Windows Técnico : DirectAccess

Nuevas características de DirectAccess en Windows Server 2012

José Miguel — Wed, 06 Feb 2013 15:43:00 GMT

Microsoft introdujo DirectAccess en Windows Server 2008 R2 como un modo de que los usuario remotos tuviesen una conexión segura permanente a su dominio interno de Directorio Activo. En este post pretende describir la tecnología de acceso remoto de Microsoft y ofrecer una visión general de las nuevas características disponibles en su última versión.

Las redes privadas virtuales (VPN) tradicionales son generalmente un dolor de cabeza tanto para los administradores de la red, así como para los usuarios. Por ejemplo, los administradores de red generalmente tienen que lidiar con los siguientes puntos:

Falta de voluntad del usuario remoto para utilizar las conexiones VPN.
Incidencias relacionadas con errores en la VPN por parte del usuario.
Las reglas de balanceo del cortafuegos, protocolos, número de puertos, y las metodologías de cifrado desde el lado del concentrador VPN y desde el lado del cliente.
Problemas en la conectividad derivadas del uso de redes mixtas IPv4/IPv6, dispositivos NAT, etc.

Con DirectAcess la encapsulación de paquetes, cifrado de datos y autenticación del usuario/ordenador sucede en el momento en el que la pila TCP/IP se inicializa en el cliente, antes del inicio de sesión por parte del usuario.

El problema con la versión de DirectAccess, sin embargo, fueron sus restrictivos requisitos representando un obstáculo demasiado grande de superar para muchos administradores de sistemas Windows. Por ejemplo, DirectAccess en Windows Server 2008 R2 requería (al menos) los siguientes elementos presentes en el entorno:

Infraestructura de clave pública (PKI) en toda la infraestructura de servidores y todos los dispositivos del cliente que requieran certificados digitales.
La red interna debe correr en IPv6
Para soportar la traducción de IPv6 a IPv4 en la red corporativa, tenías que comprar una licencia para Microsft Forefront Unified Access Gateway (UAG).
El servidor de Directorio Activo debe tener dos NICs con dos direcciones IP públicas consecutivas.

DirectAccess características mejoradas

A continuación se presenta una lista de las características mejoradas que Microsoft ha añadido a Windows Server 2012:

Cliente de monitorización mejorado: se pueden ver los clientes conectados al servidor del DA.
Cliente de solución de problemas: el cliente de DA proporciona los comandos de cmdlets y Netsh de PowerShell para solucionar los problemas de configuración del mismo.
Asistente de gestión unificada: una sencilla opción de configuración oculta la mayor parte de la complejidad subyacente de DirectAccess (protocolos de cifrado, certificados, traducción de IPv6 a IPv5m, etc)
El servidor de DA puede usar una única dirección IP, y puede ser incluso colocado detrás de un NAT.
Servidor central de respaldo

Técnicamente, DirectAccess trabaja construyendo un túnel basado en IPv6 cifrado con IPsec entre el cliente de DA y el servidor DA final. Múltiples protocolos participan en la construcción de este túnel; los específicos usados para la negociación entre el cliente y servidor que dependen de un buen número de factores, como la presencia o no de un NAT y de alguna regla del cortafuegos configurada.

A continuación se presenta una muestra de los protocolos de acceso remoto soportados por DirectAccess:

IP-HTTPS. Esta resulta una buena opción puesto que el proceso de cifrado del túnel se produce a través de TCP 443, que no suele ser bloqueado por cortafuegos.
6to4: Permite encapsular paquetes IPv6 dentro de paquetes IPv4 cuando el cliente y el servidor están conectados directamente a Internet (sin NAT).
Teredo: En los casos en los que está implicado un NAT, este método de encapsulación IPv6 a IPv4 es el adecuado.
DNS64, NAT64: Estos protocolos, se ejecutan en el servidor de DA, y permiten al cliente comunicarse con los recursos internos del servidor basados en IPv4.

Configuración básica del servidor

Para dejar DirectAccess a punto y en funcionamiento es conveniente utilizar sencillo asistente, los pasos a realizar serían los siguientes:

Instalar la función de servidor de acceso remoto en el servidor DA e instalar los servicios de las funciones DirectAccess y VPN (RAS).
Después de la instalación, lanzar la consola de acceso remoto.
Arrancar el Asistente de Introducción. Este sencillo asistente abstrae la mayor parte de la complejidad del proceso de configuración. De manera complementaria será posible modificar la configuración manualmente en caso de ser necesario.
Una vez finalizado el asistente, vaya a la página de Estado de Operaciones en la consola de DirectAccess y actualice con cierta frecuencia la vista hasta que todos los componentes se muestre en estado “en ejecución”.

Ilustración 1, Estado de Operaciones en la consola de Acceso Remoto

Esto es, literalmente, todo lo que hay que saber sobre la configuración básica de DirectAccess en Windows Server 2012. Ahora, la desventaja de la configuración simple es que el asistente abstrae la complejidad pero minimiza sus opciones iniciales. Por ejemplo, puede que tenga que volver a acceder a la configuración del servidor de DirectAccess para realizar las siguientes tareas:

Pasar de usar un certificado autofirmado del servidor DA a uno genuino.
Modificar el alcance de las GPO para dispositivos cliente y/o servidores.

Para ello, solo tienes que abrir la consola de acceso remoto y hacer clic en el servidor de DA deseado. Obtendrá un gráfico en tiempo real (como se muestra en la siguiente captura de pantalla) en el que puede hacer clic para modificar la configuración de clientes remotos, servidores de acceso remoto, servidores de infraestructura (back-end), y servidores de aplicación (recursos de usuario).

Ilustración 2, Modificar la configuración de DirectAccess

Experiencia de cliente

Primero de todo, hay que ser conscientes de que DirectAccess solo es soportado por Windows 8 Enterprise Edition o Windows 7 en sus versiones Enterprise y Ultimate. Llegados a este punto, el proxy Kerberos sin certificado solo funciona con clientes Windows 8. Así que si alguno de los clientes del DA está corriendo Windows 7 será necesario distribuir una PKI.

En cuanto a la experiencia del usuario de DirectAccess, no hay clientes VPN que iniciar. En realidad, no se requiere ninguna acción por parte de estos. Todas las negociaciones de los protocolos tienen lugar de manera totalmente transparente para el usuario.

En Windows 8, se puede abrir la “Charm Bar” y hacer clic en la conexión de red para ver si está conectado a través de DirectAccess u otro tipo de conexión de red.

Ilustración 3, Windows 8 la notificación indica al cliente que DirectAccess está activo

Por último, se puede usar el comando de la vieja escuela Netsh name show effectivepolicy o el de la nueva escuela en PowerShell 3 ejecutando el cmdlet Get-DAClientExperienceConfiguration para ver la configuración de cliente de DirectAccess.

Ilustración 4, Resolviendo problemas en las opciones de cliente de DirectAccess mediante PowerShell 3

Puntualizar que a través de la consola de gestión del servidor de DA se puede obtener valiosos informes de los datos de conexión de los clientes.

Microsoft ha hecho un gran trabajo consiguiendo que DirectAccess sea más fácil de implementar y usar en Windows Server 2012 y Windows 8.

Si quieres aprender más secretos, interactuar y gestionar Metasploit te recomendamos leer el libro de Pablo González y Chema Alonso Metasploit para Pentesters. Si quieres aprender mucho más sobre los secretos de los sistemas Microsoft Windows, te recomendamos leer el libro de Sergio de los Santos "Máxima Seguridad en Windows: Secretos Técnicos" .

