E2E: dirigir la instalación del servidor único con un entorno mixto de IPv4 e IPv6

IMPORTANTE: Este artículo ha sido traducido por un software de traducción automática de Microsoft (http://support.microsoft.com/gp/mtdetails) en lugar de un traductor humano. Microsoft le ofrece artículos traducidos por un traductor humano y artículos traducidos automáticamente para que tenga acceso en su propio idioma a todos los artículos de nuestra base de conocimientos (Knowledge Base). Sin embargo, los artículos traducidos automáticamente pueden contener errores en el vocabulario, la sintaxis o la gramática, como los que un extranjero podría cometer al hablar el idioma. Microsoft no se hace responsable de cualquier imprecisión, error o daño ocasionado por una mala traducción del contenido o como consecuencia de su utilización por nuestros clientes. Microsoft suele actualizar el software de traducción frecuentemente.

Haga clic aquí para ver el artículo original (en inglés): 3022362
Aviso
Este artículo forma parte de una serie de artículos sobre la configuración y solución de problemas de DirectAccess end-to-end. Para obtener una lista completa de la serie, vea Configuración de end-to-end y solución de problemas de DirectAccess.
Resumen
Esta guía proporciona instrucciones paso a paso para configurar DirectAccess en una implementación de servidor único con recursos mixtos de IPv4 e IPv6 en un laboratorio de pruebas para demostrar la funcionalidad de la experiencia de implementación. Se configure e implemente basado en la configuración de Base de Windows Server 2012 con cinco equipos servidor y dos equipos cliente de DirectAccess. El laboratorio de pruebas resultante simula una intranet, Internet y una red doméstica y muestra DirectAccess en distintos escenarios de conexión de Internet.

Importante: Las siguientes instrucciones son para configurar un laboratorio de pruebas de acceso remoto que utiliza el número mínimo de equipos. Son necesarios equipos individuales para separar los servicios que se proporcionan en la red y para mostrar con claridad la funcionalidad deseada. Esta configuración no está diseñada para reflejar las prácticas recomendadas ni tampoco recoge una configuración deseada o recomendada para una red de producción. La configuración, incluyendo las direcciones IP y otros parámetros de configuración, está diseñada para funcionar sólo en una red de laboratorio de pruebas independiente. Intentar adaptar esta configuración del laboratorio de pruebas de acceso remoto a una implementación piloto o de producción puede resultar en problemas de funcionalidad o configuración.
Información sobre la implementación

Información general

En este laboratorio, el acceso remoto se implementa con la topología siguiente:
  • Un equipo que ejecuta Windows Server 2012 había llamado DC1, que está configurado como un controlador de dominio de la intranet, un servidor de sistema de nombres de dominio (DNS) y un servidor de protocolo de configuración dinámica de Host (DHCP).
  • Un servidor miembro de intranet que está ejecutando Windows Server 2012 había denominado EDGE1 que está configurado como un servidor de DirectAccess.
  • Un servidor miembro de intranet que está ejecutando Windows Server 2012 había denominada APP1 que está configurado como servidor web y servidor de aplicaciones generales. App1 está configurado como una entidad emisora de certificación (CA) de raíz de empresa y como servidor de ubicación de red (NLS) para DirectAccess.
  • Un servidor miembro de intranet que está ejecutando Windows Server 2008 R2 había denominada APP2 que esté configurado como un servidor de aplicaciones generales y un servidor web. APP2 es un recurso de intranet de sólo IPv4 que se utiliza para demostrar las capacidades de NAT64 y DNS64.
  • Un servidor independiente que ejecuta Windows Server 2012 había denominado INET1 que está configurado como un servidor DHCP de Internet, un servidor DNS y un servidor web.
  • Un equipo cliente miembro móvil que ejecuta Windows 8 había llamado CLIENTE1, que está configurado como un cliente de DirectAccess.
  • Un equipo cliente independiente que ejecute Windows 8 había denominado NAT1 que está configurado como un dispositivo de traducción (NAT) de direcciones de red con conexión compartida a Internet.
El laboratorio de pruebas de acceso remoto consta de tres subredes que simulan el siguiente:
  • Internet (131.107.0.0/24).
  • Una intranet denominada red corporativa (10.0.0.0/24), (2001:db8:1:: / 64), separados de Internet por EDGE1.
  • Una red doméstica denominada Homenet (192.168.137.0/24) conectado a la subred de Internet mediante un dispositivo NAT.
Equipos de cada subred conectarán mediante un concentrador o un conmutador. Consulte la siguiente figura:
Implementación
Este laboratorio de pruebas muestra una implementación de DirectAccess único servidor en la intranet de recursos son una combinación de IPv4 e IPv6.

Requisitos de hardware y software

Los siguientes son componentes necesarios del laboratorio de pruebas:
  • El disco del producto o los archivos para Windows Server 2012
  • El disco del producto o los archivos de Windows 8
  • El disco del producto o los archivos para Windows Server 2008 R2
  • Seis equipos o máquinas virtuales que cumplen los requisitos mínimos de hardware para Windows Server 2012
  • Un equipo o máquina virtual que cumple los requisitos de hardware para Windows Server 2008 R2

Problemas conocidos

Los siguientes son problemas conocidos cuando se configura un laboratorio de DirectAccess de un solo servidor con Windows Server 2012:
  • Migración de la configuración de DirectAccess desde el servidor Windows Server 2012 a otro no se admite en esta versión y hace que la consola de administración de acceso remoto deja de responder y cierra de forma inesperada. Para evitar este problema, realice lo siguiente:
    1. Inicie el Editor del registro.
    2. En el Editor del registro, busque y, a continuación, haga clic en la subclave del registro siguiente:
      HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Ramgmtsvc\Config\Parameters
    3. Elimine el valor DWORD de DaConfigured .
    4. Desde un símbolo del sistema, ejecute gpupdate /force en el nuevo servidor de DirectAccess.
  • Administración desde un equipo no unido al dominio a través de RSAT no es posible a menos que la cuenta del servidor de destino se agrega a la lista del equipo no unido al dominio de WinRM TrustedHosts.
    • Para agregar el servidor de DirectAccess de destino a la lista del equipo no unido al dominio de WinRM TrustedHosts, ejecute el comando siguiente:
      set-item wsman:\localhost\client\trustedhosts "<computerName>" -force
  • En esta versión, el Asistente para acceso remoto siempre deberá vincular objetos de directiva de grupo (GPO) de DirectAccess a la raíz del dominio, incluso si previamente se vincularon los GPO a otro contenedor de Active Directory. Si desea vincular los GPO a una unidad organizativa para la implementación, quitar el vínculo de la raíz de dominio y, a continuación, volver a vincular el GPO a la unidad organizativa deseada cuando finalice el asistente. Como alternativa, puede quitar los permisos de vinculación a la raíz del dominio para el Administrador de DirectAccess antes de configurar DirectAccess.

