Always On introducción a la tecnología VPN

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

Para esta implementación, debe instalar un nuevo servidor de acceso remoto que ejecute Windows Server 2016, así como modificar parte de la infraestructura existente para la implementación.

En la ilustración siguiente se muestra la infraestructura necesaria para implementar Always On VPN.

Always On VPN Infrastructure

El proceso de conexión que se muestra en esta ilustración consta de los pasos siguientes:

  1. Con los servidores DNS públicos, el Windows 10 VPN realiza una consulta de resolución de nombres para la dirección IP de la puerta de enlace de VPN.

  2. Con la dirección IP devuelta por DNS, el cliente VPN envía una solicitud de conexión a la puerta de enlace de VPN.

  3. La puerta de enlace de VPN también se configura como un cliente Servicio de autenticación remota telefónica de usuario (RADIUS); El cliente RADIUS de VPN envía la solicitud de conexión al servidor NPS corporativo o de la organización para el procesamiento de solicitudes de conexión.

  4. El servidor NPS procesa la solicitud de conexión, incluida la autorización y la autenticación, y determina si se debe permitir o denegar la solicitud de conexión.

  5. El servidor NPS reenvía una Access-Accept o Access-Deny respuesta a la puerta de enlace de VPN.

  6. La conexión se inicia o finaliza en función de la respuesta que el servidor VPN recibió del servidor NPS.

Para obtener más información sobre cada componente de infraestructura descrito en la ilustración anterior, consulte las secciones siguientes.

Nota

Si ya tiene algunas de estas tecnologías implementadas en la red, puede usar las instrucciones de esta guía de implementación para realizar una configuración adicional de las tecnologías para este propósito de implementación.

Sistema de nombres de dominio (DNS)

Se requieren zonas del Sistema de nombres de dominio (DNS) internas y externas, lo que supone que la zona interna es un subdominio delegado de la zona externa (por ejemplo, corp.contoso.com y contoso.com).

Obtenga más información sobre el Sistema de nombres de dominio (DNS) o la Guía de red principal.

Nota

También son posibles otros diseños DNS, como DNS de cerebro dividido (con el mismo nombre de dominio interna y externamente en zonas DNS independientes) o dominios internos y externos no relacionados (por ejemplo, contoso.local y contoso.com). Para obtener más información sobre la implementación de DNS de cerebro dividido, consulte Uso de la directiva DNS Split-Brain implementación de DNS.

Firewalls

Asegúrese de que los firewalls permiten que el tráfico necesario para que las comunicaciones VPN y RADIUS funcionen correctamente.

Para obtener más información, vea Configurar firewalls para el tráfico RADIUS.

Acceso remoto como servidor VPN de puerta de enlace de RAS

En Windows Server 2016, el rol de servidor de acceso remoto está diseñado para tener un buen rendimiento tanto como un enrutador como un servidor de acceso remoto; por lo tanto, admite una amplia gama de características. Para esta guía de implementación, solo necesita un pequeño subconjunto de estas características: compatibilidad con conexiones VPN IKEv2 y enrutamiento LAN.

IKEv2 es un protocolo de tunelización de VPN que se describe en Solicitud de comentarios 7296 del grupo de tareas de ingeniería de Internet. La principal ventaja de IKEv2 es que tolera interrupciones en la conexión de red subyacente. Por ejemplo, si la conexión se pierde temporalmente o si un usuario mueve un equipo cliente de una red a otra, IKEv2 restaura automáticamente la conexión VPN cuando se restablece la conexión de red sin la intervención del — usuario.

Mediante la puerta de enlace de RAS, puede implementar conexiones VPN para proporcionar a los usuarios finales acceso remoto a la red y los recursos de su organización. La implementación Always On VPN mantiene una conexión persistente entre los clientes y la red de la organización cada vez que los equipos remotos están conectados a Internet. Con la puerta de enlace rasa, también puede crear una conexión VPN de sitio a sitio entre dos servidores en ubicaciones diferentes, como entre la oficina principal y una sucursal, y usar traducción de direcciones de red (NAT) para que los usuarios dentro de la red puedan acceder a recursos externos, como Internet. Además, la puerta de enlace ras admite Protocolo de puerta de enlace de borde (BGP), que proporciona servicios de enrutamiento dinámico cuando las ubicaciones de oficina remota también tienen puertas de enlace perimetrales que admiten BGP.

