Implementación de VPN de Always On para Windows Server y Windows 10

Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows Server 2012 R2, Windows 10

Always On VPN proporciona una solución única y cohesiva para el acceso remoto y admite dispositivos unidos a un dominio, no unidos a dominios (grupo de trabajo) o unidos a Azure AD, incluso dispositivos de propiedad personal. Con VPN de Always On, el tipo de conexión no tiene que ser exclusivamente de usuario o de dispositivo, sino que puede ser una combinación de ambos. Por ejemplo, podría habilitar la autenticación de dispositivos para la administración de dispositivos remotos y, a continuación, habilitar la autenticación de usuarios para la conectividad a servicios y sitios internos de la empresa.

Requisitos previos

Lo más probable es que tenga implementadas las tecnologías que puede usar para implementar Always On VPN. Aparte de los servidores DC/DNS, la implementación de VPN de Always On requiere un servidor NPS (RADIUS), un servidor de entidad de certificación (CA) y un servidor de acceso remoto (enrutamiento/VPN). Una vez configurada la infraestructura, debe inscribir clientes y, a continuación, conectar los clientes a su entorno local de forma segura a través de varios cambios de red.

  • Active Directory de dominio, incluidos uno o varios servidores del Sistema de nombres de dominio (DNS). Se requieren zonas internas y externas del Sistema de nombres de dominio (DNS), lo que supone que la zona interna es un subdominio delegado de la zona externa (por ejemplo, corp.contoso.com y contoso.com).
  • Active Directory infraestructura de clave pública (PKI) y Servicios de certificados de Active Directory (AD CS).
  • Servidor, ya sea virtual o físico, existente o nuevo, para instalar el servidor de directivas de red (NPS). Si ya tiene servidores NPS en la red, puede modificar una configuración de servidor NPS existente en lugar de agregar un nuevo servidor.
  • Acceso remoto como servidor VPN de puerta de enlace RAS con un pequeño subconjunto de características que admiten conexiones VPN IKEv2 y enrutamiento LAN.
  • Red perimetral que incluye dos firewalls. Asegúrese de que los firewalls permiten que el tráfico necesario para que las comunicaciones VPN y RADIUS funcionen correctamente. Para obtener más información, consulte Always On introducción a la tecnología VPN.
  • Servidor físico o máquina virtual (VM) en la red perimetral con dos adaptadores de red Ethernet físicos para instalar el acceso remoto como servidor VPN de puerta de enlace RAS. Las máquinas virtuales requieren LAN virtual (VLAN) para el host.
  • La pertenencia a administradores, o equivalente, es el mínimo necesario.
  • Lea la sección de planeamiento de esta guía para asegurarse de que está preparado para esta implementación antes de realizar la implementación.
  • Revise las guías de diseño e implementación de cada una de las tecnologías usadas. Estas guías pueden ayudarle a determinar si los escenarios de implementación proporcionan los servicios y la configuración que necesita para la red de su organización. Para obtener más información, consulte Always On introducción a la tecnología VPN.
  • Plataforma de administración de su elección para implementar la configuración Always On VPN porque el CSP no es específico del proveedor.

Importante

Para esta implementación, no es necesario que los servidores de infraestructura, como los equipos que ejecutan Active Directory Domain Services, Servicios de certificados de Active Directory y servidor de directivas de red, ejecuten Windows Server 2016. Puede usar versiones anteriores de Windows Server, como Windows Server 2012 R2, para los servidores de infraestructura y para el servidor que ejecuta acceso remoto.

No intente implementar el acceso remoto en una máquina virtual (VM) en Microsoft Azure. No se admite el uso Microsoft Azure acceso remoto en la red, incluidos tanto VPN de acceso remoto como DirectAccess. Para obtener más información, consulte Compatibilidad de software de servidor de Microsoft Microsoft Azure máquinas virtuales.

Acerca de esta implementación

Las instrucciones proporcionadas le ayudarán a implementar el acceso remoto como puerta de enlace RAS de VPN de un solo inquilino para conexiones VPN de punto a sitio, mediante cualquiera de los escenarios mencionados a continuación, para equipos cliente remotos que ejecutan Windows 10. También encontrará instrucciones para modificar parte de la infraestructura existente para la implementación. También a lo largo de esta implementación, encontrará vínculos que le ayudarán a obtener más información sobre el proceso de conexión VPN, los servidores que se configuran, el nodo CSP de VPNv2 profileXML y otras tecnologías para implementar Always On VPN.

Always On escenarios de implementación de VPN:

  1. Implemente Always On VPN.
  2. Implemente Always On VPN con acceso condicional para la conectividad VPN mediante Azure AD.

Para más información y flujo de trabajo de los escenarios presentados, consulte Implementación Always On VPN.

Lo que no se proporciona en esta implementación

Esta implementación no proporciona instrucciones para:

  • Active Directory Domain Services (AD DS).
  • Servicios de certificados de Active Directory (AD CS) y una infraestructura de clave pública (PKI).
  • Protocolo de configuración dinámica de host (DHCP).
  • Hardware de red, como cableado Ethernet, firewalls, conmutadores y concentradores.
  • Recursos de red adicionales, como servidores de aplicaciones y archivos, a los que los usuarios remotos pueden acceder a través de una Always On VPN.
  • Conectividad a Internet o acceso condicional para la conectividad a Internet mediante Azure AD. Para obtener más información, vea Acceso condicional en Azure Active Directory.

Pasos siguientes