Documentos de Académico
Documentos de Profesional
Documentos de Cultura
Login
Tw ittear Me gusta
febrero 15
Ahora ms que nunca las comunicaciones juegan un papel fundamental en el mundo e para las empresas, ahora las oficinas son los CPD de los proveedores de servicios de conferencias online de Lync. De ahi que las comunicaciones juegan un papel fundame
hasta conectarnos remotamente va VDI a nuestro equipo personal. Las oficinas o cen
otro en el cual tengamos usuarios itinerantes. Pero ahora nuestro principal problema e
debemos pensar en la "comodidad" de los usuarios para acceder a la informacin de la empresa, y que el personal de soporte pueda responder con r
Desde hace muchos aos disponemos de diferentes formas de conectarnos a nuestra infraestructura de forma segura, y casi todas ellas pasan por c (IPSec, SSH, SSL, PPTP, SSTP, etc...). Pero esto siempre ha llevado consigo ciertos inconvenientes, como son: Configuraciones manuales en los equipos clientes Hardware especfico para los terminadores VPN Filtro de puertos desde redes pblicas: Hoteles, Redes Empresariales, Wireless Pblicas, etc.. Formacin a los usuarios Soporte a los usuarios remotos
Posteriormente han ido surgiendo nuevas tecnologas o servicios que iban haciendo ms sencillo este tipo de implementaciones, cumpliendo por lo me ello tengamos que comprometer la seguridad de la empresa. Al final no deja de ser una conexin tunelizada hacia servidores RDS exponiendo para e ocasiones queremos que los usuarios remotos trabajen directamente desde sus estaciones de trabajo, lo cual en muchas ocasiones resulta ms fcil
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 1/62
servidores de la empresa. TS Gateway es uno de esos nuevos servicios que "solucionaba" o pretenda eliminar la complejidad de las conexiones VPN,
cuando estn fsicamente fuera de la organizacin (si adoptamos el modelo de negocio basado en la nube esto ya es el "por defecto") se encuentre
5/3/2014
y su informacin. Con esta filosofa naci DirectAccess en Windows Server 2008 R2, una tecnologa que sin necesidad de VPN nos mantiene conec en nuestro equipo. El problema que inicialmente tena esta tecnologa eran los requisitos a nivel de infraestructura, puesto que no todas las empresa DirectAccess ):
Uno o varios servidores de DirectAccess que ejecuten Windows Server 2008 R2 (con o sin UAG) con dos adaptadores de red: uno conectado servidores de DirectAccess deben ser miembros de un dominio de AD DS.
En el servidor de DirectAccess, al menos dos direcciones IPv4 pblicas consecutivas asignadas al adaptador de red que est conectado a Int
Equipos cliente de DirectAccess que ejecuten Windows 7 Enterprise o Ultimate. Los clientes de DirectAccess deben ser miembros de un domin controladores de dominio que ejecutan Windows Server 2003 cuando la funcionalidad NAT64 est habilitada. mantenimiento para NAP.
Al menos un controlador de dominio y un servidor DNS que ejecute Windows Server 2008 SP2 o Windows Server 2008 R2. Cuando se usa UA
Una infraestructura de clave pblica (PKI) para emitir certificados de equipo y, opcionalmente, certificados de tarjeta inteligente para la aute
Sin UAG, un dispositivo NAT64 opcional para proporcionar acceso a recursos de solo IPv4 para los clientes de DirectAccess. DirectAccess con Estos requisitos eran ms o menos asequibles por cualquier empresa, el problema era la necesidad de tener direccionamiento IPv6. Puesto que para queda) mucho camino por recorrer en este tema. Desde luego la tecnologa era la adecuada y solventaba todos los problemas de antao: No ms VPN de acceso remoto Posibilidad de soporte remoto desde el dpto. de IT hacia los usuarios remotos Facilidad de gestin y mantenimiento etc..
