Cómo montar un escenario de DirectAccess (I)

El objetivo principal de este laboratorio es crear un entorno funcional en el que poder configurar y utilizar la nueva característica conjunta de Windows 7 y Windows 2008 Server R2 que nos permitirá poder conectarnos a la intranet corporativa de forma automática. Una vez configurada de forma correcta conseguiremos:

• Mejora en la administración de usuarios remotos, ya que nos permitirá la aplicación de políticas de grupo e instalaciones de software de forma automática, a equipos que no se encuentren de forma local en la organización y que únicamente se encuentren conectados a Internet.
• Securización de la red, ya que para trabajar con DirectAccess necesitamos utilizar IPv6 e IPsec.
• Reducción de costes debido a la separación de tráfico de Internet e intranet que realiza DirectAccess.

El siguiente laboratorio se desarrolla bajo la funcionalidad de entorno virtualizado a través del Servicio Hyper-V de Microsoft. Para el desarrollo del mismo, se van a crear las siguientes máquinas virtuales:

• SVDADC
• SVDADA
• SVDAINET
• W7DACLN
• W7DANAT

A continuación se describe la nomenclatura, roles y direccionamiento IP que utilizará cada una de las máquinas que integran este laboratorio.

•  SVDADC es el servidor de la sede central y va a contar con las siguientes funcionalidades: Controlador de Dominio (también DNS), Servidor de Ficheros, Servidor Web, Servidor DHCP y Entidad de Certificación. El direccionamiento de dicha máquina consistirá en un único adaptador de red con el direccionamiento 192.168.64.1/24.
• SVDADA es el servidor de la sucursal que se encargará de hospedar la característica de DirectAccess. El direccionamiento de dicha máquina consistirá en dos adaptadores de red, uno “apuntando” a la intranet de la empresa y con el direccionamiento 192.168.64.200/24, y otro de cara a Internet con dos direcciones IP públicas consecutivas, 131.107.0.2/24 y 131.107.0.3/24
• SVDAINET es un servidor independiente, es decir, que no se encuentra unido al dominio y que tendrá los siguientes roles: Servidor WEB, Servidor DHCP y Servidor DNS. Su función será la de dar soporte DNS a los clientes que se encuentren conectados a Internet. Su direccionamiento IP es 131.107.0.1/24
• W7DACLN es el cliente que intervendrá en el laboratorio. Su funcionalidad consiste en probar que puede acceder a la red interna de I64.hol aun estando en redes externas a ésta. El direccionamiento de dicha máquina es asignado en cualquier caso a través de DHCP sea cual sea la red en la que esté.
• W7DANAT es otro cliente, aunque su funcionalidad queda reducida a la función de dispositivo que realizará funciones de enrutador NAT entre el cliente y las demás redes cuando el cliente se encuentre conectado a la red de HOMENET. Posee dos adaptadores de red, uno conectado a la red INTERNET, que recibe DHCP de SVDAINET, y otro conectado a la red de HOMENET.

Configuración de SVDADC

Partimos de que SVDADC ya tiene instalado el sistema operativo Windows Server 2008 R2 y la solución de Active Directory para el dominio I64.hol. Una vez finalizado el proceso de inicio del equipo, se iniciará sesión en el equipo SVDADC, mediante la cuenta del usuario administrador.

Vamos a comenzar con la configuración del servidor que actuará como Controlador de dominio y como servidor de aplicaciones dentro de la intranet o red de i64.hol

Instalar y Configurar DHCP

Lo primero que vamos a hacer es configurar SVDADC como Servidor DHCP para que W7DACLN reciba direccionamiento IP dinámico cuando se conecte a la subred i64.hol.

1. En el árbol de consola del Administrador del servidor, hacer clic en Roles.
2. En el panel de detalles, bajo Resumen de Roles, clickear en Agregar roles, y después hacer clic en Siguiente.
3. En la página de Seleccionar Roles de Servidor, clic en Servidor DHCP, y clickear Siguiente dos veces.
4. En la página Seleccionar enlaces de conexión de red, verificar que 192.168.64.1 está seleccionada, y después seleccionar Siguiente.
5. En la página Especificar la configuración del Servidor DNS IPv4, verificar que i64.hol aparece bajo Dominio Primario.
6. Escribir 192.168.64.1 bajo Dirección IPv4 del servidor DNS preferido, y pinchar en Validar. Verificar que el resultado es Válida, y seleccionar Siguiente.
7. En especificar la configuración del servidor WINS IPv4, aceptar la configuración por defecto de No se requiere WINS para las aplicaciones en esta red, y pinchar en Siguiente.
8. En Agregar o editar ámbitos DHCP, clic en Agregar.
9. En la ventana de Agregar ámbito, poner como Nombre de ámbito I64. En dirección IP Inicial, poner 192.168.64.100, como Dirección IP final, 192.168.64.150, y verificar que aparece como Mascara de subred, 255.255.255.0. Pinchar en Aceptar y luego en Siguiente.
10. En Configurar el modo sin estado DHCPv6, seleccionar Deshabilitar el modo sin estado DHCPv6 para este servidor, y seleccionar Siguiente.
11. En la página Autorizar Servidor DHCP, seleccionar Use credenciales actuales. Verificar que I64\Administrador aparece junto a Nombre de Usuario, y después seleccionar Siguiente.
12. En Confirmar selecciones de instalación, clic en Instalar.
13. Comprobar que la instalación es correcta y seleccionar Cerrar.

