ejemplo de acceso total a la intranet

Actualizado: octubre de 2009

Se aplica a: Windows 7, Windows Server 2008 R2
Importante
En este tema se describen las consideraciones de diseo para DirectAccess en Windows
Server 2008 R2. Para conocer las consideraciones de diseo de DirectAccess en Microsoft Forefront
Unified Access Gateway (UAG), vea la gua de diseo de DirectAccess en Forefront UAG
(http://go.microsoft.com/fwlink/? LinkId=179988) (puede estar en ingls).
El acceso total a la intranet permite a los clientes de DirectAccess conectar con todos los recursos
accesibles mediante el protocolo de Internet versin 6 (IPv6) dentro de la intranet. El cliente de
DirectAccess usa el protocolo de seguridad de Internet (IPsec) para crear dos tneles cifrados a la
interfaz de Internet del servidor de DirectAccess. El primer tnel, conocido como el tnel de
infraestructura, permite al cliente de DirectAccess tener acceso a los servidores del Sistema de
nombres de dominio (DNS), a los controladores de dominio de Servicios de dominio de Active Directory
(AD DS), y a otros servidores de infraestructura y de administracin. El segundo tnel, conocido como
el tnel de intranet, permite al cliente de DirectAccess tener acceso a recursos de la intranet. El tnel
de infraestructura usa autenticacin de equipo y el tnel de intranet emplea tanto autenticacin de
equipo como de usuario.
Una vez establecido el tnel de intranet, el cliente de DirectAccess puede intercambiar trfico con
servidores de aplicaciones de la intranet. El tnel cifra este trfico para su viaje a travs de Internet.
De forma predeterminada, el servidor de DirectAccess acta como puerta de enlace de IPsec,
finalizando los tneles IPsec para el cliente de DirectAccess.
En la ilustracin siguiente se muestra un ejemplo de acceso total a la intranet.

Cuando el cliente de DirectAccess se inicia y determina que est en Internet, crea los tneles al
servidor de DirectAccess y comienza las comunicaciones normales con servidores de infraestructura de
la intranet como los controladores de dominio de AD DS y los servidores de aplicaciones como si
estuvieran conectados directamente a la intranet.
Este diseo no necesita la proteccin de IPsec del trfico de la intranet y estructuralmente es muy
similar a los escenarios de red privada virtual (VPN) de acceso remoto actuales.

Para capturar un seguimiento de red para un cliente de DirectAccess

1. Abra un smbolo del sistema de nivel administrador.
2. En la ventana del smbolo del sistema, escriba el comando netsh trace start
scenario=directaccess capture=yes report=yes.
3. Reproduzca el problema que tiene con DirectAccess.
4. En la ventana del smbolo del sistema, escriba el comando netsh trace stop.
Netsh.exe escribe informacin de seguimiento en el archivo NetTrace.etl de la carpeta
%TEMP%\NetTraces. Para ver el contenido de este archivo, bralo con Network Monitor 3.3.
Netsh.exe tambin escribe informacin adicional de entorno y de solucin de problemas en el archivo
NetTrace.cab en la carpeta %TEMP%\NetTraces.

Para capturar un seguimiento de red para WFP

1. Abra un smbolo del sistema de nivel administrador.
2. En la ventana del smbolo del sistema, escriba el comando netsh wfp capture start cab=off.
3. Reproduzca el problema que tiene con DirectAccess.
4. En la ventana del smbolo del sistema, escriba el comando netsh wfp capture end.
Netsh.exe escribe informacin de seguimiento en el archivo Wfpdiag.xml, que puede examinar para
obtener informacin sobre los problemas de seguridad de conexin.
Puede utilizar los siguientes comandos de shell de red (Netsh) para recopilar informacin a la hora de
solucionar problemas de DirectAccess:

netsh dnsclient show state

netsh namespace show effectivepolicy y netsh namespace show policy

netsh interface 6to4 show relay

netsh interface teredo show state

netsh interface httpstunnel show interfaces

netsh interface istatap show state y netsh interface istatap show router

netsh interface httpstunnel show interfaces

netsh advfirewall monitor show mmsa

netsh advfirewall monitor show qmsa

netsh advfirewall monitor show consec rule name=all

netsh advfirewall monitor show currentprofile

netsh interface ipv6 show interfaces

netsh interface ipv6 show interfaces level=verbose

netsh interface ipv6 show route

nltest /dsgetdc: /forc

Apndice A: Requisitos de DirectAccess

Actualizado: octubre de 2009
Se aplica a: Windows 7, Windows Server 2008 R2
Importante
En este tema se describen las consideraciones de diseo para DirectAccess en Windows
Server 2008 R2. Para conocer las consideraciones de diseo de DirectAccess en Microsoft Forefront
Unified Access Gateway (UAG), vea la gua de diseo de DirectAccess en Forefront UAG
(http://go.microsoft.com/fwlink/? LinkId=179988) (puede estar en ingls).
Examine esta seccin para obtener informacin sobre los requisitos de servidor de DirectAccess, cliente
de DirectAccess e infraestructura de red.
Los requisitos de hardware y software para los equipos basados en Windows 7 descritos en esta
seccin se aplican tanto a sistemas x86 (de 32 bits) como a sistemas x64 (64 bits).

Elemento

Requisitos

Cliente de
DirectAccess

Sistema operativo: Windows 7 Ultimate o posterior, Windows 7

Enterprise o posterior, Windows Server 2008 R2 o posterior

Miembro de un dominio de Servicios de dominio de Active Directory (AD

DS)

Certificado de equipo para la autenticacin del protocolo de seguridad de

Internet (IPsec)

Servidor de
DirectAccess

Sistema operativo: Windows Server 2008 R2 o posterior

Miembro de un dominio de AD DS

Al menos dos adaptadores de red que estn conectados a Internet y a la

intranet

2 direcciones pblicas consecutivas de protocolo de Internet versin 4

(IPv4) configuradas en el adaptador de red de Internet (no puede estar

detrs de un traductor de direcciones de red [NAT])

Certificados: Certificado de equipo para autenticacin de IPsec,

certificado de Capa de sockets seguros (SSL) para protocolo de Internet
sobre protocolo seguro de transferencia de hipertexto (IP-HTTPS)

Si acta como servidor de ubicacin de red, debe tener instalado

Internet Information Services (IIS) y un certificado SSL adicional

Nota
No hay ninguna limitacin integrada en cuanto al nmero de conexiones
de DirectAccess simultneas que un servidor de DirectAccess puede
admitir.
Active Directory

Se debe implementar al menos un dominio de Active Directory con un

controlador de dominio basado en Windows Server 2008 R2 o Windows
Server 2008 como mnimo (un controlador de dominio y un catlogo global
compatibles con protocolo de Internet versin 6 [IPv6]). No se necesitan
niveles funcionales de dominio o de bosque de Windows Server 2008 R2. No
se admiten grupos de trabajo. Para obtener ms informacin sobre cmo
instalar Active Directory, vea la pgina relativa a la gua paso a paso para la
instalacin y eliminacin de AD DS (http://go.microsoft.com/fwlink/?
Linkid=139657) (puede estar en ingls).

Directiva de grupo

Es necesaria para la administracin centralizada y la implementacin de la

configuracin de DirectAccess. El Asistente para configuracin de
DirectAccess crea un conjunto de configuraciones y objetos de directiva de
grupo para los clientes de DirectAccess, el servidor de DirectAccess y los
servidores seleccionados.

Infraestructura de
clave pblica (PKI)

Es necesaria para emitir certificados de equipo para autenticacin y,

opcionalmente, certificados de mantenimiento cuando se usa Proteccin de
acceso a redes (NAP). No se necesitan certificados externos. Para obtener
ms informacin sobre la configuracin de una PKI con Servicios de
certificados de Active Directory (AD CS), vea el tema acerca de los Servicios
de certificados de Active Directory
(http://go.microsoft.com/fwlink/?Linkid=106710) (puede estar en ingls).

Servidor del
Sistema de
nombres de
dominio (DNS)

Al menos uno que ejecute Windows Server 2008 R2, Windows Server 2008
con la revisin Q958194 (http://go.microsoft.com/fwlink/?LinkID=159951),
Windows Server 2008 SP2 o posterior o un servidor DNS de terceros que
admita intercambios de mensajes DNS a travs de ISATAP (Intra-Site
Automatic Tunnel Addressing Protocol).