Además si te ha gustado el artículo puedes suscribirte al Canal RSS de Windows Técnico, o seguirnos por el Canal Google+ de Windows Técnico o Twitter para estar al día de las novedades e información técnica de interés.

Fuente: 4sysops.com

Cómo montar un escenario de DirectAccess(IV)

Anonymous — Tue, 29 Dec 2009 15:35:36 GMT

Una vez terminado todo el montaje del escenario vamos a realizar las diferentes comprobaciones para verificar que todo funciona correctamente.

Verificando la funcionalidad de DirectAccess para W7DACLN cuando está conectado a la red de Internet

Conectar W7DACLN a la red de Internet

Este proceso simula la acción de pasar de estar en la Intranet a estar conectado a Internet

En la ventana de conexión a máquina virtual de Hyper-V, hacer clic en Archivo y luego en Configuración.
Pulsar en Adaptador de Red y luego en el panel de detalles, en el desplegable RED; seleccionar Internet
Ir a Inicio>Todos los programas, luego clic en Accesorios y clic con el botón derecho sobre Símbolo de sistema y seleccionar Ejecutar como Administrador.
Escribir ipconfig y verificar que aparece una dirección Ipv4 del estilo 131.107.
Escribir en el Símbolo del sistema netsh interface isatap set state state=enabled
Dejar el Símbolo de Sistema abierto para el siguiente proceso.

Verificar conectividad a recursos de Internet

Verificación de que W7DACLN accede al servidor DNS de Internet (SVDAINET) y a sus recursos.

Desde el Símbolo de Sistema, escribir ping SVDAINET.isp.ejemplo.com, y pulse ENTER.
Deberían de aparecer cuatro paquetes recibidos desde SVDAINET.isp.ejemplo.com resolved con dirección IPv4 131.107.0.1.
Abrir el Internet Explorer.
En la barra de direcciones escribir http://SVDAINET.isp.ejemplo.com, y pulsar ENTER. Nos debería de aparecer la pagina web por defecto del IIS7
Dejar el Internet Explorer abierto.

Verificar acceso a la intranet

Verificaremos que el cliente tiene acceso a la red de i64.hol como si estuviese conectado en local.

Desde símbolo de sistema, escribir ping SVDADC, y pulsar ENTER.
Deberíamos ver cuatro respuestas exitosas a SVDADC.i64.hol resueltas con una dirección IPv6 del formato 2002:836b:2:1:0:5efe:192.168.64.1.
En la barra de direcciones escribir http://SVDADC.i64.hol, y pulsar ENTER. Nos debería de aparecer la pagina web por defecto del IIS7
Cerrar Internet Explorer.
Clic en Inicio, escribir \\SVDADC\archivos, y presionar ENTER. Nos aparecerá la carpeta con el archivo Ejemplo.txt creado anteriormente

Examinar la configuración IPv6 de W7DACLN

Para examinar la configuración IPv6

Desde Símbolo de sistema, escribir ipconfig, y pulsar ENTER.
Nos aparecerá una interfaz llamada Adaptador de Túnel 6TO4 Adapter con una dirección IPv6 que comienza por 2002:836b:.Esta dirección 6to4 está basada en la dirección IPv4 que comienza por 131.107. Además tiene como puerta de enlace la dirección 2002:836b:2::836b:2, que se corresponde con la dirección 6to4 de SVDADA. (131.107.0.2 en hexadecimal es 836b:2). W7DACLN utiliza 6to4 como su puerta de enlace para tunelizar el trafico IPv6 a SVDADA.

Verificando la funcionalidad de DirectAccess para W7DACLN cuando está conectado a Homenet

Conectar W7DACLN a Homenet

Este proceso simula la acción de pasar de estar en la intranet a estar conectado a una red domestica

En la ventana de conexión a máquina virtual de Hyper-V, hacer clic en Archivo y luego en Configuración.
Pulsar en Adaptador de Red y luego en el panel de detalles, en el desplegable RED; seleccionar Homenet
Dejar el Símbolo de Sistema abierto para el siguiente proceso.

Configurar W7DANAT

W7DANAT es un equipo con Windows 7 que hará funciones NAT entre las redes de Internet y Homenet. El equipo cuenta con Windows 7 previamente instalado y configurada la red como se establecía en el post inicial de la serie. Una vez finalizado el proceso de inicio del equipo, se iniciará sesión en el equipo W7DANAT, mediante la cuenta del usuario administrador.

Configurar conexiones de red

Vamos a configurar para que el adaptador conectado a Internet comparta su conexión

Clic en Inicio > Panel de control, Clic sobre Redes e internet, luego sobre Centro de Redes y recursos compartidos y por ultimo sobre Cambiar configuración del adaptador
En la ventana de conexiones de red, botón derecho sobre Internet, y clic en Propiedades.
Pulsar la pestaña de Uso Compartido, y seleccionar Permitir que los usuarios de otras redes se conecten a través de la conexión a Internet de este equipo y hacer clic en Aceptar.
Clic en Inicio, Todos los programas, Accesorios, botón derecho sobre Símbolo de sistema, y seleccionar Ejecutar como administrador. Aceptar el mensaje de confirmación del UAC
En el símbolo de sistema, escribir netsh interface 6to4 set state state=disabled, y presionar ENTER. Verificar que aparece ACEPTAR
Verificar que W7DACLN recibe direccionamiento IP de modo correcto. Para ello, abrir símbolo de sistema y escribir ipconfig y verificar que aparece una dirección Ipv4 del estilo 192.168.137.

Verificar conectividad a recursos de Internet

Verificación de que W7DACLN accede al servidor DNS de Internet (SVDAINET) y a sus recursos.

Desde el Símbolo de Sistema, escribir ping SVDAINET.isp.ejemplo.com, y pulse ENTER.
Deberían de aparecer cuatro paquetes recibidos desde SVDAINET.isp.ejemplo.com resolved con dirección IPv4 131.107.0.1.
Abrir el Internet Explorer.
En la barra de direcciones escribir http://SVDAINET.isp.ejemplo.com, y pulsar ENTER. Nos debería de aparecer la pagina web por defecto del IIS7
Dejar el Internet Explorer abierto.

Verificar acceso a la intranet

Verificaremos que el cliente tiene acceso a la red de i64.hol como si estuviese conectado en local.

En la barra de direcciones escribir http://SVDADC.i64.hol, y pulsar ENTER. Nos debería de aparecer la pagina web por defecto del IIS7
Cerrar Internet Explorer.
Clic en Inicio, escribir \\SVDADC\archivos, y presionar ENTER. Nos aparecerá la carpeta con el archivo Ejemplo.txt creado anteriormente

Examinar la configuración IPv6 de W7DACLN

Desde Símbolo de sistema, escribir ipconfig, y pulsar ENTER.
Nos aparecerá una dirección IPv6 que comienza por 2001:.Esta es una dirección Teredo asignada por SVDADA. Cuando el cliente se encuentra detrás de un NAT que no soporta enrutamiento 6TO4, usa Teredo para tunelizar el trafico IPv6 a SVDADA.

Deshabilitar Teredo

Vamos a simular una situación en la que un web proxy o un firewall no enruten Teredo. En este entorno, W7DACLN utilizará el protocolo IP-HTTPS para conectarse al servidor DirectAccess.

