5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 1/62
Login
Twittear 11
febrero
15
Windows Server 2012: DirectAccess (Actualizado 15-02-2013)por Santiago Buitrago (ASIR INTRASITE) el 15/02/2013 11:40
Categoría: Windows Server
Ahora más que nunca las comunicaciones juegan un papel fundamental en el mundo empresarial, desde recibir el correo en nuestros SmartPhones
hasta conectarnos remotamente vía VDI a nuestro equipo personal. Las oficinas o centros de trabajo "permanentes" dejan de ser algo esencial
para las empresas, ahora las oficinas son los CPD de los proveedores de servicios de Data Center, nuestras salas de reuniones son las
conferencias online de Lync. De ahi que las comunicaciones juegan un papel fundamental en este modelo de negocio, y seguramente en cualquier
otro en el cual tengamos usuarios itinerantes. Pero ahora nuestro principal problema es la seguridad y disponibilidad de los servicios. Además,
debemos pensar en la "comodidad" de los usuarios para acceder a la información de la empresa, y que el personal de soporte pueda responder con rapidez a las peticiones de los usuarios.
Desde hace muchos años disponemos de diferentes formas de conectarnos a nuestra infraestructura de forma segura, y casi todas ellas pasan por conectarnos mediante una VPN en sus múltiples variantes
(IPSec, SSH, SSL, PPTP, SSTP, etc...). Pero esto siempre ha llevado consigo ciertos inconvenientes, como son:
Configuraciones manuales en los equipos clientes
Hardware específico para los terminadores VPN
Filtro de puertos desde redes públicas: Hoteles, Redes Empresariales, Wireless Públicas, etc..
Formación a los usuarios
Soporte a los usuarios remotos
Posteriormente han ido surgiendo nuevas tecnologías o servicios que iban haciendo más sencillo este tipo de implementaciones, cumpliendo por lo menos el objetivo final que era conectarse remotamente a los
servidores de la empresa. TS Gateway es uno de esos nuevos servicios que "solucionaba" o pretendía eliminar la complejidad de las conexiones VPN, además de facilitar la conexión a los usuarios sin que para
ello tengamos que comprometer la seguridad de la empresa. Al final no deja de ser una conexión tunelizada hacia servidores RDS exponiendo para ello un servicio bajo el protocolo SSL. Pero en muchas
ocasiones queremos que los usuarios remotos trabajen directamente desde sus estaciones de trabajo, lo cual en muchas ocasiones resulta más fácil y ágil. Además, queremos que nuestros equipos del dominio
cuando estén físicamente fuera de la organización (si adoptamos el modelo de negocio basado en la nube esto ya es el "por defecto") se encuentren adecuadamente protegidos al igual que nuestros usuarios
A 37 personas les gusta esto. Sé el primero de tus amigos.Me gusta Compartir
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 2/62
y su información. Con esta filosofía nació DirectAccess en Windows Server 2008 R2, una tecnología que sin necesidad de VPN nos mantiene conectados a nuestra organización desde antes de iniciar sesión
en nuestro equipo. El problema que inicialmente tenía esta tecnología eran los requisitos a nivel de infraestructura, puesto que no todas las empresas podrían optar a esas exigencias técnicas (
DirectAccess):
Uno o varios servidores de DirectAccess que ejecuten Windows Server 2008 R2 (con o sin UAG) con dos adaptadores de red: uno conectado directamente a Internet y otro conectado a la intranet. Los
servidores de DirectAccess deben ser miembros de un dominio de AD DS.
En el servidor de DirectAccess, al menos dos direcciones IPv4 públicas consecutivas asignadas al adaptador de red que está conectado a Internet.
Equipos cliente de DirectAccess que ejecuten Windows 7 Enterprise o Ultimate. Los clientes de DirectAccess deben ser miembros de un dominio de AD DS.
Al menos un controlador de dominio y un servidor DNS que ejecute Windows Server 2008 SP2 o Windows Server 2008 R2. Cuando se usa UAG, DirectAccess se puede implementar con servidores DNS y
controladores de dominio que ejecutan Windows Server 2003 cuando la funcionalidad NAT64 está habilitada.
Una infraestructura de clave pública (PKI) para emitir certificados de equipo y, opcionalmente, certificados de tarjeta inteligente para la autenticación de este tipo de tarjetas y certificados de
mantenimiento para NAP.
Sin UAG, un dispositivo NAT64 opcional para proporcionar acceso a recursos de solo IPv4 para los clientes de DirectAccess. DirectAccess con UAG proporciona un dispositivo NAT64 integrado.
Estos requisitos eran más o menos asequibles por cualquier empresa, el problema era la necesidad de tener direccionamiento IPv6. Puesto que para muchas organizaciones era inviable el adaptar todos los
elementos de red y servidores a esta nueva versión de IP. Está claro que antes o después las empresas cambiarán a IPv6, cuando salió DirectAccess con Windows Server 2008 R2 aún quedaba (y creo que
queda) mucho camino por recorrer en este tema. Desde luego la tecnología era la adecuada y solventaba todos los problemas de antaño:
No más VPN de acceso remoto
Posibilidad de soporte remoto desde el dpto. de IT hacia los usuarios remotos
Facilidad de gestión y mantenimiento
etc..
