el DirectAccess y lo que debemos realizar para hacer el deploy de esta configuración en un servidor con Windows Server 2012.