Implementación de VPN de Always On para Windows Server y Windows 10Always On VPN deployment for Windows Server and Windows 10

Se aplica a: Windows Server (canal semianual), Windows Server 2016, Windows Server 2012 R2, Windows 10Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016, Windows Server 2012 R2, Windows 10

Always On VPN proporciona una solución única y coherente para el acceso remoto y admite dispositivos Unidos a un dominio, que no están Unidos a un dominio (grupo de trabajo) o que están Unidos a Azure AD, incluso a los dispositivos de propiedad personal.Always On VPN provides a single, cohesive solution for remote access and supports domain-joined, nondomain-joined (workgroup), or Azure AD–joined devices, even personally owned devices. Con VPN de Always On, el tipo de conexión no tiene que ser exclusivamente de usuario o de dispositivo, sino que puede ser una combinación de ambos.With Always On VPN, the connection type does not have to be exclusively user or device but can be a combination of both. Por ejemplo, podría habilitar la autenticación de dispositivos para la administración de dispositivos remotos y, a continuación, habilitar la autenticación de usuarios para la conectividad a servicios y sitios internos de la empresa.For example, you could enable device authentication for remote device management, and then enable user authentication for connectivity to internal company sites and services.

Requisitos previosPrerequisites

Lo más probable es que tenga implementadas las tecnologías que puede usar para implementar Always On VPN.You most likely have the technologies deployed that you can use to deploy Always On VPN. Aparte de los servidores DC/DNS, la implementación de VPN Always On requiere un servidor NPS (RADIUS), un servidor de entidad de certificación (CA) y un servidor de acceso remoto (enrutamiento/VPN).Other than your DC/DNS servers, the Always On VPN deployment requires an NPS (RADIUS) server, a Certification Authority (CA) server, and a Remote Access (Routing/VPN) server. Una vez configurada la infraestructura, debe inscribir a los clientes y, a continuación, conectar los clientes a su entorno local de forma segura a través de varios cambios de red.Once the infrastructure is set up, you must enroll clients and then connect the clients to your on-premises securely through several network changes.

  • Active Directory infraestructura de dominio, incluidos uno o más servidores de sistema de nombres de dominio (DNS).Active Directory domain infrastructure, including one or more Domain Name System (DNS) servers. Se requieren zonas de sistema de nombres de dominio (DNS) internas y externas, lo que supone que la zona interna es un subdominio delegado de la zona externa (por ejemplo, corp.contoso.com y contoso.com).Both internal and external Domain Name System (DNS) zones are required, which assumes that the internal zone is a delegated subdomain of the external zone (for example, corp.contoso.com and contoso.com).
  • Infraestructura de clave pública (PKI) basada en Active Directory y servicios de certificados de Active Directory (AD CS).Active Directory-based public key infrastructure (PKI) and Active Directory Certificate Services (AD CS).
  • Servidor, ya sea virtual o físico, existente o nuevo, para instalar el servidor de directivas de redes (NPS).Server, either virtual or physical, existing or new, to install Network Policy Server (NPS). Si ya tiene servidores NPS en la red, puede modificar una configuración de servidor NPS existente en lugar de agregar un nuevo servidor.If you already have NPS servers on your network, you can modify an existing NPS server configuration rather than add a new server.
  • Acceso remoto como un servidor VPN de puerta de enlace RAS con un pequeño subconjunto de características que admiten conexiones VPN de IKEv2 y enrutamiento de LAN.Remote Access as a RAS Gateway VPN server with a small subset of features supporting IKEv2 VPN connections and LAN routing.
  • Red perimetral que incluye dos firewalls.Perimeter network that includes two firewalls. Asegúrese de que los firewalls permiten que el tráfico que es necesario para que las comunicaciones VPN y RADIUS funcionen correctamente.Ensure that your firewalls allow the traffic that is necessary for both VPN and RADIUS communications to function properly. Para obtener más información, consulte Always on información general sobre la tecnología VPN.For more information, see Always On VPN Technology Overview.
  • Servidor físico o máquina virtual (VM) de la red perimetral con dos adaptadores de red Ethernet físicos para instalar el acceso remoto como un servidor VPN de puerta de enlace de RAS.Physical server or virtual machine (VM) on your perimeter network with two physical Ethernet network adapters to install Remote Access as a RAS Gateway VPN server. Las máquinas virtuales requieren LAN virtual (VLAN) para el host.VMs require virtual LAN (VLAN) for the host.
  • La pertenencia al grupo administradores, o equivalente, es lo mínimo necesario.Membership in Administrators, or equivalent, is the minimum required.
  • Lea la sección planeación de esta guía para asegurarse de que está preparado para esta implementación antes de realizar la implementación.Read the planning section of this guide to ensure that you are prepared for this deployment before you perform the deployment.
  • Revise las guías de diseño e implementación de cada una de las tecnologías utilizadas.Review the design and deployment guides for each of the technologies used. Estas guías pueden ayudarle a determinar si los escenarios de implementación proporcionan los servicios y la configuración que necesita para la red de su organización.These guides can help you determine whether the deployment scenarios provide the services and configuration that you need for your organization's network. Para obtener más información, consulte Always on información general sobre la tecnología VPN.For more information, see Always On VPN Technology Overview.
  • Plataforma de administración de su elección para implementar la Always On configuración de VPN porque el CSP no es específico del proveedor.Management platform of your choice for deploying the Always On VPN configuration because the CSP is not vendor-specific.