Pero con la l legada de Windows Server 2012 todo ha vuelto a dar un giro de 180o y los requisitos son más asequibles para la mayoría de las empresas:
No es necesario tener una infraestructura de clave pública (PKI)
Necesitamos únicamente una dirección IP pública versión 4 y convive con NAT
No tener deshabilitado IPv6 en nuestra red
Necesitamos un DC y un DNS server en Windows Server 2012
Una vez que hemos visto muy por encima los requisitos necesarios para implementar Direct Access, vamos a ver su configuración. Primero os muestro el esquema que he montado
para este LAB:
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 3/62
Aquí os muetros los datos IP del esquema que util izaremos en el LAB
SERVIDOR ROL IP 1 (LAN)
SRV-DA00 DIRECT ACCESS 192.168.250.96
SRV-DC00 ADDS, CA, DNS 192.168.250.200
SRV-CRM00 CRM 192.168.250.100
SRV-SP00 SHAREPOINT 192.168.250.101
SRV-MAIL00 EXCHANGE SERVER 192.168.250.102
ASIRPORT01 Cliente de DirectAccess 192.168.00/24
La subred 192.168.250.0/24 pertenece a la VLAN 5 y la subred 172.16.0.0/28 pertenece a la VLAN 10
El firewall tiene varias IP Públicas pero solo utilizaremos una IP v4 para el servicio del Direct Access. Está configurado NAT en el firewall y se ha configurado
DMZ del DA. El resto de la red es muy sencilla, tenemos dos servidores físicos, el DC (SRV-DC00) y el que tiene el hypervisor habilitado (SRV-MV00) que virtualiza las distintas máquinas virtuales (SRV-DA00,
SRV-CRM00, SRV-SP00, SRV-MAIL00). Estas máquinas virtuales las utilizaremos para comprobar que podemos llegar a ellas desde el cliente conectado mediante
conectado en otra ubicación y conectado a Internet mediante una línea de ADSL de 15MB(down)/1,5MB(up), además el equipo ya está unido al dominio con anterioridad.
Vamos a empezar con la configuración de DirectAccess desde el principio, así que una vez instalado el Windows Server 2012 debemos empezar por agregar el ROL de Acceso Remoto
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 4/62
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 5/62
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 6/62
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 7/62
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 8/62
Nosotros solo vamos a elegir DirectAcces y VPN (RAS)
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 9/62
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 10/62
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 11/62
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 12/62
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 13/62
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 14/62
Una vez que ha finalizado la instalación, procederemos a la configuración del servicio
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 15/62
La configuración la podemos hacer bien por el asistente o manualmente, en este caso lo haremos mediante el asistente, y en nuestro caso solo queremos configurar
ahora está comprobando si la máquina cumple con los requisitos necesarios
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 16/62
Ahora debemos elegir la topología de servidor:
Perimetral: debemos tener dos direcciones IP Públicas contiguas (IPv4 o IPv6) si usamos Teredo. Sino util izamos Teredo podemos util izar una sola IP v4 o v6
Detrás de un dispositivo perimetral (con dos adaptadores): cada adaptador debe tener una IP v4 o v6, la interface LAN debe ser una IP privada.
Tras un dispositivo perimetral (con un solo adaptador de red): está también detrás de un dispositivo de seguridad pero con una única tarjeta de red, con una IP privada
Nosotros vamos a escoger la segunda opción y como nombre público para acceder al DirectAccess será vpn.asirsl.com, recordad que este registro DNS debemos tenerlo creado en
nuestro servidor DNS externo
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 17/62
como vemos en la captura anterior tenemos la posibil idad de editar la configuración antes de que se aplique, esto podemos hacerlo desde la palabra que tenemos subrayada "
revisamos la configuración antes de aplicarse. Como vemos podemos especificar que equipos tendrán acceso al DirectAccess
IPs configuradas en el servidor de DA
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 18/62
si los datos están correctos pulsamos en Aceptar y aplicará la configuación
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 19/62
Una vez creada la configuración nos muestra el resultado, si existen advertencias nos mostrará cual es el problema. En nuestro caso solo nos comenta que si queremos configurar la
opción de multisitio o clúster debemos revisarlo (esto lo veremos en otro artículo)
Para revisar la configuración abrimos la consola de administración de acceso remoto, desde aquí podemos editar "manualmente" la configuración
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 20/62
Paso 1, configuramos el tipo de implementación. Nosotros elegimos la primera opción en donde configuramos que podemos disponer de administración remota en los equipos que están conectados mediante
DirectAccess
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 21/62
Ahora añadimos el grupo de equipos que tendrán acceso mediante DirectAccess a la organización, por defecto está el grupo Equipos del Dominio, yo he creado un grupo específico porque no quiero que todos
los equipos tengan acceso de DirectAccess. Desmarcamos las siguientes opciones porque no queremos que solo los portátiles se puedan conectar ni que la navegación a Internet se haga desde el
DirectAccess
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 22/62
En este paso debemos tener mucho cuidado y es muy importante que esté correctamente configurado. El nombre FQDN que nos muestra corresponde a una web creada por defecto para que el equipo si
resuelve el nombre sabrá que se encuentra dentro de la red. Este registro DNS tipo A debéis crearlo solo en el servidor DNS INTERNO. Nosotros podemos crear otros recursos si lo consideramos oportuno. El
nombre por defecto es: directaccess-WebProbehost.nombre_dominio.
