Descripción de los modelos de implementación de DirectAccess

El modelo de acceso de extremo a perímetro permite que los clientes de DirectAccess se conecten a todos los recursos de la red interna, pero no usa IPsec para proteger la comunicación de extremo a extremo con los servidores de la red interna. Las directivas de túnel basadas en IPsec requieren autenticación y cifrado, y las sesiones de IPsec terminan de forma predeterminada en el servidor de DirectAccess. Este modelo de acceso funciona con servidores de red que ejecutan Windows Server 2003 que no admiten la protección IPsec basada en directiva del tráfico IPv6.

Además de cifrar el tráfico entre el cliente y el servidor de DirectAccess a través de Internet, el modelo de acceso de extremo a extremo para los servidores seleccionados también garantiza la autenticación y la protección de las comunicaciones entre el cliente de DirectAccess y los servidores de la red interna. Esto permite que el cliente de DirectAccess confirme la comunicación con los servidores deseados.

Para este método de acceso, también puede especificar el uso de la autenticación sin protección, que usa la nueva opción de directiva de IPSec para solo autenticar (encapsulación nula) , disponible en Windows 7 y Windows Server 2008 R2. La autenticación sin protección requiere que el cliente de DirectAccess y el recurso de la red interna realicen una autenticación del mismo nivel IPsec, pero los paquetes de datos posteriores intercambiados no se protegen con un encabezado IPsec. Esta opción podría ser necesaria para redes que contienen dispositivos de procesamiento o reenvío de paquetes que no pueden analizar o reenviar el tráfico protegido por IPsec.

En el escenario de un único servidor, todos los componentes de DirectAccess se hospedan en el mismo equipo servidor. La ventaja de este escenario es una implementación relativamente simple, que solo requiere un servidor de DirectAccess. Las limitaciones de este escenario son un único punto de error y los cuellos de botella de rendimiento del servidor, que pueden limitar el número máximo de conexiones simultáneas de DirectAccess. El Asistente para la instalación de DirectAccess configura el escenario de un único servidor.

Si una de sus prioridades es contar con una alta disponibilidad, el uso de varios servidores puede reducir cualquier corte de red a aproximadamente dos minutos. Para conseguirlo, se requiere un mínimo de cuatro servidores para una implementación. Un clúster de equilibrio de carga de red (NLB) configurado con dos servidores proporciona conectividad IPv6 a los clientes de DirectAccess en Internet. Dos servidores proporcionan terminación y conmutación por error de sesiones de IPsec. Si se produce un error en algún servidor, el servicio se restaura porque la conexión vuelve a enrutarse a través de un servidor operativo.

Para obtener más información acerca del modelo de escalabilidad de varios servidores y la forma de configurar los componentes de DirectAccess en distintos servidores, vea la página principal de DirectAccess en Microsoft Technet (puede estar en inglés) (https://go.microsoft.com/fwlink/?LinkId=142598).