Apndice B: Revisar los conceptos clave de DirectAccess

Actualizado: octubre de 2009
Se aplica a: Windows 7, Windows Server 2008 R2
Importante
En este tema se describen las consideraciones de diseo para DirectAccess en Windows
Server 2008 R2. Para conocer las consideraciones de diseo de DirectAccess en Microsoft Forefront
Unified Access Gateway (UAG), vea la gua de diseo de DirectAccess en Forefront UAG
(http://go.microsoft.com/fwlink/? LinkId=179988) (puede estar en ingls).
La solucin DirectAccess emplea una combinacin de conectividad de un extremo a otro del protocolo
de Internet versin 6 (IPv6), proteccin del trfico de la intranet con el protocolo de seguridad de
Internet (IPsec), separacin del trfico del Sistema de nombres de dominio (DNS) con la Tabla de
directivas de resolucin de nombres (NRPT) y deteccin de la ubicacin de red que los clientes de
DirectAccess usan para determinar cundo estn en la intranet. En las prximas secciones se describe
el rol que desempean estas tecnologas para proporcionar a los clientes de DirectAccess acceso
transparente a los recursos de la intranet.
IPv6
IPv6 es la nueva versin del nivel de Red de la pila de protocolos TCP/IP que est diseada para
reemplazar al protocolo de Internet versin 4 (IPv4), que es ampliamente usado hoy en da en las
intranets y en Internet. IPv6 proporciona un espacio de direcciones suficientemente grande para
permitir el direccionamiento de un extremo a otro de los nodos en Internet por IPv6 y, con las
tecnologas de transicin IPv6, de los nodos en Internet por IPv4. DirectAccess emplea esta capacidad
para proporcionar direccionamiento de un extremo a otro de los clientes de DirectAccess en Internet
por IPv4 o IPv6 a los equipos de una intranet.
Puesto que en la actualidad la mayora de Internet se basa en IPv4 y muchas organizaciones no han
implementado direccionamiento y enrutamiento IPv6 nativo en sus intranets, DirectAccess usa
tecnologas de transicin IPv6 para proporcionar conectividad IPv6 a travs de estas redes solo IPv4.
Teredo, 6to4, protocolo de Internet sobre protocolo seguro de transferencia de hipertexto (IP-HTTPS) e
ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) son ejemplos de tecnologas de transicin
IPv6. Estas tecnologas le permiten usar IPv6 en Internet por IPv4 y en la intranet solo IPv4. Las
tecnologas de transicin IPv6 pueden simplificar y reducir los costos de una implementacin de IPv6.
Conectividad IPv6 en Internet por IPv4
Para enviar paquetes IPv6 en Internet por IPv4, un cliente de DirectAccess puede usar 6to4, Teredo o
IP-HTTPS. Si el cliente de DirectAccess tiene asignada una direccin IPv4 pblica, usar 6to4. Si tiene
asignada una direccin IPv4 privada, emplear Teredo. Si el cliente de DirectAccess no puede conectar
con el servidor de DirectAccess mediante 6to4 o Teredo, usar IP-HTTPS.
6to4
6to4, definido en RFC 3056, es una tecnologa de transicin IPv6 que proporciona conectividad IPv6 a
travs de Internet por IPv4 para hosts o sitios que tienen una direccin IPv4 pblica. Para obtener ms
informacin, vea la pgina relativa a las tecnologas de transicin IPv6
(http://go.microsoft.com/fwlink/?Linkid=117205) (puede estar en ingls).
Teredo
Teredo, definido en RFC 4380, es una tecnologa de transicin IPv6 que proporciona conectividad IPv6
a travs de Internet por IPv4 para hosts que estn situados detrs de un dispositivo de traduccin de
direcciones de red (NAT) IPv4 y que tienen asignada una direccin IPv4 privada. Para obtener ms
informacin, vea la pgina relativa a la informacin general sobre Teredo
(http://go.microsoft.com/fwlink/?Linkid=157322) (puede estar en ingls).