Nombre del alias: directaccess-WebProbehost
Dirección IP: 192.168.250.96 (DirectAccess)
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 23/62
También podemos configurar una dirección de correo de soporte por si los usuarios tienen algún problema que conozcan con quien pueden contactar. Y si queremos que los clientes de
DNS locales del equipo debemos habilitar casilla de Permitir que los clientes DirectAccess use la resolución local de nombres. También comentar que la resolución de DirectAcces no enviará las
consultas DNS a nombres de etiqueta única al servidor DNS corporativo, sino que lo hará utilizando la resolución local usando LLMNR y NetBios
Paso 2, servidor de acceso remoto. Aquí configuraremos las distintas opciones del servidor de DirectAccess
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 24/62
Podemos elegir las interfaces del servidor para los perfiles externo o interno, además de seleccionar el certificado autofirmado que util izaremos para autenticar las conexiones IP-
HTTPS. Si queremos util izar un certificado de nuestra CA debemos desmarcar la casil la Usar un certificado autofirmado.... y seleccionar el certificado que queremos usar desde el
almacén de certificados local del equipo. Por lo que previamente debemos instalar el certificado que queremos util izar, pero si queremos util izar el autofirmado ya lo tenemos
instalado, solo debemos seleccionarlo. Siendo un certificado autofirmado debería mostrarnos una alerta en los equipos clientes porque no será de confianza para el resto de equipos,
pero esto se soluciona con la GPO que se ha creado con la configuración del DirectAccess (Configuración del cliente de DirectAccess
de confianza para los equipos a los cuales se les aplica la directiva:
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 25/62
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 26/62
Elegimos el método de autenticación de usuario: Credenciales de Active Directory (nombre de usuario y contraseña). Sin queremos obtener compatibilidad con clientes Windows 7 debemos marcar la
opción correspondiente, al igual que si queremos utilizar NAP (lo veremos en otro artículo) que es muy interesante tenerlo habilitado. Así podremos permitir la conexión a la red con DirectAccess siempre y
cuando el equipo cumpla unos requisitos mínimos de "salud" (antivirus, antispyware) y seguridad (firewall, antivirus, actualizaciones automáticas)
Paso 3, nos permite configurar a que servidores tendrán acceso los clientes DirectAccess antes de conectarse a los recursos internos. Además elegimos el certificado que el servidor utilizará para
autenticarse, y como podemos observar tenemos la posibilidad de utilizar certificados autofirmados (en nuestro caso es un certificado emitido por nuestra CA)
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 27/62
Aquí configuramos el split-dns si tenemos el mismo nombre de dominio interno y externo. Podemos definir que host queremos evitar que se resuelvan internamente, si util izamos Lync
debemos establecer las siguientes exclusiones, de tal forma que estos registros el cl iente los resolverá en el DNS externo:
Ámbito Tipo FQDN Servicio
Externo SRV _sip._tls.asirsl.com Descubrimiento automático de los servidores de acceso de Lync
Externo A sip.asirsl.com Interface Externa del EDGE de Acceso
Externo A webconf.asirsl.com Interface Externa del EDGE de Conferencia
Externo A av.asirsl.com Interface Externa del EDGE de AV
Externo A lync.asirsl.com Servicios Web del Front-END (ABS, etc...)
Externo A meet.asirsl.com URL de las reuniones online
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 28/62
Externo A dialin.asirsl.com URL de Conferencia Telefónica
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 29/62
Si tenemos servidores de remediación o actualizaciones podemos especificarlos en esta pantalla del asistente
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 30/62
Paso 4, configuraremos a que servidores tendrán acceso los clientes DirectAccess
Podemos crear un grupo de seguridad y añadir como miembros a los servidores a los cuales los clientes DirectAccess tendrán acceso
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 31/62
Una vez aplicada la configuración podemos revisarla mediante la consola de DirectAccess, tenemos varias opciones que vamos a ver a continuación:
CONFIGURACIÓN, nos muestra el esquema de la configuración del DirectAccess de manera gráfica y podemos editarla en cualquier momento
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 32/62
PANEL, nos muestra el estado del servidor y resumen de los clientes conectados
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 33/62
ESTADO DE LAS OPERACIONES, estado de los servicios
ESTADO DEL CLIENTE REMOTO, muestra el resumen del los clientes conectados
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 34/62
GENERACIÓN DE INFORMES, nos muestras las estadísticas de conexión pero antes debemos configurarlo. Pulsamos en Configuración cuentas
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 35/62
yo voy a seleccionar las dos casillas y así usaremos un servidor RADIUS y los registros almacenados con WID
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 36/62
Ahora debemos configurar ambas opciones, primero vamos a empezar con RADIUS. En mi caso tengo un servidor NPS que util izo para la autenticación de la red inalámbrica,
autenticación de dispositivos de seguridad (Routers, AP, Switchs, etc..) para su administración. La configuración del NPS no la voy a describir en este artículo, únicamente comenta que
debemos dar de alta el cl iente RADIUS en el NPS que será nuestro servidor de DirectAccess (SRV-DA00). Una vez configurado con su pre-shared-key configuramos el
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 37/62
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 38/62
La configuración de las cuentas de la bandeja de entrada es "automática", con seleccionarlo es suficiente a excepción del tiempo que queremos almacenar los registros. Además tenemos la posibilidad de
borrar los registros manualmente entre fechas o todos los registros.
Ahora podemos ejecutar un informe y ver el registro de conexiones, protocolo, duración, etc...
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 39/62
Ahora que tenemos el servidor preparado, solo queda probar la configuración en un cliente. El equipo que utilice DirectAccess debe ser obligatoriamente miembro del dominio (aunque podemos configurarlo
offline), yo os recomiendo que primero tengáis el equipo unido al dominio y que se apliquen las directivas correspondientes. De esta forma garantizamos que se aplican correctamente todas las directivas, y
posteriormente podemos conectarnos desde Internet y verificar que nos conecta vía DirectAccess. Cuando se crea la configuración del servidor se crean dos directivas de grupo que vamos ver a
continuación:
Configuración del cliente de DirectAccess, configuración aplicada a los equipos que util izarán DirectAccess y como vemos nosotros la hemos fi ltrado para que se aplique al grupo de
seguridad ACL DA Equipos Remotos
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 40/62
General
Detalles
Vínculos
Ubicación Aplicado Estado de vínculo
asirsl No Habilitado
Filtrado de seguridad
La configuración en este GPO sólo se puede aplicar a los grupos, usuarios y equipos siguientes:
Nombre
ASIRSL\ACL DA Equipos Remotos
Delegación
Estos grupos y usuarios tienen los permisos especificados para este GPO
Nombre Permisos válidos Heredado
ASIRSL\ACL DA Equipos Remotos Lectura (de Filtrado de seguridad) No
ASIRSL\Administradores de organización Editar configuración, eliminar, modificar seguridad No
ASIRSL\Admins. del dominio Editar configuración, eliminar, modificar seguridad No
NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS Lectura No
NT AUTHORITY\SYSTEM Editar configuración, eliminar, modificar seguridad No
NT AUTHORITY\Usuarios autentificados Lectura No
Configuración del equipo (habilitada)
Directivas
Configuración de Windows
Configuración de seguridad
Directivas de clave pública/Entidades de certificación raíz de confianza
Propiedades
Directiva Configuración
Permitir a los usuarios seleccionar nuevas entidades de certificación raíz de confianza Habilitado
Los equipos cliente pueden confiar en los siguientes almacenes de certificados Entidades de certificación raíz de terceros y entidades de certificación raíz de empresa
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 41/62
Para realizar la autenticación de usuarios y equipos basada en certificados, las CA deben cumplir los
siguientes criterios
Sólo los registrados en Active Directory
Certificados
Emitido para Emitido por Fecha de expiración
vpn.asirsl.com vpn.asirsl.com 08/12/2017 10:41:13
Firewall de Windows con seguridad avanzada
Configuración global
Directiva Configuración
Versión de directivas 2.20
Deshabilitar FTP con estado No configurado
Deshabilitar PPTP con estado No configurado
Exención de IPsec ICMP
IPsec a través de NAT No configurado
Codificación de clave previamente compartida No configurado
Tiempo inactivo de SA No configurado
Comprobación CRL fuerte No configurado
Reglas de salida
Nombre Descripción
Redes principales: IPHTTPS (TCP de salida) Regla de TCP de salida que permite a la tecnología de tunelización IPHTTPS ofrecer conectividad
mediante proxy y firewalls HTTP.
