---------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Module 8: Implementing Remote AccessCourse Outline (continued)

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

Remote Access:
Las tecnologias de acceso remoto en microsoft windows Server 2012 R2 son:
-

VPN

Routing: Enrutamiento dinamico (RIPv2), NAT

Direct Access

Proxy Web: Web Apllication Proxy

Virtual Private Network:

VPN es una tecnologia de acceso remoto que permite cifrado, autenticacion y chequeo de integridad usando diferentes
protocolos y algoritmos. Podemos crear VPNs de diferentes tipos:
-

L2TP

PPTP

IPSec

SSTP

GRE

..

Cualquiera de ellas permite el acceso remoto. Tanto de usuarios como las conexin entre diferentes redes LAN.
Si las usamos para acceso remoto de usuarios, SIEMPRE requieren la interaccion del usuario. El usuario tiene que
ejecutar el cliente VPN y usar sus credenciales (aunque podrian almacenarse en cache).

Direct Access:
Es una tecnologia de VPN de microsoft que no requiere de interaccion por parte del usuario.
Direct Access usa un sistema de localizacion de forma que sabe si el usuario esta en la LAN o conectandose desde
internet. Si esta fuera, habilita la VPN sin interaccion del usuario. Reconecta a la VPN si pierde la conexin y permite
mantener el acceso a internet mientras la VPN esta abierta.

Direct access permite que las actualizaciones de seguridad, las politicas de seguridad y las GPOs se apliquen a los
equipos moviles sin depender de que un usuario abra la conexin con la LAN. La conexin con la LAN sera permanente
siempre que este fuera y tenga conexin a internet.

Routing:
Incluye capacidades de:
-

Enrutamiento estatico

Enrutamiento dinamico con RIPv2

NAT

Web Application Proxy (WAP):

Nueva tecnologia de en windows server 2012 r2.
Funciona a modo de proxy inverso y permite usuarios que estan fuera de la lan puedan acceder a aplicaciones web que
tenemos en la intranet.
ADFS Active directory Federation Services no puede estar en el mismo servidor que el Remote access Server

Herramientas para gestionar las tecnologias de acceso:

-

Routing and Remote Access (RRAS):

o

VPN

Routing: RIPv2, NAT, DHCP Relay

Remote Access Management Console

o

VPN

Direct Access

WAP

Powershell
o

Set-DAServer: Configurar Direct Access

Get-DAServer: Obtener informacion de Direct Access

Set-RemoteAccess: Configuracion de acceso remoto VPN

Get-RemoteAccess: Obtener informacion de configuracion de Acceso Remoto

Instalacion del ROL de Remote Access

Y la consola es asi

PKI:
Public Key Infraestructure.

Podemos tener:
-

CAs Privadas: Las gestionamos nosotros

CAs Publicas: un proveedor las gestiona y le compramos certificados.

La PKI puede estar formada por una unica CA o por varias:

CA (root) Se apaga y se guarda
|
-------------------------------------------------------|

CA (Subordinada)

CA (Subordinada)

Cert equipos

Cert usuarios y salud

Si solo tenemos una CA, ella se ecarga de entregar y gestionar todos los certificados. Tambien gestiona la CRL (Certificate
Revocation List).
Si tenemos multiples CAs, la raiz entrega certificados de CA a las Subordinadas y estas entregan certificados de equipos,
usuario, salud, etc a los clientes. Los clientes solo necesitan tener como CA confiable a la raiz

Otra manera de administrar el acceso remoto usuario por usuario

Direct Access:
Es una tecnologia de acceso remoto que permite una conexin permanente con la red LAN sin la intervencion del
usuario y de forma transparente para el.
Mantiene el acceso a internet ademas de contar con acceso a la LAN a traver de una VPN. Direcc Access habilita
enrutamiento para que mantenga el acceso a internet.
Aparecio en Windows Server 2008 R2, aunque era mucho mas complicada de configurar entre otros, los requisitos eran:
-

Contar con 2 direcciones IP publicas y consecutivas.

Contar con una PKI

Implantacion de IPv6. La conexion de Direct Access se hace usando Ipv6 y protegida con IPSec.

