Cómo montar un escenario de DirectAccess(III)

Comenzamos con la tercera entrega de esta serie de articulos para montar un escenario de DirectAccess.Con este acabamos con la fase de despliegue de maquinas y en el siguiente articulo comprobaremos el funcionamiento del laboratorio

Configuración de SVDAINET

SVDAINET hará funciones de Servidor Web Server y de DNS. Como en los casos anteriores se parte de un equipo con Windows Server 2008 R2 y la configuración de red establecida como se indicaba en el primer post.

Instalación de los roles de servidor Web Server (IIS) y servidor DNS

En este paso configuraremos estos dos roles para que den servicio a los equipos que se conecten a Internet.

1. En el Administrador del Servidor, clic en Roles. En el panel de detalles, clic en Agregar Roles, y por último seleccionar Siguiente.
2. En la página de Seleccionar roles de servidor, clic en Servidor Web (IIS) y en Servidor DNS, y pulsar en Siguiente cuatro veces para aceptar las configuración por defecto del Servidor Web.
3. Clic en Instalar.
4. Verificar que la instalación es correcta, y pulsar en Cerrar.

Crear Registro A en el DNS

Crearemos un registro A en el DNS para la direcciones IPv4 de SVDADA y SVDAINET y para crl.i64.hol

1. Clic en Inicio, Herramientas Administrativas y seleccionar DNS.
2. Desplegar SVDAINET.
3. Botón derecho sobre Zonas de Búsqueda Directa, seleccionar Nueva Zona, y pinchar en Siguiente.
4. En la página Tipo de zona, pulsar en Siguiente.
5. Como Nombre de zona, escribir isp.ejemplo.com, y clic en Siguiente.
6. Si aparece la página Archivo de Zona, pulsar en Siguiente
7. En Actualización dinámica, clic en Siguiente, y por ultimo seleccionar Finalizar.
8. Botón derecho sobre isp.ejemplo.com, y seleccionar Host Nuevo(A o AAAA).
9. En Nombre, escribir SVDAINET. En Dirección IP, poner 131.107.0.1. Clic en Agregar Host.
10. Clic en Aceptar, y por ultimo pulsar en Realizado.
11. Botón derecho sobre Zonas de Búsqueda Directa, seleccionar Nueva Zona, y pinchar en Siguiente.
12. En la página Tipo de zona, pulsar en Siguiente.
13. Como Nombre de zona, escribir i64.es, y clic en Siguiente.
14. Si aparece la página Archivo de Zona, pulsar en Siguiente
15. En Actualización dinámica, clic en Siguiente, y por ultimo seleccionar Finalizar.
16. Botón derecho sobre i64.es, y seleccionar Host Nuevo(A o AAAA).
17. En Nombre, escribir SVDADA. En Dirección IP, poner 131.107.0.2. Clic en Agregar Host.
18. Clic en Aceptar, y por ultimo pulsar en Realizado.
19. Sin cerrar la ventana de host nuevo, en Nombre, escribir crl. En Dirección IP, escribir 131.107.0.2.
20. Clic en Agregar Host. Clic en Aceptar, y por ultimo pulsar en Realizado.
21. Cerrar la consola DNS

Instalar y Configurar DHCP

Lo primero que vamos a hacer es configurar SVDAINET como Servidor DHCP para que W7DACLN reciba direccionamiento IP dinámico cuando se conecta a la subred Internet.

1. En el Árbol de consola del Administrador del servidor, hacer clic en Roles.
2. En el panel de detalles, bajo Resumen de Roles, clickear en Agregar roles, y después hacer clic en Siguiente.
3. En la página de Seleccionar Roles de Servidor, clic en Servidor DHCP, y clickear Siguiente dos veces.
4. En la página Seleccionar enlaces de conexión de red, verificar que 131.107.0.1 está seleccionada, y después seleccionar Siguiente.
5. En la página Especificar la configuración del Servidor DNS IPv4, verificar que isp.ejemplo.com aparece bajo Dominio Primario y si no lo hace agregarlo a mano.
6. Verificar que aparece 131.107.0.1 bajo Dirección IPv4 del servidor DNS preferido, y pinchar en Validar. Verificar que el resultado es Válida, y seleccionar Siguiente.
7. En especificar la configuración del servidor WINS IPv4, aceptar la configuración por defecto de No se requiere WINS para las aplicaciones en esta red, y pinchar en Siguiente.
8. En Agregar o editar ámbitos DHCP, clic en Agregar.
9. En la ventana de Agregar ámbito, poner como Nombre de ámbito I64.En dirección IP Inicial, poner 131.107.0.100, como Dirección IP final, 131.107.0.150, como Mascara de subred, 255.255.255.0. Pinchar en Aceptar y luego en Siguiente.
10. En Configurar el modo sin estado DHCPv6, seleccionar Deshabilitar el modo sin estado DHCPv6 para este servidor, y seleccionar Siguiente.
11. En Confirmar selecciones de instalación, clic en Instalar.
12. Comprobar que la instalación es correcta y seleccionar Cerrar.