Pasos para configurar el laboratorio de pruebas de acceso remoto

Hay seis pasos a seguir para configurar un laboratorio de pruebas de la configuración rápida de acceso remoto basado en el laboratorio de pruebas de configuración Base de Windows Server 2012.
  1. Configurar el laboratorio de pruebas de configuración Base:

    El laboratorio de pruebas de DirectAccess de un solo servidor requiere el Guía de laboratorio de prueba: Configuración básica Windows Server 2012 con Módulo opcional de mínima: Homenet subred y Módulo opcional de mínima: PKI básico como punto de partida.
  2. Configurar DC1:

    DC1 ya está configurado como un controlador de dominio con Active Directory y es el servidor DNS y DHCP de la subred de la intranet. Para el laboratorio de pruebas de DirectAccess de servidor único, DC1 debe configurarse para tener una dirección IPv6 estática. Se agregará un grupo de seguridad para Active Directory para equipos cliente de DirectAccess.
  3. Configurar APP1:

    App1 ya es un servidor miembro que está configurado con IIS y también actúa como un servidor de archivos y la emisora de certificados raíz de empresa (CA). Para el laboratorio de pruebas de la configuración rápida de acceso remoto, APP1 debe configurarse para tener una dirección IPv6 estática.
  4. Configurar APP2:

    APP2 está configurado como un servidor web y el archivo para mostrar un recurso de intranet de sólo IPv4.
  5. Configurar EDGE1:

    EDGE1 ya es un servidor miembro. Para el laboratorio de pruebas de DirectAccess de un solo servidor, EDGE1 debe configurarse como un servidor de acceso remoto que tiene una dirección IPv6 estática.
  6. Configurar CLIENTE1:

    CLIENTE1 es ya un equipo cliente miembro del dominio que está ejecutando Windows 8. Para el laboratorio de pruebas de la configuración rápida de acceso remoto, se utilizará CLIENTE1 para probar y demostrar el funcionamiento del acceso remoto.
Nota: Debe ser iniciado sesión como miembro del grupo Administradores de dominio o como miembro del grupo Administradores en cada equipo para completar las tareas descritas en esta guía. Si no puede completar una tarea mientras ha iniciado sesión con una cuenta que sea miembro del grupo Administradores, intente realizar la tarea mientras ha iniciado sesión con una cuenta que sea miembro del grupo Administradores de dominio.
Métodos de implementación
Esta guía proporciona instrucciones para configurar los equipos de la configuración de Base de Windows Server 2012 prueba, configurar el acceso remoto en Windows Server 2012 y demostrar la conexión de clientes remotos. Las secciones siguientes proporcionan detalles sobre cómo realizar estas tareas.

Paso 1: Configurar el laboratorio de pruebas de configuración Base

Configurar el laboratorio de pruebas de configuración Base para las subredes de la red corporativa y el Internet mediante los procedimientos en las secciones "Pasos para configurar la red corporativa subred" y "Pasos para configurar el Internet subred" de la Guía de laboratorio de prueba: Configuración básica Windows Server 2012.

Configurar la subred Homenet utilizando los procedimientos descritos en el Módulo opcional de mínima: Homenet subred.

Implementar una infraestructura de certificados básica mediante el procedimiento descrito en el Módulo opcional de mínima: PKI básico.

Paso 2: Configurar DC1

Configuración de DC1 para el laboratorio de pruebas de implementación de servidor único de DirectAccess consta de los siguientes procedimientos:
  • Configurar una dirección IPv6 en DC1.
  • Crear un grupo de seguridad para equipos cliente de DirectAccess.
  • Crear un registro DNS del servidor de ubicación de red.
  • Crear reglas de cortafuegos de solicitud de eco de ICMPv4 e ICMPv6 en directiva de grupo del dominio.
Las siguientes secciones explican estos procedimientos en detalle.

Configurar una dirección IPv6 en DC1

El laboratorio de pruebas de configuración Base de Windows Server 2012 no incluye configuración de direcciones IPv6. En este paso, agregue la configuración de direcciones IPv6 para admitir una implementación de DirectAccess.
Para configurar una dirección IPv6 en DC1
  1. En el administrador del servidor, haga clic en el Servidor Local en el árbol de la consola. Desplácese a la parte superior del panel de detalles y, a continuación, haga clic en el vínculo junto a Ethernet.
  2. En Conexiones de red, haga clic en Ethernety, a continuación, haga clic en Propiedades.
  3. Haga clic en Protocolo de Internet versión 6 (TCP/IPv6)y, a continuación, haga clic en Propiedades.
  4. Haga clic en usar la siguiente dirección IPv6. En la dirección IPv6, escriba 2001:db8:1::1. Longitud del prefijo de subred, escriba 64. En la puerta de enlace predeterminada, escriba 2001:db8:1::2. Haga clic en usar las siguientes direcciones de servidor DNSy en servidor DNS preferido, escriba 2001:db8:1::1y, a continuación, haga clic en Aceptar.
  5. Haga clic en Protocolo de Internet versión 4 (TCP/IPv4)y, a continuación, haga clic en Propiedades.
  6. En la puerta de enlace predeterminada, escriba 10.0.0.2y, a continuación, haga clic en Aceptar.
  7. Cierre el cuadro de diálogo Propiedades de Ethernet .
  8. Cierre la ventana Conexiones de red .
Demostración: Configurar una dirección IPv6 en DC1


Nota: El siguiente cmdlet de Windows PowerShell o cmdlets de realizar la misma función que el procedimiento anterior. Introducir cada cmdlet en una sola línea, aunque pueden aparecer ajuste a través de varias líneas aquí debido a las restricciones de formato. Tenga en cuenta que el nombre de interfaz "Ethernet" puede ser diferente en su equipo. Uso ipconfig/all a la lista de las interfaces.
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::1 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

Paso 3: Crear un grupo de seguridad para equipos cliente de DirectAccess

Cuando se configura DirectAccess, éste crea automáticamente los GPO que contienen opciones de configuración de DirectAccess, y éstas se aplican a los servidores y los clientes de DirectAccess. De forma predeterminada, el Asistente de introducción se aplica al GPO cliente en equipos móviles únicamente, en el grupo de seguridad equipos del dominio. Los procedimientos descritos en esta práctica no utiliza la configuración predeterminada, pero en su lugar, cree un grupo de seguridad alternativas para los clientes de DirectAccess.

Para crear un grupo de seguridad del cliente de DirectAccess

  1. En DC1, desde la pantalla de Inicio , haga clic en Centro de administración de Active Directory.
  2. En el árbol de consola, haga clic en la flecha para expandir corp (local)y, a continuación, haga clic en usuarios.
  3. En el panel de tareas , haga clic en nuevoy, a continuación, haga clic en grupo.
  4. En el cuadro de diálogo Crear grupo, escriba DirectAccessClients nombre del grupo.
  5. Desplácese hacia abajo para acceder a la sección de los miembros del cuadro de diálogo Crear grupo y, a continuación, haga clic en Agregar.
  6. Haga clic en Tipos de objeto, seleccione equiposy, a continuación, haga clic en Aceptar.
  7. Escriba el CLIENTE1y, a continuación, haga clic en Aceptar.
  8. Haga clic en Aceptar para cerrar el cuadro de diálogo Crear grupo .
  9. La salida del Centro de administración de Active Directory.