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Seguridad Requerir autenticación
Equipos autorizados
Protocolo 6
Puerto local Cualquiera
Puerto remoto Cualquiera
Configuración ICMP Cualquiera
Ámbito local Cualquiera
Ámbito remoto Cualquiera
Perfil Privado, Público
Tipo de interfaz de red Todo
Servicio iphlpsvc
Grupo DirectAccess
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 42/62
Configuración de seguridad de conexión
Reglas
Nombre Descripción
Directiva de DirectAccess-ClientToCorpSimplified
Habilitado Verdadero
Modo de autenticación Requerir entrada y salida
Extremo 1 Cualquiera
Extremo 2 fd2a:5665:1c13:1::/64, fd2a:5665:1c13:7777::/96, fd2a:5665:1c13:3333::1
Puerto de extremo 1 Cualquiera
Puerto de extremo 2 Cualquiera
Primera autenticación {7E1D399E-1B67-4BF3-A4F8-D2BC9ACB9307}
Segunda autenticación {906355D1-60D4-4A72-9669-F65343A94F52}
Protección de datos {4BFB5930-44FF-4ABF-BE75-E30AA8DD688D}
Protocolo Cualquiera
Perfil Privado, Público
Extremo de túnel 1 Cualquiera
Extremo de túnel 2 Cualquiera
Tipo de interfaz de red Cualquiera
Directiva de DirectAccess-ClientToNlaExempt
Habilitado Verdadero
Modo de autenticación No autenticar
Extremo 1 fd2a:5665:1c13:1::/64
Extremo 2 fd2a:5665:1c13:7777::c0a8:fa60, fd2a:5665:1c13:1:0:5efe:192.168.250.96
Puerto de extremo 1 Cualquiera
Puerto de extremo 2 443
Protocolo 6
Perfil Privado, Público
Extremo de túnel 1 Cualquiera
Extremo de túnel 2 Cualquiera
Tipo de interfaz de red Cualquiera
Directiva de DirectAccess-ClientToDNS64NAT64PrefixExemption
Habilitado Verdadero
Modo de autenticación No autenticar
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 43/62
Extremo 1 Cualquiera
Extremo 2 fd2a:5665:1c13:7777::/96
Puerto de extremo 1 Cualquiera
Puerto de extremo 2 Cualquiera
Protocolo Cualquiera
Perfil Privado, Público
Extremo de túnel 1 Cualquiera
Extremo de túnel 2 Cualquiera
Tipo de interfaz de red Cualquiera
Primera autenticación
Nombre Descripción
DirectAccess: conjunto de autenticación de fase 1 {7E1D399E-1B67-4BF3-A4F8-D2BC9ACB9307} DirectAccess: conjunto de autenticación de fase 1
Versión 2.20
Autenticación Equipo Kerberos
Segunda autenticación
Nombre Descripción
DirectAccess: conjunto de autenticación de fase 2 {906355D1-60D4-4A72-9669-F65343A94F52} DirectAccess: conjunto de autenticación de fase 2
Versión 2.20
Autenticación Usuario Kerberos
Intercambio de claves (modo principal)
Nombre Descripción
Conjunto predeterminado DirectAccess: conjunto criptográfico de fase 1
Versión 2.20
Vigencia de la clave en minutos 480
Vigencia de la clave en sesiones 0
Omitir versión 2.0
Intercambio de claves Grupo Diffie-Hellman 2
Cifrado AES-128
Integridad MD5
Omitir versión 0.0
Intercambio de claves Grupo Diffie-Hellman 2
Cifrado AES-128
Integridad SHA-1
Omitir versión 0.0
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 44/62
Intercambio de claves Grupo Diffie-Hellman 2
Cifrado 3DES
Integridad SHA-1
Protección de datos (modo rápido)
Nombre Descripción
DirectAccess: conjunto criptográfico de fase 2 {4BFB5930-44FF-4ABF-BE75-E30AA8DD688D} DirectAccess: conjunto criptográfico de fase 2
Versión 2.20
Confidencialidad directa total Deshabilitado
Omitir versión 0.0
Protocolo ESP
Cifrado AES-192
Integridad ESP SHA-1
Vigencia de la clave en minutos 60
Vigencia de la clave en kilobytes 100000
Omitir versión 0.0
Protocolo ESP
Cifrado AES-128
Integridad ESP SHA-1
Vigencia de la clave en minutos 60
Vigencia de la clave en kilobytes 100000
Directiva de resolución de nombres
Configuración global
Avanzadas
Configuración global
Directiva Valor
Dependencia de ubicación de red No configurado
Error en consulta Revertir siempre a Resolución de nombres de multidifusión local de vínculos (LLMNR) y NetBIOS si el
nombre no existe en DNS o si no se puede establecer contacto con los servidores DNS cuando se
encuentre en una red privada (seguridad moderada)
Resolución de consulta No configurado
Configuración de regla
Espacio de nombres
.asirsl.com
Directiva Valor
Espacio de nombres .asirsl.com