Desde Símbolo de sistema, escribir netsh interface teredo set state disabled, y pulsar ENTER
En la ventana de conexión a máquina virtual de Hyper-V, hacer clic en Archivo y luego en Configuración.
Pulsar en Adaptador de Red y luego en el panel de detalles, en el desplegable RED; seleccionar No conectado y pinchar en Aceptar, y pasados unos 15 segundos volver a seleccionar Homenet y volver a pulsar en Aceptar. Esperar a que aparezca un símbolo de exclamación amarillo en el icono del adaptador de red en el área de notificaciones
Desde Símbolo del sistema, escribir IPCONFIG y verificar que hay una interfaz llamada IPHTTPS con una dirección IPv6 que empieza con 2002:836b:2:2. Esta dirección es asignada por la interfaz IP-HTTPS de SVDADA. Cuando el cliente se encuentra tras un Web proxy o firewall que no reenvía trafico Teredo ,el cliente usa IP-HTTPS para tunelizar trafico IPv6 a SVDADA.
Dejar el símbolo de sistema abierto.

Verificar acceso a la intranet

Verificaremos que el cliente tiene acceso a la red de i64.hol como si estuviese en local.

En la barra de direcciones escribir http://SVDADC.i64.hol, y pulsar ENTER. Nos debería de aparecer la pagina web por defecto del IIS7
Cerrar Internet Explorer.
Clic en Inicio, escribir \\SVDADC\archivos, y presionar ENTER. Nos aparecerá la carpeta con el archivo Ejemplo.txt creado anteriormente

Habilitar Teredo en W7DACLN

Desde símbolo de sistema escribir netsh interface teredo set state enterpriseclient, y presionar ENTER.
Escribir ipconfig, y pulsar ENTER.
Verificar que hay una interfaz con una dirección IPv6 que comienza por 2001.

Una vez hechas todas las comprobaciones con resultado satisfactorio, el escenario de DirectAccess estaría montado de forma correcta.Como se ve, es una tecnología compleja pero que, una vez montada, será de una gran utilidad.

Saludos

Cómo montar un escenario de DirectAccess(III)

Anonymous — Thu, 17 Dec 2009 20:39:57 GMT

Comenzamos con la tercera entrega de esta serie de articulos para montar un escenario de DirectAccess.Con este acabamos con la fase de despliegue de maquinas y en el siguiente articulo comprobaremos el funcionamiento del laboratorio

Configuración de SVDAINET

SVDAINET hará funciones de Servidor Web Server y de DNS. Como en los casos anteriores se parte de un equipo con Windows Server 2008 R2 y la configuración de red establecida como se indicaba en el primer post.

Instalación de los roles de servidor Web Server (IIS) y servidor DNS

En este paso configuraremos estos dos roles para que den servicio a los equipos que se conecten a Internet.

En el Administrador del Servidor, clic en Roles. En el panel de detalles, clic en Agregar Roles, y por último seleccionar Siguiente.
En la página de Seleccionar roles de servidor, clic en Servidor Web (IIS) y en Servidor DNS, y pulsar en Siguiente cuatro veces para aceptar las configuración por defecto del Servidor Web.
Clic en Instalar.
Verificar que la instalación es correcta, y pulsar en Cerrar.

Crear Registro A en el DNS

Crearemos un registro A en el DNS para la direcciones IPv4 de SVDADA y SVDAINET y para crl.i64.hol

Clic en Inicio, Herramientas Administrativas y seleccionar DNS.
Desplegar SVDAINET.
Botón derecho sobre Zonas de Búsqueda Directa, seleccionar Nueva Zona, y pinchar en Siguiente.
En la página Tipo de zona, pulsar en Siguiente.
Como Nombre de zona, escribir isp.ejemplo.com, y clic en Siguiente.
Si aparece la página Archivo de Zona, pulsar en Siguiente
En Actualización dinámica, clic en Siguiente, y por ultimo seleccionar Finalizar.
Botón derecho sobre isp.ejemplo.com, y seleccionar Host Nuevo(A o AAAA).
En Nombre, escribir SVDAINET. En Dirección IP, poner 131.107.0.1. Clic en Agregar Host.
Clic en Aceptar, y por ultimo pulsar en Realizado.
Botón derecho sobre Zonas de Búsqueda Directa, seleccionar Nueva Zona, y pinchar en Siguiente.
En la página Tipo de zona, pulsar en Siguiente.
Como Nombre de zona, escribir i64.es, y clic en Siguiente.
Si aparece la página Archivo de Zona, pulsar en Siguiente
En Actualización dinámica, clic en Siguiente, y por ultimo seleccionar Finalizar.
Botón derecho sobre i64.es, y seleccionar Host Nuevo(A o AAAA).
En Nombre, escribir SVDADA. En Dirección IP, poner 131.107.0.2. Clic en Agregar Host.
Clic en Aceptar, y por ultimo pulsar en Realizado.
Sin cerrar la ventana de host nuevo, en Nombre, escribir crl. En Dirección IP, escribir 131.107.0.2.
Clic en Agregar Host. Clic en Aceptar, y por ultimo pulsar en Realizado.
Cerrar la consola DNS

Instalar y Configurar DHCP

Lo primero que vamos a hacer es configurar SVDAINET como Servidor DHCP para que W7DACLN reciba direccionamiento IP dinámico cuando se conecta a la subred Internet.

En el Árbol de consola del Administrador del servidor, hacer clic en Roles.
En el panel de detalles, bajo Resumen de Roles, clickear en Agregar roles, y después hacer clic en Siguiente.
En la página de Seleccionar Roles de Servidor, clic en Servidor DHCP, y clickear Siguiente dos veces.
En la página Seleccionar enlaces de conexión de red, verificar que 131.107.0.1 está seleccionada, y después seleccionar Siguiente.
En la página Especificar la configuración del Servidor DNS IPv4, verificar que isp.ejemplo.com aparece bajo Dominio Primario y si no lo hace agregarlo a mano.
Verificar que aparece 131.107.0.1 bajo Dirección IPv4 del servidor DNS preferido, y pinchar en Validar. Verificar que el resultado es Válida, y seleccionar Siguiente.
En especificar la configuración del servidor WINS IPv4, aceptar la configuración por defecto de No se requiere WINS para las aplicaciones en esta red, y pinchar en Siguiente.
En Agregar o editar ámbitos DHCP, clic en Agregar.
En la ventana de Agregar ámbito, poner como Nombre de ámbito I64.En dirección IP Inicial, poner 131.107.0.100, como Dirección IP final, 131.107.0.150, como Mascara de subred, 255.255.255.0. Pinchar en Aceptar y luego en Siguiente.
En Configurar el modo sin estado DHCPv6, seleccionar Deshabilitar el modo sin estado DHCPv6 para este servidor, y seleccionar Siguiente.
En Confirmar selecciones de instalación, clic en Instalar.
Comprobar que la instalación es correcta y seleccionar Cerrar.

Configurar W7DACLN

W7DACLN es un equipo con Windows 7 que nos va a ayudar para demostrar cómo funciona DirectAccess con equipos remotos. Vamos a comenzar con el sistema operativo instalado previamente. Una vez finalizado el proceso de inicio del equipo, se iniciará sesión en el equipo W7DACLN, mediante la cuenta del usuario administrador.

