En este tema se proporciona información acerca de los componentes de una implementación de DirectAccess, los métodos de conectividad del cliente de DirectAccess, la configuración de firewall para el tráfico de DirectAccess y la integración con tarjetas inteligentes.

Componentes de DirectAccess

Una implementación de DirectAccess consta de los siguientes componentes:

  • Clientes de DirectAccess

  • Al menos un servidor de DirectAccess

  • Un dominio de los Servicios de dominio de Active Directory® (AD DS)

  • Una infraestructura de clave pública (PKI)

  • Servidor de ubicación de red

  • Una red interna y aplicaciones compatibles con el Protocolo de Internet versión 6 (IPv6) o dispositivos NAT-PT (Network Address Translation-Protocol Translation)

Clientes de DirectAccess

Un cliente de DirectAccess es un equipo que ejecuta Windows 7 o Windows Server 2008 R2 que está unido a un dominio AD DS y usa IPv6 y el Protocolo de seguridad de Internet (IPsec) para iniciar automáticamente y mantener la conectividad remota con una red interna desde Internet.

Los equipos que no están unidos a un dominio AD DS o los equipos que ejecutan Windows Vista o versiones anteriores de Windows no admiten DirectAccess.

Al menos un servidor de DirectAccess

Un servidor de DirectAccess es un equipo que ejecuta Windows Server 2008 R2 que está unido a un dominio AD DS y usa IPv6 e IPsec para responder a clientes de DirectAccess en Internet y conectarlos de forma transparente a una red interna.

Los equipos que no están unidos a un dominio de Active Directory o los equipos que ejecutan Windows Server 2008 o versiones anteriores de Windows Server no admiten la funcionalidad de servidor de DirectAccess.

Para instalar DirectAccess, vea Instalar DirectAccess.

No hospede ninguna otra función primaria en servidores de DirectAccess. Los servidores de DirectAccess deben estar dedicados exclusivamente a DirectAccess. En función de sus requisitos de implementación y escalabilidad, es posible que necesite más de un servidor de DirectAccess o es posible que tenga que usar la configuración manual para separar las funciones de DirectAccess entre los distintos servidores. Para obtener más información acerca de las implementaciones de varios servidores, vea la página principal de DirectAccess en Microsoft Technet (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=142598).

Para obtener más información acerca de los requisitos del servidor de DirectAccess, vea Lista de comprobación: antes de configurar DirectAccess.

Un dominio de AD DS

DirectAccess se basa en AD DS para las credenciales de autenticación, la inscripción automática de certificados de equipo y la configuración centralizada basada en la directiva de grupo de IPsec, IPv6 y otras opciones de configuración. Los clientes y servidores de DirectAccess deben ser miembros de un dominio AD DS.

PKI

DirectAccess se basa en certificados de equipo emitidos por una autoridad de certificación de los Servicios de certificados de Active Directory (AD CS) para la autenticación de sesiones IPsec y conexiones basadas en IP-HTTPS.

Servidor de ubicación de red

Un servidor de ubicación de red es un servidor de la red interna que hospeda un localizador uniforme de recursos (URL) basado en HTTPS. Los clientes de DirectAccess obtienen acceso a la dirección URL para determinar si están ubicados en la red interna. El servidor de DirectAccess puede ser el servidor de ubicación de red, pero es recomendable usar un servidor web de alta disponibilidad. Este servidor web no tiene que tener dedicación exclusiva como en el caso de un servidor de ubicación de red.

Red interna y aplicaciones compatibles con IPv6 o un dispositivo NAT-PT

Los clientes de DirectAccess usan IPv6 única y exclusivamente para obtener acceso a los recursos de la red interna. Por lo tanto, los clientes de DirectAccess solamente pueden comunicarse con los servidores y recursos de la red interna a los que se puede obtener acceso mediante IPv6. Existen tres formas de conseguir la conectividad IPv6 con una red interna:

  • Configurar la infraestructura de enrutamiento de la red interna para que admita IPv6 nativo. Entonces, será posible obtener acceso a los servidores y aplicaciones de la red interna que admitan IPv6. Los equipos que ejecutan Windows 7, Windows Server 2008 R2, Windows Vista o Windows Server 2008 están configurados para usar IPv6 de forma predeterminada.

  • Implemente el protocolo de direccionamiento automático de túnel dentro de un sitio (ISATAP o Intra-Site Automatic Tunnel Addressing Protocol) en la red interna. Con ISATAP, los servidores y las aplicaciones de la red interna compatibles con IPv6 pueden canalizar el tráfico IPv6 a través de la red interna solo IPv4. Los equipos que ejecutan Windows 7, Windows Server 2008 R2, Windows Vista o Windows Server 2008 admiten la funcionalidad de host ISATAP. ISATAP permite que estos equipos usen IPv6 sin que sea necesario el uso del enrutamiento IPv6 nativo. El servidor de DirectAccess se configurará automáticamente como un enrutador ISATAP en ausencia de conectividad IPv6 en la red interna.

  • Use un dispositivo NAT-PT (Traducción de direcciones de red o puertos) para traducir el tráfico entre los clientes de DirectAccess que usan IPv6, y los servidores y aplicaciones que solo usan IPv4. Windows Server 2008 R2 no proporciona funcionalidad NAT-PT. Normalmente, los dispositivos NAT-PT suelen proporcionarlos fabricantes de enrutadores y conmutadores de nivel 2 y nivel 3. Vea la documentación del conmutador y del enrutador para obtener información sobre la configuración y las capacidades NAT-PT.

Métodos de conectividad del cliente de DirectAccess

En la siguiente tabla se muestran las configuraciones posibles del cliente de DirectAccess y su método correspondiente de envío de tráfico IPv6 al servidor de DirectAccess.