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 45/62
Entidad de certificación Vacío
Configuración Acceso directo
DNSSEC (validación) No configurado
DNSSEC (IPsec) No configurado
DNSSEC (cifrado IPsec) No configurado
Acceso directo (IPsec) No
Acceso directo (cifrado IPsec) Sin cifrado (sólo integridad)
Acceso directo (configuración de proxy) No usar proxy web
Acceso directo (proxy web) Vacío
Acceso directo (servidores DNS) fd2a:5665:1c13:3333::1
Versión 1
vpn.asirsl.com
Directiva Valor
Espacio de nombres vpn.asirsl.com
Entidad de certificación Vacío
Configuración Acceso directo
DNSSEC (validación) No configurado
DNSSEC (IPsec) No configurado
DNSSEC (cifrado IPsec) No configurado
Acceso directo (IPsec) No
Acceso directo (cifrado IPsec) Sin cifrado (sólo integridad)
Acceso directo (configuración de proxy) Usar valor predeterminado
Acceso directo (proxy web) Vacío
Acceso directo (servidores DNS) Vacío
Versión 1
SRV-DA00.asirsl.com
Directiva Valor
Espacio de nombres SRV-DA00.asirsl.com
Entidad de certificación Vacío
Configuración Acceso directo
DNSSEC (validación) No configurado
DNSSEC (IPsec) No configurado
DNSSEC (cifrado IPsec) No configurado
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 46/62
DNSSEC (cifrado IPsec) No configurado
Acceso directo (IPsec) No
Acceso directo (cifrado IPsec) Sin cifrado (sólo integridad)
Acceso directo (configuración de proxy) Usar valor predeterminado
Acceso directo (proxy web) Vacío
Acceso directo (servidores DNS) Vacío
Versión 1
Plantillas administrativas
Definiciones de directiva (archivos ADMX) recuperados del almacén central.
Red/Configuración de TCPIP/Tecnologías de transición IPv6
Directiva Configuración Comentario
Estado de IP-HTTPS Habilitado
Escriba al dirección URL IPHTTPS: https://vpn.asirsl.com:443/IPHTTPS
Seleccione el estado de la interfaz entre las siguientes opciones: Estado Predeterminado
Red/Indicador de estado de conectividad de red
Directiva Configuración Comentario
Dirección de host de sondeo del DNS corporativo Habilitado
Dirección de sondeo del DNS corporativo: fd2a:5665:1c13:7777::7f00:1
Especifique la dirección DNS esperada que debe
sondear el nombre de host corporativo.
Ejemplo:
2001:4898:28:3:38a1:c31:7b3d:bf0
Directiva Configuración Comentario
Dirección URL de sondeo del sitio web corporativo Habilitado
Dirección URL de sondeo del sitio web corporativo: http://directaccess-WebProbeHost.asirsl.com
Especifique la dirección URL del sitio web corporativo que se debe
usar para sondear la conectividad corporativa.
Ejemplo:
http://ncsi.corp.microsoft.com/
Directiva Configuración Comentario
Dirección URL para determinar la ubicación del dominio Habilitado
Dirección URL para determinar la ubicación del dominio corporativo: https://SRV-DA00.asirsl.com:443/insideoutside
Especifique la dirección URL HTTPS del sitio web corporativo que se debe
usar para determinar la ubicación dentro o fuera del dominio.
Ejemplo:
https://nid.corp.microsoft.com/
Directiva Configuración Comentario
Lista de prefijos de sitios corporativos Habilitado
Lista de prefijos de sitios corporativos: fd2a:5665:1c13:1::/64,fd2a:5665:1c13:7777::/96,fd2a:5665:1c13:1000::1/128,fd2a:5665:1c13:1000::2/128
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 47/62
Especifique la lista de prefijos de sitios IPv6 corporativos
cuya disponibilidad se debe comprobar para detectar
la conectividad corporativa.
Sintaxis:
La lista debe estar separada por comas sin
espacios adicionales en blanco.
Ejemplo:
fe80::/9,fe81::/9
Directiva Configuración Comentario
Nombre de host de sondeo del DNS corporativo Habilitado
Nombre de host de sondeo del DNS corporativo: directaccess-corpConnectivityHost.asirsl.com
Especifique un nombre de host corporativo que se debe resolver
para sondear la conectividad corporativa.
Ejemplo:
ncsi.corp.microsoft.com
Configuración adicional del Registro
No se encontraron los nombres para mostrar de algunos valores. Puede resolver este problema actualizando los archivos .ADM que usa Administración de directivas de grupo.