Unir W7DACLN al dominio de i64.hol

Clic en Inicio, botón derecho sobre Equipo y seleccionamos Propiedades.
Bajo Configuración de Nombre, dominio, y grupo de trabajo de equipo pinchamos en Cambiar Configuración.
En el cuadro de dialogo de Propiedades del sistema, clic en Cambiar.
Dentro de Cambios en el dominio o el nombre del equipo, seleccionamos Dominio, escribimos i64.hol y pulsamos en Aceptar.
Al preguntar por usuario y contraseña, escribir como usuario administrador y como password “123abc.” (sin comillas). Y pulsamos en Aceptar.
Cuando aparezca el cuadro de dialogo indicando que el equipo se ha unido correctamente al dominio, pinchar en Aceptar dos veces.
En el cuadro de dialogo de Propiedades del sistema, clic en Cerrar.
Pinchar en Reiniciar Ahora.

Añadir W7DACLN al grupo de seguridad de Clientes_DA

Añadiremos W7DACLN al grupo de seguridad de Clientes_DA para que así pueda recibir todas las configuraciones de DirectAccess a través de políticas de grupo.

En SVDADC, clic en Inicio, Herramientas Administrativas y pinchamos en Usuarios y Equipos de Active Directory.
Expandimos i64.hol y después Users.
Doble-clic sobre Clientes_DA.
En la ventana que se abre, clic en la pestaña Miembros y seleccionar Agregar.
En Seleccione Usuarios, Contactos, Grupos u otros Objetos, clic en Tipos de Objeto, seleccionamos Equipos, y pulsamos en Aceptar.
Debajo de Escriba los nombres de objeto que desea seleccionar escriba W7DACLN y seleccione Aceptar.
Verificar que W7DACLN aparece en Miembros y pulse Aceptar.
Cierre la consola de Usuarios y equipos de Active Directory.

Verificar el certificado de equipo en W7DACLN

En estos pasos vamos a verificar que el certificado de equipo que instalamos en nuestro servidor ha sido también instalado en el cliente.

Después de que W7DACLN reinicie, haga clic en Cambiar de usuario, clic en Otro usuario, y haga login en el dominio con el usuario i64\administrador.
Clic en Inicio, escribir mmc, y pulsar ENTER.
Pulsar en Archivo y después en Agregar o quitar complementos.
Seleccionar Certificados, clic en Agregar, seleccionar Cuenta de equipo, pulsar en Siguiente, luego Equipo Local, clic en Finalizar, y por ultimo Aceptar.
Expandir Certificados (equipo local)\Personal\Certificados.
Verificar que hay un certificado cuyos Propósitos planteados sean Autenticación del cliente y Autenticación del servidor. Este será el certificado que se utilizará para la autenticación con el servidor SVDADA
Cerrar la ventana. A la pregunta de guardar la configuración, clic en No.

Configurando DirectAccess

Vamos a comenzar con la parte de instalación del servicio que nos va a proporcionar la conectividad desde el exterior una vez que ya hemos configurado toda la estructura

Instalación de la característica de DirectAccess en SVDADA

Antes de ejecutar el asistente de configuración vamos a instalar la característica de DirectAccess.

Clic en Inicio, Herramientas Administrativas, y por ultimo Administrador del Servidor.
Botón derecho sobre Características, y seleccionar Agregar características
En la página de Seleccionar características, seleccionar Consola de administración de DirectAccess.
En la ventana de Asistente para agregar características, clic en Agregar características requeridas
Clic en Siguiente.
En la ventana de Confirmar selecciones de instalación, pulsar en Instalar.
Por último, en la ventana de Resultados de la instalación, clic en Cerrar.

Ejecutar el asistente de configuración en SVDADA

Una vez instalada la característica, vamos a pasar un rato configurando con el asistente DirectAccess y agregando las políticas de grupo para los clientes.

Pinchar en Inicio, Herramientas Administrativas, y seleccionar Administración DirectAccess.
Hacer clic en Programa de instalación. En el panel de detalles, clic en Configurar del paso 1.
En la ventana de Configuración de cliente de DirectAccess pulsar en Agregar.
En el cuadro de dialogo de Seleccionar Grupo, escribir Clientes_DA, pulsar en Aceptar, y pinchar en Finalizar.
Seleccionar Configurar para el paso 2.
En Conectividad, para la Interfaz conectada a Internet, seleccionar Internet. Para la Interfaz conectada a la red interna, seleccionar Intranet. Clic en Siguiente
En Componentes de certificado, en Seleccione el certificado raíz al que se deben asociar los certificados de cliente remoto, clic en Examinar. En la lista de certificados, seleccionar el certificado raíz de i64-SVDADC-CA, y pulsar en Aceptar.
Para Seleccione el certificado que se usará para proteger la conectividad remota de clientes sobre HTTPS, pinchar en Examinar. En la lista de certificados, clic sobre el certificado llamado Certificado IP-HTTPS, y pulse en Aceptar. Por último seleccionar Finalizar.
Clic Configurar para el paso 3.
En Ubicación, seleccionar El servidor de ubicación de red se ejecuta en un servidor de alta disponibilidad, escribir https://nls.i64.hol/, clic en Validar, y verificar que sale el mensaje de validación correcta y pinchar en Siguiente.
En DNS y Controlador de dominio, la entrada para i64.hol tiene la dirección IPv6 2002:836b:2:1:0:5efe:192.168.64.1. Esta dirección IPv6 está asignada a SVDADC y está compuesta de un prefijo de red 6to4 (2002:836b:2:1::/64) y un identificador de interfaz basado en ISATAP (0:5efe:192.168.64.1). Clic en Siguiente.
En la página de Administración, clic Finalizar.
Pulsar Configurar para paso 4. En la página de configuración del servidor de aplicaciones DirectAccess, clic Finalizar.
Clic en Guardar, después en Finalizar y si sale la página de revisión de DirectAccess, pulsar en Aplicar
En el cuadro de dialogo Configuración de directiva de DirectAccess, seleccionar Aplicar.
Clic en Aceptar cuando salga el mensaje de configuración correcta

Actualizar configuración IPv6 en SVDADC

Vamos a forzar que SVDADC actualice su configuración IPv6 para que se autoconfigure como host ISATAP.

En SVDADC, clic en Inicio, Todos los programas, seleccionar Accesorios, botón derecho sobre Símbolo de Sistema, y clic en Ejecutar como administrador.
En la ventana de Símbolo de sistema, escribir sc control iphlpsvc paramchange, y pulsar ENTER.
Cerrar la ventana de símbolo de sistema.

Actualizar directivas de grupo y configuración IPv6 en W7DACLN

Vamos a forzar a que W7DACLN actualice sus directivas de grupo para que sea configurado como cliente DirectAccess y también su configuración IPv6 para que se autoconfigure como host ISATAP.

En W7DACLN, clic en Inicio, Todos los programas, seleccionar Accesorios, botón derecho sobre Símbolo de Sistema, y clic en Ejecutar como administrador
En la ventana de Símbolo de sistema, escribir gpupdate, y pulsar ENTER.
En la ventana de Símbolo de sistema, escribir sc control iphlpsvc paramchange, y pulsar ENTER.
Dejar la ventana abierta para el siguiente proceso.

Verificar la conectividad ISATAP

Verificar que W7DACLN puede conectarse a SVDADC con direcciones basadas en IPv6 e ISATAP.