elementos de red y servidores a esta nueva versin de IP. Est claro que antes o despus las empresas cambiarn a IPv6, cuando sali DirectAcces
Pero con la llegada de Windows Server 2012 todo ha vuelto a dar un giro de 180 o y los requisitos son ms asequibles para la may No es necesario tener una infraestructura de clave pblica (PKI)
Necesitamos nicamente una direccin IP pblica versin 4 y convive con NAT No tener deshabilitado IPv6 en nuestra red Necesitamos un DC y un DNS server en Windows Server 2012
Una vez que hemos visto muy por encima los requisitos necesarios para implementar Direct Access, vamos a ver su configuracin para este LAB:
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
2/62
5/3/2014
Aqu os muetros los datos IP del esquema que utilizaremos en el LAB SERVIDOR SRV-DA00 SRV-DC00 SRV-CRM00 SRV-SP00 SRV-MAIL00 ASIRPORT01 ROL DIRECT ACCESS ADDS, CA, DNS CRM SHAREPOINT EXCHANGE SERVER Cliente de DirectAccess IP 1 (LAN) 192.168.250.96 1 92.168.250.200 1 92.168.250.100 1 92.168.250.101 1 92.168.250.102 1 92.168.00/24
El firewall tiene varias IP Pblicas pero solo utilizaremos una IP v4 para el servicio del Direct Access. Est configurado NAT en el firewall y se ha config
DMZ del DA. El resto de la red es muy sencilla, tenemos dos servidores fsicos, el DC (SRV-DC00) y el que tiene el hypervisor habilitado (SRV-MV00) q
SRV-CRM00, SRV-SP00, SRV-MAIL00). Estas mquinas virtuales las utilizaremos para comprobar que podemos llegar a ellas desde el cliente conectad
conectado en otra ubicacin y conectado a Internet mediante una lnea de ADSL de 15MB(down)/1,5MB(up), adems el equipo ya est unido al domi
Vamos a empezar con la configuracin de DirectAccess desde el principio, as que una vez instalado el Windows Server 2012 debemos empezar por
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
3/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
4/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
5/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
6/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
7/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
8/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
9/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
10/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
11/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
12/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
13/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
14/62
5/3/2014
La configuracin la podemos hacer bien por el asistente o manualmente, en este caso lo haremos mediante el asistente, y en nuestro caso solo quere
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
15/62
5/3/2014
Perimetral: debemos tener dos direcciones IP Pblicas contiguas (IPv4 o IPv6) si usamos Teredo. Sino utilizamos Teredo podemos
Detrs de un dispositivo perimetral (con dos adaptadores): cada adaptador debe tener una IP v4 o v6, la interface LAN debe ser una
Tras un dispositivo perimetral (con un solo adaptador de red): est tambin detrs de un dispositivo de seguridad pero con una n
Nosotros vamos a escoger la segunda opcin y como nombre pblico para acceder al DirectAccess ser vpn.asirsl.com , recordad q nuestro servidor DNS externo
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
16/62
5/3/2014
como vemos en la captura anterior tenemos la posibilidad de editar la configuracin antes de que se aplique, esto podemos hace revisamos la configuracin antes de aplicarse. Como vemos podemos especificar que equipos tendrn acceso al DirectAccess IPs configuradas en el servidor de DA
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
17/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
18/62
5/3/2014
Una vez creada la configuracin nos muestra el resultado, si existen advertencias nos mostrar cual es el problema. En nuestro ca opcin de multisitio o clster debemos revisarlo (esto lo veremos en otro artculo)
Para revisar la configuracin abrimos la consola de administracin de acceso remoto, desde aqu podemos editar "manualmente " la configuracin
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
19/62
5/3/2014
Paso 1, configuramos el tipo de implementacin. Nosotros elegimos la primera opcin en donde configuramos que podemos disponer de administraci DirectAccess
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
20/62
5/3/2014
Ahora aadimos el grupo de equipos que tendrn acceso mediante DirectAccess a la organizacin, por defecto est el grupo Equipos del Dominio, los equipos tengan acceso de DirectAccess . Desmarcamos las siguientes opciones porque no queremos que solo los porttiles se puedan conectar DirectAccess
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
21/62
5/3/2014
En este paso debemos tener mucho cuidado y es muy importante que est correctamente configurado. El nombre FQDN que nos muestra correspond nombre por defecto es: directaccess-WebProbehost.nombre_dominio.
resuelve el nombre sabr que se encuentra dentro de la red. Este registro DNS tipo A debis crearlo solo en el servidor DNS INTERNO. Nosotros pod
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
22/62
5/3/2014
Tambin podemos configurar una direccin de correo de soporte por si los usuarios tienen algn problema que conozcan con quien pueden contactar consultas DNS a nombres de etiqueta nica al servidor DNS corporativo, sino que lo har utilizando la resolucin local usando LLMNR y NetBios
DNS locales del equipo debemos habilitar casilla de Permitir que los clientes DirectAccess use la resolucin local de nombres. Tambin co
Paso 2, servidor de acceso remoto. Aqu configuraremos las distintas opciones del servidor de DirectAccess
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
23/62
5/3/2014
Podemos elegir las interfaces del servidor para los perfiles externo o interno, adems de seleccionar el certificado autofirmado q HTTPS. Si queremos utilizar un certificado de nuestra CA debemos desmarcar la casilla Usar un certificado autofirmado.... y selecci almacn de certificados local del equipo. Por lo que previamente debemos instalar el certificado que queremos utilizar, pero si qu instalado, solo debemos seleccionarlo. Siendo un certificado autofirmado debera mostrarnos una alerta en los equipos clientes pero esto se soluciona con la GPO que se ha creado con la configuracin del DirectAccess (Configuracin del cliente de DirectAcce de confianza para los equipos a los cuales se les aplica la directiva:
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
24/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
25/62
5/3/2014
Elegimos el mtodo de autenticacin de usuario: Credenciales de Active Directory (nombre de usuario y contrasea). Sin queremos obten cuando el equipo cumpla unos requisitos mnimos de "salud" (antivirus, antispyware) y seguridad (firewall, antivirus, actualizaciones automticas)
opcin correspondiente, al igual que si queremos utilizar NAP (lo veremos en otro artculo) que es muy interesante tenerlo habilitado. As podremos p
Paso 3, nos permite configurar a que servidores tendrn acceso los clientes DirectAccess antes de conectarse a los recursos internos. Adems el
autenticarse, y como podemos observar tenemos la posibilidad de utilizar certificados autofirmados (en nuestro caso es un certificado emitido por nue
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
26/62
5/3/2014
Aqu configuramos el split-dns si tenemos el mismo nombre de dominio interno y externo. Podemos definir que host queremos evi debemos establecer las siguientes exclusiones, de tal forma que estos registros el cliente los resolver en el DNS externo:
Tipo SRV A A A A A
Servicio Descubrimiento automtico de los servidores de acceso de Lync Interface Externa del EDGE de Acceso Interface Externa del EDGE de Conferencia Interface Externa del EDGE de AV Servicios Web del Front-END (ABS, etc...) URL de las reuniones online
27/62
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
5/3/2014
Externo
dialin.asirsl.com
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
28/62
5/3/2014
Si tenemos servidores de remediacin o actualizaciones podemos especificarlos en esta pantalla del asistente
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
29/62
5/3/2014
Podemos crear un grupo de seguridad y aadir como miembros a los servidores a los cuales los clientes DirectAccess tendrn acc
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
30/62
5/3/2014
Una vez aplicada la configuracin podemos revisarla mediante la consola de DirectAccess , tenemos varias opciones que vamos a ver a continuaci
CONFIGURACIN , nos muestra el esquema de la configuracin del DirectAccess de manera grfica y podemos editarla en cualquie
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
31/62
5/3/2014
PANEL, nos muestra el estado del servidor y resumen de los clientes conectados
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
32/62
5/3/2014
ESTADO DEL CLIENTE REMOTO, muestra el resumen del los clientes conectados
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
33/62
5/3/2014
GENERACIN DE INFORMES, nos muestras las estadsticas de conexin pero antes debemos configurarlo. Pulsamos en Configuracin cuentas
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
34/62
5/3/2014
yo voy a seleccionar las dos casillas y as usaremos un servidor RADIUS y los registros almacenados con WID
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
35/62
5/3/2014
Ahora debemos configurar ambas opciones, primero vamos a empezar con RADIUS. En mi caso tengo un servidor NPS que utilizo p autenticacin de dispositivos de seguridad (Routers, AP, Switchs, etc..) para su administracin. La configuracin del NPS no la voy debemos dar de alta el cliente RADIUS en el NPS que ser nuestro servidor de DirectAccess (SRV-DA00). Una vez configurado con su
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
36/62
5/3/2014
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
37/62
5/3/2014
La configuracin de las cuentas de la bandeja de entrada es "automtica", con seleccionarlo es suficiente a excepcin del tiempo que queremo borrar los registros manualmente entre fechas o todos los registros.
Ahora podemos ejecutar un informe y ver el registro de conexiones, protocolo, duracin, etc...
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
38/62
5/3/2014
Ahora que tenemos el servidor preparado, solo queda probar la configuracin en un cliente. El equipo que utilice DirectAccess debe ser obligatoriame
offline), yo os recomiendo que primero tengis el equipo unido al dominio y que se apliquen las directivas correspondientes. De esta forma garantizam continuacin:
posteriormente podemos conectarnos desde Internet y verificar que nos conecta va DirectAccess . Cuando se crea la configuracin del servidor se
Configuracin del cliente de DirectAccess, configuracin aplicada a los equipos que utilizarn DirectAccess y como vemos nosotro seguridad ACL DA Equipos Remotos
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
39/62
5/3/2014
General Detalles Vnculos Ubicacin asirsl Filtrado de seguridad La configuracin en este GPO slo se puede aplicar a los grupos, usuarios y equipos siguientes: Nombre ASIRSL\ACL DA Equipos Remotos Delegacin Estos grupos y usuarios tienen los permisos especificados para este GPO Nombre ASIRSL\ACL DA Equipos Remotos ASIRSL\Administradores de organizacin ASIRSL\Admins. del dominio NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS NT AUTHORITY\SYSTEM NT AUTHORITY\Usuarios autentificados Configuracin del equipo (habilitada) Directivas Configuracin de Windows Configuracin de seguridad Directivas de clave pblica/Entidades de certificacin raz de confianza Propiedades Directiva Permitir a los usuarios seleccionar nuevas entidades de certificacin raz de confianza Los equipos cliente pueden confiar en los siguientes almacenes de certificados
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
Aplicado No
Permisos vlidos Lectura (de Filtrado de seguridad) Editar configuracin, eliminar, modificar seguridad Editar configuracin, eliminar, modificar seguridad Lectura Editar configuracin, eliminar, modificar seguridad Lectura
Heredad No No No No No No
5/3/2014
Para realizar la autenticacin de usuarios y equipos basada en certificados, las CA deben cumplir los siguientes criterios Certificados Emitido para vpn.asirsl.com Firewall de Windows con seguridad avanzada Configuracin global Directiva Versin de directivas Deshabilitar FTP con estado Deshabilitar PPTP con estado Exencin de IPsec IPsec a travs de NAT Codificacin de clave previamente compartida Tiempo inactivo de SA Comprobacin CRL fuerte Reglas de salida Nombre Redes principales: IPHTTPS (TCP de salida) Emitido por vpn.asirsl.com
Fecha de expiracin
08/12/2017 10:41:1
Configuracin 2.20 No configurado No configurado ICMP No configurado No configurado No configurado No configurado Descripcin mediante proxy y firewalls HTTP.