IP-HTTPS
IP-HTTPS es un nuevo protocolo para Windows 7 y Windows Server 2008 R2 que permite que los hosts
situados detrs de un firewall o un servidor proxy web establezcan conectividad tunelizando paquetes
IPv6 dentro de una sesin HTTPS basada en IPv4. HTTPS se usa en lugar de HTTP, por lo que los
servidores proxy web no intentarn examinar el flujo de datos y finalizar la conexin. Normalmente,
IP-HTTPS solo se usa si el cliente no puede conectar con el servidor de DirectAccess mediante los
dems mtodos de conectividad IPv6 o si se ha configurado el tnel forzado.
Para obtener detalles sobre IP-HTTPS, vea la pgina sobre la especificacin del protocolo de tnel IP
sobre HTTPS (IP-HTTPS) (http://go.microsoft.com/fwlink/? Linkid=157309) (puede estar en ingls).
Nota
El laboratorio de prueba de DirectAccess (http://go.microsoft.com/fwlink/?Linkid=150613)
demuestra la conectividad de DirectAccess en una subred de Internet simulada usando 6to4,
Teredo e IP-HTTPS.
Conectividad IPv6 a travs de una intranet solo IPv4
ISATAP, definido en RFC 4214, es una tecnologa de transicin IPv6 que proporciona conectividad IPv6
entre hosts IPv6/IPv4 a travs de una intranet solo IPv4. ISATAP se puede usar para que DirectAccess
proporcione conectividad IPv6 a los hosts ISATAP en toda la intranet.
Para obtener ms informacin, vea la pgina relativa a las tecnologas de transicin IPv6
(http://go.microsoft.com/fwlink/?Linkid=117205) (puede estar en ingls).
Nota
ISATAP tambin puede usarse para proporcionar conectividad IPv6 cuando el cliente se encuentra
en una ubicacin remota. Las implementaciones de ISATAP pueden conectarse a Internet por IPv6
o usar 6to4 para transferir trfico IPv6 a travs de Internet por IPv4.
El laboratorio de prueba de DirectAccess (http://go.microsoft.com/fwlink/?Linkid=150613) usa
ISATAP en la intranet simulada.

IPsec
IPsec es un marco de estndares abiertos para garantizar la privacidad y seguridad de las
comunicaciones a travs de redes del protocolo de Internet (IP) mediante el uso de servicios de
seguridad criptogrfica. IPsec proporciona una proteccin exhaustiva contra ataques mediante
seguridad descentralizada. Los nicos equipos que deben conocer la proteccin de IPsec son el
remitente y el receptor de la comunicacin. IPsec permite proteger la comunicacin entre grupos de
trabajo, equipos de red de rea local, servidores y clientes de dominio, sucursales (que pueden estar
separadas fsicamente), extranets y clientes mviles.
La proteccin de IPsec se puede usar en dos modos distintos: modo de transporte y modo de tnel. El
modo de transporte est diseado para proteger una carga de paquete de protocolo de Internet (IP). El
modo de tnel est diseado para proteger todo un paquete IP. Para obtener ms informacin, vea la
pgina relativa a los tipos de protocolo IPsec (http://go.microsoft.com/fwlink/?Linkid=157319) (puede
estar en ingls).
DirectAccess usa la configuracin de IPsec en forma de reglas de seguridad de conexin en el
complemento Firewall de Windows con seguridad avanzada y en el contexto advfirewall de la
herramienta de lnea de comandos de shell de red (Netsh) para la autenticacin del mismo nivel,
integridad de datos y confidencialidad de datos (cifrado) de las conexiones de DirectAccess. Es posible
aplicar varias reglas a un equipo simultneamente y cada una de ellas proporciona una funcin
diferente. El resultado del funcionamiento conjunto de todas estas reglas es un cliente de DirectAccess
que puede tener protegidas las comunicaciones con los servidores de la intranet y el servidor de

DirectAccess, cifrando el trfico enviado a travs de Internet y, opcionalmente, protegiendo el trfico

de un extremo a otro.
Nota
Windows Server 2003 y las versiones anteriores de Windows Server no son totalmente compatibles
con el uso de IPsec con IPv6. Los recursos compatibles con IPv6 en servidores que ejecutan
Windows Server 2003 solo estarn disponibles para clientes de DirectAccess si usa el modo de
acceso total a la intranet. Los recursos solo IPv4 en servidores que ejecutan Windows Server 2003,
incluidas la mayora de las aplicaciones integradas y los servicios del sistema, necesitan que est
disponible un traductor IPv6/IPv4 y una puerta de enlace DNS IPv6/IPv4 en los clientes de
DirectAccess.
Cifrado
Cuando un cliente de DirectAccess enva datos a la intranet, el trfico se cifra a travs de Internet.
Para los modelos de acceso total a la intranet y al servidor seleccionado, varias reglas de seguridad de
conexin configuradas en el cliente de DirectAccess definen la configuracin de IPsec del modo de tnel
para la comunicacin entre el cliente de DirectAccess y la intranet:

La primera regla para el tnel de infraestructura exige autenticacin con un certificado de

equipo y cifra el trfico con IPsec y la Carga de seguridad encapsuladora (ESP). Esta regla
ofrece comunicacin protegida con controladores de dominio de Active Directory, servidores
DNS y otros recursos de la intranet antes de que el usuario haya iniciado sesin.