Nota: El siguiente cmdlet de Windows PowerShell o cmdlets de realizar la misma función que el procedimiento anterior. Introducir cada cmdlet en una sola línea, aunque pueden aparecer ajuste a través de varias líneas aquí debido a las restricciones de formato.
New-ADGroup -GroupScope global -Name DirectAccessClients Add-ADGroupMember -Identity DirectAccessClients -Members CLIENT1$

Paso 4: Crear un registro DNS del servidor de ubicación de red

Se necesita un registro DNS para resolver el nombre del servidor de ubicación de red, que se encuentra en el servidor de APP1.

Para crear el registro DNS del servidor de ubicación de red

  1. Haga clic en Inicioy, a continuación, haga clic en DNS.
  2. Expanda DC1, zonas de búsqueda directa y, a continuación, seleccione corp.contoso.com.
  3. Haga clic derecho en corp.contoso.comy, a continuación, haga clic en Host nuevo (A o AAAA).
  4. En nombre, escriba NLSy en dirección IP, escriba 10.0.0.3.
  5. Haga clic en Agregar Host, haga clic en Aceptary, a continuación, haga clic en Listo.
  6. Cierre la consola de Administrador de DNS .
Demostración: Crear un record.mp4 DNS del servidor de ubicación de red


Nota: El siguiente cmdlet de Windows PowerShell o cmdlets de realizar la misma función que el procedimiento anterior. Introducir cada cmdlet en una sola línea, aunque pueden aparecer ajuste a través de varias líneas aquí debido a las restricciones de formato.
Add-DnsServerResourceRecordA -Name NLS -ZoneName corp.contoso.com -IPv4Address 10.0.0.3

Paso 5: Crear reglas de cortafuegos de solicitud de eco ICMPv4 e ICMPv6 en directiva de grupo del dominio

Se requiere para compatibilidad con Teredo ICMPv4 e ICMPv6 solicitudes de eco entrantes y salientes. Los clientes de DirectAccess usan Teredo como su tecnología de transición IPv6 para conectarse al servidor de DirectAccess a través de Internet IPv4 cuando se asigna una dirección IP (RFC 1918) privada y ubicados tras un dispositivo NAT o firewall que permite el puerto UDP saliente 3544. Además, Habilitar ping facilita pruebas de conectividad entre los participantes en la solución de DirectAccess.

Para crear reglas de cortafuegos de ICMPv4 e ICMPv6

  1. Desde la pantalla de inicio, haga clic en Group Policy Management Console.
  2. En el árbol de consola, expanda bosque: corp.contoso.com\Domains\corp.contoso.com.
  3. Seleccione los objetos de directiva de grupo.
  4. En el panel de detalles, haga clic en Directiva de dominio predeterminaday, a continuación, haga clic en Editar.
  5. En el árbol de consola del Editor de administración de directiva de grupo, expanda Equipo Configuration\Policies\Windows Windows\Configuración de Seguridad\firewall con Advanced Security\Windows Firewall con Advanced Security-LDAP://CN=...
  6. En el árbol de consola, seleccione Reglas de entrada, haga clic en Reglas de entraday, a continuación, haga clic en Nueva regla.
  7. En la regla de Asistente para nueva entrada, en la página tipo de regla, haga clic en personalizadoy, a continuación, haga clic en siguiente.
  8. En la página de programa, haga clic en siguiente.
  9. En la página protocolos y puertos, en el tipo de protocolo, haga clic en ICMPv4y, a continuación, haga clic en Personalizar.
  10. En el cuadro de diálogo Personalizar configuración de ICMP, haga clic en tipos de ICMP específicos, seleccione la Solicitud de ecoy, a continuación, haga clic en Aceptary, a continuación, haga clic en siguiente.
  11. Haga clic en siguiente tres veces.
  12. En la página Nombre, en nombre, escriba Las solicitudes de eco de ICMPv4 entrantesy, a continuación, haga clic en Finalizar.
  13. En el árbol de consola, haga clic en Reglas de entraday, a continuación, haga clic en Nueva regla.
  14. En la página tipo de regla, haga clic en personalizadoy, a continuación, haga clic en siguiente.
  15. En la página de programa, haga clic en siguiente.
  16. En la página protocolos y puertos, en tipo de protocolo, haga clic en ICMPv6y, a continuación, haga clic en Personalizar.
  17. En el cuadro de diálogo Personalizar configuración de ICMP, haga clic en tipos de ICMP específicos, seleccione la Solicitud de ecoy, a continuación, haga clic en Aceptary, a continuación, haga clic en siguiente.
  18. Haga clic en siguiente tres veces.
  19. En la página Nombre, en nombre, escriba Las solicitudes de eco de ICMPv6 entrantesy, a continuación, haga clic en Finalizar.
  20. Confirme que las reglas que ha creado aparecen en el nodo reglas de entrada. Cierre el Editor de administración de directiva de grupo y cierre la consola Administración de directivas de grupo.
Demo:Crear ICMPv4 e ICMPv6 reglas del cortafuegos


Nota: El siguiente cmdlet de Windows PowerShell o cmdlets de realizar la misma función que el procedimiento anterior. Introducir cada cmdlet en una sola línea, aunque pueden aparecer ajuste a través de varias líneas aquí debido a las restricciones de formato. Tenga en cuenta que estos comandos se requieren en cada equipo de la red corporativa y no establece la configuración de directiva de grupo:
Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv4-In)" -Enabled True -Direction Inbound -Action Allow Set-NetFirewallRule -DisplayName "File and Printer Sharing (Echo Request - ICMPv6-In)" -Enabled True -Direction Inbound -Action Allow

Paso 6: Configurar APP1

Configuración de App1 para el laboratorio de pruebas de implementación de servidor único de DirectAccess consta de los siguientes procedimientos:
  • Configurar una dirección IPv6 en APP1.
  • Configurar los permisos de la plantilla de certificado de servidor Web.
  • Obtener un certificado adicional para APP1.
  • Configurar el enlace de la seguridad HTTPS.
Las siguientes secciones explican estos procedimientos en detalle.