Habilitado Programa Accin Seguridad Equipos autorizados Protocolo Puerto local Puerto remoto Configuracin ICMP mbito local mbito remoto Perfil Tipo de interfaz de red Servicio Grupo
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
6 Cualquiera Cualquiera Cualquiera Cualquiera Cualquiera Privado, Pblico Todo iphlpsvc DirectAccess
41/62
5/3/2014
Configuracin de seguridad de conexin Reglas Nombre Directiva de DirectAccess-ClientToCorpSimplified Habilitado Modo de autenticacin Extremo 1 Extremo 2 Puerto de extremo 1 Puerto de extremo 2 Primera autenticacin Segunda autenticacin Proteccin de datos Protocolo Perfil Extremo de tnel 1 Extremo de tnel 2 Tipo de interfaz de red Directiva de DirectAccess-ClientToNlaExempt Habilitado Modo de autenticacin Extremo 1 Extremo 2 Puerto de extremo 1 Puerto de extremo 2 Protocolo Perfil Extremo de tnel 1 Extremo de tnel 2 Tipo de interfaz de red Directiva de DirectAccess-ClientToDNS64NAT64PrefixExemption Habilitado Modo de autenticacin
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
Descripcin
fd2a:5665:1c13:1::/64, fd2a:5665:1c13:7777::/9 Cualquiera Cualquiera {7E1D399E-1B67-4BF3-A4F8-D2BC9ACB9307} {906355D1-60D4-4A72-9669-F65343A94F52} {4BFB5930-44FF-4ABF-BE75-E30AA8DD688D} Cualquiera Privado, Pblico Cualquiera Cualquiera Cualquiera
Verdadero No autenticar
42/62
5/3/2014
Extremo 1 Extremo 2 Puerto de extremo 1 Puerto de extremo 2 Protocolo Perfil Extremo de tnel 1 Extremo de tnel 2 Tipo de interfaz de red Primera autenticacin Nombre DirectAccess: conjunto de autenticacin de fase 1 {7E1D399E-1B67-4BF3-A4F8-D2BC9ACB9307} Versin Autenticacin Segunda autenticacin Nombre DirectAccess: conjunto de autenticacin de fase 2 {906355D1-60D4-4A72-9669-F65343A94F52} Versin Autenticacin Intercambio de claves (modo principal) Nombre Conjunto predeterminado Versin Vigencia de la clave en minutos Vigencia de la clave en sesiones Omitir versin Intercambio de claves Cifrado Integridad Omitir versin Intercambio de claves Cifrado Integridad Omitir versin
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
Cualquiera fd2a:5665:1c13:7777::/96 Cualquiera Cualquiera Cualquiera Privado, Pblico Cualquiera Cualquiera Cualquiera
Descripcin
Descripcin
Descripcin DirectAccess: conjunto criptogrfico de fase 2.20 480 0 2.0 Grupo Diffie-Hellman 2 AES-128 MD5 0.0 Grupo Diffie-Hellman 2 AES-128 SHA-1 0.0
43/62
5/3/2014
Intercambio de claves Cifrado Integridad Proteccin de datos (modo rpido) Nombre DirectAccess: conjunto criptogrfico de fase 2 {4BFB5930-44FF-4ABF-BE75-E30AA8DD688D} Versin Confidencialidad directa total Omitir versin Protocolo Cifrado Integridad ESP Vigencia de la clave en minutos Vigencia de la clave en kilobytes Omitir versin Protocolo Cifrado Integridad ESP Vigencia de la clave en minutos Vigencia de la clave en kilobytes Directiva de resolucin de nombres Configuracin global Avanzadas Configuracin global Directiva Dependencia de ubicacin de red Error en consulta
Descripcin DirectAccess: conjunto criptogrfico de fase 2.20 Deshabilitado 0.0 ESP AES-192 SHA-1 60 100000 0.0 ESP AES-128 SHA-1 60 100000
Valor No configurado
encuentre en una red privada (seguridad mo Resolucin de consulta Configuracin de regla Espacio de nombres .asirsl.com Directiva Espacio de nombres
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
No configurado
Valor .asirsl.com
44/62
5/3/2014
Entidad de certificacin Configuracin DNSSEC (validacin) DNSSEC (IPsec) DNSSEC (cifrado IPsec) Acceso directo (IPsec) Acceso directo (cifrado IPsec) Acceso directo (configuracin de proxy) Acceso directo (proxy web) Acceso directo (servidores DNS) Versin vpn.asirsl.com Directiva Espacio de nombres Entidad de certificacin Configuracin DNSSEC (validacin) DNSSEC (IPsec) DNSSEC (cifrado IPsec) Acceso directo (IPsec) Acceso directo (cifrado IPsec) Acceso directo (configuracin de proxy) Acceso directo (proxy web) Acceso directo (servidores DNS) Versin SRV-DA00.asirsl.com Directiva Espacio de nombres Entidad de certificacin Configuracin DNSSEC (validacin) DNSSEC (IPsec) DNSSEC (cifrado IPsec)
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
Vaco Acceso directo No configurado No configurado No configurado No Sin cifrado (slo integridad) No usar proxy web Vaco fd2a:5665:1c13:3333::1 1
Valor vpn.asirsl.com Vaco Acceso directo No configurado No configurado No configurado No Sin cifrado (slo integridad) Usar valor predeterminado Vaco Vaco 1
5/3/2014
DNSSEC (cifrado IPsec) Acceso directo (IPsec) Acceso directo (cifrado IPsec)
No configurado No Sin cifrado (slo integridad) Usar valor predeterminado Vaco Vaco 1
