Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
Cuando el cliente de DirectAccess se inicia y determina que est en Internet, crea los tneles al
servidor de DirectAccess y comienza las comunicaciones normales con servidores de infraestructura de
la intranet como los controladores de dominio de AD DS y los servidores de aplicaciones como si
estuvieran conectados directamente a la intranet.
Este diseo no necesita la proteccin de IPsec del trfico de la intranet y estructuralmente es muy
similar a los escenarios de red privada virtual (VPN) de acceso remoto actuales.
netsh interface istatap show state y netsh interface istatap show router
Elemento
Requisitos
Cliente de
DirectAccess
Servidor de
DirectAccess
Miembro de un dominio de AD DS
Nota
No hay ninguna limitacin integrada en cuanto al nmero de conexiones
de DirectAccess simultneas que un servidor de DirectAccess puede
admitir.
Active Directory
Directiva de grupo
Infraestructura de
clave pblica (PKI)
Servidor del
Sistema de
nombres de
dominio (DNS)
Al menos uno que ejecute Windows Server 2008 R2, Windows Server 2008
con la revisin Q958194 (http://go.microsoft.com/fwlink/?LinkID=159951),
Windows Server 2008 SP2 o posterior o un servidor DNS de terceros que
admita intercambios de mensajes DNS a travs de ISATAP (Intra-Site
Automatic Tunnel Addressing Protocol).
IP-HTTPS
IP-HTTPS es un nuevo protocolo para Windows 7 y Windows Server 2008 R2 que permite que los hosts
situados detrs de un firewall o un servidor proxy web establezcan conectividad tunelizando paquetes
IPv6 dentro de una sesin HTTPS basada en IPv4. HTTPS se usa en lugar de HTTP, por lo que los
servidores proxy web no intentarn examinar el flujo de datos y finalizar la conexin. Normalmente,
IP-HTTPS solo se usa si el cliente no puede conectar con el servidor de DirectAccess mediante los
dems mtodos de conectividad IPv6 o si se ha configurado el tnel forzado.
Para obtener detalles sobre IP-HTTPS, vea la pgina sobre la especificacin del protocolo de tnel IP
sobre HTTPS (IP-HTTPS) (http://go.microsoft.com/fwlink/? Linkid=157309) (puede estar en ingls).
Nota
El laboratorio de prueba de DirectAccess (http://go.microsoft.com/fwlink/?Linkid=150613)
demuestra la conectividad de DirectAccess en una subred de Internet simulada usando 6to4,
Teredo e IP-HTTPS.
Conectividad IPv6 a travs de una intranet solo IPv4
ISATAP, definido en RFC 4214, es una tecnologa de transicin IPv6 que proporciona conectividad IPv6
entre hosts IPv6/IPv4 a travs de una intranet solo IPv4. ISATAP se puede usar para que DirectAccess
proporcione conectividad IPv6 a los hosts ISATAP en toda la intranet.
Para obtener ms informacin, vea la pgina relativa a las tecnologas de transicin IPv6
(http://go.microsoft.com/fwlink/?Linkid=117205) (puede estar en ingls).
Nota
ISATAP tambin puede usarse para proporcionar conectividad IPv6 cuando el cliente se encuentra
en una ubicacin remota. Las implementaciones de ISATAP pueden conectarse a Internet por IPv6
o usar 6to4 para transferir trfico IPv6 a travs de Internet por IPv4.
El laboratorio de prueba de DirectAccess (http://go.microsoft.com/fwlink/?Linkid=150613) usa
ISATAP en la intranet simulada.
IPsec
IPsec es un marco de estndares abiertos para garantizar la privacidad y seguridad de las
comunicaciones a travs de redes del protocolo de Internet (IP) mediante el uso de servicios de
seguridad criptogrfica. IPsec proporciona una proteccin exhaustiva contra ataques mediante
seguridad descentralizada. Los nicos equipos que deben conocer la proteccin de IPsec son el
remitente y el receptor de la comunicacin. IPsec permite proteger la comunicacin entre grupos de
trabajo, equipos de red de rea local, servidores y clientes de dominio, sucursales (que pueden estar
separadas fsicamente), extranets y clientes mviles.
La proteccin de IPsec se puede usar en dos modos distintos: modo de transporte y modo de tnel. El
modo de transporte est diseado para proteger una carga de paquete de protocolo de Internet (IP). El
modo de tnel est diseado para proteger todo un paquete IP. Para obtener ms informacin, vea la
pgina relativa a los tipos de protocolo IPsec (http://go.microsoft.com/fwlink/?Linkid=157319) (puede
estar en ingls).