Puede administrar puertas de enlace del Servicio de acceso remoto (RAS) mediante Windows PowerShell comandos y el Microsoft Management Console de acceso remoto (MMC).

Servidor de directivas de redes (NPS)

NPS permite crear y aplicar directivas de acceso a la red en toda la organización para la autenticación y autorización de solicitudes de conexión. Cuando se usa NPS como servidor Servicio de autenticación remota telefónica de usuario (RADIUS), se configuran servidores de acceso a la red, como servidores VPN, como clientes RADIUS en NPS.

Además, se configuran las directivas de redes que usa NPS para autorizar las solicitudes de conexión. También puede configurar la administración de cuentas RADIUS para que NPS registre la información de las cuentas en archivos de registro del disco duro local o en una base de datos de Microsoft SQL Server.

Consulte Servidor de directivas de redes (NPS) para más información.

Servicios de certificados de Active Directory

El servidor de entidad de certificación (CA) es una entidad de certificación que ejecuta Servicios de certificados de Active Directory. La configuración de VPN requiere una Active Directory de clave pública basada en claves públicas (PKI).

Las organizaciones pueden AD CS mejorar la seguridad enlazando la identidad de una persona, dispositivo o servicio a una clave pública correspondiente. AD CS también incluye características que permiten administrar la inscripción y revocación de certificados en una variedad de entornos escalables. Para obtener más información, vea Información general Servicios de certificados de Active Directory e Guía de diseño de infraestructura de clave pública.

Durante la finalización de la implementación, configurará las siguientes plantillas de certificado en la entidad de certificación.

  • Plantilla de certificado de autenticación de usuario

  • Plantilla de certificado de autenticación de VPN Server

  • Plantilla de certificado de autenticación del servidor NPS

Plantillas de certificado

Las plantillas de certificado pueden simplificar en gran medida la tarea de administrar una entidad de certificación (CA) al permitirle emitir certificados preconfigurados para las tareas seleccionadas. El complemento MMC Plantillas de certificado permite realizar las siguientes tareas.

  • Ver las propiedades de cada plantilla de certificado

  • Copiar y modificar plantillas de certificado

  • Controlar qué usuarios y equipos pueden leer plantillas e inscribirse para certificados.

  • Realizar otras tareas administrativas relacionadas con las plantillas de certificado

Las plantillas de certificado son una parte fundamental de las entidades de certificación (CA) de empresa. Constituyen un elemento importante de la directiva de certificado para un entorno, que es el conjunto de reglas y formatos para la administración, uso e inscripción de certificados.

Para obtener más información, vea Plantillas de certificado.

Certificados de servidor digital

En esta guía de implementación se proporcionan instrucciones para usar Servicios de certificados de Active Directory (AD CS) para inscribir e inscribir automáticamente certificados en servidores de infraestructura de NPS y acceso remoto. AD CS permite crear una infraestructura de clave pública (PKI) y proporcionar criptografía de clave pública, certificados digitales y funcionalidades de firma digital para su organización.

Cuando se usan certificados de servidor digital para la autenticación entre equipos de la red, los certificados proporcionan:

  1. Confidencialidad a través del cifrado.

  2. Integridad a través de firmas digitales.

  3. Autenticación mediante la asociación de claves de certificado a cuentas de equipo, usuario o dispositivo en una red de equipo.

Para obtener más información, vea Servicios de certificados de Active Directory información general.

Active Directory Domain Services (AD DS)

AD DS proporciona una base de datos distribuida que almacena y administra información acerca de los recursos de red y datos específicos de las aplicaciones habilitadas para el uso de directorios. Los administradores pueden usar AD DS para organizar los elementos de una red (por ejemplo, los usuarios, los equipos y otros dispositivos) en una estructura de contención jerárquica. La estructura de contención jerárquica incluye el bosque de Active Directory, los dominios del bosque y las unidades organizativas de cada dominio. Un servidor que ejecuta AD DS se denomina controlador de dominio.

AD DS contiene las cuentas de usuario, las cuentas de equipo y las propiedades de cuenta que requiere el Protocolo de autenticación extensible protegido (PEAP) para autenticar las credenciales de usuario y evaluar la autorización para las solicitudes de conexión VPN. Para obtener información sobre la implementación AD DS, consulte la guía de Windows Server 2016 Core Network .