En W7DACLN, desde la ventana de Símbolo de sistema, escribir ipconfig /flushdns, y pulsar ENTER.
Desde la ventana de Símbolo de sistema, escribir ping 2002:836b:2:1:0:5efe:192.168.64.1, y pulsar ENTER. Deberemos ver cuatro paquetes recibidos
Dejar la ventana de símbolo de sistema abierta

Bueno, como hemos comentado al principio, con esto acaba la configuración de los diferentes equipos participantes en este laboratorio.Hasta la proxima

Fran Nogal

Cómo montar un escenario de DirectAccess(II)

Anonymous — Wed, 16 Dec 2009 19:45:00 GMT

Continuamos con el laboratorio que comenzamos el lunes con la configuración de los demás servidores

Configurar SVDADA

SVDADA es un servidor con Windows Server 2008 R2 y que va a tener la característica de servidor de DirectAccess instalada, por lo que para ello va a tener instaladas dos tarjetas de red, una para la red local cuyo nombre es INTRANET y otra para la red externa de nombre INTERNET.

En este caso el punto de partida se realiza tras instalar Windows Server 2008 R2, con la configuración de red establecida (ver post anterior) y el equipo unido al dominio. Una vez que el servidor se encuentra ya agregado al dominio i64.hol vamos a pasar a configurarlo.

Una vez finalizado el proceso de inicio del equipo, se iniciará sesión en el equipo SVDADA, mediante la cuenta del usuario administrador.

Instalar el rol de servidor Web (IIS)

Lo primero va a ser instalar el rol de Servidor Web Ser (IIS) para que SVDADA sea una CRL externa y trabaje como punto de distribución web CRL para conexiones IP-HTTPS.

En el Administrador del Servidor, clic en Roles. En el panel de detalles, clic en Agregar Roles, y por último seleccionar Siguiente.
En la página de Seleccionar roles de servidor, clic en Servidor Web (IIS), y pulsar en Siguiente tres veces.
Clic en Instalar.
Verificar que la instalación es correcta, y pulsar en Cerrar.
Dejar la ventana del Administrador del Servidor abierta.

Crear un punto de distribución Web de CRL

Clic en Inicio, Herramientas Administrativas, y después arrancar Administrador de Internet Information Services (IIS).
En la consola, expandir SVDADA, y después Sitios.
Botón derecho sobre Default Web Site, y seleccionar Agregar Directorio Virtual.
En Alias, poner CRLD.
En Ruta de Acceso física, clic en Examinar (…).
Clic en la unidad C: y seleccionar Crear Nueva Carpeta.
Poner como nombre de la carpeta CRLDist, pulsar ENTER, y después clic en Aceptar dos veces.
En el panel central de la consola, doble-clic sobre Examen de Directorios.
En el panel de la derecha o panel de Acciones, clic en Habilitar.
En el panel de Conexiones, hacer clic en la carpeta CRLD.
En el panel central, doble-clic en Editor de Configuración.
En Sección, abrir system.webServer\security\requestFiltering.
Cambiar allowDoubleEscaping de False a True.
En el panel de Acciones, clic en Aplicar.
Cerrar el Administrador de Internet Information Services (IIS).

Configurar permisos en el punto de distribución CRL

Lo que haremos en este paso será configurar los permisos para que SVDADC sea capaz de escribir archivos en la carpeta que acabamos de compartir.

Clic en Inicio, y después en Equipo.
Doble-clic en la unidad C:
En el panel de detalles, botón derecho sobre la carpeta CRLDist, y clic en Propiedades.
Pulsar la pestaña Compartir, y después seleccionar Uso compartido avanzado.
Marcar Compartir esta carpeta.
En Nombre de recurso compartido, añadir $ al final del nombre CRLDist para ocultar el recurso compartido, y después pulsar en Permisos.
Clic en Agregar, y después pulsar en Tipos de Objeto.
Seleccionar Equipos, y pulsar en Aceptar.
En Escriba los nombres de objeto que desea seleccionar, escriba SVDADC, y clic en Aceptar.
En Nombres de Grupo o usuarios, clic sobre SVDADC. En Permisos de SVDADC, clic en Control total de la columna Permitir, y pinchar Aceptar dos veces.
Pulsar la pestaña Seguridad y seleccionar Editar.
Clic en Agregar, y después pulsar en Tipos de Objeto.
Seleccionar Equipos, y pulsar en Aceptar.
En Escriba los nombres de objeto que desea seleccionar, escriba SVDADC, y clic en Aceptar.
En Nombres de Grupo o usuarios, clic sobre SVDADC. En Permisos de SVDADC, clic en Control total de la columna Permitir, y pinchar en Aceptar.
Pinchar en Cerrar.
Cerrar la ventana del explorador de Windows

Publicar la CRL en SVDADC

El siguiente paso será publicar la CRL desde SVDADC y chequear los archivos CRL en SVDADA.

En SVDADC, clic en Inicio, Herramientas Administrativas, y por último seleccionar Entidad de Certificación.
Doble-clic en i64-SVDADC-CA, botón derecho sobre Certificados Revocados, seleccionar Todas las tareas, y clic en Publicar.
Seleccionar Lista de revocación de certificados (CRL) nueva, y clic en Aceptar.
Clic en Inicio, escribir \\SVDADA\crldist$, y pulsa ENTER.
En la ventana de crldist$, deberíamos ver dos archivos CRL llamados i64-SVDADC-CA y i64-SVDADC-CA+.
Cerrar la ventana crldist$ y la consola de la Entidad de Certificación.

Obtener un certificado adicional en SVDADA

Vamos a solicitar un certificado adicional con un sujeto personalizado y un nombre alternativo para la conectividad IP-HTTPS.

En SVDADA, Clic en Inicio > Todos los programas, clic sobre accesorios y por último clic en Símbolo del sistema.
Clic en Inicio, escribe mmc, y pulsar ENTER.
Clic en Archivo, y después en Agregar o quitar complemento.
Clic en Certificados, pinchar en Agregar, seleccionar cuenta de equipo, clic Siguiente, elegir Equipo Local, clic en Finalizar, y por ultimo seleccionar Aceptar.
Expandir Certificados (Equipo Local)\Personal\Certificados.
Botón derecho sobre Certificados, seleccionar Todas las tareas, y clic en Solicitar un Nuevo Certificado.
Pulsar en Siguiente dos veces.
En la página de Inscripción de certificados, marcar Web Server 2008, y después hacer clic en Se necesita más información para inscribir este certificado. Haga clic aquí para configurar los valores
En la pestaña Sujeto de las Propiedades de Certificado, en Nombre de Sujeto, para Tipo, seleccionar Nombre Común.
En Valor, escribir SVDADA.i64.es, y pinchar en Agregar.
En Nombre alternativo, para Tipo, seleccionar DNS.
En Valor, escribe SVDADA.i64.es, y pinchar en Agregar.
Clic en Aceptar, clic en inscribir, y después en Finalizar.
En el panel de detalles del complemento Certificados, verificar que hay un nuevo certificado con el nombre SVDADA.i64.es y cuyo propósito planteado es Autenticación del Servidor
Botón derecho sobre este certificado, y clic en Propiedades.
En Nombre descriptivo poner Certificado IP-HTTPS y pulsar en Aceptar.
Cerrar la ventana y a la pregunta de guardar la configuración responder con No.

Configurar SVDADC como servidor de aplicaciones

Los siguientes pasos serán configurar el servidor SVDADC como servidor de aplicaciones para dar respuesta a las solicitudes de los clientes cuando se conecten desde una ubicación remota.