Configurar una dirección IPv6 en APP1

El laboratorio de pruebas de configuración Base de Windows Server 2012 no incluye configuración de direcciones IPv6. En este paso, agregue la configuración de direcciones IPv6 para admitir una implementación de DirectAccess.
Para configurar una dirección IPv6 en APP1
  1. En el administrador del servidor, haga clic en el Servidor Local en el árbol de la consola. Desplácese a la parte superior del panel de detalles y, a continuación, haga clic en el vínculo junto a Ethernet.
  2. En Conexiones de red, haga clic en Ethernety, a continuación, haga clic en Propiedades.
  3. Haga clic en Protocolo de Internet versión 6 (TCP/IPv6)y, a continuación, haga clic en Propiedades.
  4. Haga clic en usar la siguiente dirección IPv6. En la dirección IPv6, escriba 2001:db8:1::3. Longitud del prefijo de subred, escriba 64. En la puerta de enlace predeterminada, escriba 2001:db8:1::2. Haga clic en usar las siguientes direcciones de servidor DNSy en servidor DNS preferido, escriba 2001:db8:1::1. Haga clic en Aceptar.
  5. Haga clic en Protocolo de Internet versión 4 (TCP/IPv4)y, a continuación, haga clic en Propiedades.
  6. En la puerta de enlace predeterminada, escriba 10.0.0.2y, a continuación, haga clic en Aceptar.
  7. Cierre el cuadro de diálogo Propiedades de Ethernet .
  8. Cierre la ventana Conexiones de red .
Demostración: Configurar una dirección IPv6 en APP1


Nota: El siguiente cmdlet de Windows PowerShell o cmdlets de realizar la misma función que el procedimiento anterior. Introducir cada cmdlet en una sola línea, aunque pueden aparecer ajuste a través de varias líneas aquí debido a las restricciones de formato. Tenga en cuenta que el nombre de interfaz "Ethernet" puede ser diferente en su equipo. Uso ipconfig/all a la lista de las interfaces.
New-NetIPAddress -InterfaceAlias "Ethernet" -IPv6Address 2001:db8:1::3 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias "Ethernet" -ServerAddresses 2001:db8:1::1New-NetRoute -DestinationPrefix 2001:db8:1::/64 -InterfaceAlias "Ethernet" -NextHop 2001:db8:1::2 -AddressFamily IPv6New-NetRoute -DestinationPrefix 10.0.0.0/24 -InterfaceAlias "Ethernet" -NextHop 10.0.0.2 -AddressFamily IPv4

Configurar los permisos de la plantilla de certificado de servidor Web

A continuación, configurar permisos en la plantilla de certificado de servidor Web para que los equipos solicitantes pueden especificar el nombre del sujeto de un certificado.
Para configurar los permisos de la plantilla de certificado de servidor Web
  1. En APP1, desde la pantalla de inicio, haga clic en Entidad emisora de certificados.
  2. En el panel de detalles, expanda corp-APP1-CA.
  3. Haga clic en Plantillas de certificadoy, a continuación, haga clic en administrar.
  4. En la consola de plantillas de certificado, haga clic en la plantilla de Servidor Web y, a continuación, haga clic en Propiedades.
  5. Haga clic en la ficha seguridad y, a continuación, haga clic en Usuarios autenticados.
  6. En permisos de usuarios autenticados, haga clic en inscribir en Permitiry, a continuación, haga clic en Aceptar.

    Nota: El grupo Usuarios autenticados se configura para la simplicidad en el laboratorio de pruebas. En una implementación real, debe especificar el nombre de un grupo de seguridad que contiene las cuentas de equipo de los equipos de la organización que pueden solicitar los certificados personalizados. Esto incluye el servidor de DirectAccess y el servidor de ubicación de red.
  7. Cierre la consola Plantillas de certificado.
Demostración: Configurar permisos de la plantilla de certificado de servidor Web

Obtener un certificado adicional en APP1

Obtener un certificado adicional para APP1 con un asunto personalizado y un nombre alternativo para la ubicación de red.
Para obtener un certificado adicional APP1
  1. Desde la pantalla de inicio, escriba mmc y, a continuación, presione ENTRAR.
  2. Haga clic en archivoy, a continuación, haga clic en Agregar o quitar complemento.
  3. Haga clic en certificados, haga clic en Agregar, seleccione cuenta de equipo, haga clic en siguiente, seleccione equipo Local, haga clic en Finalizary, a continuación, haga clic en Aceptar.
  4. En el árbol de consola del complemento certificados, abra \Personal\Certificates certificados (equipo Local).
  5. Haga clic en certificados, seleccione Todas las tareasy, a continuación, haga clic en Solicitar un nuevo certificado.
  6. Haga clic en siguiente dos veces.
  7. En la página de Solicitud de certificados , haga clic en Servidor Weby, a continuación, haga clic en se necesita más información para inscribir este certificado.
  8. En la ficha del asunto del cuadro de diálogo Propiedades del certificado , en nombre de sujeto, para tipo, seleccione Nombre común.
  9. En valor, escriba nls.corp.contoso.comy, a continuación, haga clic en Agregar.
  10. Haga clic en Aceptar, haga clic en inscribiry, a continuación, haga clic en Finalizar.
  11. En el panel de detalles del complemento de certificados, compruebe que se ha inscrito un nuevo certificado con la nls.corp.contoso.com con nombre con Propósitos planteados de Autenticacióndel servidor.
  12. Cierre la ventana de consola. Si se le pide para guardar la configuración, haga clic en No.
Demostración: Obtener un certificado adicional en APP1

Configurar el enlace de la seguridad HTTPS

A continuación, configurar el enlace de seguridad HTTPS para que APP1 puede actuar como servidor de ubicación de red.
Para configurar el enlace de la seguridad HTTPS
  1. Desde la pantalla de inicio, haga clic en Administrador de servicios de Internet Information Server (IIS).
  2. En el árbol de la consola de administrador de servicios de Internet Information Server (IIS), abra APP1/sitiosy, a continuación, haga clic en sitio Web predeterminado.
  3. En el panel acciones , haga clic en los enlaces.
  4. En el cuadro de diálogo de Enlaces a sitios , haga clic en Agregar.
  5. En el cuadro de diálogo Agregar enlace de sitio , en la lista tipo , haga clic en https. En el Certificado SSL, haga clic en el certificado con el nombre nls.corp.contoso.com. Haga clic en Aceptary, a continuación, haga clic en Cerrar.
  6. Cierre la consola de administrador de servicios de Internet Information Server (IIS).
Demostración: Configurar la seguridad HTTPS enlace en APP1

Paso 7: Instalar y configurar APP2

APP2 es un equipo con Windows Server 2008 R2 Enterprise Edition que actúa como host de sólo IPv4 y se usa para demostrar la conectividad de DirectAccess a los recursos de sólo IPv4 utilizando las funciones DNS64 y NAT64. APP2 aloja recursos HTTP y SMB que el equipo cliente de DirectAccess podrán tener acceso desde la red Internet simulada. La característica de NAT64/DNS64 set permite a las organizaciones implementar DirectAccess sin necesidad de actualizar los recursos de la red a IPv6 nativo o incluso IPv6 capaz.

Configuración de APP2 para el laboratorio de pruebas de servidor único de DirectAccess consta de los siguientes procedimientos:
  • Crear una carpeta compartida en APP2.
  • Instalar servicios web de IIS.
Las siguientes secciones explican estos procedimientos en detalle.