Importante

Para esta implementación, no es necesario que los servidores de infraestructura, como los equipos que ejecutan Active Directory Domain Services, Active Directory servicios de Certificate Server y el servidor de directivas de redes, ejecuten Windows Server 2016.For this deployment, it is not a requirement that your infrastructure servers, such as computers running Active Directory Domain Services, Active Directory Certificate Services, and Network Policy Server, are running Windows Server 2016. Puede usar versiones anteriores de Windows Server, como Windows Server 2012 R2, para los servidores de infraestructura y para el servidor que ejecuta acceso remoto.You can use earlier versions of Windows Server, such as Windows Server 2012 R2, for the infrastructure servers and for the server that is running Remote Access.

No intente implementar el acceso remoto en una máquina virtual (VM) en Microsoft Azure.Do not attempt to deploy Remote Access on a virtual machine (VM) in Microsoft Azure. No se admite el uso de acceso remoto en Microsoft Azure, como la VPN de acceso remoto y DirectAccess.Using Remote Access in Microsoft Azure is not supported, including both Remote Access VPN and DirectAccess. Para obtener más información, vea compatibilidad de software de servidor de Microsoft con máquinas virtuales de Microsoft Azure.For more information, see Microsoft server software support for Microsoft Azure virtual machines.

Acerca de esta implementaciónAbout this deployment

Las instrucciones proporcionadas le guiarán a través de la implementación de acceso remoto como una puerta de enlace RAS de VPN de un solo inquilino para las conexiones VPN de punto a sitio, mediante cualquiera de los escenarios que se mencionan a continuación, para equipos cliente remotos que ejecutan Windows 10.The instructions provided walk you through deploying Remote Access as a single tenant VPN RAS Gateway for point-to-site VPN connections, using any of the scenarios mentioned below, for remote client computers that are running Windows 10. También encontrará instrucciones para modificar parte de la infraestructura existente para la implementación.You also find instructions for modifying some of your existing infrastructure for the deployment. Además, en esta implementación, encontrará vínculos que le ayudarán a obtener más información sobre el proceso de conexión VPN, los servidores que se van a configurar, el nodo ProfileXML VPNv2 CSP y otras tecnologías para implementar Always On VPN.Also throughout this deployment, you find links to help you learn more about the VPN connection process, servers to configure, ProfileXML VPNv2 CSP node, and other technologies to deploy Always On VPN.

Always On escenarios de implementación de VPN:Always On VPN deployment scenarios:

  1. Implemente Always On solo VPN.Deploy Always On VPN only.
  2. Implemente Always On VPN con acceso condicional para la conectividad VPN mediante Azure AD.Deploy Always On VPN with conditional access for VPN connectivity using Azure AD.

Para obtener más información y el flujo de trabajo de los escenarios presentados, consulte implementar Always on VPN.For more information and workflow of the scenarios presented, see Deploy Always On VPN.

Lo que no se proporciona en esta implementaciónWhat isn't provided in this deployment

Esta implementación no proporciona instrucciones para:This deployment does not provide instructions for:

  • Active Directory Domain Services (AD DS).Active Directory Domain Services (AD DS).
  • Active Directory servicios de Certificate Server (AD CS) y una infraestructura de clave pública (PKI).Active Directory Certificate Services (AD CS) and a Public Key Infrastructure (PKI).
  • Protocolo de configuración dinámica de host (DHCP).Dynamic Host Configuration Protocol (DHCP).
  • Hardware de red, como cableado Ethernet, firewalls, conmutadores y concentradores.Network hardware, such as Ethernet cabling, firewalls, switches, and hubs.
  • Recursos de red adicionales, como servidores de archivos y aplicaciones, a los que los usuarios remotos pueden tener acceso a través de una conexión VPN Always On.Additional network resources, such as application and file servers, that remote users can access over an Always On VPN connection.
  • Conectividad a Internet o acceso condicional para la conectividad a Internet mediante Azure AD.Internet connectivity or Conditional Access for Internet connectivity using Azure AD. Para obtener más información, consulte acceso condicional en Azure Active Directory.For details, see Conditional access in Azure Active Directory.

Pasos siguientesNext steps