Crear Registro A en el DNS

Crearemos un registro A en el DNS para los nombres crl.i64.es y nls.i64.hol. Este última registro se utiliza para que el cliente averigüe si está en la red interna.

1. Clic en Inicio, Herramientas Administrativas y seleccionar DNS.
2. Desplegar SVDADC.
3. Botón derecho sobre Zonas de Búsqueda Directa, seleccionar Zona Nueva, y pinchar en Siguiente.
4. En la página Tipo de zona, pulsar en Siguiente.
5. En Ámbito de replicación de la zona de Active Directory, clic en Siguiente.
6. Como Nombre de zona, escribir i64.es, y clic en Siguiente.
7. Si aparece la página Archivo de Zona, pulsar en Siguiente
8. En Actualización dinámica, clic en Siguiente, y por ultimo seleccionar Finalizar.
9. Botón derecho sobre i64.es, y seleccionar Host Nuevo(A o AAAA).
10. En Nombre, escribir crl. En Dirección IP, poner 192.168.64.100. Clic en Agregar Host.
11. Clic en Aceptar, y por ultimo pulsar en Realizado.
12. Botón derecho sobre i64.hol, y seleccionar Host Nuevo(A o AAAA).
13. En Nombre, escribir nls. En Dirección IP, poner 192.168.64.1. Clic en Agregar Host.
14. Clic en Aceptar, y por último pulsar en Realizado.
15. Cerrar la consola DNS

Instalar una CA de raíz empresarial en SVDADC

Proteger las comunicaciones a través de Internet entre Clientes y Servidores de DirectAccess requiere de certificados de equipo para la autenticación IPsec. En este paso, instalaremos una CA de raíz empresarial SVDADC para proveer de certificados a los equipos miembros del dominio.

1. En el Árbol de consola del Administrador del servidor, hacer clic en Roles.
2. En el panel de detalles, bajo Resumen de Roles, clickear en Agregar roles, y después hacer clic en Siguiente.
3. En la página de Seleccionar Roles de Servidor, clic en Servicios de Certificado de Active Directory y clickear Siguiente dos veces.
4. En la página Seleccionar servicios de rol, clic en Siguiente.
5. En Especificar tipo de instalación, seleccionar Empresa, y pinchar en Siguiente.
6. En Especificar tipo de CA, seleccionar CA Raíz, y clic en Siguiente.
7. En la página de Configurar clave privada, clic en Crear una nueva clave privada, y seleccionar Siguiente.
8. En Configurar criptografía para CA, clic en Siguiente.
9. En Configurar nombre de CA, seleccionar Siguiente.
10. En Establecer el periodo de validez, clic en Siguiente.
11. En la página de Configurar base de datos de certificados, seleccionar Siguiente.
12. En Confirmar selecciones de instalación, clic en Instalar.
13. En Resultados de la instalación, clic en Cerrar.

Crear un grupo de seguridad para los equipos clientes de DirectAccess

Este grupo de seguridad será utilizado para aplicar configuraciones de equipo a los equipos clientes. El equipo W7DACLN se añadirá a este grupo una vez se haya añadido al dominio. Crear grupo de seguridad para los equipos clientes de DirectAccess.

1. Pinchar en Inicio > Herramientas Administrativas y por último en Usuarios y Equipos de Active Directory
2. En el árbol de consola de Usuarios y equipos del Active Directory, desplegar , y clic con botón derecho sobre Users, apuntar sobre Nuevo, y clic en Grupo.
3. En el cuadro de dialogo Nuevo Objeto: Grupo, debajo de Nombre de Grupo, escribir Clientes_DA.
4. Bajo Ámbito de grupo, elegir Global, y debajo de Tipo de Grupo, elegir Seguridad, y clic en Aceptar.
5. Cerrar la consola de Usuarios y equipos del Active Directory.

Crear y habilitar una plantilla de certificado personalizada

Vamos a crear una plantilla de certificado para que los equipos que lo soliciten lo puedan hacer especificando un nombre y un nombre alternativo de un certificado.