Configuración Estado
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\KdcProxy\ProxyServers\* <https vpn.asirsl.com />
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\KdcProxyServer_Enabled 1
SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\NoRevocationCheck 1
SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant\DTEs\PING:fd2a:5665:1c13:1000::1 PING:fd2a:5665:1c13:1000::1
SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant\DTEs\PING:fd2a:5665:1c13:1000::2 PING:fd2a:5665:1c13:1000::2
SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant\FriendlyName Conexión al área de trabajo
SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant\Probes\HTTP:http://directaccess-
WebProbeHost.asirsl.com
HTTP:http://directaccess-WebProbeHost.asirsl.com
SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant\ShowUI 1
SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\Config\GlobalVersion {C694605C-C272-4B3E-9AA7-C47B56FEAD2C}
SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\Config\SiteVersion {5ED258D7-2FBB-4696-87ED-6DF056DA57AF}
SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\Config\TimeStamp 20121208084126.980000+000
SOFTWARE\Policies\Microsoft\Windows\Tcpip\v6Transition\IPHTTPS\iphttpsinterface\InterfaceRole 0
SOFTWARE\Policies\Microsoft\Windows\Tcpip\v6Transition\IPHTTPS\iphttpsinterface\IPHTTPS_NoRevocationCheck 1
SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters\SMB1NATCompatibilityLevel 1
Si ahora en el equipo cliente revisamos las configuración avanzada del firewall y vamos a la sección Reglas de conexión de seguridad, vemos la configuración aplicada desde la GPO
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 48/62
si ahora vamos al apartado de Asociaciones de seguridad y vamos Modo Principal vemos la conexión completada
Configuración del cliente de DirectAccess, directiva aplicada y filtrada para los servidores de DirectAccess
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 49/62
General
Ubicación Aplicado Estado de vínculo
asirsl No Habilitado
Filtrado de seguridad
La configuración en este GPO sólo se puede aplicar a los grupos, usuarios y equipos siguientes:
Nombre
ASIRSL\SRV-DA00$
Delegación
Estos grupos y usuarios tienen los permisos especificados para este GPO
Nombre Permisos válidos Heredado
ASIRSL\Administradores de organización Editar configuración, eliminar, modificar seguridad No
ASIRSL\Admins. del dominio Editar configuración, eliminar, modificar seguridad No
ASIRSL\SRV-DA00$ Lectura (de Filtrado de seguridad) No
NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS Lectura No
NT AUTHORITY\SYSTEM Editar configuración, eliminar, modificar seguridad No
NT AUTHORITY\Usuarios autentificados Lectura No
Configuración del equipo (habilitada)
Directivas
Configuración de Windows
Configuración de seguridad
Firewall de Windows con seguridad avanzada
Configuración global
Directiva Configuración
Versión de directivas 2.20
Deshabilitar FTP con estado No configurado
Deshabilitar PPTP con estado No configurado
Exención de IPsec ICMP
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 50/62
Exención de IPsec ICMP
IPsec a través de NAT No configurado
Codificación de clave previamente compartida No configurado
Tiempo inactivo de SA No configurado
Comprobación CRL fuerte No configurado
Reglas de entrada
Nombre Descripción
Redes principales: IPHTTPS (TCP de entrada) Regla de TCP de entrada que permite a la tecnología de tunelización IPHTTPS ofrecer conectividad
mediante proxy y firewalls HTTP.
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Seguridad Requerir autenticación
Equipos autorizados
Usuarios autorizados
Protocolo 6
Puerto local Cualquiera
Puerto remoto Cualquiera
Configuración ICMP Cualquiera
Ámbito local Cualquiera
Ámbito remoto Cualquiera
Perfil Privado, Público
Tipo de interfaz de red Todo
Servicio iphlpsvc
Permitir cruce seguro del perímetro Falso
Grupo DirectAccess
Servidor de nombres de dominio (UDP de entrada) Regla de permiso de entrada para permitir el tráfico en el servidor DNS64 implementado en el servidor
de acceso remoto.
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Seguridad Requerir autenticación
Equipos autorizados
Usuarios autorizados
Protocolo 17
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 51/62
Puerto local 53
Puerto remoto Cualquiera
Configuración ICMP Cualquiera
Ámbito local fd2a:5665:1c13:3333::1
Ámbito remoto Cualquiera
Perfil Todo
Tipo de interfaz de red Todo
Servicio iphlpsvc
Permitir cruce seguro del perímetro Falso
Grupo DirectAccess
Servidor de nombres de dominio (TCP de entrada) Regla de permiso de entrada para permitir el tráfico en el servidor DNS64 implementado en el servidor
de acceso remoto.
Habilitado Verdadero
Programa %SystemRoot%\system32\svchost.exe
Acción Permitir
Seguridad Requerir autenticación
Equipos autorizados
Usuarios autorizados
Protocolo 6
Puerto local 53
Puerto remoto Cualquiera
Configuración ICMP Cualquiera
Ámbito local fd2a:5665:1c13:3333::1
Ámbito remoto Cualquiera
Perfil Todo
Tipo de interfaz de red Todo
Servicio iphlpsvc
Permitir cruce seguro del perímetro Falso
Grupo DirectAccess
Configuración de seguridad de conexión
Reglas
Nombre Descripción
Directiva de DirectAccess-DaServerToCorpSimplified
Habilitado Verdadero
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 52/62
Habilitado Verdadero
Modo de autenticación Requerir entrada y salida
Extremo 1 fd2a:5665:1c13:1::/64, fd2a:5665:1c13:7777::/96, fd2a:5665:1c13:3333::1
Extremo 2 Cualquiera
Puerto de extremo 1 Cualquiera
Puerto de extremo 2 Cualquiera
Primera autenticación {A95AAFD6-1B41-44F1-A919-BBD766C30B71}
Segunda autenticación {73364DAD-C117-4EF9-A8FA-DBBB2266CDDB}
Protección de datos {3D5760F4-C034-4F26-AF12-17B559FDEB0F}
Protocolo Cualquiera
Perfil Privado, Público
Extremo de túnel 1 Cualquiera
Extremo de túnel 2 Cualquiera
Tipo de interfaz de red Cualquiera
Primera autenticación
Nombre Descripción
DirectAccess: conjunto de autenticación de fase 1 {A95AAFD6-1B41-44F1-A919-BBD766C30B71} DirectAccess: conjunto de autenticación de fase 1
Versión 2.20
Autenticación Equipo Kerberos
Segunda autenticación
Nombre Descripción
DirectAccess: conjunto de autenticación de fase 2 {73364DAD-C117-4EF9-A8FA-DBBB2266CDDB} DirectAccess: conjunto de autenticación de fase 2
Versión 2.20
Autenticación Usuario Kerberos
Intercambio de claves (modo principal)
Nombre Descripción
Conjunto predeterminado DirectAccess: conjunto criptográfico de fase 1
Versión 2.20
Vigencia de la clave en minutos 480
Vigencia de la clave en sesiones 0