Configurar W7DACLN

W7DACLN es un equipo con Windows 7 que nos va a ayudar para demostrar cómo funciona DirectAccess con equipos remotos. Vamos a comenzar con el sistema operativo instalado previamente. Una vez finalizado el proceso de inicio del equipo, se iniciará sesión en el equipo W7DACLN, mediante la cuenta del usuario administrador.

Unir W7DACLN al dominio de i64.hol

1. Clic en Inicio, botón derecho sobre Equipo y seleccionamos Propiedades.
2. Bajo Configuración de Nombre, dominio, y grupo de trabajo de equipo pinchamos en Cambiar Configuración.
3. En el cuadro de dialogo de Propiedades del sistema, clic en Cambiar.
4. Dentro de Cambios en el dominio o el nombre del equipo, seleccionamos Dominio, escribimos i64.hol y pulsamos en Aceptar.
5. Al preguntar por usuario y contraseña, escribir como usuario administrador y como password “123abc.” (sin comillas). Y pulsamos en Aceptar.
6. Cuando aparezca el cuadro de dialogo indicando que el equipo se ha unido correctamente al dominio, pinchar en Aceptar dos veces.
7. En el cuadro de dialogo de Propiedades del sistema, clic en Cerrar.
8. Pinchar en Reiniciar Ahora.

Añadir W7DACLN al grupo de seguridad de Clientes_DA

Añadiremos W7DACLN al grupo de seguridad de Clientes_DA para que así pueda recibir todas las configuraciones de DirectAccess a través de políticas de grupo.

1. En SVDADC, clic en Inicio, Herramientas Administrativas y pinchamos en Usuarios y Equipos de Active Directory.
2. Expandimos i64.hol y después Users.
3. Doble-clic sobre Clientes_DA.
4. En la ventana que se abre, clic en la pestaña Miembros y seleccionar Agregar.
5. En Seleccione Usuarios, Contactos, Grupos u otros Objetos, clic en Tipos de Objeto, seleccionamos Equipos, y pulsamos en Aceptar.
6. Debajo de Escriba los nombres de objeto que desea seleccionar escriba W7DACLN y seleccione Aceptar.
7. Verificar que W7DACLN aparece en Miembros y pulse Aceptar.
8. Cierre la consola de Usuarios y equipos de Active Directory.

Verificar el certificado de equipo en W7DACLN

En estos pasos vamos a verificar que el certificado de equipo que instalamos en nuestro servidor ha sido también instalado en el cliente.

1. Después de que W7DACLN reinicie, haga clic en Cambiar de usuario, clic en Otro usuario, y haga login en el dominio con el usuario i64\administrador.
2. Clic en Inicio, escribir mmc, y pulsar ENTER.
3. Pulsar en Archivo y después en Agregar o quitar complementos.
4. Seleccionar Certificados, clic en Agregar, seleccionar Cuenta de equipo, pulsar en Siguiente, luego Equipo Local, clic en Finalizar, y por ultimo Aceptar.
5. Expandir Certificados (equipo local)\Personal\Certificados.
6. Verificar que hay un certificado cuyos Propósitos planteados sean Autenticación del cliente y Autenticación del servidor. Este será el certificado que se utilizará para la autenticación con el servidor SVDADA
7. Cerrar la ventana. A la pregunta de guardar la configuración, clic en No.

Configurando DirectAccess

Vamos a comenzar con la parte de instalación del servicio que nos va a proporcionar la conectividad desde el exterior una vez que ya hemos configurado toda la estructura

Instalación de la característica de DirectAccess en SVDADA

Antes de ejecutar el asistente de configuración vamos a instalar la característica de DirectAccess.

1. Clic en Inicio, Herramientas Administrativas, y por ultimo Administrador del Servidor.
2. Botón derecho sobre Características, y seleccionar Agregar características
3. En la página de Seleccionar características, seleccionar Consola de administración de DirectAccess.
4. En la ventana de Asistente para agregar características, clic en Agregar características requeridas
5. Clic en Siguiente.
6. En la ventana de Confirmar selecciones de instalación, pulsar en Instalar.
7. Por último, en la ventana de Resultados de la instalación, clic en Cerrar.