Acceso directo (configuracin de proxy) Acceso directo (proxy web) Acceso directo (servidores DNS) Versin Plantillas administrativas Definiciones de directiva (archivos ADMX) recuperados del almacn central. Red/Configuracin de TCPIP/Tecnologas de transicin IPv6 Directiva Estado de IP-HTTPS Escriba al direccin URL IPHTTPS: Seleccione el estado de la interfaz entre las siguientes opciones: Red/Indicador de estado de conectividad de red Directiva Direccin de host de sondeo del DNS corporativo Direccin de sondeo del DNS corporativo: Especifique la direccin DNS esperada que debe sondear el nombre de host corporativo. Ejemplo: 2001:4898:28:3:38a1:c31:7b3d:bf0 Directiva Direccin URL de sondeo del sitio web corporativo Direccin URL de sondeo del sitio web corporativo: Especifique la direccin URL del sitio web corporativo que se debe usar para sondear la conectividad corporativa. Ejemplo: http://ncsi.corp.microsoft.com/ Directiva Direccin URL para determinar la ubicacin del dominio Configuracin Habilitado Configuracin Habilitado Configuracin Habilitado Configuracin Habilitado
Comenta
Comenta
fd2a:5665:1c13:7777::7f00:1
Comenta
http://directaccess-WebProbeHost.asirs
Comenta
Direccin URL para determinar la ubicacin del dominio corporativo: Especifique la direccin URL HTTPS del sitio web corporativo que se debe usar para determinar la ubicacin dentro o fuera del dominio. Ejemplo: https://nid.corp.microsoft.com/ Directiva Lista de prefijos de sitios corporativos Lista de prefijos de sitios corporativos:
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
https://SRV-DA00.asirsl.com:443/insideo
Configuracin Habilitado
Comenta
fd2a:5665:1c13:1::/64,fd2a:5665:1c13:7777::/96,fd2a:5665:1
46/62
5/3/2014
Especifique la lista de prefijos de sitios IPv6 corporativos cuya disponibilidad se debe comprobar para detectar la conectividad corporativa. Sintaxis: La lista debe estar separada por comas sin espacios adicionales en blanco. Ejemplo: fe80::/9,fe81::/9 Directiva Nombre de host de sondeo del DNS corporativo Nombre de host de sondeo del DNS corporativo: Especifique un nombre de host corporativo que se debe resolver para sondear la conectividad corporativa. Ejemplo: ncsi.corp.microsoft.com Configuracin adicional del Registro No se encontraron los nombres para mostrar de algunos valores. Puede resolver este problema actualizando los archivos .ADM que usa Administracin Configuracin SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\KdcProxy\ProxyServers\* SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\KdcProxyServer_Enabled SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\Kerberos\Parameters\NoRevocationCheck SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant\DTEs\PING:fd2a:5665:1c13:1000::1 SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant\DTEs\PING:fd2a:5665:1c13:1000::2 SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant\FriendlyName SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant\Probes\HTTP:http://directaccessWebProbeHost.asirsl.com SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant\ShowUI SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\Config\GlobalVersion SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\Config\SiteVersion SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\Config\TimeStamp SOFTWARE\Policies\Microsoft\Windows\Tcpip\v6Transition\IPHTTPS\iphttpsinterface\InterfaceRole 1 Estado <https vpn.asirsl.com /> 1 1 PING:fd2a:5665:1c13:1000::1 PING:fd2a:5665:1c13:1000::2 Conexin al rea de trabajo Configuracin Habilitado
Comenta
directaccess-corpConnectivityHost.asirs
HTTP:http://directaccess-WebProb
{C694605C-C272-4B3E-9AA7-C47B5
{5ED258D7-2FBB-4696-87ED-6DF05 20121208084126.980000+000 0
SOFTWARE\Policies\Microsoft\Windows\Tcpip\v6Transition\IPHTTPS\iphttpsinterface\IPHTTPS_NoRevocationCheck 1 SYSTEM\CurrentControlSet\services\LanmanWorkstation\Parameters\SMB1NATCompatibilityLevel 1
Si ahora en el equipo cliente revisamos las configuracin avanzada del firewall y vamos a la seccin Reglas de conexin de seguridad, vemos la
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
47/62
5/3/2014
si ahora vamos al apartado de Asociaciones de seguridad y vamos Modo Principal vemos la conexin completada
Configuracin del cliente de DirectAccess , directiva aplicada y filtrada para los servidores de DirectAccess
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
48/62
5/3/2014
General Ubicacin asirsl Filtrado de seguridad La configuracin en este GPO slo se puede aplicar a los grupos, usuarios y equipos siguientes: Nombre ASIRSL\SRV-DA00$ Delegacin Estos grupos y usuarios tienen los permisos especificados para este GPO Nombre ASIRSL\Administradores de organizacin ASIRSL\Admins. del dominio ASIRSL\SRV-DA00$ NT AUTHORITY\ENTERPRISE DOMAIN CONTROLLERS NT AUTHORITY\SYSTEM NT AUTHORITY\Usuarios autentificados Configuracin del equipo (habilitada) Directivas Configuracin de Windows Configuracin de seguridad Firewall de Windows con seguridad avanzada Configuracin global Directiva Versin de directivas Deshabilitar FTP con estado Deshabilitar PPTP con estado