La segunda regla para el tnel de intranet exige autenticacin con un certificado de equipo y
credenciales de Kerberos basadas en el usuario. Esta regla proporciona comunicacin protegida
a los recursos de la intranet despus de que el usuario haya iniciado sesin.

Para los modelos de acceso de extremo a permetro y al servidor seleccionado, la finalizacin de los
tneles IPsec entre el cliente de DirectAccess y la intranet la realiza el componente Puerta de enlace
IPsec en el servidor de DirectAccess. Este componente se puede encontrar en un servidor diferente con
un adaptador de red de descarga de IPsec para aumentar el rendimiento.
Integridad de datos
La integridad de datos permite al homlogo IPsec receptor comprobar criptogrficamente que el
paquete no se ha modificado mientras estaba en trnsito. Al cifrar datos con IPsec, tambin se
proporciona integridad de datos. Es posible especificar la integridad de datos sin cifrado. Esto puede
resultar til para mitigar el riesgo de ataques de suplantacin de identidad y de tipo "man-in-themiddle", y permite garantizar que los clientes de DirectAccess se conectan a los servidores
correspondientes.
Nota
Cuando se transmiten datos confidenciales, nicamente se debe usar IPsec con integridad de datos
cuando tambin se implementa algn otro tipo de cifrado. Es posible tener integridad de datos de
un extremo a otro usando reglas del modo de transporte y cifrado de extremo a permetro para las
reglas del modo de tnel, que es como funciona el modelo de acceso al servidor seleccionado.
DirectAccess proporciona integridad de datos mediante el uso de configuraciones IPsec de los modo de
tnel y de transporte. Estas configuraciones se pueden aplicar a servidores y clientes de DirectAccess o
a servidores de aplicaciones, y proporcionan integridad de datos exigiendo ESP-NULL (recomendado) o
un Encabezado de autenticacin (AH) para las comunicaciones protegidas con IPsec. Es posible que
ciertos dispositivos de infraestructura de red o soluciones de supervisin e inspeccin de trfico no
puedan analizar los paquetes con un encabezado ESP o AH de IPsec. En este caso, puede usar la