En Windows Server 2012 y 2012 R2 estos requisitos ya no son necesarios.

-

No es necesario contar con una PKI si no tenemos clientes Windows 7. Si los clientes son Windows 8 o 8.1,
usa certificados autofirmados.

Sistemas operativos:
-

Para servidores: Sistemas operativos Windows Server 2012 o Windows Server 2012 R2. Tambien Windows
Server 2008 R2, pero con los requisitos ya nombrados.

Para clientes: Windows 8 Enterprise, Windows 7 Enterprise y Windows 7 Ultimate

Crear una MV LON-CL3 con windows 8.1 Enterprise.

Componentes de una infraestructura Direct Access:

-

Servidor Direct Access: Una maquina windows Server 2012 que este unida al dominio. Proporciona
autenticacion a los clientes Direct Access. En nuestro Laboratorio sera LON-RTR. LON-RTR estara conectado
directamente a internet y esta implementacion se llama Edge. Tambien permite implementaciones en las
que el Direct Access esta detrs de un cortafuegos.

Clientes Direct Access: Pueden ser clientes internos y externos. Cuando son externos, se abre la VPN IPSec.
Cuando son internos, no se abre la VPN y el acceso a los recursos es directo. La apertura de la VPN sera
automatica Sin que intervenga el usuario. Para esto Se necesita un metodo de localizacion para saber si el
cliente esta dentro o fuera. Se denomina Network Location Server (NLS)

Network Location Server: Es un servidor web al que los clientes se conectan via HTTPS. Los clientes reciben
el certificado SSL del servidor y eso les permite saber si estan fuera o dentro de la red. NLS solo es accesible
desde la LAN. Si el cliente no recibe certificado, sabe que esta fuera de la red. En nuestro laboratorio
tambien sera el LON-RTR.

Directorio Activo: Proporciona la infraestructura necesaria para la distribucion de GPOs, certificados y

autenticacion. Si usamos el asistente de Direct Access, se crean 2 GPOs, una para los clientes DA y otra para
el servidor DA.

PKI: Es opcional, a nos ser que queramos usar clientes windows 7 o no tengamos necesidades especificas de
configuracion, como la prohibicion de usar certificados autofirmados.

DNS: Permite la localizacion de recusos, entre ellos el NLS. Este DNS estara accesible solo para equipos en la
LAN. Los clientes Direct Access no lo verian cuando estan fuera de la red. Para resolver este problema, se
utiliza NRPT (Network Resolution Policy Table).

Recursos internos: Servidores web, de archivos, de impresin, , que estan en la LAN.

NAP: es un componente opcional. En este caso tendriamos que llevar a cabo la configuracion avanzada de
Direct Access, no esta disponible la integracion con NAP en el asistente

Nuestro LAB:

Opciones de Implementacion:
Direct Access permite diferentes entornos de Implementacion:
-

Multiples Extremos (Endpoints): Podemos tener multiples DA Servers en la empresa, Por ejemplo, uno en
cada sucursal. Direct Access redirigira al cliente al servidor mas cercano. Direct Access se suele combinar con
DFS (Distributed File System)

Multiples dominios bosques: Es posible implementar Direct Access en entornos de multiples dominios y
bosques.

Despliegues detrs de NAT: podemos evitar el uso de direcciones IP publiscas si el DA server esta detrs de
un NAT.

Soporte OTP y Smartcards: OTP (One Time Password). Tambien soporta autenticacion de doble factor.

Soporta NIC teaming.

Soporte despliegue offline usando djoin.exe.

Protocolos de Tunneling en Direct Access:

Direct Access no exige entornos nativos IPv6, pero requiere IPv6 para funcionar. Para resolver esto, usa diferentes
protocolos de tunneling de IPv6 en IPv4 segn el escenario de uso.