Obtener un certificado adicional en SVDADC

Vamos a configurar un certificado adicional en el servidor para ubicación de red.

En SVDADC, clic en Inicio, escribe mmc, y pulsar ENTER.
Clic en Archivo, y después en Agregar o quitar complemento.
Clic en Certificados, pinchar en Agregar, seleccionar cuenta de equipo, clic Siguiente, elegir Equipo Local, clic en Finalizar, y por ultimo seleccionar Aceptar.
Expandir Certificados (Equipo Local)\Personal\Certificados
Botón derecho sobre Certificados, seleccionar Todas las tareas, y clic en Solicitar un Nuevo Certificado.
Pulsar en Siguiente dos veces.
En la página de Inscripción de certificados, marcar Web Server 2008, y después hacer clic en Se necesita más información para inscribir este certificado. Haga clic aquí para configurar los valores
En la pestaña Sujeto de las Propiedades de Certificado, en Nombre de Sujeto, para Tipo, seleccionar Nombre Común.
En Valor, escribir nls.i64.hol, y pinchar en Agregar.
En Nombre alternativo, para Tipo, seleccionar DNS.
En Valor, escribe nls.i64.hol, y pinchar en Agregar.
Clic en Aceptar, clic en inscribir, y después en Finalizar.
En el panel de detalles del complemento Certificados, verificar que hay un nuevo certificado con el nombre nls.i64.hol y cuyo propósito planteado es Autenticación del Servidor
Cerrar la ventana y a la pregunta de guardar la configuración responder con No.

Instalar el rol de servidor Web (IIS)

Lo siguiente será la instalación del rol de Servidor Web(IIS).

En el Administrador del Servidor, clic en Roles. En el panel de detalles, clic en Agregar Roles, y por último seleccionar Siguiente.
En la página de Seleccionar roles de servidor, clic en Servidor Web (IIS), y pulsar en Siguiente tres veces.
Clic en Instalar.
Verificar que la instalación es correcta, y pulsar en Cerrar.

Configurar el enlace HTTPS

Vamos a configurar el enlace HTTPS para que el servidor actúe como servidor de ubicación de red o Network location server. Este tipo de servidor sirve para que el cliente de DirectAccess determine si se encuentra en la red local o en una red externa.

Clic en Inicio, Herramientas Administrativas, y después arrancar Administrador de Internet Information Services (IIS).
En la consola del Administrador de Internet Information Services (IIS), abrir SVDADC/Sitios y hacer clic en Default Web site.
En el panel de Acciones, clic en Enlaces.
En Enlaces de Sitios, pinchar en Agregar.
En el cuadro de dialogo de Agregar enlace de sitio, en la lista de Tipo, clic en https. En Certificado SSL, seleccionar el certificado con nombre nls.i64.hol.Pinchar en Aceptar y después en Cerrar.
Cerrar la consola del Administrador de Internet Information Services (IIS).

Crear una carpeta compartida

Crearemos una carpeta compartida para que cuando el cliente se conecte desde una ubicación remota comprobar que se hace de forma correcta.

Clic en Inicio y después pinchar en Equipo.
Doble-clic sobre la unidad C:
Clic en Nueva Carpeta, poner de nombre Archivos, y pulsar ENTER. Dejar la ventana abierta
Crear un documento de texto dentro de la carpeta de nombre Ejemplo.txt
Escribir dentro del archivo Esto es un archivo compartido y guardarlo.
Salir de la carpeta y pulsar de nuevo sobre ella con el botón y seleccionar Compartir con y después hacer clic en Usuarios específicos
Clic en Compartir, y luego en Listo.
Cerrar la ventana.

Y hasta aquí la configuración y montaje por hoy del escenario de DirectAccess .No dejéis de leer el blog porque todavía nos quedan un par de artículos más.

Cómo montar un escenario de DirectAccess (I)

Anonymous — Mon, 14 Dec 2009 17:44:00 GMT

El objetivo principal de este laboratorio es crear un entorno funcional en el que poder configurar y utilizar la nueva característica conjunta de Windows 7 y Windows 2008 Server R2 que nos permitirá poder conectarnos a la intranet corporativa de forma automática. Una vez configurada de forma correcta conseguiremos:

Mejora en la administración de usuarios remotos, ya que nos permitirá la aplicación de políticas de grupo e instalaciones de software de forma automática, a equipos que no se encuentren de forma local en la organización y que únicamente se encuentren conectados a Internet.
Securización de la red, ya que para trabajar con DirectAccess necesitamos utilizar IPv6 e IPsec.
Reducción de costes debido a la separación de tráfico de Internet e intranet que realiza DirectAccess.

El siguiente laboratorio se desarrolla bajo la funcionalidad de entorno virtualizado a través del Servicio Hyper-V de Microsoft. Para el desarrollo del mismo, se van a crear las siguientes máquinas virtuales:

SVDADC
SVDADA
SVDAINET
W7DACLN
W7DANAT

A continuación se describe la nomenclatura, roles y direccionamiento IP que utilizará cada una de las máquinas que integran este laboratorio.

SVDADC es el servidor de la sede central y va a contar con las siguientes funcionalidades: Controlador de Dominio (también DNS), Servidor de Ficheros, Servidor Web, Servidor DHCP y Entidad de Certificación. El direccionamiento de dicha máquina consistirá en un único adaptador de red con el direccionamiento 192.168.64.1/24.
SVDADA es el servidor de la sucursal que se encargará de hospedar la característica de DirectAccess. El direccionamiento de dicha máquina consistirá en dos adaptadores de red, uno “apuntando” a la intranet de la empresa y con el direccionamiento 192.168.64.200/24, y otro de cara a Internet con dos direcciones IP públicas consecutivas, 131.107.0.2/24 y 131.107.0.3/24
SVDAINET es un servidor independiente, es decir, que no se encuentra unido al dominio y que tendrá los siguientes roles: Servidor WEB, Servidor DHCP y Servidor DNS. Su función será la de dar soporte DNS a los clientes que se encuentren conectados a Internet. Su direccionamiento IP es 131.107.0.1/24
W7DACLN es el cliente que intervendrá en el laboratorio. Su funcionalidad consiste en probar que puede acceder a la red interna de I64.hol aun estando en redes externas a ésta. El direccionamiento de dicha máquina es asignado en cualquier caso a través de DHCP sea cual sea la red en la que esté.
W7DANAT es otro cliente, aunque su funcionalidad queda reducida a la función de dispositivo que realizará funciones de enrutador NAT entre el cliente y las demás redes cuando el cliente se encuentre conectado a la red de HOMENET. Posee dos adaptadores de red, uno conectado a la red INTERNET, que recibe DHCP de SVDAINET, y otro conectado a la red de HOMENET.

Configuración de SVDADC

Partimos de que SVDADC ya tiene instalado el sistema operativo Windows Server 2008 R2 y la solución de Active Directory para el dominio I64.hol. Una vez finalizado el proceso de inicio del equipo, se iniciará sesión en el equipo SVDADC, mediante la cuenta del usuario administrador.

Vamos a comenzar con la configuración del servidor que actuará como Controlador de dominio y como servidor de aplicaciones dentro de la intranet o red de i64.hol

Instalar y Configurar DHCP

Lo primero que vamos a hacer es configurar SVDADC como Servidor DHCP para que W7DACLN reciba direccionamiento IP dinámico cuando se conecte a la subred i64.hol.