autenticacin con encapsulacin nula para realizar la autenticacin del mismo nivel de IPsec, pero no
para la integridad de datos por paquete.
Separacin del trfico DNS
Para separar el trfico de Internet del trfico de la intranet para DirectAccess, Windows 7 y Windows
Server 2008 R2 incluyen la NRPT, una nueva caracterstica que permite definir servidores DNS por
espacio de nombres DNS, en lugar de por interfaz. La NRPT almacena una lista de reglas. Cada regla
define un espacio de nombres DNS y una configuracin que definen el comportamiento del cliente DNS
para ese espacio de nombres. Cuando un cliente de DirectAccess est en Internet, se compara cada
solicitud de consulta de nombres con las reglas de espacio de nombres almacenadas en la tabla NRPT.
Si se encuentra una coincidencia, la solicitud se procesa de acuerdo con la configuracin de la regla de
la tabla NRPT. La configuracin determina a qu servidores DNS se enviar la solicitud.
Si una solicitud de consulta de nombres no coincide con un espacio de nombres enumerado en la tabla
NRPT, se enva a los servidores DNS configurados en las opciones de TCP/IP para la interfaz de red
especificada. Para un cliente remoto, normalmente sern los servidores DNS de Internet, tal como se
configuraron mediante el proveedor de acceso a Internet (ISP). Para un cliente de DirectAccess de la
intranet, normalmente sern los servidores DNS de la intranet segn se hayan configurado mediante el
protocolo de configuracin dinmica de host (DHCP).
Los nombres de una sola etiqueta, como http://internal, generalmente tendrn configurados sufijos de
bsqueda DNS anexados al nombre antes de la comprobacin con la tabla NRPT. Si no hay sufijos de
bsqueda DNS configurados y el nombre de una sola etiqueta no coincide con ninguna otra regla de
nombre de una sola etiqueta en la tabla NRPT, la solicitud se enviar a los servidores DNS
especificados en la configuracin de TCP/IP del cliente.
Los espacios de nombres, como .internal.contoso.com, se agregan a la tabla NRPT seguidos de las
direcciones IPv6 de los servidores DNS a los que deben dirigirse las solicitudes que coinciden con dicho
espacio de nombres. Si se especifica una direccin IP para el servidor DNS, todas las solicitudes DNS
se enviarn directamente al servidor DNS a travs de la conexin de DirectAccess. No es necesario
especificar seguridad adicional para esta configuracin.
Sin embargo, si se especifica un nombre para el servidor DNS (como dns.contoso.com) en la tabla
NRPT, ese nombre debe poder resolverse pblicamente cuando el cliente consulte a los servidores DNS
especificados en la configuracin de TCP/IP. Con el fin de evitar que un atacante secuestre esta
solicitud de consulta de nombres externa e inserte una respuesta malintencionada, se recomienda
encarecidamente habilitar la proteccin IPsec para los intercambios de mensajes DNS en esta
configuracin.
La tabla NRPT permite a los clientes de DirectAccess usar servidores DNS de la intranet para la
resolucin de nombres (no se necesitan servidores DNS dedicados). DirectAccess est diseado para
evitar la exposicin del espacio de nombres de la intranet en Internet.
Exenciones de la tabla NRPT
Hay algunos nombres que deben tratarse de manera distinta a los dems con respecto a la resolucin
de nombres; estos nombres no deben resolverse con servidores DNS de la intranet. Para asegurarse
de que estos nombres se resuelven con servidores DNS configurados por interfaz, debe agregarlos
como exenciones de la NRPT.
Si no se especifican direcciones de servidor DNS en la regla de la tabla NRPT, la regla ser una
exencin. Si un nombre DNS coincide con una regla de la tabla NRPT que no contiene direcciones de
servidores DNS o no coincide con ninguna regla de la tabla NRPT, el cliente de DirectAccess enviar la
consulta de nombre a los servidores DNS configurados por interfaz.
Si alguno de los siguientes servidores tiene un sufijo de nombre que coincide con una regla de la tabla
NRPT para el espacio de nombres de la intranet, dicho nombre de servidor debe ser una exencin de la
tabla NRPT:

Servidores de ubicacin de red

Puntos de distribucin de lista de revocacin de certificados (CRL) de la intranet

Servidores de actualizaciones de mantenimiento del sistema

Estos servidores siempre se deben resolver con servidores DNS configurados por interfaz.
Nota
El Asistente para configuracin de DirectAccess del laboratorio de prueba de DirectAccess
(http://go.microsoft.com/fwlink/?Linkid=150613) crea dos reglas en la NRPT: una regla de espacio
de nombres para corp.contoso.com con la direccin IPv6 del servidor DNS de la intranet y una regla
de exencin para nls.corp.contoso.com. Puede ver las reglas de la NRPT configuradas con Directiva
de grupo desde CLIENT1 si ejecuta el comando netsh namespace show policy en un smbolo del
sistema. Puede ver las reglas activas de la NRTP con el comando netsh namespace show
effectivepolicy.
Deteccin de ubicacin de red
Los clientes de DirectAccess usan la deteccin de ubicacin de red para determinar si estn en la
intranet intentando tener acceso a un servidor de ubicacin de red. Si el cliente de DirectAccess puede
tener acceso correctamente a un localizador uniforme de recursos (direccin URL) basado en el
protocolo seguro de transferencia de hipertexto (HTTPS) en el servidor de ubicacin de red, determina
que est en la intranet y quita las reglas de DirectAccess de la tabla NRPT.
El servidor de ubicacin de red
Un servidor de ubicacin de red es un servidor web de intranet que hospeda una direccin URL basada
en HTTPS. El servidor de DirectAccess puede ser el servidor de ubicacin de red, pero se recomienda
encarecidamente usar un servidor web diferente con alta disponibilidad. Este servidor web no tiene por
qu estar dedicado a ser servidor de ubicacin de red.
Puesto que el comportamiento del cliente de DirectAccess depende de la respuesta del servidor de
ubicacin de red, es fundamental asegurarse de que este sitio web tenga alta disponibilidad y est
disponible desde cada sitio de sucursal remoto. Es posible que las ubicaciones de sucursales necesiten
un sitio web de ubicacin de red dedicado diferente en cada ubicacin de sucursal con el fin de
garantizar el acceso al sitio web, incluso cuando se detecte un error de vnculo.
Funcionamiento de la deteccin de ubicacin de red
Cuando cliente de DirectAccess se inicia o experimenta un evento de cambio de red (como un cambio
en el estado del vnculo o una nueva direccin IP), agrega las reglas de DirectAccess a la tabla NRPT. A
continuacin, el cliente de DirectAccess intenta resolver el nombre de dominio completo (FQDN) de la
direccin URL para el servidor de ubicacin de red, que est almacenado en la configuracin de
Directiva de grupo Configuracin del equipo/Directivas/Plantillas administrativas/Red/Indicador de
estado de conectividad de red/Direccin URL para determinar la ubicacin del dominio. Puesto que la
tabla NRPT tiene reglas de DirectAccess activas, este FQDN debe coincidir con una regla de exencin o
con ninguna regla de la tabla NRPT, de forma que el cliente de DirectAccess pueda usar la resolucin
de nombres normal y los servidores DNS configurados por interfaz.
Despus de resolver el FQDN, el cliente de DirectAccess intenta conectarse con la direccin URL basada
en HTTPS del servidor de ubicacin de red, que incluye autenticacin y comprobacin basada en Capa
de sockets seguros (SSL) del certificado del servidor ofrecido por el servidor de ubicacin de red. Para
autenticar el acceso a la direccin URL del cliente de DirectAccess, use autenticacin annima. El
servidor de ubicacin de red no debe necesitar ningn tipo de credenciales de usuario para la
autenticacin o autorizacin. La comprobacin del certificado incluye validar el certificado y comprobar
que no se ha revocado teniendo acceso a la ubicacin de CRL definida en el certificado SSL del servidor