ISATAP: Se utiliza cuando los clientes tienen direcciones direcciones IP privadas y el servidor una IP publica.
ISATAP no soporta NAT

6to4: Se utiliza cuando tanto los clientes como el servidor tienen IP publicas

Teredo: Se utiliza cuando los clientes estan detrs de NAT

IP-HTTPS: Se utiliza cunado los 3 metedos anteriores fallan, por jemplo, por restricciones de cortafuegos.
Todo el trafico ira por HTTPS

Modos de conexin Direct Access

Conexin de equipos en la LAN:
1- El DA Client intenta resolver la FQDN del NLS. Intenta resolverlo con el DNS de la LAN
2- El DNS le responde con la IP del NLS
3- El DA Client Se conecta al NLS (servidor HTTPS) y descarga su certidicado SSL.
4- El DA Client comprueba el certificado del NLS en la CRL (Certificate Revocation List).
5- Si el certificado es valido, el DA Client sabe que esta en la red local y no abre la VPN
6- El DA Client usa el DNS de la LAN para acceder a los recursos internos. Funicona como otro equipo de la
LAN.

Conexin de equipos fuera de la LAN:

1- El Da Client intenta resolver la FQDN del NLS. Intenta resolverlo con el DNS de la LAN
2- No tiene acceso al DNS de la LAN y el DNS del ISP no podra resolver el FQDN del NLS.
3- El DA Client no puede obtener el certificado y sabe que esta fuera de la red LAN
4- El DA Client usa las reglas de NRPT para localizar el servidor DA server mas cercano.
5- Abre la VPN con el DA Server mas cercano
6- El DA Client ya tiene acceso al DNS de la LAN

Configuracion de Direct Access usando el asistente:

Requisitos Previos:
-

Debe estar funcionando y accesible los DCs de todos los dominios que tenemos configurados (VMnet2).
o

LON-DC1 (adatum.com) 192.168.10.10

LON-SRV2 (Contoso.com) 192.168.10.70

Las NICs deben tener IPv6. (todos)

LON-CL3 unido al dominio y en Vmnet2 con la IP 192.168.10.151/24. Es necesario para que reciba la GPO de
los DA Clientes.

Por defecto, La GPO de DA Clients se asigna a todos los equipos del dominio. Lo cambiaremos y solo
aplicaremos esta GPO a un grupo de equipos que llamaremos DA_Clients. El unico miembro de este grupo
sera LON-CL3.

La interfaz externa (VMnet3) de LON-RTR (DA Server) debe tener una direccion IP Publica (80.168.20.1/24)

Creamos esta estructura para mas adelante filtrar por grupo. No es necesario imitar esta organizacin es para tenerlo
todo un poco ordenado

Ahora en el LON-RTR nos vamos a la consola de Remote Access management.

Si a la izquieda no aparece direct access hay que reinstalar el rol de remote access completo (requiere reinicio)

Utilizaremos el primero que es mas rapido y mas limitado

Vamos a desplegar solo Direct Access

Ahora comprobara los requisitos

Elegimos el tipo de topologia y le damos la IP Publica

Ahora vamos a configurar las opciones que vienen por defecto pulsando en Here

Vamos a cambiar a los equipos a los que se aplica

Asi viene por defecto

Lo modificamos indicando el grupo que creamos especificamente para Direct Access

Aqu ahora no modificamos nada pero vemos la opcion de poner un correo de soporte en el examen pueden preguntarlo

Ahora ya finalizamos

Ya vemos que ha terminado con un warning pero no pasa nada

Comprobamos que nos ha creado las GPOs desde el LON-DC1

Y las ha creado con las configuraciones de seguridad

Aqu tenemos la consola de direct access

Ahora comprobamos que se le esta aplicando la nueva GPO al LON-RTR con gpresult /r y reiniciamos ya que las politicas
de equipo solo se aplican al reiniciar.
Ahora ya nos sale todo OK

Ahora vamos a comprobar que esta funcionando direct access desde el cliente en la red local (LON-CL3 en vmnet2)
Netsh dns show state

Como vemos en la imagen en la ubicacin de la maquina aparece dentro de la red corporativa

Tambien tenemos el comando

Netsh name show effectivepolicy

Tambien tenemos comandos de powershell

Get-DAClientExperienceConfiguration

Get-DAConnectionStatus

Vamos a darle una ip publica al cliente y cambiar la VMnet a la 3 internet

Y comprobamos si funciona

Como se ve en la imagen automaticamente ya nos indica que estamos fuera de la red corporativa y que el Direct Access
esta configurado y habilitado.
Tambien podemos ver la configuracion ip del tunel

Crea dos tuneles uno para autenticacion de usuario y otra para trafico

Ahora tendriamos que configurar la parte avanzada para que funcione todo correctamente.

