Cómo montar un escenario de DirectAccess(II)

Continuamos con el laboratorio que comenzamos el lunes con la configuración de los demás servidores

Configurar SVDADA

SVDADA es un servidor con Windows Server 2008 R2 y que va a tener la característica de servidor de DirectAccess instalada, por lo que para ello va a tener instaladas dos tarjetas de red, una para la red local cuyo nombre es INTRANET y otra para la red externa de nombre INTERNET.

En este caso el punto de partida se realiza tras instalar Windows Server 2008 R2, con la configuración de red establecida (ver post anterior) y el equipo unido al dominio. Una vez que el servidor se encuentra ya agregado al dominio i64.hol vamos a pasar a configurarlo.

Una vez finalizado el proceso de inicio del equipo, se iniciará sesión en el equipo SVDADA, mediante la cuenta del usuario administrador.

Instalar el rol de servidor Web (IIS)

Lo primero va a ser instalar el rol de Servidor Web Ser (IIS) para que SVDADA sea una CRL externa y trabaje como punto de distribución web CRL para conexiones IP-HTTPS.

1. En el Administrador del Servidor, clic en Roles. En el panel de detalles, clic en Agregar Roles, y por último seleccionar Siguiente.
2. En la página de Seleccionar roles de servidor, clic en Servidor Web (IIS), y pulsar en Siguiente tres veces.
3. Clic en Instalar.
4. Verificar que la instalación es correcta, y pulsar en Cerrar.
5. Dejar la ventana del Administrador del Servidor abierta.

Crear un punto de distribución Web de CRL

1. Clic en Inicio, Herramientas Administrativas, y después arrancar Administrador de Internet Information Services (IIS).
2. En la consola, expandir SVDADA, y después Sitios.
3. Botón derecho sobre Default Web Site, y seleccionar Agregar Directorio Virtual.
4. En Alias, poner CRLD.
5. En Ruta de Acceso física, clic en Examinar (…).
6. Clic en la unidad C: y seleccionar Crear Nueva Carpeta.
7. Poner como nombre de la carpeta CRLDist, pulsar ENTER, y después clic en Aceptar dos veces.
8. En el panel central de la consola, doble-clic sobre Examen de Directorios.
9. En el panel de la derecha o panel de Acciones, clic en Habilitar.
10. En el panel de Conexiones, hacer clic en la carpeta CRLD.
11. En el panel central, doble-clic en Editor de Configuración.
12. En Sección, abrir system.webServer\security\requestFiltering.
13. Cambiar allowDoubleEscaping de False a True.
14. En el panel de Acciones, clic en Aplicar.
15. Cerrar el Administrador de Internet Information Services (IIS).

Configurar permisos en el punto de distribución CRL

Lo que haremos en este paso será configurar los permisos para que SVDADC sea capaz de escribir archivos en la carpeta que acabamos de compartir.

1. Clic en Inicio, y después en Equipo.
2. Doble-clic en la unidad C:
3. En el panel de detalles, botón derecho sobre la carpeta CRLDist, y clic en Propiedades.
4. Pulsar la pestaña Compartir, y después seleccionar Uso compartido avanzado.
5. Marcar Compartir esta carpeta.
6. En Nombre de recurso compartido, añadir $ al final del nombre CRLDist para ocultar el recurso compartido, y después pulsar en Permisos.
7. Clic en Agregar, y después pulsar en Tipos de Objeto.
8. Seleccionar Equipos, y pulsar en Aceptar.
9. En Escriba los nombres de objeto que desea seleccionar, escriba SVDADC, y clic en Aceptar.
10. En Nombres de Grupo o usuarios, clic sobre SVDADC. En Permisos de SVDADC, clic en Control total de la columna Permitir, y pinchar Aceptar dos veces.
11. Pulsar la pestaña Seguridad y seleccionar Editar.
12. Clic en Agregar, y después pulsar en Tipos de Objeto.
13. Seleccionar Equipos, y pulsar en Aceptar.
14. En Escriba los nombres de objeto que desea seleccionar, escriba SVDADC, y clic en Aceptar.
15. En Nombres de Grupo o usuarios, clic sobre SVDADC. En Permisos de SVDADC, clic en Control total de la columna Permitir, y pinchar en Aceptar.
16. Pinchar en Cerrar.
17. Cerrar la ventana del explorador de Windows

Publicar la CRL en SVDADC

El siguiente paso será publicar la CRL desde SVDADC y chequear los archivos CRL en SVDADA.

1. En SVDADC, clic en Inicio, Herramientas Administrativas, y por último seleccionar Entidad de Certificación.
2. Doble-clic en i64-SVDADC-CA, botón derecho sobre Certificados Revocados, seleccionar Todas las tareas, y clic en Publicar.
3. Seleccionar Lista de revocación de certificados (CRL) nueva, y clic en Aceptar.
4. Clic en Inicio, escribir \\SVDADA\crldist$, y pulsa ENTER.
5. En la ventana de crldist$, deberíamos ver dos archivos CRL llamados i64-SVDADC-CA y i64-SVDADC-CA+.
6. Cerrar la ventana crldist$ y la consola de la Entidad de Certificación.

Obtener un certificado adicional en SVDADA

Vamos a solicitar un certificado adicional con un sujeto personalizado y un nombre alternativo para la conectividad IP-HTTPS.