Configuración del clienteMétodo de conectividad preferido

Se asigna una dirección IPv6 global

Dirección IPv6 global

Se asigna una dirección IPv4 pública (direcciones que no están comprendidas en los intervalos 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16)

6to4, una tecnología de transición IPv6 que proporciona conectividad IPv6 a través de Internet IPv4 para hosts o sitios que tienen una dirección IPv4 pública.

Se asigna una dirección IPv4 privada (direcciones que están comprendidas en los intervalos 10.0.0.0/8, 172.16.0.0/12 y 192.168.0.0/16)

Teredo, una tecnología de transición IPv6 que proporciona conectividad IPv6 a través de Internet IPv4 para hosts a los que se asigna una dirección IPv4 privada y que están ubicados detrás de un dispositivo de traducción de direcciones de red (NAT) IPv4 que no admite la funcionalidad de enrutador 6to4.

El cliente no puede conectarse usando 6to4 o Teredo

IP-HTTPS, un nuevo protocolo para Windows 7 y Windows Server 2008 R2 que permite que los hosts ubicados detrás de un firewall o servidor proxy web establezcan conectividad canalizando paquetes IPv6 dentro de una sesión HTTPS (Protocolo seguro de transferencia de hipertexto) basada en IPv4. Normalmente, IP-HTTPS solo se usa si el cliente no puede conectarse con el servidor de DirectAccess mediante los demás métodos de conectividad IPv6.

Configuración de firewall para el tráfico de DirectAccess

Los firewalls externos entre Internet y la red perimetral deben ser capaces de pasar los siguientes tipos de tráfico hacia y desde el servidor de DirectAccess:

  • Para el tráfico IPv6 nativo, el tráfico ICMPv6 (Protocolo de mensajes de control de Internet para IPv6) (protocolo IPv6 58) y el tráfico ESP (Carga de seguridad encapsuladora) IPsec (protocolo IPv6 50).

  • Para el tráfico 6to4, el tráfico IPv4 que encapsula el tráfico IPv6 (protocolo IPv4 41).

  • Para el tráfico Teredo, el tráfico IPv4 con el puerto UDP (Protocolo de datagramas de usuario) 3544.

  • Para el tráfico Teredo, el tráfico IPv4 con el puerto UDP (Protocolo de datagramas de usuario) 443.

Por ejemplo, en la interfaz de Internet del firewall externo las excepciones tendrán el siguiente formato:

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

Los firewalls internos entre la red perimetral y la red interna deben ser capaces de pasar los siguientes tipos de tráfico hacia y desde el servidor de DirectAccess:

  • Para el tráfico IPv6 nativo, todos los tipos de tráfico IPv6.

  • Para el tráfico ISATAP, el tráfico IPv4 que encapsula el tráfico IPv6 (protocolo IPv4 41).

  • Para el tráfico IPv4 y NAT-PT, todo el tráfico de Intercambio de claves por red (IKE)/AuthIP TCP, UDP y UDP 500.

Para permitir la conectividad basada en Teredo, debe configurar e implementar las siguientes reglas adicionales de Firewall de Windows con seguridad avanzada para todos los equipos miembro del dominio de su organización:

  • Mensajes de solicitud de eco ICMPv6 entrantes (obligatorio)

  • Mensajes de solicitud de eco ICMPv6 salientes (recomendado)

No use la regla de entrada Archivos e impresoras compartidos (petición eco: ICMPv6 de entrada) predefinida ni la regla de salida Archivos e impresoras compartidos (petición eco: ICMPv6 de salida) para este propósito. Si usa estas reglas predefinidas, puede deshabilitarlas desactivando Compartir archivos e impresoras dentro de una organización, lo que dará lugar a la ausencia de conectividad basada en Teredo.

La forma más sencilla de implementar esta configuración de Firewall de Windows en todos los equipos miembro de su organización es a través del objeto de directiva de grupo de dominio predeterminado (GPO). Para obtener más información, vea el tema sobre la lista de comprobación de implementación de un diseño de directiva de firewall básico (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=147688).

Regla 1: mensajes de solicitud de eco ICMPv6 entrantes

Cree y habilite una regla de entrada personalizada con la siguiente configuración:

  • Todos los programas

  • Tipo de protocolo ICMPv6 con el mensaje de solicitud de eco

  • Cualquier dirección IP local y remota

  • Permitir acción

  • Todos los perfiles (dominio, trabajo, público)

Esta regla es obligatoria.

Regla 2: mensajes de solicitud de eco ICMPv6 salientes

Cree y habilite una regla de salida personalizada con la siguiente configuración:

  • Todos los programas

  • Tipo de protocolo ICMPv6 con el mensaje de solicitud de eco

  • Cualquier dirección IP local y remota

  • Permitir acción

  • Todos los perfiles (dominio, trabajo, público)

Esta regla constituye un procedimiento recomendado, a menos que use Firewall de Windows para bloquear todo el tráfico de salida, en cuyo caso esta regla será obligatoria.

Integración con tarjetas inteligentes

Puede solicitar el uso de tarjetas inteligentes cuando los clientes de DirectAccess realizan una conexión al servidor de DirectAccess. Los usuarios podrán iniciar sesión en sus equipos y obtener acceso a Internet sin necesidad de usar ninguna tarjeta inteligente, pero requerirán autenticación de tarjeta inteligente para obtener acceso a los recursos de la red interna.

Recursos adicionales

Para obtener más información acerca de la integración de DirectAccess con el aislamiento de servidor y dominio y la Protección de acceso a redes (NAP), vea la página principal de DirectAccess en Microsoft Technet (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=142598).