Configuraciones no compatibles de DirectAccess

  • Artículo

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016

Examine la siguiente lista de configuraciones de DirectAccess que no se admiten antes de comenzar la implementación para no tener que volver a iniciarla.

Distribución mediante el Servicio de replicación de archivos (FRS) de objetos de directiva de grupo (replicaciones SYSVOL)

No implemente DirectAccess en aquellos entornos en los que los controladores de dominio ejecutan el Servicio de replicación de archivos (FRS) para la distribución de objetos de directiva de grupo (replicaciones SYSVOL). No se admite la implementación de DirectAccess cuando se usa FRS.

Use FRS si tiene controladores de dominio que ejecuten Windows Server 2003 o Windows Server 2003 R2. Además, es posible que esté usando FRS si usaba los controladores de dominio de Windows 2000 Server o Windows Server 2003 y no ha migrado la replicación SYSVOL de FRS a replicación del Sistema de archivos distribuido (DFS-R).

Si implementa DirectAccess con replicación SYSVOL de FRS, corre el riesgo de eliminar accidentalmente objetos de directiva de grupo de DirectAccess que contienen la información de configuración tanto del cliente como del servidor de DirectAccess. Si se eliminan estos objetos, la implementación de DirectAccess sufrirá una interrupción y los equipos cliente que usen DirectAccess no podrán conectarse a la red.

Si planea implementar DirectAccess, debe usar controladores de dominio que ejecuten sistemas operativos posteriores a Windows Server 2003 R2 y debe usar DFS-R.

Para obtener información sobre la migración de FRS a DFS-R, consulte la Guía de migración de replicación de SYSVOL: replicación de FRS a DFS.

Protección de acceso a redes para clientes de DirectAccess

Protección de acceso a redes (NAP) se usa para determinar si los equipos cliente remotos cumplen las directivas de TI antes de que se les conceda acceso a la red corporativa. NAP entró en desuso en Windows Server 2012 R2 y no se incluye en Windows Server 2016. Por eso no se recomienda iniciar una nueva implementación de DirectAccess con NAP. Se recomienda usar otro método de control de punto de conexión para la seguridad de los clientes de DirectAccess.

Compatibilidad multisitio con clientes de Windows 7

Cuando DirectAccess está configurado en una implementación multisitio, los clientes de Windows 10 ®, Windows® 8.1 y Windows® 8 tienen la capacidad de conectarse al sitio más cercano. Sin embargo, los equipos cliente que usan Windows 7® no la tienen. La selección de sitio para los clientes de Windows 7 se establece en un sitio determinado en el momento de la configuración de directivas y estos clientes siempre se conectarán a ese sitio, independientemente de su ubicación.

Control de acceso basado en usuarios

Las directivas de DirectAccess se basan en equipos, no en usuarios. No se admite la especificación de directivas de usuario de DirectAccess para controlar el acceso a la red corporativa.

Personalización de una directiva de DirectAccess

Para configurar DirectAccess se pueden usar el Asistente para la instalación de DirectAccess, la consola de Administración de acceso remoto o los cmdlets de Windows PowerShell de acceso remoto. Para configurar DirectAccess no se permite modificar los objetos de directiva de grupo de DirectAccess directamente ni modificar manualmente la configuración predeterminada de las directivas en el servidor o cliente, solo se puede utilizar el Asistente para la configuración de DirectAccess. Estas modificaciones pueden provocar que la propia configuración impida su uso.

Autenticación de KerbProxy

Al configurar un servidor de DirectAccess con el Asistente para introducción, el servidor de DirectAccess se configura automáticamente para usar la autenticación KerbProxy tanto para el equipo como para el usuario. Por este motivo, el Asistente para introducción solo debe usar para implementaciones de sitio único en las que solo se implementen clientes de Windows 10 ®, Windows 8.1 o Windows 8.

Además, las siguientes características no se deben usar con la autenticación KerbProxy:

  • Equilibrio de carga mediante un equilibrador de carga externo o Windows Load Balancer

  • Autenticación en dos fases donde se requieren tarjetas inteligentes o una contraseña única (OTP)

Si se habilita la autenticación KerbProxy, no se admiten los siguientes planes de implementación:

  • Multisitio.

  • Compatibilidad de DirectAccess con clientes de Windows 7.

  • Túnel forzado. Para asegurarse de que la autenticación KerbProxy no se habilita al usar la tunelización forzada, configure los siguientes elementos mientras ejecuta el asistente:

    • Habilitar el túnel forzado

    • Habilitar DirectAccess para clientes de Windows 7

Nota

Para las implementaciones anteriores, debe usar el Asistente para configuración avanzada, que usa una configuración de dos túneles con un equipo basado en certificados y la autenticación de usuario. Para más información, consulte Implementación de un servidor de DirectAccess único con configuración avanzada.

Con ISATAP

ISATAP es una tecnología de transición que proporciona conectividad IPv6 en redes corporativas solo IPv4. Se limita a organizaciones pequeñas y medianas con una sola implementación de servidor de DirectAccess y permite la administración remota de clientes de DirectAccess. Si ISATAP se implementa en un entorno multisitio, con equilibrio de carga o multidominio, debe quitarlo o moverlo a una implementación nativa de IPv6 antes de configurar DirectAccess.

Configuración de puntos de conexión de IPHTTPS y de contraseña única (OTP)

Cuando se usa IPHTTPS, la conexión IPHTTPS debe finalizar en el servidor de DirectAccess, no en otro dispositivo, como un equilibrador de carga. Del mismo modo, la conexión de Capa de sockets seguros (SSL) fuera de banda que se crea durante la autenticación de contraseña única (OTP) debe finalizar en el servidor de DirectAccess. Todos los dispositivos entre los puntos de conexión de estas conexiones deben configurarse en modo de paso a través.

Forzar túnel con autenticación OTP

No implemente un servidor de DirectAccess con autenticación en dos fases con OTP y Forzar tunelización, o se producirá un error en la autenticación de OTP. Se requiere una conexión de Capa de sockets seguros (SSL) fuera de banda entre el servidor de DirectAccess y el cliente de DirectAccess. Esta conexión requiere una exención para enviar el tráfico fuera del túnel de DirectAccess. En una configuración de Forzar túnel, todo el tráfico debe atravesar un túnel de DirectAccess y no se permite ninguna exención después de que se haya establecido el túnel. Este es el motivo por el que no se admite la autenticación de OTP en una configuración de Túnel forzado.

Implementación de DirectAccess con un controlador de dominio de solo lectura

Los servidores de DirectAccess deben tener acceso a un controlador de dominio de lectura y escritura, y no funcionan correctamente con un controlador de dominio de solo lectura (RODC).

Un controlador de dominio de lectura y escritura se requiere por muchos motivos, entre los que se incluyen los siguientes:

  • En el servidor de DirectAccess, se requiere un controlador de dominio de lectura y escritura para abrir Microsoft Management Console (MMC) de acceso remoto.

  • El servidor de DirectAccess debe leer y escribir en los objetos de directiva de grupo (GPO) del cliente de DirectAccess y del servidor de DirectAccess.

  • El servidor de DirectAccess lee y escribe en el GPO de cliente específicamente desde el emulador del controlador de dominio principal (PDCe).

Debido a estos requisitos, no implemente DirectAccess con un RODC.