1. Clic en Inicio, escribir mmc, y pulsar ENTER.
2. Clic en Archivo, y después seleccionar Agregar o Quitar complemento.
3. En la lista de complementos, clic en Plantillas de Certificados, seleccionar Agregar, y pulsar en Aceptar.
4. En el árbol de consola, abrir Plantillas de Certificados.
5. En el Panel de Contenido, botón derecho sobre la plantilla de Servidor Web, y seleccionar Plantilla Duplicada.
6. Seleccionar Windows Server 2008 Enterprise, y clic en Aceptar.
7. En Nombre para mostrar en la plantilla, poner Web Server 2008.
8. Clic en la pestaña de Seguridad.
9. Clic en Usuarios Autentificados, y seleccionar en el panel inferior Inscribirse en la columna Permitir.
10. Clic en Agregar, escribir Equipos del Dominio, y pulsar en Aceptar.
11. Clic en Equipos del Dominio, y seleccionar en el panel inferior Inscribirse en la columna Permitir.
12. Clic en la pestaña Tratamiento de la solicitud.
13. Seleccionar Permitir que la clave privada se pueda exportar.
14. Clic en Aceptar.
15. Cerrar la consola MMC sin guardar los cambios.
16. Clic en Inicio, Herramientas Administrativas, y entonces clic en Entidad de certificación.
17. En el árbol de la consola, expandir i64-SVDADC-CA, botón derecho en Plantilla de Certificados, apuntar a Nuevo, y seleccionar Plantilla de Certificado que se va a emitir
18. En la lista de plantillas de certificados, clic en Web Server 2008, y seleccionar Aceptar.
19. Cerrar la consola de la entidad de certificación

Crear y habilitar reglas en el firewall para tráfico ICMPv4 e ICMPv6

Ahora necesitamos configurar reglas en el Firewall con Seguridad Avanzada que permita mensajes ICMPv4 y ICMPv6 tanto entrantes como salientes para proveer conectividad para clientes de DirectAccess basados en Teredo.

1. Clic en Inicio, Herramientas Administrativas, y clic en administración de directivas de grupo.
2. En la consola, expandir Bosque: i64.hol\Dominios\i64.hol.
3. Botón derecho sobre Default Domain Policy, y clic sobre Editar.
4. En el Editor de administración de directivas de grupo, abrir Configuración del equipo\Directivas\Configuración de Windows\Configuración de Seguridad\Firewall de Windows con seguridad avanzada\ Firewall de Windows con seguridad avanzada
5. Pinchar con el botón derecho sobre Reglas de entrada y hacer clic sobre Nueva Regla.
6. En tipo de regla, clic en Personalizada, y pinchar en Siguiente.
7. En la página de Programa, clic en Siguiente.
8. En Protocolo y Puertos, para Tipo de Protocolo, seleccionar ICMPv4, y pinchar en Personalizar.
9. En la ventana de Personalizar configuración de ICMP, clic en Tipos de ICMP específicos, seleccionar Petición ECO, y pinchar en Aceptar.
10. Clic en Siguiente.
11. En la página de ámbito, clic en Siguiente.
12. En la página de acción, clic en Siguiente.
13. En la página de Perfil, clic en Siguiente
14. En la página de Nombre, para Nombre, escribir Peticiones Eco entrantes ICMPv4, y seleccionar Finalizar.
15. Pinchar con el botón derecho sobre Reglas de entrada y hacer clic sobre Nueva Regla.
16. En tipo de regla, clic en Personalizada, y pinchar en Siguiente.
17. En la página de Programa, clic en Siguiente.
18. En Protocolo y Puertos, para Tipo de Protocolo, seleccionar ICMPv6, y pinchar en Personalizar.
19. En la ventana de Personalizar configuración de ICMP, clic en Tipos de ICMP específicos, seleccionar Petición ECO, y pinchar en Aceptar.
20. Clic en Siguiente.
21. En la página de ámbito, clic en Siguiente.
22. En la página de acción, clic en Siguiente.
23. En la página de Perfil, clic en Siguiente
24. En la página de Nombre, para Nombre, escribir Peticiones Eco entrantes ICMPv6,
    y seleccionar Finalizar.
25. Pinchar con el botón derecho sobre Reglas de salida y hacer clic sobre Nueva Regla.
26. En tipo de regla, clic en Personalizada, y pinchar en Siguiente.
27. En la página de Programa, clic en Siguiente.
28. En Protocolo y Puertos, para Tipo de Protocolo, seleccionar ICMPv4, y pinchar en Personalizar.
29. En la ventana de Personalizar configuración de ICMP, clic en Tipos de ICMP específicos, seleccionar Petición ECO, y pinchar en Aceptar.
30. Clic en Siguiente.
31. En la página de ámbito, clic en Siguiente.
32. En la página de acción, seleccionar Permitir la conexión y clic en Siguiente.
33. En la página de Perfil, clic en Siguiente
34. En la página de Nombre, para Nombre, escribir Peticiones Eco salientes ICMPv4, y seleccionar Finalizar.
35. Pinchar con el botón derecho sobre Reglas de salida y hacer clic sobre Nueva Regla.
36. En tipo de regla, clic en Personalizada, y pinchar en Siguiente.
37. En la página de Programa, clic en Siguiente.
38. En Protocolo y Puertos, para Tipo de Protocolo, seleccionar ICMPv6, y pinchar en Personalizar.
39. En la ventana de Personalizar configuración de ICMP, clic en Tipos de ICMP específicos, seleccionar Petición ECO, y pinchar en Aceptar.
40. Clic en Siguiente.
41. En la página de ámbito, clic en Siguiente.
42. En la página de acción, seleccionar Permitir la conexión y clic en Siguiente.
43. En la página de Perfil, clic en Siguiente
44. En la página de Nombre, para Nombre, escribir Peticiones Eco salientes ICMPv6, y seleccionar Finalizar.
45. Cerrar el Editor de administración de directivas de grupo y la consola de Administración de directivas de Grupo.