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
Aplicado No
Permisos vlidos Editar configuracin, eliminar, modificar seguridad Editar configuracin, eliminar, modificar seguridad Lectura (de Filtrado de seguridad) Lectura Editar configuracin, eliminar, modificar seguridad Lectura
Heredad No No No No No No
Exencin de IPsec
5/3/2014
Exencin de IPsec IPsec a travs de NAT Codificacin de clave previamente compartida Tiempo inactivo de SA Comprobacin CRL fuerte Reglas de entrada Nombre Redes principales: IPHTTPS (TCP de entrada)
ICMP No configurado No configurado No configurado No configurado Descripcin mediante proxy y firewalls HTTP.
Habilitado Programa Accin Seguridad Equipos autorizados Usuarios autorizados Protocolo Puerto local Puerto remoto Configuracin ICMP mbito local mbito remoto Perfil Tipo de interfaz de red Servicio Permitir cruce seguro del permetro Grupo Servidor de nombres de dominio (UDP de entrada)
6 Cualquiera Cualquiera Cualquiera Cualquiera Cualquiera Privado, Pblico Todo iphlpsvc Falso DirectAccess
17
50/62
5/3/2014
Puerto local Puerto remoto Configuracin ICMP mbito local mbito remoto Perfil Tipo de interfaz de red Servicio Permitir cruce seguro del permetro Grupo Servidor de nombres de dominio (TCP de entrada)
Habilitado Programa Accin Seguridad Equipos autorizados Usuarios autorizados Protocolo Puerto local Puerto remoto Configuracin ICMP mbito local mbito remoto Perfil Tipo de interfaz de red Servicio Permitir cruce seguro del permetro Grupo Configuracin de seguridad de conexin Reglas Nombre Directiva de DirectAccess-DaServerToCorpSimplified
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
Descripcin
Habilitado
Verdadero
51/62
5/3/2014
Habilitado Modo de autenticacin Extremo 1 Extremo 2 Puerto de extremo 1 Puerto de extremo 2 Primera autenticacin Segunda autenticacin Proteccin de datos Protocolo Perfil Extremo de tnel 1 Extremo de tnel 2 Tipo de interfaz de red Primera autenticacin Nombre DirectAccess: conjunto de autenticacin de fase 1 {A95AAFD6-1B41-44F1-A919-BBD766C30B71} Versin Autenticacin Segunda autenticacin Nombre DirectAccess: conjunto de autenticacin de fase 2 {73364DAD-C117-4EF9-A8FA-DBBB2266CDDB} Versin Autenticacin Intercambio de claves (modo principal) Nombre Conjunto predeterminado Versin Vigencia de la clave en minutos Vigencia de la clave en sesiones Omitir versin Intercambio de claves Cifrado Integridad Omitir versin
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
{A95AAFD6-1B41-44F1-A919-BBD766C30B71 {73364DAD-C117-4EF9-A8FA-DBBB2266CDD
Descripcin
Descripcin
Descripcin DirectAccess: conjunto criptogrfico de fase 2.20 480 0 2.0 Grupo Diffie-Hellman 2 AES-128 MD5 0.0
52/62
5/3/2014
Omitir versin Intercambio de claves Cifrado Integridad Omitir versin Intercambio de claves Cifrado Integridad
0.0 Grupo Diffie-Hellman 2 AES-128 SHA-1 0.0 Grupo Diffie-Hellman 2 3DES SHA-1
Proteccin de datos (modo rpido) Nombre DirectAccess: conjunto criptogrfico de fase 2 {3D5760F4-C034-4F26-AF12-17B559FDEB0F} Versin Confidencialidad directa total Omitir versin Protocolo Cifrado Integridad ESP Vigencia de la clave en minutos Vigencia de la clave en kilobytes Omitir versin Protocolo Cifrado Integridad ESP Vigencia de la clave en minutos Vigencia de la clave en kilobytes Plantillas administrativas Configuracin Software\Policies\Microsoft\Windows\RemoteAccess\Config\6To4\Enable6to4 Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Inbox\Mode Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Radius\Mode Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Radius\srvcentral1.asirsl.com\AccountingMsgs Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Radius\xxxxxxxx.asirsl.com\Address xxx.asirsl.com Software\Policies\Microsoft\Windows\RemoteAccess\Config\Accounting\Radius\srvhttp://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
Descripcin DirectAccess: conjunto criptogrfico de fase 2.20 Deshabilitado 0.0 ESP AES-192 SHA-1 60 100000 0.0 ESP AES-128 SHA-1 60 100000
Estado 2 1 2 0
30
53/62
central1.asirsl.com\InitialScore
5/3/2014
central1.asirsl.com\InitialScore
1813
