Paso 2: Configuración del servidor VPN de DirectAccess

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

En este tema se describe cómo configurar los ajustes de servidor y cliente necesarios para una implementación de acceso remoto básica mediante el asistente para habilitar DirectAccess.

En la tabla siguiente se proporciona información general sobre los pasos que puede completar mediante este tema.

Tarea Description
Configurar los clientes de DirectAccess Configura el servidor de acceso remoto con los grupos de seguridad que contienen a los clientes de DirectAccess.
Configurar la topología de red Configura los ajustes del servidor de acceso remoto.
Configurar la lista de búsqueda de sufijos DNS Modifica la lista de búsqueda de sufijos, si así lo deseas.
Configuración del GPO Modifica los GPO, si así lo deseas.

Cómo iniciar el asistente para habilitar DirectAcces

  1. En Administrador del servidor, haga clic en Herramientasy, a continuación, haga clic en Acceso remoto. El Asistente para habilitar DirectAccess se inicia automáticamente a menos que haya seleccionado No volver a mostrar esta pantalla.

  2. Si el asistente no se inicia automáticamente, haz clic con el botón secundario en el nodo de servidores en el árbol Enrutamiento y acceso remoto y haz clic en Habilitar DirectAccess.

  3. Haga clic en Next.

Configurar los clientes de DirectAccess

Para que un equipo cliente esté aprovisionado para utilizar DirectAccess, debe pertenecer al grupo de seguridad seleccionado. Una vez configurado DirectAccess, los equipos cliente del grupo de seguridad están aprovisionados para recibir la directiva de grupo de DirectAccess.

  1. En la página Seleccionar grupos, haz clic en Agregar.

  2. En el cuadro de diálogo Seleccionar grupos, seleccione los grupos de seguridad que contengan a los equipos cliente de DirectAccess.

  3. Activa la casilla Habilitar DirectAccess solo para equipos móviles para que solo los equipos móviles puedan acceder a la red interna.

  4. Activa la casilla Usar túnel forzado para enrutar todo el tráfico cliente (a la red interna y a Internet) a través del servidor de acceso remoto.

  5. Haga clic en Next.

Configurar la topología de red

Para implementar el acceso remoto, debes configurar el servidor de acceso remoto con los adaptadores de red correctos, una dirección URL pública para el servidor de acceso remoto al que pueden conectarse los equipos cliente (la dirección a la que se conectan) y un certificado IP-HTTPS cuyo firmante coincida con la dirección a la que se conectan.

  1. En la página Topología de red, haz clic en la topología de implementación que se utilizará en tu organización. En Escriba el nombre público o dirección IPv4 que usan los clientes para conectarse al servidor de acceso remoto, escribe el nombre público de la implementación (este nombre coincide con el nombre del firmante del certificado IP-HTTPS, por ejemplo, edge1.contoso.com) y haz clic en Siguiente.

Configurar la lista de búsqueda de sufijos DNS

En el caso de los clientes DNS, puedes configurar una lista de búsqueda de sufijos de dominio DNS que amplíe o revise sus capacidades de búsqueda DNS. Al añadir sufijos a la lista, puedes buscar nombres de equipos cortos e incompletos en más de un dominio DNS especificado. A continuación, si se produce un error en una consulta DNS, el servicio Cliente DNS puede usar esta lista para agregar otras finalizaciones de sufijo de nombre al nombre original y repetir las consultas DNS en el servidor DNS en busca de estos FQDN alternativos.

  1. Selecciona Configurar clientes de DirectAccess con la lista de búsqueda de sufijos de cliente DNS para especificar otros sufijos para las búsquedas de nombres de clientes.

  2. Escriba un nuevo nombre de sufijo en Nuevo sufijo y, a continuación, haga clic en Agregar. Además, puede cambiar el orden de búsqueda y quitar sufijos de sufijos de dominio para usar.

[NOTA] En un escenario de espacio de nombres no unidos (donde uno o varios equipos de dominio tienen un sufijo DNS que no coincide con el dominio Active Directory al que pertenecen los equipos), debe asegurarse de que la lista de búsqueda está personalizada para incluir todos los sufijos necesarios. El asistente de acceso remoto configurará de manera predeterminada el nombre DNS de Active Directory como sufijo DNS principal en el cliente. El administrador debe asegurarse de que agrega el sufijo DNS que utilizan los clientes para la resolución de nombres.

En el caso de los equipos y servidores, el siguiente comportamiento predeterminado de búsqueda de DNS es predeterminado y se usa al completar y resolver nombres cortos y no completos. Cuando la lista de búsqueda de sufijos está vacía o no especificada, el sufijo DNS principal del equipo se anexa a nombres cortos no completos y se usa una consulta DNS para resolver el FQDN resultante.

Si se produce un error en esta consulta, el equipo puede probar consultas adicionales para FQDN alternativos anexando cualquier sufijo DNS específico de la conexión configurado para las conexiones de red. Si no se configuran sufijos específicos de la conexión o se producirá un error en las consultas para estos FQDN específicos de la conexión resultantes, el cliente puede empezar a reintentar las consultas en función de la reducción sistemática del sufijo principal (también conocido como devolución).

Por ejemplo, si el sufijo principal es "example.microsoft.com", el proceso de devolución puede reintentar las consultas para el nombre corto buscándolo en los dominios "microsoft.com" y "com".

Cuando la lista de búsqueda de sufijos no está vacía y tiene al menos un sufijo DNS especificado, los intentos de calificar y resolver nombres DNS cortos se limitan a buscar solo los FQDN que la lista de sufijos especificada haya hecho posible.

Si las consultas de todos los FQDN formados como resultado de anexar e intentar cada sufijo de la lista no se resuelven, el proceso de consulta produce un error y genera el resultado "nombre no encontrado".

Advertencia

Si se utiliza la lista de sufijos de dominio, los clientes siguen enviando consultas alternativas basadas en diferentes nombres de dominio DNS cuando una consulta no se responda o no se resuelva. Si un nombre se resuelve al utilizar una entrada de la lista de sufijos, no se intentarán las entradas de la lista que no se han usado. Por esta razón, lo más eficaz es ordenar la lista con los sufijos de dominio más utilizados en primer lugar.

Las búsquedas de sufijos de nombres de dominio se usan únicamente cuando una entrada de nombre DNS no está completa. Para calificar totalmente un nombre DNS, se especifica un punto (.) al final del nombre.

Configuración del GPO

Al configurar el acceso remoto, las opciones de DirectAccess se recopilan en directiva de grupo objetos (GPO).

En GPO Configuración, se muestran el nombre del GPO del servidor de DirectAccess y el nombre del GPO de cliente. Además, permite modificar los ajustes de selección del GPO.

Dos GPO se rellenan automáticamente con la configuración de DirectAccess y se distribuyen de esta manera:

  1. GPO de cliente de DirectAccess. Este GPO contiene las opciones de configuración de clientes, incluida la configuración de las tecnologías de transición IPv6, las entradas de la tabla NRPT y las reglas de seguridad de Firewall de Windows con seguridad avanzada. El GPO se aplica a los grupos de seguridad especificados para los equipos cliente.

  2. GPO de servidor de DirectAccess. Este GPO contiene las opciones de configuración de DirectAccess que se aplican a cualquier servidor configurado como servidor de acceso remoto en la implementación. Asimismo, contiene las reglas de seguridad de conexión del Firewall de Windows con seguridad avanzada.

Resumen

Una vez completada la configuración de acceso remoto, se muestra El resumen. Puede cambiar la configuración configurada o hacer clic en Finalizar para aplicar la configuración.