Omitir versión 2.0
Intercambio de claves Grupo Diffie-Hellman 2
Cifrado AES-128
Integridad MD5
Omitir versión 0.0
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 53/62
Omitir versión 0.0
Intercambio de claves Grupo Diffie-Hellman 2
Cifrado AES-128
Integridad SHA-1
Omitir versión 0.0
Intercambio de claves Grupo Diffie-Hellman 2
Cifrado 3DES
Integridad SHA-1
Protección de datos (modo rápido)
Nombre Descripción
DirectAccess: conjunto criptográfico de fase 2 {3D5760F4-C034-4F26-AF12-17B559FDEB0F} DirectAccess: conjunto criptográfico de fase 2
Versión 2.20
Confidencialidad directa total Deshabilitado
Omitir versión 0.0
Protocolo ESP
Cifrado AES-192
Integridad ESP SHA-1
Vigencia de la clave en minutos 60
Vigencia de la clave en kilobytes 100000
Omitir versión 0.0
Protocolo ESP
Cifrado AES-128
Integridad ESP SHA-1
Vigencia de la clave en minutos 60
Vigencia de la clave en kilobytes 100000
Plantillas administrativas
Configuración Estado
Software\Policies\Microsoft\Windows\RemoteAccess\Config\6To4\Enable6to4 2
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Inbox\Mode 1
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Radius\Mode 2
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Radius\srv-
central1.asirsl.com\AccountingMsgs
0
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Radius\xxxxxxxx.asirsl.com\Address xxx.asirsl.com
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Radius\srv-
central1.asirsl.com\InitialScore
30
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 54/62
central1.asirsl.com\InitialScore
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Radius\srv-
central1.asirsl.com\PortNo
1813
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Radius\srv-central1.asirsl.com\S-1-
5-21-1441895848-2563715459-1397627946-6126\SharedSecret
Formato de datos desconocido
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Radius\xxxxx.asirsl.com\TimeOut 5
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Authentication\Radius\Mode 1
Software\Policies\Microsoft\Windows\RemoteAccess\Config\ClientGPOs asirsl.com\{44A9DAC0-41A1-49F6-8985-7CFB3E67A4BD}
Software\Policies\Microsoft\Windows\RemoteAccess\Config\ConnectTo vpn.asirsl.com
Software\Policies\Microsoft\Windows\RemoteAccess\Config\CreatedGPOs asirsl.com\{44A9DAC0-41A1-49F6-8985-7CFB3E67A4BD}
asirsl.com\{D8126100-8EC6-47B2-90CF-ABDF3006F860}
Software\Policies\Microsoft\Windows\RemoteAccess\Config\DefaultDnsServers fd2a:5665:1c13:3333::1
Software\Policies\Microsoft\Windows\RemoteAccess\Config\DefaultNRPTSuffix asirsl.com
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Dns64Nat64Prefix fd2a:5665:1c13:7777::/96
Software\Policies\Microsoft\Windows\RemoteAccess\Config\DnsServers fd2a:5665:1c13:3333::1
Software\Policies\Microsoft\Windows\RemoteAccess\Config\DTE1 fd2a:5665:1c13:1000::1
Software\Policies\Microsoft\Windows\RemoteAccess\Config\DTE2 fd2a:5665:1c13:1000::2
Software\Policies\Microsoft\Windows\RemoteAccess\Config\GlobalVersion {EB60772D-266A-4B74-B0E0-A69FE68298DA}
Software\Policies\Microsoft\Windows\RemoteAccess\Config\GlobalWebProbeURL directaccess-WebProbeHost.asirsl.com
Software\Policies\Microsoft\Windows\RemoteAccess\Config\IpHttps\InterfaceRole 1
Software\Policies\Microsoft\Windows\RemoteAccess\Config\IpHttps\State 2
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Isatap\IsatapPrefix fd2a:5665:1c13:1::/64
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Isatap\IsatapState 2
Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-1441895848-
2563715459-1397627946-6126\Internalinterface
{D3FBFCF6-25AD-443A-A55B-A401A3A7DC5A}
Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-1441895848-
2563715459-1397627946-6126\Internetinterface
{B776CA73-ADEB-40C7-9EB2-EDEE06C1A690}
Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-1441895848-
2563715459-1397627946-6126\IpHttpscert
Formato de datos desconocido
Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-1441895848-
2563715459-1397627946-6126\IpHttpsCertName
vpn.asirsl.com
Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-1441895848-
2563715459-1397627946-6126\IpHttpsPrefix
fd2a:5665:1c13:1000::/64
Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-1441895848-
2563715459-1397627946-6126\Nlscert
Formato de datos desconocido
Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-1441895848-
2563715459-1397627946-6126\ServerCertForRadius
Formato de datos desconocido
Software\Policies\Microsoft\Windows\RemoteAccess\Config\ManagementServerInfo
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Nls\NlsCertName SRV-DA00.asirsl.com
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Nls\NlsPort 443
Software\Policies\Microsoft\Windows\RemoteAccess\Config\PlumbDTE1 1
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 55/62
Software\Policies\Microsoft\Windows\RemoteAccess\Config\PlumbDTE1 1
Software\Policies\Microsoft\Windows\RemoteAccess\Config\PlumbDTE2 1
Software\Policies\Microsoft\Windows\RemoteAccess\Config\RADeploymentMode 196617
Software\Policies\Microsoft\Windows\RemoteAccess\Config\ServerGPO asirsl.com\{D8126100-8EC6-47B2-90CF-ABDF3006F860}
Software\Policies\Microsoft\Windows\RemoteAccess\Config\SiteVersion {5ED258D7-2FBB-4696-87ED-6DF056DA57AF}
Software\Policies\Microsoft\Windows\RemoteAccess\Config\SiteWebProbeIPAddress 192.168.250.96
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Teredo\Type 0
Software\Policies\Microsoft\Windows\RemoteAccess\Config\TimeStamp 20121208155111.916000+000
Software\Policies\Microsoft\Windows\RemoteAccess\Config\Version 1
Software\Policies\Microsoft\Windows\RemoteAccess\Config\WebProbeList http://directaccess-WebProbeHost.asirsl.com
Una vez que las directivas se hayan aplicado a los equipos y servidores, ya podemos probarlo. Ahora veréis un equipo con Windows 8 que está fuera de la organización y cómo podemos comprobar que estamos
conectado a DirectAccess. Primero iniciamos sesión en el equipo con la cuenta de usuario del dominio (debemos permitir inicios de sesión cacheadas), lógicamente debemos estar conectamos a internet para
que el equipo inicie la conexión con DirectAccess, tratará de resolver el registro directaccess-WebProbehost.asirsl.com y conectarse al servicio HTTP, sino tiene éxito tratará de conectarse con
DirectAccess. Podemos comprobar que se ha conectado de varias maneras, una desde las conexiones de red:
si vamos a las propiedades de la conexión veremos como ha identificado la conexión, además podemos ver los registros para tratar de solucionar cualquier problema de conexión.