DirectAccess usa la configuracin de IPsec en forma de reglas de seguridad de conexin en el
complemento Firewall de Windows con seguridad avanzada y en el contexto advfirewall de la
herramienta de lnea de comandos de shell de red (Netsh) para la autenticacin del mismo nivel,
integridad de datos y confidencialidad de datos (cifrado) de las conexiones de DirectAccess. Es posible
aplicar varias reglas a un equipo simultneamente y cada una de ellas proporciona una funcin
diferente. El resultado del funcionamiento conjunto de todas estas reglas es un cliente de DirectAccess
que puede tener protegidas las comunicaciones con los servidores de la intranet y el servidor de
La segunda regla para el tnel de intranet exige autenticacin con un certificado de equipo y
credenciales de Kerberos basadas en el usuario. Esta regla proporciona comunicacin protegida
a los recursos de la intranet despus de que el usuario haya iniciado sesin.
Para los modelos de acceso de extremo a permetro y al servidor seleccionado, la finalizacin de los
tneles IPsec entre el cliente de DirectAccess y la intranet la realiza el componente Puerta de enlace
IPsec en el servidor de DirectAccess. Este componente se puede encontrar en un servidor diferente con
un adaptador de red de descarga de IPsec para aumentar el rendimiento.
Integridad de datos
La integridad de datos permite al homlogo IPsec receptor comprobar criptogrficamente que el
paquete no se ha modificado mientras estaba en trnsito. Al cifrar datos con IPsec, tambin se
proporciona integridad de datos. Es posible especificar la integridad de datos sin cifrado. Esto puede
resultar til para mitigar el riesgo de ataques de suplantacin de identidad y de tipo "man-in-themiddle", y permite garantizar que los clientes de DirectAccess se conectan a los servidores
correspondientes.
Nota
Cuando se transmiten datos confidenciales, nicamente se debe usar IPsec con integridad de datos
cuando tambin se implementa algn otro tipo de cifrado. Es posible tener integridad de datos de
un extremo a otro usando reglas del modo de transporte y cifrado de extremo a permetro para las
reglas del modo de tnel, que es como funciona el modelo de acceso al servidor seleccionado.
DirectAccess proporciona integridad de datos mediante el uso de configuraciones IPsec de los modo de
tnel y de transporte. Estas configuraciones se pueden aplicar a servidores y clientes de DirectAccess o
a servidores de aplicaciones, y proporcionan integridad de datos exigiendo ESP-NULL (recomendado) o
un Encabezado de autenticacin (AH) para las comunicaciones protegidas con IPsec. Es posible que
ciertos dispositivos de infraestructura de red o soluciones de supervisin e inspeccin de trfico no
puedan analizar los paquetes con un encabezado ESP o AH de IPsec. En este caso, puede usar la
autenticacin con encapsulacin nula para realizar la autenticacin del mismo nivel de IPsec, pero no
para la integridad de datos por paquete.
Separacin del trfico DNS
Para separar el trfico de Internet del trfico de la intranet para DirectAccess, Windows 7 y Windows
Server 2008 R2 incluyen la NRPT, una nueva caracterstica que permite definir servidores DNS por
espacio de nombres DNS, en lugar de por interfaz. La NRPT almacena una lista de reglas. Cada regla
define un espacio de nombres DNS y una configuracin que definen el comportamiento del cliente DNS
para ese espacio de nombres. Cuando un cliente de DirectAccess est en Internet, se compara cada
solicitud de consulta de nombres con las reglas de espacio de nombres almacenadas en la tabla NRPT.
Si se encuentra una coincidencia, la solicitud se procesa de acuerdo con la configuracin de la regla de
la tabla NRPT. La configuracin determina a qu servidores DNS se enviar la solicitud.
Si una solicitud de consulta de nombres no coincide con un espacio de nombres enumerado en la tabla
NRPT, se enva a los servidores DNS configurados en las opciones de TCP/IP para la interfaz de red
especificada. Para un cliente remoto, normalmente sern los servidores DNS de Internet, tal como se
configuraron mediante el proveedor de acceso a Internet (ISP). Para un cliente de DirectAccess de la
intranet, normalmente sern los servidores DNS de la intranet segn se hayan configurado mediante el
protocolo de configuracin dinmica de host (DHCP).