Ejecutar el asistente de configuración en SVDADA

Una vez instalada la característica, vamos a pasar un rato configurando con el asistente DirectAccess y agregando las políticas de grupo para los clientes.

1. Pinchar en Inicio, Herramientas Administrativas, y seleccionar Administración DirectAccess.
2. Hacer clic en Programa de instalación. En el panel de detalles, clic en Configurar del paso 1.
3. En la ventana de Configuración de cliente de DirectAccess pulsar en Agregar.
4. En el cuadro de dialogo de Seleccionar Grupo, escribir Clientes_DA, pulsar en Aceptar, y pinchar en Finalizar.
5. Seleccionar Configurar para el paso 2.
6. En Conectividad, para la Interfaz conectada a Internet, seleccionar Internet. Para la Interfaz conectada a la red interna, seleccionar Intranet. Clic en Siguiente
7. En Componentes de certificado, en Seleccione el certificado raíz al que se deben asociar los certificados de cliente remoto, clic en Examinar. En la lista de certificados, seleccionar el certificado raíz de i64-SVDADC-CA, y pulsar en Aceptar.
8. Para Seleccione el certificado que se usará para proteger la conectividad remota de clientes sobre HTTPS, pinchar en Examinar. En la lista de certificados, clic sobre el certificado llamado Certificado IP-HTTPS, y pulse en Aceptar. Por último seleccionar Finalizar.
9. Clic Configurar para el paso 3.
10. En Ubicación, seleccionar El servidor de ubicación de red se ejecuta en un servidor de alta disponibilidad, escribir https://nls.i64.hol/, clic en Validar, y verificar que sale el mensaje de validación correcta y pinchar en Siguiente.
11. En DNS y Controlador de dominio, la entrada para i64.hol tiene la dirección IPv6 2002:836b:2:1:0:5efe:192.168.64.1. Esta dirección IPv6 está asignada a SVDADC y está compuesta de un prefijo de red 6to4 (2002:836b:2:1::/64) y un identificador de interfaz basado en ISATAP (0:5efe:192.168.64.1). Clic en Siguiente.
12. En la página de Administración, clic Finalizar.
13. Pulsar Configurar para paso 4. En la página de configuración del servidor de aplicaciones DirectAccess, clic Finalizar.
14. Clic en Guardar, después en Finalizar y si sale la página de revisión de DirectAccess, pulsar en Aplicar
15. En el cuadro de dialogo Configuración de directiva de DirectAccess, seleccionar Aplicar.
16. Clic en Aceptar cuando salga el mensaje de configuración correcta

Actualizar configuración IPv6 en SVDADC

Vamos a forzar que SVDADC actualice su configuración IPv6 para que se autoconfigure como host ISATAP.

1. En SVDADC, clic en Inicio, Todos los programas, seleccionar Accesorios, botón derecho sobre Símbolo de Sistema, y clic en Ejecutar como administrador.
2. En la ventana de Símbolo de sistema, escribir sc control iphlpsvc paramchange, y pulsar ENTER.
3. Cerrar la ventana de símbolo de sistema.

Actualizar directivas de grupo y configuración IPv6 en W7DACLN

Vamos a forzar a que W7DACLN actualice sus directivas de grupo para que sea configurado como cliente DirectAccess y también su configuración IPv6 para que se autoconfigure como host ISATAP.

1. En W7DACLN, clic en Inicio, Todos los programas, seleccionar Accesorios, botón derecho sobre Símbolo de Sistema, y clic en Ejecutar como administrador
2. En la ventana de Símbolo de sistema, escribir gpupdate, y pulsar ENTER.
3. En la ventana de Símbolo de sistema, escribir sc control iphlpsvc paramchange, y pulsar ENTER.
4. Dejar la ventana abierta para el siguiente proceso.

Verificar la conectividad ISATAP

Verificar que W7DACLN puede conectarse a SVDADC con direcciones basadas en IPv6 e ISATAP.

1. En W7DACLN, desde la ventana de Símbolo de sistema, escribir ipconfig /flushdns, y pulsar ENTER.
2. Desde la ventana de Símbolo de sistema, escribir ping 2002:836b:2:1:0:5efe:192.168.64.1, y pulsar ENTER. Deberemos ver cuatro paquetes recibidos
3. Dejar la ventana de símbolo de sistema abierta

Bueno, como hemos comentado al principio, con esto acaba la configuración de los diferentes equipos participantes en este laboratorio.Hasta la proxima

Fran Nogal