En este paso del Asistente para la instalación de DirectAccess (paso 3), establecerá las opciones de configuración para los servidores de infraestructura. Para la configuración inicial de las opciones del servidor de aplicaciones DirectAccess en el complemento DirectAccess, expanda el nodo DirectAccess, haga clic en el nodo Configuración y, a continuación, haga clic en Configurar en el paso 3. No podrá hacer clic en Configurar en el paso 3 hasta que haya finalizado la configuración del paso 2. Para cambiar las opciones de configuración del servidor de infraestructura, haga clic en Editar en el paso 3.
Antes de llevar a cabo el paso 3, determine los siguientes aspectos:
- Si un servidor web de alta disponibilidad de la red interna puede actuar como servidor de ubicación de red de DirectAccess y tiene un localizador uniforme de recursos (URL) basado en HTTPS en dicho servidor web. Es opcional, pero muy recomendable.
- El conjunto de espacios de nombres DNS (Sistema de nombres de dominio) correspondientes a los recursos de la red interna (por ejemplo, contoso.com).
- Las direcciones IPv4 (protocolo de Internet versión 4) o IPv6 (protocolo de Internet versión 6) de los servidores DNS de la red interna que desea que respondan a consultas de nombres para los clientes de DirectAccess.
- Los nombres de host, las direcciones IPv4 o las direcciones IPv6 de los servidores de administración de la red interna que desea que inicien comunicaciones con los clientes de DirectAccess. Los servidores de administración pueden incluir servidores que distribuyan actualizaciones o realicen inventarios de software o hardware.
Al hacer clic en Configurar o Editar en el paso 3, se muestran páginas del asistente para configurar el servidor de ubicación de red, los controladores de dominio y DNS, y los servidores de administración.
Ubicación
En la página Ubicación, especifique el servidor de ubicación de red, que es un servidor que un cliente de DirectAccess usa para determinar si está ubicado en la red interna o en Internet. Si el cliente de DirectAccess puede obtener acceso al servidor de ubicación de red y a una página web especificada, el cliente de DirectAccess determinará que se encuentra en la red interna y no se usará la funcionalidad de DirectAccess.
Puede especificar si la función del servidor de ubicación de red se encuentra en el servidor de DirectAccess o en otro servidor de la red interna.
- Si la función de servidor de ubicación de red no se encuentra en el servidor de DirectAccess (recomendado), debe escribir una dirección URL basada en HTTPS de una página web de dicho servidor.
- Si la función de servidor de ubicación de red se encuentra en el servidor de DirectAccess, debe especificar el certificado que se usará para la autenticación de las conexiones basadas en HTTPS entre los clientes de DirectAccess y el servidor de DirectAccess.
En ambos casos, el servidor de ubicación de red debe tener alta disponibilidad y es un elemento crítico de la infraestructura de DirectAccess. Si no se puede obtener acceso al servidor de ubicación de red en la red interna, los clientes de DirectAccess habilitarán la funcionalidad de DirectAccess mientras se encuentren en la red interna, lo que puede entorpecer su capacidad para obtener acceso a los recursos de la red interna.
Controlador de dominio y DNS
En la página DNS y controlador de dominio, se configura la tabla de directivas de resolución de nombres (NRPT) y el comportamiento de resolución de nombres del cliente de DirectAccess.
NRPT
NRPT es una tabla que los clientes de DirectAccess usan para determinar si deben enviar sus solicitudes de nombres DNS. Las entradas consisten en un nombre de dominio DNS que pueden representar el nombre de dominio completo (FQDN) de un equipo específico (como emailsrv21.europe.contoso.com) o parte del espacio de nombres DNS (como contoso.com) y un conjunto de direcciones correspondiente para los servidores DNS que ofrecen servicio al FQDN o espacio de nombres. Si no se especifican direcciones de servidor DNS, la entrada será de exención. Si un nombre DNS coincide con una entrada de la tabla NRPT que contiene las direcciones de los servidores DNS, el cliente de DirectAccess enviará la consulta de nombre a los servidores DNS especificados de la red interna. Si un nombre DNS coincide con una entrada de la tabla NRPT que no contiene las direcciones de los servidores DNS o no coincide con ninguna entrada de la tabla NRPT, el cliente de DirectAccess enviará la consulta de nombre a un servidor DNS con acceso a Internet.
Es posible que la tabla NRPT tenga una entrada basada en el sufijo DNS y la configuración de servidor DNS del servidor de DirectAccess. Es posible que la tabla NRPT también tenga una entrada de exención correspondiente al servidor de ubicación de red. Esta entrada se agrega para que los clientes de DirectAccess que se encuentran en Internet no intenten resolver nunca el nombre del servidor de ubicación de red usando un servidor DNS de la red interna.