Crear una carpeta compartida en APP2

El primer paso es crear una carpeta compartida en APP2. APP2 se utilizará para demostrar la conectividad HTTP a través de la conexión de DirectAccess con un host de sólo IPv4.
  1. En APP2, abra El Explorador de Windows.
  2. Vaya a la unidad C:.
  3. Haga clic con el botón secundario del mouse en el espacio en blanco de la ventana, seleccione nuevoy haga clic en carpeta.
  4. Escriba el Archivos y presione ENTRAR.
  5. Haga clic archivos y elija Propiedades.
  6. En el cuadro de diálogo Propiedades de archivos , en la Compartir ficha, haga clic en compartir.... AgregarTodo el mundo para lectura permiso y, a continuación, haga clic en Compartir.
  7. Haga doble clic en el archivos carpeta.
  8. Haga clic con el botón secundario del mouse en el espacio en blanco de la ventana, seleccione nuevoy, a continuación, haga clic en Documento de texto.
  9. Haga doble clic en el nuevo documento de texto.txt archivo.
  10. En la nuevo documento de texto.txt – Bloc de notas ventana, escribaSe trata de un documento de texto en APP2, un servidor sólo de IPv4.
  11. Cierre el Bloc de notas. En el cuadro de diálogo Bloc de notas, haga clic en para guardar los cambios.
  12. Cierre el Explorador de Windows.

Instalar los servicios web de IIS en APP2

A continuación, configure APP2 como un servidor web.
  1. En APP2, abra el Administrador de servidor.
  2. Haga clic en funcionesy, a continuación, haga clic en Agregar funciones.
  3. En Asistente para agregar Roles ventana, haga clic en siguiente.
  4. Elija el Servidor Web (IIS)y, a continuación, haga clic en siguiente.
  5. Haga clic en siguiente dos veces y, a continuación, haga clic en instalar.
Demostración: Instalar y configurar APP2

Paso 8: Configurar EDGE1

Configuración de EDGE1 para el laboratorio de pruebas de implementación de servidor único de DirectAccess consta de los siguientes procedimientos:
  • Configurar una dirección IPv6 en EDGE1.
  • Provisión EDGE1 con un certificado para IP-HTTPS.
  • Instalar la función de acceso remoto en EDGE1.
  • Configurar DirectAccess en EDGE1.
  • Confirmar la configuración de directiva de grupo.
  • Confirmar la configuración de IPv6.
Las siguientes secciones explican estos procedimientos en detalle.

Configurar una dirección IPv6 en EDGE1

El laboratorio de pruebas de configuración Base de Windows Server 2012 no incluye configuración de direcciones IPv6. En este paso, agregue la configuración de direcciones IPv6 a EDGE1 para admitir una implementación de DirectAccess.
Para configurar una dirección IPv6 en EDGE1
  1. En el administrador del servidor, haga clic en el Servidor Local en el árbol de la consola. Desplácese a la parte superior del panel de detalles y, a continuación, haga clic en el vínculo situado junto a la red corporativa.
  2. En Conexiones de red, haga clic derecho en la red corporativay, a continuación, haga clic en Propiedades.
  3. Haga clic en Protocolo de Internet versión 6 (TCP/IPv6)y, a continuación, haga clic en Propiedades.
  4. Haga clic en usar la siguiente dirección IPv6. En la dirección IPv6, escriba 2001:db8:1::2. Longitud del prefijo de subred, escriba 64. Haga clic en usar las siguientes direcciones de servidor DNSy en servidor DNS preferido, escriba 2001:db8:1::1. Haga clic en Aceptar.
  5. Cierre el cuadro de diálogo Propiedades de la red corporativa .
  6. Cierre la ventana Conexiones de red .
Demo:Configurar una dirección IPv6 en EDGE1


Nota: El siguiente cmdlet de Windows PowerShell o cmdlets de realizar la misma función que el procedimiento anterior. Introducir cada cmdlet en una sola línea, aunque pueden aparecer ajuste a través de varias líneas aquí debido a las restricciones de formato. Tenga en cuenta que el nombre de interfaz "Ethernet" puede ser diferente en su equipo. Uso ipconfig/all a la lista de las interfaces.
New-NetIPAddress -InterfaceAlias Corpnet -IPv6Address 2001:db8:1::2 -PrefixLength 64Set-DnsClientServerAddress -InterfaceAlias Corpnet -ServerAddresses 2001:db8:1::1

Provisión EDGE1 con un certificado para IP-HTTPS

Se requiere un certificado para autenticar el agente de escucha de IP-HTTPS cuando los clientes se conectan a través de HTTPS.
Preparar una plantilla de certificado
  1. En App1, desde la pantalla de inicio, escriba MMC, y, a continuación, presione ENTRAR.
  2. Haga clic en archivoy, a continuación, haga clic en Agregar o quitar complemento.
  3. Haga clic en Plantillas de certificado, haga clic en Agregary, a continuación, haga clic en Aceptar.
  4. Haga clic en plantillas de certificado en el panel izquierdo. En el panel de detalles, haga clic en el equipo plantilla y haga clic en Plantilla duplicada.
  5. Haga clic en el nombre de sujeto ficha y, a continuación, haga clic en opción de suministro en la solicitud . Haga clic en Aceptar.
  6. Haga clic en el General ficha y, a continuación, escribaPlantilla para DA en nombre para mostrar plantilla.
  7. Haga clic en Aceptar.
  8. En la ventana MMC, haga clic en archivoy, a continuación, haga clic en Agregar o quitar complemento.
  9. Haga clic en Entidad emisora de certificados, haga clic en Agregar, haga clic en equipo Local: (el equipo que se está ejecutando esta consola), haga clic en Finalizary, a continuación, haga clic en Aceptar.
  10. Expanda corp-APP1-CA, haga clic con el botón secundario del mouse en Plantilla de certificado, seleccione nuevo, haga clic en Plantilla de certificado para emitir.
  11. Seleccione la plantilla para DAy haga clic en Aceptar.
Demostración: Preparar una plantilla de certificado
Para instalar un certificado de IP-HTTPS en EDGE1
  1. En EDGE1, desde la pantalla de inicio, escriba MMC, y, a continuación, presione ENTRAR.
  2. Haga clic en archivoy, a continuación, haga clic en Agregar o quitar complemento.
  3. Haga clic en certificados, haga clic en Agregar, haga clic en cuenta de equipo, haga clic en siguiente, seleccione equipo Local, haga clic en Finalizary, a continuación, haga clic en Aceptar.
  4. En el árbol de consola del complemento certificados, abra \Personal\Certificates certificados (equipo Local).
  5. Haga clic en certificados, seleccione Todas las tareasy, a continuación, haga clic en Solicitar un nuevo certificado.
  6. Haga clic en siguiente dos veces.
  7. En la página de solicitud de certificados, haga clic en plantilla de DAy, a continuación, haga clic en se necesita más información para inscribir este certificado.
  8. En la ficha del asunto del cuadro de diálogo Propiedades del certificado, en nombre de sujeto, para tipo, seleccione Nombre común.
  9. En valor, escriba edge1.contoso.comy, a continuación, haga clic en Agregar.
  10. En el área nombre alternativo , en tipo, seleccione DNS.
  11. En valor, escriba edge1.contoso.comy, a continuación, haga clic en Agregar.
  12. En la ficha General , bajo el nombre descriptivo, escriba Certificado HTTPS de IP.
  13. Haga clic en Aceptar, haga clic en inscribiry, a continuación, haga clic en Finalizar.
  14. En el panel de detalles del complemento de certificados, compruebe que se ha inscrito un nuevo certificado con el nombre edge1.contoso.com con propósitos planteados de Autenticacióndel servidor, autenticación de cliente.
  15. Cierre la ventana de consola. Si se le pide para guardar la configuración, haga clic en No.
Nota: Si no puede ver la plantilla plantilla de DA , compruebe los elementos siguientes:
  • Compruebe si la cuenta de usuario tiene permiso para inscribir la plantillaplantilla de DA .
  • Compruebe si la plantilla de certificado se ha agregado correctamente a la entidad emisora de certificados.
Demostración: Instalar un certificado de IP-HTTPS en EDGE1