1. En SVDADA, Clic en Inicio > Todos los programas, clic sobre accesorios y por último clic en Símbolo del sistema.
2. Clic en Inicio, escribe mmc, y pulsar ENTER.
3. Clic en Archivo, y después en Agregar o quitar complemento.
4. Clic en Certificados, pinchar en Agregar, seleccionar cuenta de equipo, clic Siguiente, elegir Equipo Local, clic en Finalizar, y por ultimo seleccionar Aceptar.
5. Expandir Certificados (Equipo Local)\Personal\Certificados.
6. Botón derecho sobre Certificados, seleccionar Todas las tareas, y clic en Solicitar un Nuevo Certificado.
7. Pulsar en Siguiente dos veces.
8. En la página de Inscripción de certificados, marcar Web Server 2008, y después hacer clic en Se necesita más información para inscribir este certificado. Haga clic aquí para configurar los valores
9. En la pestaña Sujeto de las Propiedades de Certificado, en Nombre de Sujeto, para Tipo, seleccionar Nombre Común.
10. En Valor, escribir SVDADA.i64.es, y pinchar en Agregar.
11. En Nombre alternativo, para Tipo, seleccionar DNS.
12. En Valor, escribe SVDADA.i64.es, y pinchar en Agregar.
13. Clic en Aceptar, clic en inscribir, y después en Finalizar.
14. En el panel de detalles del complemento Certificados, verificar que hay un nuevo certificado con el nombre SVDADA.i64.es y cuyo propósito planteado es Autenticación del Servidor
15. Botón derecho sobre este certificado, y clic en Propiedades.
16. En Nombre descriptivo poner Certificado IP-HTTPS y pulsar en Aceptar.
17. Cerrar la ventana y a la pregunta de guardar la configuración responder con No.

Configurar SVDADC como servidor de aplicaciones

Los siguientes pasos serán configurar el servidor SVDADC como servidor de aplicaciones para dar respuesta a las solicitudes de los clientes cuando se conecten desde una ubicación remota.

Obtener un certificado adicional en SVDADC

Vamos a configurar un certificado adicional en el servidor para ubicación de red.

1. En SVDADC, clic en Inicio, escribe mmc, y pulsar ENTER.
2. Clic en Archivo, y después en Agregar o quitar complemento.
3. Clic en Certificados, pinchar en Agregar, seleccionar cuenta de equipo, clic Siguiente, elegir Equipo Local, clic en Finalizar, y por ultimo seleccionar Aceptar.
4. Expandir Certificados (Equipo Local)\Personal\Certificados
5. Botón derecho sobre Certificados, seleccionar Todas las tareas, y clic en Solicitar un Nuevo Certificado.
6. Pulsar en Siguiente dos veces.
7. En la página de Inscripción de certificados, marcar Web Server 2008, y después hacer clic en Se necesita más información para inscribir este certificado. Haga clic aquí para configurar los valores
8. En la pestaña Sujeto de las Propiedades de Certificado, en Nombre de Sujeto, para Tipo, seleccionar Nombre Común.
9. En Valor, escribir nls.i64.hol, y pinchar en Agregar.
10. En Nombre alternativo, para Tipo, seleccionar DNS.
11. En Valor, escribe nls.i64.hol, y pinchar en Agregar.
12. Clic en Aceptar, clic en inscribir, y después en Finalizar.
13. En el panel de detalles del complemento Certificados, verificar que hay un nuevo certificado con el nombre nls.i64.hol y cuyo propósito planteado es Autenticación del Servidor
14. Cerrar la ventana y a la pregunta de guardar la configuración responder con No.

Instalar el rol de servidor Web (IIS)

Lo siguiente será la instalación del rol de Servidor Web(IIS).

1. En el Administrador del Servidor, clic en Roles. En el panel de detalles, clic en Agregar Roles, y por último seleccionar Siguiente.
2. En la página de Seleccionar roles de servidor, clic en Servidor Web (IIS), y pulsar en Siguiente tres veces.
3. Clic en Instalar.
4. Verificar que la instalación es correcta, y pulsar en Cerrar.

Configurar el enlace HTTPS

Vamos a configurar el enlace HTTPS para que el servidor actúe como servidor de ubicación de red o Network location server. Este tipo de servidor sirve para que el cliente de DirectAccess determine si se encuentra en la red local o en una red externa.

1. Clic en Inicio, Herramientas Administrativas, y después arrancar Administrador de Internet Information Services (IIS).
2. En la consola del Administrador de Internet Information Services (IIS), abrir SVDADC/Sitios y hacer clic en Default Web site.
3. En el panel de Acciones, clic en Enlaces.
4. En Enlaces de Sitios, pinchar en Agregar.
5. En el cuadro de dialogo de Agregar enlace de sitio, en la lista de Tipo, clic en https. En Certificado SSL, seleccionar el certificado con nombre nls.i64.hol.Pinchar en Aceptar y después en Cerrar.
6. Cerrar la consola del Administrador de Internet Information Services (IIS).

Crear una carpeta compartida

Crearemos una carpeta compartida para que cuando el cliente se conecte desde una ubicación remota comprobar que se hace de forma correcta.

1. Clic en Inicio y después pinchar en Equipo.
2. Doble-clic sobre la unidad C:
3. Clic en Nueva Carpeta, poner de nombre Archivos, y pulsar ENTER. Dejar la ventana abierta
4. Crear un documento de texto dentro de la carpeta de nombre Ejemplo.txt
5. Escribir dentro del archivo Esto es un archivo compartido y guardarlo.
6. Salir de la carpeta y pulsar de nuevo sobre ella con el botón y seleccionar Compartir con y después hacer clic en Usuarios específicos
7. Clic en Compartir, y luego en Listo.
8. Cerrar la ventana.

Y hasta aquí la configuración y montaje por hoy del escenario de DirectAccess .No dejéis de leer el blog porque todavía nos quedan un par de artículos más.