Para agregar más entradas, haga clic con el botón secundario en una fila vacía y, a continuación, haga clic en Nueva. También puede hacer doble clic en una fila vacía. En el cuadro de diálogo Información de acceso de espacio de nombres, escriba el sufijo DNS y especifique el conjunto de direcciones IPv4 o IPv6 de los servidores DNS de la red interna que resuelven los nombres que finalizan con el sufijo DNS. Después de especificar las direcciones IPv4 o IPv6, haga clic en Validar para probar si los servidores DNS se están ejecutando y son accesibles desde el servidor de DirectAccess.
Para modificar una entrada en la tabla NRPT, haga clic con el botón secundario en la entrada y, a continuación, haga clic en Editar. También puede hacer doble clic en una entrada existente. Para eliminar una entrada de la tabla NRPT, haga clic con el botón secundario en la entrada y, a continuación, haga clic en Eliminar.
Comportamiento de resolución de nombres
En la página DNS y controlador de dominio, también puede especificar el comportamiento de resolución local de nombres de los clientes de DirectAccess. La resolución local de nombres consiste en el uso de técnicas de resolución de nombres que no incluyen la comprobación de las entradas de la memoria caché de resolución DNS ni la realización de consultas a los servidores DNS de la red interna. Entre estas técnicas se incluye el uso de servidores DNS con acceso a Internet y la realización de consultas a la subred local.
Dispone de tres opciones:
- Usar la resolución local de nombres únicamente si los servidores DNS de la red interna determinaron que el nombre no existe
Se trata de la opción más segura porque el cliente de DirectAccess solamente enviará a los servidores DNS con acceso a Internet consultas DNS relativas a nombres de servidores que no pueden resolverse. - Usar la resolución local de nombres si los servidores DNS de la red interna determinaron que el nombre no existe o si los servidores DNS de la red interna no son accesibles y el equipo cliente de DirectAccess se encuentra en una red privada
Esta opción es recomendable porque permite la resolución de nombres en una red interna independiente. - Usar la resolución local de nombres si se produce cualquier tipo de error al intentar resolver el nombre usando los servidores DNS de la red interna
Se trata de la opción menos segura porque los nombres de los servidores de la red interna que está intentando resolver el cliente de DirectAccess pueden enviarse a los servidores DNS con acceso a Internet, lo que permite realizar una escucha entre el cliente de DirectAccess y el servidor DNS con acceso a Internet con objeto de determinar los nombres de los servidores de la red interna.
Administración
En la página Administración, se configura la lista de direcciones IPv4 o IPv6 de los servidores de la red interna que desea que inicien comunicaciones con los clientes de DirectAccess. Estos servidores suelen ser servidores de administración que establecen contacto con los equipos cliente de DirectAccess para realizar funciones de administración, como evaluaciones de inventarios de software o hardware, o para instalar actualizaciones. Los servidores de administración especificados en la página Administración solamente pueden establecer contacto con los clientes de DirectAccess que son miembros de los grupos de seguridad especificados en el paso 1 del Asistente para la instalación de DirectAccess.
Para agregar un servidor de administración, haga clic con el botón secundario en una fila vacía y, a continuación, haga clic en Nueva. También puede hacer doble clic en una fila vacía. En los cuadros de diálogo Dirección IPv4 o Dirección/prefijo IPv6, puede obtener una dirección IPv4 o IPv6 del nombre de host del servidor o escribirla manualmente:
- Para obtener una dirección IPv4 o IPv6 del nombre de host, seleccione Nombre de host del equipo específico y, a continuación, escriba el nombre del servidor. Haga clic en Comprobar nombre para resolver el nombre en sus direcciones registradas. Haga clic en una de las direcciones y, a continuación, haga clic en Aceptar:
- Para especificar manualmente una dirección IPv4, seleccione Dirección IPv4 en el cuadro de diálogo Dirección IPv4 y, a continuación, escriba la dirección. Al finalizar, haga clic en Aceptar.
- Para especificar manualmente una dirección o un prefijo IPv6, seleccione Dirección IPv6 o prefijo IPv6 en el cuadro de diálogo Dirección/prefijo IPv6 y, a continuación, escriba la dirección o el prefijo. Al finalizar, haga clic en Aceptar.
Para modificar una dirección IPv4 o una entrada de dirección o prefijo IPv6 de la lista, haga clic con el botón secundario en la entrada y, a continuación, haga clic en Editar. Para eliminar una entrada, haga clic con el botón secundario en la entrada y, a continuación, haga clic en Eliminar.