Instalar el rol de servidor de acceso remoto en EDGE1

El rol de servidor de acceso remoto de Windows Server 2012 combina la característica DirectAccess y el servicio de rol RRAS en una nueva función de servidor unificado. Esta nueva función de servidor de acceso remoto permite la administración centralizada, configuración y supervisión de DirectAccess y remoto basado en VPN acceder a los servicios. Utilice el procedimiento siguiente para instalar la función de acceso remoto en EDGE1.
Para instalar la función del servidor de acceso remoto en EDGE1
  1. En la consola del panel de Server Manager, en configurar este servidor local, haga clic en funciones y agregar.
  2. Haga clic en siguiente tres veces para llegar a la pantalla de selección de función de servidor.
  3. En el cuadro de diálogo Seleccionar Roles de servidor , seleccione Acceso remoto, haga clic en Agregar características cuando se le pida y, a continuación, haga clic en siguiente.
  4. Haga clic en siguiente cinco veces para aceptar la configuración predeterminada de las características, servicios de rol de acceso remoto y servicios de rol de servidor web.
  5. En la pantalla de confirmación, haga clic en instalar.
  6. Espere a que las instalaciones de la característica completar y, a continuación, haga clic en Cerrar.
vídeo


Nota: El siguiente cmdlet de Windows PowerShell o cmdlets de realizar la misma función que el procedimiento anterior. Introducir cada cmdlet en una sola línea, aunque pueden aparecer ajuste a través de varias líneas aquí debido a las restricciones de formato.
Install-WindowsFeature RemoteAccess -IncludeManagementTools

Configurar DirectAccess en EDGE1

Configurar DirectAccess en una implementación de servidor único mediante el Asistente para instalación de acceso remoto.
Para configurar DirectAccess en EDGE1
  1. Desde la pantalla de inicio, haga clic en Administración de acceso remoto.
  2. En la consola de administración de acceso remoto, haga clic en ejecutar el Asistente para instalación de acceso remoto.
  3. En el Asistente de configuración de acceso remoto, haga clic en Implementar DirectAccess solamente.
  4. Bajo "Paso 1 los clientes remotos," haga clic en Configurar.
  5. Seleccione implementar DirectAccess completo para acceso de cliente y la administración remotay, a continuación, haga clic en siguiente.
  6. En la pantalla Seleccionar grupos, haga clic en Agregar, tipo DirectAccessClients, haga clic en Aceptary, a continuación, haga clic en siguiente.
  7. En la pantalla Asistente de conectividad de red, junto al nombre de la conexión de DirectAccess, escriba Conexión de Contoso DirectAccess. Haga clic en Finalizar.
  8. En "Servidor de DirectAccess de paso 2", haga clic en Configurar.
  9. Compruebe que el borde se selecciona como la topología de red. Escriba el edge1.contoso.com como el nombre público al que se conectarán los clientes de acceso remoto. Haga clic en siguiente.
  10. En la pantalla de adaptadores de red, espere a que el Asistente rellenar las interfaces de Internet y la red corporativa. Compruebe que CN=edge1.contoso.com es el certificado seleccionado automáticamente para autenticar las conexiones IP-HTTPS. Haga clic en siguiente.
  11. En la pantalla de configuración de prefijo, haga clic en siguiente.
  12. En la pantalla de autenticación, seleccione usar certificados de equipoy, a continuación, haga clic en Examinar.
  13. Seleccione APP1-corp-CA, haga clic en Aceptar y, a continuación, haga clic en Finalizar.
  14. En "Servidores de infraestructura de paso 3", haga clic en Configurar.
  15. Para la dirección URL del servidor de ubicación de red, escriba https://nls.corp.contoso.com y, a continuación, haga clic en Validar.
  16. Después de la conectividad a la dirección URL de NLS en APP1 se valida correctamente, haga clic en siguiente.
  17. Haga clic en siguiente dos veces para aceptar la configuración predeterminada de DNS y administración y, a continuación, haga clic en Finalizar.
  18. En la parte inferior de la pantalla de configuración de acceso remoto, haga clic en Finalizar.
  19. En el cuadro de diálogo Revisión de acceso remoto , haga clic en Aplicar.
  20. Cuando finalice el Asistente para instalación de acceso remoto, haga clic en Cerrar.
  21. En el árbol de la consola de administración de acceso remoto, seleccione el Estado de las operaciones. Espere hasta que el estado de todos los monitores muestra "Trabajo". En el panel de tareas, bajo supervisión, haga clic en Actualizar periódicamente para actualizar la pantalla.
Demo:Configurar el acceso directo en EDGE1


Nota: En esta versión de Windows Server 2012, el estado de los adaptadores de red puede ser amarillo en lugar de verde. Para asegurarse de que el estado de los adaptadores de red se muestra como "Trabajo", abra un símbolo del sistema con privilegios elevados, escriba el comando siguiente y, a continuación, presione ENTRAR:
netsh interface ipv6 add route 2001:db8:1::/48 publish=yes interface = "Corpnet"

Confirmar la configuración de directiva de grupo

El Asistente de DirectAccess configura el GPO y configuración que se implementa automáticamente mediante Active Directory para el servidor de acceso remoto y los clientes de DirectAccess.