asirsl.com\{D8126100-8EC6-47B2-90CFSoftware\Policies\Microsoft\Windows\RemoteAccess\Config\DefaultDnsServers Software\Policies\Microsoft\Windows\RemoteAccess\Config\DefaultNRPTSuffix Software\Policies\Microsoft\Windows\RemoteAccess\Config\Dns64Nat64Prefix Software\Policies\Microsoft\Windows\RemoteAccess\Config\DnsServers Software\Policies\Microsoft\Windows\RemoteAccess\Config\DTE1 Software\Policies\Microsoft\Windows\RemoteAccess\Config\DTE2 Software\Policies\Microsoft\Windows\RemoteAccess\Config\GlobalVersion Software\Policies\Microsoft\Windows\RemoteAccess\Config\GlobalWebProbeURL Software\Policies\Microsoft\Windows\RemoteAccess\Config\IpHttps\InterfaceRole Software\Policies\Microsoft\Windows\RemoteAccess\Config\IpHttps\State Software\Policies\Microsoft\Windows\RemoteAccess\Config\Isatap\IsatapPrefix Software\Policies\Microsoft\Windows\RemoteAccess\Config\Isatap\IsatapState Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-14418958482563715459-1397627946-6126\Internalinterface Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-14418958482563715459-1397627946-6126\Internetinterface Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-14418958482563715459-1397627946-6126\IpHttpscert Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-14418958482563715459-1397627946-6126\IpHttpsCertName Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-14418958482563715459-1397627946-6126\IpHttpsPrefix Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-14418958482563715459-1397627946-6126\Nlscert Software\Policies\Microsoft\Windows\RemoteAccess\Config\MachineSIDs\S-1-5-21-14418958482563715459-1397627946-6126\ServerCertForRadius Software\Policies\Microsoft\Windows\RemoteAccess\Config\ManagementServerInfo Software\Policies\Microsoft\Windows\RemoteAccess\Config\Nls\NlsCertName Software\Policies\Microsoft\Windows\RemoteAccess\Config\Nls\NlsPort
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
{EB60772D-266A-4B74-B0E0-A69FE6829
directaccess-WebProbeHost.asirsl.com 1 2 fd2a:5665:1c13:1::/64 2
{D3FBFCF6-25AD-443A-A55B-A401A3A7D
{B776CA73-ADEB-40C7-9EB2-EDEE06C1A
vpn.asirsl.com
fd2a:5665:1c13:1000::/64
SRV-DA00.asirsl.com 443 1
54/62
Software\Policies\Microsoft\Windows\RemoteAccess\Config\PlumbDTE1
5/3/2014
Software\Policies\Microsoft\Windows\RemoteAccess\Config\PlumbDTE1 Software\Policies\Microsoft\Windows\RemoteAccess\Config\PlumbDTE2 Software\Policies\Microsoft\Windows\RemoteAccess\Config\RADeploymentMode Software\Policies\Microsoft\Windows\RemoteAccess\Config\ServerGPO Software\Policies\Microsoft\Windows\RemoteAccess\Config\SiteVersion Software\Policies\Microsoft\Windows\RemoteAccess\Config\SiteWebProbeIPAddress Software\Policies\Microsoft\Windows\RemoteAccess\Config\Teredo\Type Software\Policies\Microsoft\Windows\RemoteAccess\Config\TimeStamp Software\Policies\Microsoft\Windows\RemoteAccess\Config\Version Software\Policies\Microsoft\Windows\RemoteAccess\Config\WebProbeList
1 1 196617
asirsl.com\{D8126100-8EC6-47B2-90CF-
http://directaccess-WebProbeHost.asir
Una vez que las directivas se hayan aplicado a los equipos y servidores, ya podemos probarlo. Ahora veris un equipo con Windows 8 que est fuera
conectado a DirectAccess . Primero iniciamos sesin en el equipo con la cuenta de usuario del dominio (debemos permitir inicios de sesin cacheada DirectAccess . Podemos comprobar que se ha conectado de varias maneras, una desde las conexiones de red:
que el equipo inicie la conexin con DirectAccess , tratar de resolver el registro directaccess-WebProbehost.asirsl.com y conectarse al serv
si vamos a las propiedades de la conexin veremos como ha identificado la conexin, adems podemos ver los registros para tra
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
55/62
5/3/2014
Tambin podemos ver la conexin de DirectAccess desde PowerShell, para ello abrimos una consola de PowerShell y escribimos el siguiente cmdlet:
Tenemos otros cmdlet muy interesantes para el DirectAccess que nos permite ver la configuracin, por ejemplo: Get-DAClientExperienceConfig
Si ahora lanzamos un ping a cualquier servidor interno al cual tenemos acceso, debera responder sin problema. Como vemos est no hemos configurado, solo hemos dejado habilitar el Protocolo de Internet versin 6 . Adems en la configuracin anterior se ha con nuestra red en la cual solo tenemos IPv4
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
56/62
5/3/2014
Si ahora nos conectamos a alguna aplicacin con autenticacin integrada veris que es una maravilla, podemos acceder directamente con la autentic
Adems podemos acceder a cualquier recurso compartido (para el que tengamos acceso), solo notaremos que la velocidad de acceso puede no ser la pero el acceso est disponible
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
57/62
5/3/2014
Como vemos es una maravilla, no tenemos que lanzar la conexin VPN y tenemos todas las funcionalidades como si estuviramos cualquier cambio de GPO, actualizaciones mediante WSUS, etc...