Durante la finalización de los pasos de esta implementación, configurará los siguientes elementos en el controlador de dominio.

  • Habilitación de la inscripción automática de certificados directiva de grupo equipos y usuarios

  • Creación del grupo de usuarios de VPN

  • Creación del grupo de servidores VPN

  • Creación del grupo de servidores NPS

Usuarios y equipos de Active Directory

Usuarios y equipos de Active Directory es un componente de AD DS que contiene cuentas que representan entidades físicas, como un equipo, una persona o un grupo de seguridad. Un grupo de seguridad es una colección de cuentas de usuario o equipo que los administradores pueden administrar como una sola unidad. Las cuentas de usuario y equipo que pertenecen a un grupo determinado se conocen como miembros del grupo.

Las cuentas de usuario de Usuarios y equipos de Active Directory tienen propiedades de acceso telefónico que NPS evalúa durante el proceso de autorización, a menos que la propiedad Permiso de acceso a la red de la cuenta de usuario esté establecida en Controlar el acceso a través de la directiva de red NPS. Esta es la configuración predeterminada para todas las cuentas de usuario. Sin embargo, en algunos casos, esta configuración podría tener una configuración diferente que impide que el usuario se conecte mediante VPN. Para protegerse frente a esta posibilidad, puede configurar el servidor NPS para omitir las propiedades de acceso telefónico de la cuenta de usuario.

Para obtener más información, vea Configurar NPS para omitir las propiedades de acceso telefónico de la cuenta de usuario.

Administración de directivas de grupo

directiva de grupo Management permite la administración de cambios y configuraciones basados en directorios de la configuración de usuario y equipo, incluida la seguridad y la información de usuario. Puede usar directiva de grupo para definir configuraciones para grupos de usuarios y equipos.

Con directiva de grupo, puede especificar la configuración de las entradas del Registro, la seguridad, la instalación de software, los scripts, el redireccionamiento de carpetas, los servicios de instalación remota y Internet Explorer mantenimiento. La directiva de grupo que se crea se encuentra en un objeto directiva de grupo (GPO). Al asociar un GPO Active Directory sitios, dominios y matriz de contenedores del sistema seleccionados, puede aplicar la configuración del GPO a los usuarios y equipos de esos Active Directory —— contenedores. Para administrar directiva de grupo en una empresa, puede usar el Editor de administración de directivas de grupo Microsoft Management Console (MMC).

Windows 10 VPN

Además de los componentes del servidor, asegúrese de que los equipos cliente que configura para usar VPN ejecutan la actualización de aniversario de Windows 10 (versión 1607). Los Windows 10 VPN deben estar unidos a un dominio al Active Directory dominio.

El Windows 10 VPN es muy configurable y ofrece muchas opciones. Para ilustrar mejor las características específicas que usa este escenario, en la tabla 1 se identifican las categorías de características de VPN y las configuraciones específicas a las que hace referencia esta implementación. Para configurar las opciones individuales de estas características, use el proveedor de servicios de configuración (CSP) VPNv2 que se describe más adelante en esta implementación.

Tabla 1. Características y configuraciones de VPN que se han analizado en esta implementación

Característica VPN Configuración del escenario de implementación
Tipo de conexión IKEv2 nativo
Enrutamiento Tunelización dividida
Resolución de nombres Lista de información de nombres de dominio y sufijo DNS
Activación Always On y detección de red de confianza
Authentication PEAP-TLS con certificados de usuario protegidos por TPM –

Nota

PEAP-TLS y TPM son "Protocolo de autenticación extensible protegido con seguridad de la capa de transporte" y "Módulo de plataforma segura", respectivamente.

Nodos csp de VPNv2

En esta implementación, usará el nodo CSP profileXML VPNv2 para crear el perfil de VPN que se entrega a Windows 10 equipos cliente. Los proveedores de servicios de configuración (CSP) son interfaces que exponen varias funcionalidades de administración dentro del cliente de Windows; conceptualmente, los CSP funcionan de forma similar a directiva de grupo funcionamiento. Cada CSP tiene nodos de configuración que representan la configuración individual. Al igual directiva de grupo configuración, puede vincular la configuración de CSP a claves del Registro, archivos, permisos, entre otros. De forma similar a cómo se usa Editor de administración de directivas de grupo para configurar objetos de directiva de grupo (GPO), se configuran nodos csp mediante una solución de administración de dispositivos móviles (MDM) como Microsoft Intune. Los productos MDM como Intune ofrecen una opción de configuración fácil de usar que configura el CSP en el sistema operativo.