Para examinar la configuración de directiva de grupo creada por el Asistente de DirectAccess

  1. En EDGE1, desde la pantalla de inicio, haga clic en Group Policy Management Console.
  2. Expanda bosque: corp.contoso.com, expanda dominios, expanda corp.contoso.comy, a continuación, expanda Objetos de directiva de grupo.
  3. El Asistente de instalación de acceso remoto crea dos nuevos GPO. Configuración del cliente de DirectAccess se aplica a los miembros del grupo de seguridad DirectAccessClients. Configuración del servidor de DirectAccess se aplica al servidor de DirectAccess EDGE1. Confirme que el filtrado de seguridad correcta se realiza para cada uno de estos objetos haciendo clic en el GPO y, a continuación, ver las entradas en la sección Filtrado de seguridad , en la ficha ámbito en el panel de detalles de la consola.
  4. Desde la pantalla de inicio, escriba WF.msc, y, a continuación, presione ENTRAR.
  5. En la consola de Firewall de Windows con seguridad avanzada , tenga en cuenta que el perfil de dominio está activo y el perfil público está activo. Asegúrese de que el Firewall de Windows está habilitado y el dominio y el perfiles públicos están activos. Si se deshabilita el Firewall de Windows, o si se deshabilitan los perfiles públicos o dominio, a continuación, DirectAccess no funcionará correctamente.
  6. En el árbol de la consola de Firewall de Windows con seguridad avanzada , haga clic en el nodo Reglas de seguridad de conexión . El panel de detalles de la consola mostrará dos reglas de seguridad de conexión: Directiva de DirectAccess-DaServerToCorpy DaServerToInfra de la política de DirectAccess. La primera regla se utiliza para establecer el túnel de intranet y la segunda regla es el túnel de infraestructura. Ambas reglas se entregan a EDGE1 mediante la directiva de grupo.
  7. Cierre la consola de Firewall de Windows con seguridad avanzada .
Demostración: Confirmar la configuración de directiva de grupo

Confirmar la configuración de IPv6

  1. En EDGE1, desde la barra de tareas de escritorio, haga clic en Windows PowerShelly, a continuación, haga clic en Ejecutar como administrador.
  2. En la ventana de Windows PowerShell, escriba Get-NetIPAddress y presione ENTRAR.
  3. La salida muestra información relacionada con la configuración de red EDGE1. Hay varias secciones de interés:
    • La sección de adaptador 6TO4 muestra información que incluye la dirección IPv6 Global utilizado por EDGE1 en su interfaz externa.
    • La sección IPHTTPSInterface muestra información acerca de la interfaz IP-HTTPS.
  4. Para obtener información acerca de la interfaz de Teredo en EDGE1, escriba netsh interfaz Teredo Mostrar estado y presione ENTRAR. La salida debe incluir una entrada Estado: online.
Demostración: Confirmar la configuración de IPv6

Paso 9: Conecte CLIENTE1 a la subred de la red corporativa y directiva de grupo de actualización

Para recibir la configuración de DirectAccess, CLIENTE1 debe actualizar su configuración de directiva de grupo mientras está conectado a la subred de la red corporativa.

Para actualizar la directiva de grupo en CLIENTE1 y aplicar configuraciones de DirectAccess

  1. Conecte CLIENTE1 a la subred de la red corporativa.
  2. Reinicie el equipo CLIENTE1 para actualizar directiva de grupo y pertenencia a grupos de seguridad mientras está conectado a la subred de la red corporativa. Después de reiniciar, inicie sesión como CORP\User1.
  3. Desde la pantalla de inicio, escriba PowerShell, haga clic en Windows PowerShelly, a continuación, haga clic en Ejecutar como administrador.
  4. Escriba el Get-DnsClientNrptPolicy y presione ENTRAR. Se muestran las entradas de la tabla de directivas de resolución de nombres (NRPT) de DirectAccess. Observe que la exención de NLS server se muestra como NLS.corp.contoso.com. Éste es el alias que se utilizó para el servidor de APP1. Otra la resolución de nombres para corp.contoso.com utilizará la dirección IPv6 interna del servidor EDGE1 (2001:db8::1::2) fuera de la red corporativa.
  5. Escriba el Get-NCSIPolicyConfiguration y presione ENTRAR. Se muestran las opciones de indicador de estado de conectividad de red implementadas por el Asistente para. Observe que el valor de DomainLocationDeterminationURL es https://NLS.corp.contoso.com. Siempre que se puede tener acceso a esta URL del servidor de ubicación de red, el cliente comprobará que se encuentra dentro de la red corporativa, y no se aplicará la configuración de la tabla NRPT.
  6. Escriba el Get-DAConnectionStatus y presione ENTRAR. Dado que el cliente puede llegar a la dirección URL del servidor de ubicación de red, se mostrará el estado como ConnectedLocally.
Demostración: Conecte CLIENTE1 a la subred de la red corporativa y directiva de grupo de actualización

Después de conectar el equipo cliente a la subred de la red corporativa y reiniciarlo, vea el siguiente vídeo de demostración:

Paso 10: Conecte CLIENTE1 a la subred de Internet y comprobar el acceso remoto

Para probar la conectividad de acceso remoto desde Internet, mueva la conexión CLIENTE1 a la subred de Internet.

Para probar el acceso remoto de Internet

  1. Conecte CLIENTE1 a la subred de Internet. Una vez completado el proceso de determinación de red, el icono de red debe indicar el acceso a Internet.
  2. En la ventana de PowerShell, escriba Get-DAConnectionStatus y presione ENTRAR. El estado debe aparecer como ConnectedRemotely.
  3. Haga clic en el icono de red en el área de notificación del sistema. Tenga en cuenta que Contoso DirectAccess conexión aparece como conectado. Éste es el nombre de conexión que se proporcionan en el Asistente de DirectAccess.
  4. Haga clic en Conexión de DirectAccess de Contoso y, a continuación, haga clic en Propiedades. Tenga en cuenta que el estado se muestra como conectado.
  5. Desde el símbolo del sistema de PowerShell, escriba ping inet1.isp.example.com y presione ENTRAR para comprobar la conectividad y la resolución de nombres de Internet. Debería recibir cuatro respuestas de 131.107.0.1.
  6. Escriba el ping app1.corp.contoso.com y presione ENTRAR para comprobar la conectividad y la resolución de nombres de intranet corporativa. Como APP1 es un recurso de intranet habilitada para IPv6, es la respuesta ICMP desde la dirección IPv6 de APP1 (2001:db8:1::3).
  7. Escriba el ping app2.corp.contoso.com y presione ENTRAR para comprobar la resolución de nombres y conectividad con el servidor de archivos de Windows Server 2003 de intranet. Tenga en cuenta el formato de la dirección IPv6 que se devuelven. Como APP2 es un recurso de intranet de sólo IPv4, se devuelve la dirección de NAT64 creada dinámicamente de APP2. El prefijo creado dinámicamente asignado por DirectAccess para NAT64 será en el fdxx:xxxx:xxxx:7777 de formulario:: / 96.
  8. Haga clic en el icono de Internet Explorer para iniciarlo. Compruebe que tiene acceso el sitio Web en http://inet1.isp.example.com. Este sitio se ejecuta en el servidor de Internet INET1 y valida la conectividad de Internet fuera de DirectAccess.
  9. Compruebe que tiene acceso el sitio Web en http://app1.corp.contoso.com. Este sitio se ejecuta en el servidor de APP1 y valida la conectividad de DirectAccess para un servidor web interno de IPv6.
  10. Compruebe que tiene acceso el sitio Web en http://app2.corp.contoso.com. Debería ver la página Web "En construcción" IIS de forma predeterminada, validar la conectividad de DirectAccess a un servidor web interno de sólo IPv4.
  11. Desde la barra de tareas de escritorio, haga clic en el icono del Explorador de Windows .
  12. En la barra Dirección, escriba \\app1\Files y, a continuación, presione ENTRAR.
  13. Debería ver una ventana de carpeta con el contenido de la carpeta compartida de archivos.
  14. En la ventana de carpeta compartida de archivos , haga doble clic en el archivo ejemplo.txt . Debería ver el contenido del archivo ejemplo.txt.
  15. Cierre la ventana por ejemplo, el Bloc de notas .
  16. En la barra de direcciones del explorador de Windows, escriba \\app2\Files y, a continuación, presione ENTRAR.
  17. En la ventana de carpeta compartida de archivos , haga doble clic en el archivo Nuevo documento de texto.txt . Debería ver el contenido del documento compartido en el servidor de sólo IPv4.
  18. Cierre el Nuevo documento de texto - Bloc de notas y las ventanas de carpeta de archivos compartidos.
  19. En la ventana de PowerShell, escriba Get-NetIPAddress y, a continuación, presione ENTRAR para examinar la configuración del cliente IPv6.
  20. Escriba el Get-NetTeredoState y presione ENTRAR para examinar la configuración de Teredo. Observe que el nombre del servidor Teredo es edge1.contoso.com, el nombre DNS puede resolver externamente del servidor EDGE1.
  21. Escriba el Get-NetIPHTTPSConfiguration y presione ENTRAR. Examine la configuración de directiva de grupo aplicada para dirigir al cliente a IPHTTPS/https://edge1.contoso.com:443.
  22. Escriba el WF.msc y, a continuación, presione ENTRAR para iniciar Firewall de Windows con la consola de seguridad avanzada. Expanda supervisióny Asociaciones de seguridad para examinar las SA IPsec establecidas. Observe que los métodos de autenticación que se utilizan son Kerberos de equipo y usuario Kerberos y también el certificado de equipo y usuario Kerberos.
  23. Seleccione Las reglas de seguridad de conexión en el árbol de la consola. Examinar las reglas que se utilizan para proporcionar conectividad de DirectAccess.
  24. Cierre Firewall de Windows con la consola seguridad avanzada.
Demostración: Conecte CLIENTE1 a la subred de Internet y comprobar el acceso remoto