de ubicacin de red. Cuando el cliente de DirectAccess tiene acceso correctamente a la direccin URL
basada en HTTPS del servidor de ubicacin de red, determina que est en la intranet. A continuacin,
el cliente de DirectAccess quita las reglas de DirectAccess de la tabla NRPT activa y usa servidores DNS
configurados por interfaz para resolver todos los nombres.
Para obtener ms informacin, vea Network Location Detection.
Nota
Igual que la direccin URL para el servidor de ubicacin de red, el FQDN de la direccin URL o la
ruta de acceso de la convencin de nomenclatura universal (UNC) del punto de distribucin de CRL
debe coincidir con una regla de exencin o con ninguna regla de la tabla NRPT para que el cliente
de DirectAccess pueda usar la resolucin de nombres normal y los servidores DNS de la intranet
configurados por la interfaz para resolver el nombre. Si el cliente de DirectAccess no puede resolver
el FQDN para el punto de distribucin de CRL, se produce un error en la deteccin de la ubicacin
de la intranet.
El laboratorio de prueba de DirectAccess (http://go.microsoft.com/fwlink/?Linkid=150613) utiliza
APP1, un servidor de aplicaciones diferente, como servidor de ubicacin de red y la direccin URL
de ubicacin de red https://nls.corp.contoso.com. El certificado SSL de APP1 tiene el punto de
distribucin de CRL http://crl.contoso.com/crld/corp-DC1-CA.crl, que para simplificar la
configuracin est hospedado en DA1, el servidor de DirectAccess. Para demostrar la deteccin de
ubicacin de red, haga lo siguiente:
1. Conecte CLIENT1 a la subred de Internet.
2. Abra un smbolo del sistema.
3. En la ventana Smbolo del sistema, ejecute el comando netsh dnsclient show state.
Observe que en el campo Ubicacin de la mquina se muestra Fuera de la red
corporativa.
4. Ejecute el comando netsh namespace show effectivepolicy.
Observe que hay dos reglas activas de la NRPT: una regla de espacio de nombres para
corp.contoso.com y una regla de exencin para nls.corp.contoso.com.
5. Desconecte CLIENT1 de la subred de Internet y conctelo a la subred Corpnet.
6. En la ventana Smbolo del sistema, ejecute el comando netsh dnsclient show state.
Observe que en el campo Ubicacin de la mquina se muestra Dentro de la red
corporativa.
7. Ejecute el comando netsh namespace show effectivepolicy.
Observe que ahora no hay ninguna regla activa de la NRPT.

10