En el árbol de consola del Administrador del servidor, hacer clic en Roles.
En el panel de detalles, bajo Resumen de Roles, clickear en Agregar roles, y después hacer clic en Siguiente.
En la página de Seleccionar Roles de Servidor, clic en Servidor DHCP, y clickear Siguiente dos veces.
En la página Seleccionar enlaces de conexión de red, verificar que 192.168.64.1 está seleccionada, y después seleccionar Siguiente.
En la página Especificar la configuración del Servidor DNS IPv4, verificar que i64.hol aparece bajo Dominio Primario.
Escribir 192.168.64.1 bajo Dirección IPv4 del servidor DNS preferido, y pinchar en Validar. Verificar que el resultado es Válida, y seleccionar Siguiente.
En especificar la configuración del servidor WINS IPv4, aceptar la configuración por defecto de No se requiere WINS para las aplicaciones en esta red, y pinchar en Siguiente.
En Agregar o editar ámbitos DHCP, clic en Agregar.
En la ventana de Agregar ámbito, poner como Nombre de ámbito I64. En dirección IP Inicial, poner 192.168.64.100, como Dirección IP final, 192.168.64.150, y verificar que aparece como Mascara de subred, 255.255.255.0. Pinchar en Aceptar y luego en Siguiente.
En Configurar el modo sin estado DHCPv6, seleccionar Deshabilitar el modo sin estado DHCPv6 para este servidor, y seleccionar Siguiente.
En la página Autorizar Servidor DHCP, seleccionar Use credenciales actuales. Verificar que I64\Administrador aparece junto a Nombre de Usuario, y después seleccionar Siguiente.
En Confirmar selecciones de instalación, clic en Instalar.
Comprobar que la instalación es correcta y seleccionar Cerrar.

Crear Registro A en el DNS

Crearemos un registro A en el DNS para los nombres crl.i64.es y nls.i64.hol. Este última registro se utiliza para que el cliente averigüe si está en la red interna.

Clic en Inicio, Herramientas Administrativas y seleccionar DNS.
Desplegar SVDADC.
Botón derecho sobre Zonas de Búsqueda Directa, seleccionar Zona Nueva, y pinchar en Siguiente.
En la página Tipo de zona, pulsar en Siguiente.
En Ámbito de replicación de la zona de Active Directory, clic en Siguiente.
Como Nombre de zona, escribir i64.es, y clic en Siguiente.
Si aparece la página Archivo de Zona, pulsar en Siguiente
En Actualización dinámica, clic en Siguiente, y por ultimo seleccionar Finalizar.
Botón derecho sobre i64.es, y seleccionar Host Nuevo(A o AAAA).
En Nombre, escribir crl. En Dirección IP, poner 192.168.64.100. Clic en Agregar Host.
Clic en Aceptar, y por ultimo pulsar en Realizado.
Botón derecho sobre i64.hol, y seleccionar Host Nuevo(A o AAAA).
En Nombre, escribir nls. En Dirección IP, poner 192.168.64.1. Clic en Agregar Host.
Clic en Aceptar, y por último pulsar en Realizado.
Cerrar la consola DNS

Instalar una CA de raíz empresarial en SVDADC

Proteger las comunicaciones a través de Internet entre Clientes y Servidores de DirectAccess requiere de certificados de equipo para la autenticación IPsec. En este paso, instalaremos una CA de raíz empresarial SVDADC para proveer de certificados a los equipos miembros del dominio.

En el Árbol de consola del Administrador del servidor, hacer clic en Roles.
En el panel de detalles, bajo Resumen de Roles, clickear en Agregar roles, y después hacer clic en Siguiente.
En la página de Seleccionar Roles de Servidor, clic en Servicios de Certificado de Active Directory y clickear Siguiente dos veces.
En la página Seleccionar servicios de rol, clic en Siguiente.
En Especificar tipo de instalación, seleccionar Empresa, y pinchar en Siguiente.
En Especificar tipo de CA, seleccionar CA Raíz, y clic en Siguiente.
En la página de Configurar clave privada, clic en Crear una nueva clave privada, y seleccionar Siguiente.
En Configurar criptografía para CA, clic en Siguiente.
En Configurar nombre de CA, seleccionar Siguiente.
En Establecer el periodo de validez, clic en Siguiente.
En la página de Configurar base de datos de certificados, seleccionar Siguiente.
En Confirmar selecciones de instalación, clic en Instalar.
En Resultados de la instalación, clic en Cerrar.

Crear un grupo de seguridad para los equipos clientes de DirectAccess

Este grupo de seguridad será utilizado para aplicar configuraciones de equipo a los equipos clientes. El equipo W7DACLN se añadirá a este grupo una vez se haya añadido al dominio. Crear grupo de seguridad para los equipos clientes de DirectAccess.

Pinchar en Inicio > Herramientas Administrativas y por último en Usuarios y Equipos de Active Directory
En el árbol de consola de Usuarios y equipos del Active Directory, desplegar , y clic con botón derecho sobre Users, apuntar sobre Nuevo, y clic en Grupo.
En el cuadro de dialogo Nuevo Objeto: Grupo, debajo de Nombre de Grupo, escribir Clientes_DA.
Bajo Ámbito de grupo, elegir Global, y debajo de Tipo de Grupo, elegir Seguridad, y clic en Aceptar.
Cerrar la consola de Usuarios y equipos del Active Directory.

Crear y habilitar una plantilla de certificado personalizada

Vamos a crear una plantilla de certificado para que los equipos que lo soliciten lo puedan hacer especificando un nombre y un nombre alternativo de un certificado.

Clic en Inicio, escribir mmc, y pulsar ENTER.
Clic en Archivo, y después seleccionar Agregar o Quitar complemento.
En la lista de complementos, clic en Plantillas de Certificados, seleccionar Agregar, y pulsar en Aceptar.
En el árbol de consola, abrir Plantillas de Certificados.
En el Panel de Contenido, botón derecho sobre la plantilla de Servidor Web, y seleccionar Plantilla Duplicada.
Seleccionar Windows Server 2008 Enterprise, y clic en Aceptar.
En Nombre para mostrar en la plantilla, poner Web Server 2008.
Clic en la pestaña de Seguridad.
Clic en Usuarios Autentificados, y seleccionar en el panel inferior Inscribirse en la columna Permitir.
Clic en Agregar, escribir Equipos del Dominio, y pulsar en Aceptar.
Clic en Equipos del Dominio, y seleccionar en el panel inferior Inscribirse en la columna Permitir.
Clic en la pestaña Tratamiento de la solicitud.
Seleccionar Permitir que la clave privada se pueda exportar.
Clic en Aceptar.
Cerrar la consola MMC sin guardar los cambios.
Clic en Inicio, Herramientas Administrativas, y entonces clic en Entidad de certificación.
En el árbol de la consola, expandir i64-SVDADC-CA, botón derecho en Plantilla de Certificados, apuntar a Nuevo, y seleccionar Plantilla de Certificado que se va a emitir
En la lista de plantillas de certificados, clic en Web Server 2008, y seleccionar Aceptar.
Cerrar la consola de la entidad de certificación

Crear y habilitar reglas en el firewall para tráfico ICMPv4 e ICMPv6

Ahora necesitamos configurar reglas en el Firewall con Seguridad Avanzada que permita mensajes ICMPv4 y ICMPv6 tanto entrantes como salientes para proveer conectividad para clientes de DirectAccess basados en Teredo.