Eliminar ISATAP de la lista de bloqueo de DNS

Configurar el servidor DNS para eliminar el nombre ISATAP de su lista de bloqueo.

1. Clic en Inicio, Todos los Programas, Accesorios, clic sobre Símbolo de sistema.
2. En la ventana del Símbolo de sistema, escribir dnscmd /config /globalqueryblocklist wpad, y pulsar ENTER.
3. Verificar que en el resultado aparece comando completado correctamente.
4. Cerrar la ventana de Símbolo de Sistema

Configuración de distribución CRL

Configuraremos la CA de raíz Empresarial con configuración CLR adicional para que los clientes de DirectAccess puedan comprobar el CRL de los certificados cuando se conecte a la subred.

1. Clic en Inicio, Herramientas Administrativas, y después pinchar en Entidad de Certificación.
2. En la consola, botón derecho sobre i64-SVDADC-CA, y seleccionar Propiedades.
3. Clic en la pestaña Extensiones, y después pulsar sobre Agregar.
4. En Ubicación, escribir http://crl.i64.es/crld/.
5. En Variable, desplegar y seleccionar <Nombre de CA>, y clic sobre Insertar.
6. En Variable, desplegar y seleccionar <Sufijo de nombre de lista CRL> y clic sobre Insertar.
7. En Variable, desplegar y seleccionar <Diferencias entre listas CRL permitidas>, y clic sobre Insertar.
8. En Ubicación, escribir .crl al final de la cadena de ubicación, y luego hacer clic sobre Aceptar.
9. Seleccionar Incluir en las CRL. Usada para encontrar la ubicación de diferencias CRL. e Incluir la extensión CDP de los certificados emitidos.
10. Clic en Agregar.
11. En Ubicación, escribir \\SVDADA\crldist$\.
12. En Variable, desplegar y seleccionar <Nombre de CA>, y clic sobre Insertar.
13. En Variable, desplegar y seleccionar <Sufijo de nombre de lista CRL> y clic sobre Insertar.
14. En Variable, desplegar y seleccionar <Diferencias entre listas CRL permitidas>, y clic sobre Insertar.
15. En Ubicación, escribir .crl al final de la cadena de ubicación, y luego hacer clic sobre Aceptar.
16. Seleccionar Publicar las listas de revocación de certificados (CRL) en esta ubicación y Publicar Diferencias CRL en esta ubicación, y seleccionar Aceptar.
17. Clic en Si a reiniciar los servicios de certificados de Active Directory.
18. Cerrar la consola de la Entidad de Certificación.

Habilitar Inscripción automática de certificados

Configuraremos la CA raíz para que los certificados de equipo sean emitidos de forma automática a través de Directivas de Grupo.

1. Clic en Inicio, Herramientas Administrativas, y después pinchar en Administración de Directivas de Grupo.
2. En la consola, expandir Bosque: i64.hol\Dominios\i64.hol.
3. Botón derecho sobre Default Domain Policy, y clic en Editar.
4. En la consola del Editor de administración de Directivas de grupo, expandir Configuración de Equipo\Directivas\Configuración de Windows\Configuración de seguridad\Directivas de clave pública.
5. Botón derecho sobre Configuración de la solicitud de certificados automática, clic en Nuevo, y después clic en Solicitud de certificados automática.
6. En el asistente para instalación de solicitud automática de certificado, seleccionar Siguiente.
7. En la página de Plantilla de Certificado, clic en Equipo, pulsar en Siguiente, y clic en Finalizar.
8. Cerrar el Editor de administración de directivas de grupo y la consola de Administración de directivas de Grupo.

Y esto es todo por hoy, que no es poco, continuaremos durante estos días configurando este escenario que seguro que os va a resultar interesante.

Julián Blázquez y Fran Nogal