Adems como veremos podemos acceder desde la red interna al equipo conectado mediante DirectAccess , lo que hemos apuntando como un valor
Si nos encontramos dentro de la red de la empresa, y resuelve el registro directaccess-WebProbehost.asirsl.com y puede contarse al servicio dentro de la red y no te conectar con DirectAccess.
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
58/62
5/3/2014
Como podes apreciar en las capturas de pantalla detecta que estamos dentro de la red, bien conectados mediante VPN o directamente en la red loca
los DNS siempre sern los internos y podremos resolver correctamente los registros DNS de los servidores DNS internos. De tal forma que la podr re
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 59/62
5/3/2014
Tambin os muestro las claves de registros las cuales el equipo utiliza para verificar la conectividad desde dentro de la LAN: HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityStatusIndicator\CorporateConnectivity
El servicio Web al que tratar de conectarse el equipo no es ms que la web por defecto del IIS 8
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
60/62
5/3/2014
Cmo veis es unas maravilla el poder estar conectado desde fuera de la organizacin y tener acceso desde la misma forma como vista del usuario no tendr que autenticarse para cada aplicacin que quiera conectarse desde Internet, no tiene que conectarse m servido RDS. Desde el punto de vista del personal de IT, tiene mltiples beneficios: Sistemas actualizados (WSUS) desde la empresa Facilidad la hora de dar soporte al usuario final Aplicacin de GPO Control de las mquinas que se conectan mediante DirectAccess
Si dentro de la red de la empresa tenis varias subredes debis configurar rutas estticas en el serivdor de DirectAccess para comando sera el siguiente: ROUTE ADD IP_DESTINO MASK MSCARA GATEWAY IF N_INTERFACE -p Para conocer el ID de vuestra interface podis hacerlo escribiendo nicamente el comand router print
internet no tiene ni debe tener un gateway configurado. En la ruta esttica que creis debis especificar la interface por la que
Creo que sobran los elogios a este servicio porque es una maravilla, y ahora con Windows Server 2012 se nos facilita la posibilid decir en cualquier cliente.
Espero que os sea de utilidad!!! | | 4 Comentario(s)
Como
sabis he creado una comunidad tcnica (UCOMSSP) para que todos podamos compartir nuestras inq comentarios sobre algn artculo, consultas o dudas las hagis directamente en UCOMSSP (http://www.u gracias por vuestra colaboracin
Aade un comentario...
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319 61/62
5/3/2014
Aade un comentario...
Publicar tambin en Facebook Publicar como Jesus Genaro Gutierrez Al... (No eres t?) Jose Ray Diz Tecnologico superior de la costa chica muy bueno este tutorial Responder Me gusta Seguir esta publicacin 25 de febrero a la(s) 1:52 Gopinandana Das VRINDA The Vrindavan Institute for Vaisnava Culture and Studies Estimado santiago muchas gracias me gustaria una capacitacion en varios temas de windows server mi correo en info@tecnologiasapc.com Responder Me gusta Seguir esta publicacin 15 de febrero a la(s) 16:12 Gopinandana Das VRINDA The Vrindavan Institute for Vaisnava Culture and Studies Estoy interesado mucho en los temas de virtualizacion y sharepoint Responder Me gusta Seguir esta publicacin 15 de febrero a la(s) 16:13 Yeferson Camacho Sanchez COMPLEJO TECNOLOGICO MINERO AGROEMPRESARIAL grasias por tu aporte Responder Me gusta Seguir esta publicacin 7 de septiembre de 2013 a la(s) 15:36
Plug-in social de Facebook
Comentar
http://blog.asirsl.com/Lists/EntradasDeBlog/Post.aspx?ID=319
62/62