Después de conectar el equipo cliente a la subred de Internet, vea el siguiente vídeo de demostración:

Paso 11: Conecte CLIENTE1 a la subred Homenet y probar el acceso remoto

Para probar la conectividad de acceso remoto de una red doméstica simulada detrás de NAT, mueva la conexión CLIENTE1 a la subred Homenet.

Para probar el acceso remoto de la red doméstica

  1. Conecte CLIENTE1 a la subred Homenet. En cuanto se completa el proceso de determinación de red, el icono de red debe indicar el acceso a Internet.
  2. En la ventana de PowerShell, escriba Get-DAConnectionStatus y presione ENTRAR. El estado se muestra como ConnectedRemotely.
  3. Haga clic en el icono de red en el área de notificación del sistema. Tenga en cuenta que Contoso DirectAccess conexión aparece como conectado. Haga clic en Conexión de DirectAccess de Contoso y, a continuación, haga clic en Propiedades. Tenga en cuenta que el estado aparece como conectado.
  4. Escriba el ping app1.corp.contoso.com y presione ENTRAR para comprobar la resolución de nombres de intranet corporativa y la conexión a un recurso interno de IPv6.
  5. Escriba el ping app2.corp.contoso.com y presione ENTRAR para comprobar la resolución de nombres de intranet corporativa y la conexión a un recurso interno de IPv4.
  6. Haga clic en el icono de Internet Explorer para iniciar Internet Explorer. Compruebe que puede tener acceso a los sitios Web en http://inet1.isp.example.com, http://app1.corp.contoso.com y http://app2.corp.contoso.com.
  7. Desde la barra de tareas de escritorio, haga clic en el icono del Explorador de Windows .
  8. Compruebe que puede tener acceso a los archivos compartidos en \\APP1\Files y \\APP2\Files.
  9. Cierre la ventana del explorador de Windows.
  10. En la ventana de PowerShell, escriba Get-NetIPAddress y, a continuación, presione ENTRAR para examinar la configuración del cliente IPv6.
  11. Escriba el Get-NetTeredoState y presione ENTRAR para examinar la configuración de Teredo. Observe que el estado de Teredo se muestra como calificado.
  12. Escriba el ipconfig y presione ENTRAR. Tenga en cuenta que en esta implementación detrás de un NAT, el cliente de DirectAccess se conecta a través del adaptador de túnel Teredo.
Demostración: Conecte CLIENTE1 a la subred Homenet y probar el acceso remoto:

Después de conectar el equipo cliente a la subred Homenet, vea el siguiente vídeo de demostración.

Paso 12: Supervisar la conexión de cliente en el servidor de DirectAccess EDGE1

La consola de administración de acceso remoto en Windows Server 2012 ofrece funcionalidad para conexiones VPN y de DirectAccess de monitoreo de estado de cliente remoto.

Para supervisar la conexión del cliente en EGDE1

  1. Desde la pantalla de inicio, haga clic en Administración de acceso remoto.
  2. En la consola de administración de acceso remoto, seleccione el panel.
  3. Examinar los datos que se recopilan en el Estado de cliente remoto.
  4. En la consola de administración de acceso remoto, seleccione el Estado de cliente remoto.
  5. Haga doble clic en la conexión de CLIENTE1 para mostrar el cuadro de diálogo de estadísticas detalladas de cliente remoto.
Demostración: Supervisar la conexión del cliente en EGDE1

Opcional: Instantánea de la configuración

Esto finaliza la implementación de DirectAccess simplificado en un laboratorio de pruebas de entorno sólo IPv4. Para guardar esta configuración para que pueda volver rápidamente a un trabajo de acceso remoto desde el que puede probar otro acceso remoto modular de configuración probar guías de laboratorio (TLGs), extensiones TLG, o para su propia experimentación y aprendizaje, realice lo siguiente:

1. en todos los equipos físicos o máquinas virtuales en el laboratorio de pruebas, cierre todas las ventanas y, a continuación, realizar un apagado correcto.

2. Si el laboratorio se basa en máquinas virtuales, guardar una instantánea de cada máquina virtual y el nombre de las instantáneas DirectAccess mixto de IPv4 e IPv6. Si el laboratorio utiliza equipos físicos, crear imágenes de disco para guardar la configuración del laboratorio de ensayo simplificado de sólo IPv4 de DirectAccess.

Advertencia: este artículo se tradujo automáticamente

Propiedades

Id. de artículo: 3022362 - Última revisión: 11/09/2015 09:33:00 - Revisión: 4.0

Windows Server 2012 R2 Datacenter, Windows Server 2012 R2 Standard, Windows Server 2012 R2 Foundation, Windows Server 2012 Datacenter, Windows Server 2012 Foundation, Windows Server 2012 Standard

  • kbexpertiseadvanced kbsurveynew kbinfo kbhowto kbmt KB3022362 KbMtes
Comentarios