Mobile Device Management to CSP configuration

Sin embargo, no puede configurar algunos nodos de CSP directamente a través de una interfaz de usuario (UI) como la consola de administración de Intune. En estos casos, debe configurar manualmente el identificador uniforme de recursos (OMA-URI) de Open Mobile Alliance. Puede configurar OMA-URIs mediante el protocolo OMA Administración de dispositivos (OMA-DM), una especificación de administración de dispositivos universal que admiten los dispositivos apple, Android y Windows modernos. Siempre que cumplan la especificación OMA-DM, todos los productos MDM deben interactuar con estos sistemas operativos de la misma manera.

Windows 10 ofrece muchos CSP, pero esta implementación se centra en el uso del CSP de VPNv2 para configurar el cliente VPN. El CSP de VPNv2 permite la configuración de cada configuración de perfil de VPN Windows 10 a través de un nodo CSP único. También se incluye en el CSP de VPNv2 es un nodo denominado ProfileXML, que permite configurar todas las opciones en un nodo en lugar de individualmente. Para obtener más información sobre ProfileXML, consulte la sección "Información general de ProfileXML" más adelante en esta implementación. Para obtener más información sobre cada nodo CSP de VPNv2, consulte EL CSP de VPNv2.

Pasos siguientes

  • Compatibilidad de softwarede servidor de Microsoft con máquinas virtuales de Microsoft Azure: en este artículo se describe la directiva de soporte técnico para ejecutar software de servidor de Microsoft en el entorno de máquina virtual de Microsoft Azure (infraestructura como servicio).

  • Acceso remoto:en este tema se proporciona información general sobre el rol de servidor de acceso remoto en Windows Server 2016.

  • Windows 10 técnico de VPN:esta guía le guía por las decisiones que tome para los clientes de Windows 10 en la solución VPN empresarial y cómo configurar la implementación. Esta guía hace referencia al Proveedor de servicios de configuración (CSP) VPNv2 y proporciona instrucciones de configuración de la administración de dispositivos móviles (MDM) mediante Microsoft Intune y la plantilla de perfil de VPN para Windows 10.

  • Guía de red principal:esta guía proporciona instrucciones sobre cómo planear e implementar los componentes principales necesarios para una red totalmente funcional y un nuevo dominio Active Directory en un bosque nuevo.

  • Sistema de nombres de dominio (DNS):en este tema se proporciona información general sobre los sistemas de nombres de dominio (DNS). En Windows Server 2016, DNS es un rol de servidor que se puede instalar mediante Administrador del servidor o Windows PowerShell comandos. Si va a instalar un nuevo Active Directory y dominio, DNS se instala automáticamente con Active Directory como servidor de catálogo global para el bosque y el dominio.

  • Servicios de certificados de Active Directory información general:este documento proporciona información general sobre Servicios de certificados de Active Directory (AD CS) en Windows Server 2012. AD CS es el rol de servidor que permite crear una infraestructura de clave pública (PKI) y proporcionar criptografía de clave pública, certificados digitales y capacidad de forma digital a su organización.

  • Guía de diseño de infraestructura de clavepública: este foro proporciona instrucciones sobre el diseño de infraestructuras de clave pública (PKI). Antes de configurar una jerarquía de PKI y entidad de certificación (CA), debe tener en cuenta la directiva de seguridad y la declaración de práctica de certificado (CPS) de su organización.

  • Servicios de certificados de Active Directory informacióngeneral: en esta guía paso a paso se describen los pasos necesarios para configurar una configuración básica de Active Directory Certificate Services (AD CS) en un entorno de laboratorio. AD CS en Windows Server 2008 R2 proporciona servicios personalizables para crear y administrar certificados de clave pública usados en sistemas de seguridad de software que emplean tecnologías de ® clave pública.

  • Servidor de directivas de red (NPS):en este tema se proporciona información general sobre el servidor de directivas de red en Windows Server 2016. El servidor de directivas de red (NPS) permite crear y aplicar directivas de acceso a la red en toda la organización para la autenticación y autorización de solicitudes de conexión.