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 56/62
También podemos ver la conexión de DirectAccess desde PowerShell, para ello abrimos una consola de PowerShell y escribimos el siguiente cmdlet:
si no estamos conectados nos mostraría la siguiente información
Tenemos otros cmdlet muy interesantes para el DirectAccess que nos permite ver la configuración, por ejemplo: Get-DAClientExperienceConfiguration
Si ahora lanzamos un ping a cualquier servidor interno al cual tenemos acceso, debería responder sin problema. Como vemos estamos lanzando un ping a una IPv6 pero que nosotros
no hemos configurado, solo hemos dejado habilitar el Protocolo de Internet versión 6. Además en la configuración anterior se ha habilitado
con nuestra red en la cual solo tenemos IPv4
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 57/62
Si ahora nos conectamos a alguna aplicación con autenticación integrada veréis que es una maravilla, podemos acceder directamente con la autenticación integrada
Además podemos acceder a cualquier recurso compartido (para el que tengamos acceso), solo notaremos que la velocidad de acceso puede no ser la más idónea (depende del tipo de conectividad claro está)
pero el acceso está disponible
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 58/62
Como vemos es una maravil la, no tenemos que lanzar la conexión VPN y tenemos todas las funcionalidades como si estuviéramos dentro de la red local. Esto nos permite recibir
cualquier cambio de GPO, actualizaciones mediante WSUS, etc...
Además como veremos podemos acceder desde la red interna al equipo conectado mediante DirectAccess, lo que hemos apuntando como un valor añadido para la gente de soporte
Si nos encontramos dentro de la red de la empresa, y resuelve el registro directaccess-WebProbehost.asirsl.com y puede contarse al servicio Web que está en esa máquina, comprenderá que estás
dentro de la red y no te conectará con DirectAccess.
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 59/62
podemos verificarlo también desde powershell: Get-DAConnectionStatus
Como podeís apreciar en las capturas de pantalla detecta que estamos dentro de la red, bien conectados mediante VPN o directamente en la red local. Esto es lo lógico, pueseto que si nos conectamos vía VPN
los DNS siempre serán los internos y podremos resolver correctamente los registros DNS de los servidores DNS internos. De tal forma que la podrá resolver
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 60/62
También os muestro las claves de registros las cuales el equipo utiliza para verificar la conectividad desde dentro de la LAN:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator\CorporateConnectivity
El servicio Web al que tratará de conectarse el equipo no es más que la web por defecto del IIS 8
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 61/62
Cómo veis es unas maravil la el poder estar conectado desde fuera de la organización y tener acceso desde la misma forma como si estuviéramos dentro de la red. Desde el punto de
vista del usuario no tendrá que autenticarse para cada aplicación que quiera conectarse desde Internet, no tiene que conectarse mediante VPN ni tiene que estar conectado a un
servido RDS. Desde el punto de vista del personal de IT, tiene múltiples beneficios:
Sistemas actualizados (WSUS) desde la empresa
Facil idad la hora de dar soporte al usuario final
Aplicación de GPO
Control de las máquinas que se conectan mediante DirectAccess
Si dentro de la red de la empresa tenéis varias subredes debéis configurar rutas estáticas en el serivdor de DirectAccess para que pueda llegar a ellas, puesto que en la interface
internet no tiene ni debe tener un gateway configurado. En la ruta estática que creéis debéis especificar la interface por la que se conectará a las otras subredes internas, el
comando sería el siguiente:
ROUTE ADD IP_DESTINO MASK MÁSCARA GATEWAY IF Nº_INTERFACE -p
Para conocer el ID de vuestra interface podéis hacerlo escribiendo únicamente el comand router print
Ejemplo: route add 172.21.0.0 mask 255.255.255.0 192.168.250.1 if 25 -p
Creo que sobran los elogios a este servicio porque es una maravil la, y ahora con Windows Server 2012 se nos facil ita la posibil idad de instalarlo en casi cualquier cliente por no
decir en cualquier cliente.
Espero que os sea de utilidad!!!
| | 4 Comentario(s)
Como sabéis he creado una comunidad técnica (UCOMSSP) para que todos podamos compartir nuestras inquietudes y experiencias. Se agradece que loscomentarios sobre algún artículo, consultas o dudas las hagáis directamente en UCOMSSP (http://www.ucomsenespanol.comgracias por vuestra colaboración
Añade un comentario...
5/3/2014 Windows Server 2012: DirectAccess (Actualizado 15-02-2013) - Blog ASIR
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 62/62
Plug-in social de Facebook
Publicar también en Facebook
Publicar como Jesus Genaro Gutierrez Al... (¿No erestú?)
Comentar
Añade un comentario...
Jose Ray Diz · Tecnologico superior de la costa chica
muy bueno este tutorial
Responder · Me gusta · Seguir esta publicación · 25 de febrero a la(s) 1:52
Gopinandana Das · VRINDA The Vrindavan Institute for Vaisnava Culture and Studies
Estimado santiago muchas gracias me gustaria una capacitacion en varios temas dewindows server mi correo en [email protected]
Responder · Me gusta · Seguir esta publicación · 15 de febrero a la(s) 16:12
Gopinandana Das · VRINDA The Vrindavan Institute for Vaisnava Culture and Studies
Estoy interesado mucho en los temas de virtualizacion y sharepoint
Responder · Me gusta · Seguir esta publicación · 15 de febrero a la(s) 16:13
Yeferson Camacho Sanchez · COMPLEJO TECNOLOGICO MINERO
AGROEMPRESARIAL
grasias por tu aporte
Responder · Me gusta · Seguir esta publicación · 7 de septiembre de 2013 a la(s) 15:36