Los nombres de una sola etiqueta, como http://internal, generalmente tendrn configurados sufijos de
bsqueda DNS anexados al nombre antes de la comprobacin con la tabla NRPT. Si no hay sufijos de
bsqueda DNS configurados y el nombre de una sola etiqueta no coincide con ninguna otra regla de
nombre de una sola etiqueta en la tabla NRPT, la solicitud se enviar a los servidores DNS
especificados en la configuracin de TCP/IP del cliente.
Los espacios de nombres, como .internal.contoso.com, se agregan a la tabla NRPT seguidos de las
direcciones IPv6 de los servidores DNS a los que deben dirigirse las solicitudes que coinciden con dicho
espacio de nombres. Si se especifica una direccin IP para el servidor DNS, todas las solicitudes DNS
se enviarn directamente al servidor DNS a travs de la conexin de DirectAccess. No es necesario
especificar seguridad adicional para esta configuracin.
Sin embargo, si se especifica un nombre para el servidor DNS (como dns.contoso.com) en la tabla
NRPT, ese nombre debe poder resolverse pblicamente cuando el cliente consulte a los servidores DNS
especificados en la configuracin de TCP/IP. Con el fin de evitar que un atacante secuestre esta
solicitud de consulta de nombres externa e inserte una respuesta malintencionada, se recomienda
encarecidamente habilitar la proteccin IPsec para los intercambios de mensajes DNS en esta
configuracin.
La tabla NRPT permite a los clientes de DirectAccess usar servidores DNS de la intranet para la
resolucin de nombres (no se necesitan servidores DNS dedicados). DirectAccess est diseado para
evitar la exposicin del espacio de nombres de la intranet en Internet.
Exenciones de la tabla NRPT
Hay algunos nombres que deben tratarse de manera distinta a los dems con respecto a la resolucin
de nombres; estos nombres no deben resolverse con servidores DNS de la intranet. Para asegurarse
de que estos nombres se resuelven con servidores DNS configurados por interfaz, debe agregarlos
como exenciones de la NRPT.
Si no se especifican direcciones de servidor DNS en la regla de la tabla NRPT, la regla ser una
exencin. Si un nombre DNS coincide con una regla de la tabla NRPT que no contiene direcciones de
servidores DNS o no coincide con ninguna regla de la tabla NRPT, el cliente de DirectAccess enviar la
consulta de nombre a los servidores DNS configurados por interfaz.
Si alguno de los siguientes servidores tiene un sufijo de nombre que coincide con una regla de la tabla
NRPT para el espacio de nombres de la intranet, dicho nombre de servidor debe ser una exencin de la
tabla NRPT:
Estos servidores siempre se deben resolver con servidores DNS configurados por interfaz.
Nota
El Asistente para configuracin de DirectAccess del laboratorio de prueba de DirectAccess
(http://go.microsoft.com/fwlink/?Linkid=150613) crea dos reglas en la NRPT: una regla de espacio
de nombres para corp.contoso.com con la direccin IPv6 del servidor DNS de la intranet y una regla
de exencin para nls.corp.contoso.com. Puede ver las reglas de la NRPT configuradas con Directiva
de grupo desde CLIENT1 si ejecuta el comando netsh namespace show policy en un smbolo del
sistema. Puede ver las reglas activas de la NRTP con el comando netsh namespace show
effectivepolicy.
Deteccin de ubicacin de red
Los clientes de DirectAccess usan la deteccin de ubicacin de red para determinar si estn en la
intranet intentando tener acceso a un servidor de ubicacin de red. Si el cliente de DirectAccess puede
tener acceso correctamente a un localizador uniforme de recursos (direccin URL) basado en el
protocolo seguro de transferencia de hipertexto (HTTPS) en el servidor de ubicacin de red, determina
que est en la intranet y quita las reglas de DirectAccess de la tabla NRPT.
El servidor de ubicacin de red
Un servidor de ubicacin de red es un servidor web de intranet que hospeda una direccin URL basada
en HTTPS. El servidor de DirectAccess puede ser el servidor de ubicacin de red, pero se recomienda
encarecidamente usar un servidor web diferente con alta disponibilidad. Este servidor web no tiene por
qu estar dedicado a ser servidor de ubicacin de red.