Clic en Inicio, Herramientas Administrativas, y clic en administración de directivas de grupo.
En la consola, expandir Bosque: i64.hol\Dominios\i64.hol.
Botón derecho sobre Default Domain Policy, y clic sobre Editar.
En el Editor de administración de directivas de grupo, abrir Configuración del equipo\Directivas\Configuración de Windows\Configuración de Seguridad\Firewall de Windows con seguridad avanzada\ Firewall de Windows con seguridad avanzada
Pinchar con el botón derecho sobre Reglas de entrada y hacer clic sobre Nueva Regla.
En tipo de regla, clic en Personalizada, y pinchar en Siguiente.
En la página de Programa, clic en Siguiente.
En Protocolo y Puertos, para Tipo de Protocolo, seleccionar ICMPv4, y pinchar en Personalizar.
En la ventana de Personalizar configuración de ICMP, clic en Tipos de ICMP específicos, seleccionar Petición ECO, y pinchar en Aceptar.
Clic en Siguiente.
En la página de ámbito, clic en Siguiente.
En la página de acción, clic en Siguiente.
En la página de Perfil, clic en Siguiente
En la página de Nombre, para Nombre, escribir Peticiones Eco entrantes ICMPv4, y seleccionar Finalizar.
Pinchar con el botón derecho sobre Reglas de entrada y hacer clic sobre Nueva Regla.
En tipo de regla, clic en Personalizada, y pinchar en Siguiente.
En la página de Programa, clic en Siguiente.
En Protocolo y Puertos, para Tipo de Protocolo, seleccionar ICMPv6, y pinchar en Personalizar.
En la ventana de Personalizar configuración de ICMP, clic en Tipos de ICMP específicos, seleccionar Petición ECO, y pinchar en Aceptar.
Clic en Siguiente.
En la página de ámbito, clic en Siguiente.
En la página de acción, clic en Siguiente.
En la página de Perfil, clic en Siguiente
En la página de Nombre, para Nombre, escribir Peticiones Eco entrantes ICMPv6,
y seleccionar Finalizar.
Pinchar con el botón derecho sobre Reglas de salida y hacer clic sobre Nueva Regla.
En tipo de regla, clic en Personalizada, y pinchar en Siguiente.
En la página de Programa, clic en Siguiente.
En Protocolo y Puertos, para Tipo de Protocolo, seleccionar ICMPv4, y pinchar en Personalizar.
En la ventana de Personalizar configuración de ICMP, clic en Tipos de ICMP específicos, seleccionar Petición ECO, y pinchar en Aceptar.
Clic en Siguiente.
En la página de ámbito, clic en Siguiente.
En la página de acción, seleccionar Permitir la conexión y clic en Siguiente.
En la página de Perfil, clic en Siguiente
En la página de Nombre, para Nombre, escribir Peticiones Eco salientes ICMPv4, y seleccionar Finalizar.
Pinchar con el botón derecho sobre Reglas de salida y hacer clic sobre Nueva Regla.
En tipo de regla, clic en Personalizada, y pinchar en Siguiente.
En la página de Programa, clic en Siguiente.
En Protocolo y Puertos, para Tipo de Protocolo, seleccionar ICMPv6, y pinchar en Personalizar.
En la ventana de Personalizar configuración de ICMP, clic en Tipos de ICMP específicos, seleccionar Petición ECO, y pinchar en Aceptar.
Clic en Siguiente.
En la página de ámbito, clic en Siguiente.
En la página de acción, seleccionar Permitir la conexión y clic en Siguiente.
En la página de Perfil, clic en Siguiente
En la página de Nombre, para Nombre, escribir Peticiones Eco salientes ICMPv6, y seleccionar Finalizar.
Cerrar el Editor de administración de directivas de grupo y la consola de Administración de directivas de Grupo.

Eliminar ISATAP de la lista de bloqueo de DNS

Configurar el servidor DNS para eliminar el nombre ISATAP de su lista de bloqueo.

Clic en Inicio, Todos los Programas, Accesorios, clic sobre Símbolo de sistema.
En la ventana del Símbolo de sistema, escribir dnscmd /config /globalqueryblocklist wpad, y pulsar ENTER.
Verificar que en el resultado aparece comando completado correctamente.
Cerrar la ventana de Símbolo de Sistema

Configuración de distribución CRL

Configuraremos la CA de raíz Empresarial con configuración CLR adicional para que los clientes de DirectAccess puedan comprobar el CRL de los certificados cuando se conecte a la subred.

Clic en Inicio, Herramientas Administrativas, y después pinchar en Entidad de Certificación.
En la consola, botón derecho sobre i64-SVDADC-CA, y seleccionar Propiedades.
Clic en la pestaña Extensiones, y después pulsar sobre Agregar.
En Ubicación, escribir http://crl.i64.es/crld/.
En Variable, desplegar y seleccionar <Nombre de CA>, y clic sobre Insertar.
En Variable, desplegar y seleccionar <Sufijo de nombre de lista CRL> y clic sobre Insertar.
En Variable, desplegar y seleccionar <Diferencias entre listas CRL permitidas>, y clic sobre Insertar.
En Ubicación, escribir .crl al final de la cadena de ubicación, y luego hacer clic sobre Aceptar.
Seleccionar Incluir en las CRL. Usada para encontrar la ubicación de diferencias CRL. e Incluir la extensión CDP de los certificados emitidos.
Clic en Agregar.
En Ubicación, escribir \\SVDADA\crldist$\.
En Variable, desplegar y seleccionar <Nombre de CA>, y clic sobre Insertar.
En Variable, desplegar y seleccionar <Sufijo de nombre de lista CRL> y clic sobre Insertar.
En Variable, desplegar y seleccionar <Diferencias entre listas CRL permitidas>, y clic sobre Insertar.
En Ubicación, escribir .crl al final de la cadena de ubicación, y luego hacer clic sobre Aceptar.
Seleccionar Publicar las listas de revocación de certificados (CRL) en esta ubicación y Publicar Diferencias CRL en esta ubicación, y seleccionar Aceptar.
Clic en Si a reiniciar los servicios de certificados de Active Directory.
Cerrar la consola de la Entidad de Certificación.

Habilitar Inscripción automática de certificados

Configuraremos la CA raíz para que los certificados de equipo sean emitidos de forma automática a través de Directivas de Grupo.

Clic en Inicio, Herramientas Administrativas, y después pinchar en Administración de Directivas de Grupo.
En la consola, expandir Bosque: i64.hol\Dominios\i64.hol.
Botón derecho sobre Default Domain Policy, y clic en Editar.
En la consola del Editor de administración de Directivas de grupo, expandir Configuración de Equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de clave pública.
Botón derecho sobre Configuración de la solicitud de certificados automática, clic en Nuevo, y después clic en Solicitud de certificados automática.
En el asistente para instalación de solicitud automática de certificado, seleccionar Siguiente.
En la página de Plantilla de Certificado, clic en Equipo, pulsar en Siguiente, y clic en Finalizar.
Cerrar el Editor de administración de directivas de grupo y la consola de Administración de directivas de Grupo.

Y esto es todo por hoy, que no es poco, continuaremos durante estos días configurando este escenario que seguro que os va a resultar interesante.

Julián Blázquez y Fran Nogal