Paso 2: Planear la implementación básica de DirectAccess
Después de planear la infraestructura de DirectAccess, el siguiente paso para realizar una implementación de DirectAccess en un único servidor con una configuración básica es planear la configuración del Asistente de introducción.
| Tarea | Descripción |
|---|---|
| Planeación de la implementación de cliente | De manera predeterminada, el Asistente de introducción implementa DirectAccess en todos los equipos portátiles del dominio al aplicar un filtro WMI a la GPO de la configuración del cliente |
| Planear la implementación del servidor de DirectAccess | Planea cómo implementar el servidor de DirectAccess. |
Planeación de la implementación de cliente
A la hora de planificar la implementación del cliente, debes tomar dos decisiones:
¿DirectAccess estará disponible solo para equipos móviles o para cualquier equipo?
Al configurar clientes de DirectAccess en el Asistente de introducción, es posible permitir que solamente se conecten utilizando DirectAccess los equipos móviles de los grupos de seguridad especificados. Si restringe el acceso a los equipos móviles, DirectAccess configura automáticamente un filtro WMI para garantizar que el GPO de cliente de DirectAccess se aplique solo a los equipos móviles de los grupos de seguridad especificados. El administrador de DirectAccess necesita permisos si desea crear o modificar los filtros WMI de directiva de grupo para habilitar esta configuración.
¿Qué grupos de seguridad contendrán los equipos cliente de DirectAccess?
La configuración de DirectAccess se incluye en el GPO de cliente de DirectAccess. La GPO se aplica a los equipos que forman parte de los grupos de seguridad que especifique en el Asistente de introducción. Puedes especificar grupos de seguridad incluidos en cualquier dominio compatible. Antes de configurar DirectAccess, hay que crear los grupos de seguridad. Puede agregar equipos al grupo de seguridad después de finalizar la implementación de DirectAccess, pero tenga en cuenta que si agrega equipos cliente que residen en un dominio diferente al del grupo de seguridad, la GPO del cliente no se aplicará a dichos clientes. Por ejemplo, si ha creado SG1 en el dominio A para clientes de DirectAccess y después ha agregado clientes del dominio B a este grupo, la GPO del cliente no se aplicará a los clientes del dominio B. Para evitar este problema, cree un nuevo grupo de seguridad de cliente para cada dominio que contenga equipos cliente. Si no deseas crear un nuevo grupo de seguridad, puedes ejecutar el cmdlet Add-DAClient con el nombre del nuevo GPO para el nuevo dominio.
Planear la implementación del servidor de DirectAccess
Debe tomar una serie de decisiones al planificar la implementación del servidor de DirectAcces:
Topología de red: Hay dos topologías disponibles para implementar un servidor de DirectAccess:
Dos adaptadores: Con dos adaptadores de red, DirectAccess puede configurarse con un adaptador de red conectado directamente a Internet, y con el otro conectado a la red interna. Otra opción consiste en instalar el servidor detrás de un dispositivo perimetral, como un firewall o un enrutador. En esta configuración, un adaptador de red está conectado a la red perimetral y el otro está conectado a la red interna.
Adaptador de red único: En esta configuración, el servidor de DirectAccess se instala detrás de un dispositivo perimetral, como un firewall o un enrutador. El adaptador de red se conecta a la red interna.
Adaptadores de red: El Asistente de DirectAccess detecta automáticamente los adaptadores de red que están configurados en el servidor de DirectAccess. Puede asegurarse de que los adaptadores correctos están seleccionados en la página Revisar.
Certificado IP-HTTPS: Dado que no se requiere PKI en esta implementación, el asistente aprovisiona automáticamente certificados autofirmados para IP-HTTPS y el servidor de ubicación de red (si no hay otros certificados activos) y habilita automáticamente el proxy Kerberos. El asistente también habilitará NAT64 y DNS64 para la traducción de protocolo en el entorno de solo IPv4. Una vez que el asistente haya terminado de aplicar la configuración correctamente, haga clic en Cerrar.
Clientes de Windows 7: No se puede habilitar la compatibilidad con clientes de Windows 7 desde el Asistente de introducción. Esto se puede habilitar desde el Asistente de instalación avanzada. Para más detalles, consulte Implementación de un servidor de DirectAccess único con configuración avanzada.
Configuración de VPN: Antes de configurar DirectAccess, decida si va a proporcionar acceso por VPN a los clientes remotos. Debe proporcionar acceso por VPN si en la organización hay equipos cliente que no admiten la conectividad de DirectAccess (porque no son administrados o porque ejecutan un sistema operativo no compatible con DirectAccess). El Asistente de Introducción configura la asignación de direcciones IP de VPN mediante DHCP y configura los clientes VPN para autenticarse mediante Active Directory.
Forzar tunelización: Si tiene previsto usar la tunelización forzada, o se plantea añadirla en el futuro, debe usar Implementación de un servidor de DirectAccess único con configuración avanzada para implementar una configuración de dos túneles. Por motivos de seguridad, no se admite la tunelización forzada en configuraciones de un solo túnel.