Puesto que el comportamiento del cliente de DirectAccess depende de la respuesta del servidor de
ubicacin de red, es fundamental asegurarse de que este sitio web tenga alta disponibilidad y est
disponible desde cada sitio de sucursal remoto. Es posible que las ubicaciones de sucursales necesiten
un sitio web de ubicacin de red dedicado diferente en cada ubicacin de sucursal con el fin de
garantizar el acceso al sitio web, incluso cuando se detecte un error de vnculo.
Funcionamiento de la deteccin de ubicacin de red
Cuando cliente de DirectAccess se inicia o experimenta un evento de cambio de red (como un cambio
en el estado del vnculo o una nueva direccin IP), agrega las reglas de DirectAccess a la tabla NRPT. A
continuacin, el cliente de DirectAccess intenta resolver el nombre de dominio completo (FQDN) de la
direccin URL para el servidor de ubicacin de red, que est almacenado en la configuracin de
Directiva de grupo Configuracin del equipo/Directivas/Plantillas administrativas/Red/Indicador de
estado de conectividad de red/Direccin URL para determinar la ubicacin del dominio. Puesto que la
tabla NRPT tiene reglas de DirectAccess activas, este FQDN debe coincidir con una regla de exencin o
con ninguna regla de la tabla NRPT, de forma que el cliente de DirectAccess pueda usar la resolucin
de nombres normal y los servidores DNS configurados por interfaz.
Despus de resolver el FQDN, el cliente de DirectAccess intenta conectarse con la direccin URL basada
en HTTPS del servidor de ubicacin de red, que incluye autenticacin y comprobacin basada en Capa
de sockets seguros (SSL) del certificado del servidor ofrecido por el servidor de ubicacin de red. Para
autenticar el acceso a la direccin URL del cliente de DirectAccess, use autenticacin annima. El
servidor de ubicacin de red no debe necesitar ningn tipo de credenciales de usuario para la
autenticacin o autorizacin. La comprobacin del certificado incluye validar el certificado y comprobar
que no se ha revocado teniendo acceso a la ubicacin de CRL definida en el certificado SSL del servidor
de ubicacin de red. Cuando el cliente de DirectAccess tiene acceso correctamente a la direccin URL
basada en HTTPS del servidor de ubicacin de red, determina que est en la intranet. A continuacin,
el cliente de DirectAccess quita las reglas de DirectAccess de la tabla NRPT activa y usa servidores DNS
configurados por interfaz para resolver todos los nombres.
Para obtener ms informacin, vea Network Location Detection.
Nota
Igual que la direccin URL para el servidor de ubicacin de red, el FQDN de la direccin URL o la
ruta de acceso de la convencin de nomenclatura universal (UNC) del punto de distribucin de CRL
debe coincidir con una regla de exencin o con ninguna regla de la tabla NRPT para que el cliente
de DirectAccess pueda usar la resolucin de nombres normal y los servidores DNS de la intranet
configurados por la interfaz para resolver el nombre. Si el cliente de DirectAccess no puede resolver
el FQDN para el punto de distribucin de CRL, se produce un error en la deteccin de la ubicacin
de la intranet.
El laboratorio de prueba de DirectAccess (http://go.microsoft.com/fwlink/?Linkid=150613) utiliza
APP1, un servidor de aplicaciones diferente, como servidor de ubicacin de red y la direccin URL
de ubicacin de red https://nls.corp.contoso.com. El certificado SSL de APP1 tiene el punto de
distribucin de CRL http://crl.contoso.com/crld/corp-DC1-CA.crl, que para simplificar la
configuracin est hospedado en DA1, el servidor de DirectAccess. Para demostrar la deteccin de
ubicacin de red, haga lo siguiente:
1. Conecte CLIENT1 a la subred de Internet.
2. Abra un smbolo del sistema.
3. En la ventana Smbolo del sistema, ejecute el comando netsh dnsclient show state.
Observe que en el campo Ubicacin de la mquina se muestra Fuera de la red
corporativa.
4. Ejecute el comando netsh namespace show effectivepolicy.
Observe que hay dos reglas activas de la NRPT: una regla de espacio de nombres para
corp.contoso.com y una regla de exencin para nls.corp.contoso.com.
5. Desconecte CLIENT1 de la subred de Internet y conctelo a la subred Corpnet.
6. En la ventana Smbolo del sistema, ejecute el comando netsh dnsclient show state.
Observe que en el campo Ubicacin de la mquina se muestra Dentro de la red
corporativa.
7. Ejecute el comando netsh namespace show effectivepolicy.
Observe que ahora no hay ninguna regla activa de la NRPT.
10