2 formas de desplegar Direct Access:

Despliegue rapido usando el Getting Started Wizard

Despliegue avanzado usando el asistente de setup de Remote Access.

Hasta ahora hemos usado el primero con las siguientes MVs:

-

LON-DC1: Solo funciona como DC

LON-RTR: Funciona como servidor Direct Access.

LON-SRV2: Es un DC en contoso.com, aunque podria apagarse. (es para que no salga fallo en la consola de
Remote Access)

LON-CL3: Cliente Direct Access con windows 8.1 Enterprise (en profesional no funciona)

Parte de la configuracion de este asistente rapido es la creacion de GPOs en el dominio, tanto para servidores como para
clientes DirectAccess
DirectAccess tambien usa el LON-RTR como servidor intermedio para DNS con IPv6 se puede ver en la GPO para servidor
de DirectAccess

Importante para el examen

Protocolo Diffi-hellman Grupo 2

Modos IPsec
ESP: Encapsulation Security Payload. (Cifrado)
AH: Authenticacion Header (Sin cifrar)

NLS: Network Location Server. Servidor que, si es accesible por el cliente, indica que este cliente esta en la intranet. Si no
es accesible para el cliente, indica que este cliente esta fuera de la intranet y debe abrir el tuner DirectAccess. Es un
servidor HTTPS con un certificado autofirmado (en el caso del Getting Started Wizard). El cliente descarga el certificado y
comprueba su valided. Si no puede descargarlo, es que se encuentra fuera de la intranet.

OJO con esto

Deberia usar el DirectAccess-IPHTTPS pero como ya teniamos montada la PKI esta usando el certificado de
LON.RTR.adatum.com a veces el asistente se lia

Limitaciones del asistente Getting Started Wizard

-

No se puede usar en varias localizaciones por los certificados

Certificados autofirmados no permite que se utilicen en varios sitios a la vez. La GPO solo indica un servidor
en el que confiar.el ultimo sitio que creara la GPO seria en el que confiaran los equipos ya que se machaca
cada vez que se crea.

Obligaria a que el CRL (Certificate Revocation List) este accesible desde el exterior

Si tenemos clientes con Windows 7 tampoco se puede usar por que no soportan certificados autofirmados.

No te deja elegir donde esta el servidor IIS para NLS (Network Location Server) para los certificados lo que
implica que todo el mundo deberia tener acceso a el, por obligacion el NLS estara en el Servidor
DirectAccess

Para Saltarnos las limitaciones del Getting Started Wizard (No permite multiples sitios ni tampoco windows 7, Tampoco
permite elegir donde instalar el NSL), tenemos qie recurrir a la configuracion avanzada de Direct Access.

La configuracion Avanzada de Direct Access tambien hace uso de un asistente: Remote Access Setup.

Ventajas del Remote Access Setup:

-

Podemos usar una PKI que tengamos en la empresa, lo que permite alta disponibilidad y escalabilidad

Podemos elegir donde colocar el NLS y tambien si queremos tener varios para redundancia y alta
disponibilidad.

Podemos usar certificados firmados por una CA confiable para aplicarlos en equipos con windows 7.

Integrar una PKI existente con DirectAccess:

1. Crear una CA o usar una que ya existe.
2. En la CA Crear una plantilla de certificado para servidor Web (la misma que hemos creado en otro ejercicio para
HTTPS con SSL).
3. La CA contendra la CRL, o bien podemos instalar la CRL en otro servidor y publicar los certificados.
4. Distribuir los certificados a los clientes. Un metodo de distribucion son las GPOs

Configuracion avanzada de direct access

Primer paso

El primero permite el acceso a la red interna

El segundo no permite el acceso a la red interna pero si le aplicaria actualizaciones GPOs etc

Paso 2

Importante para el examen!

Incluso con el asistente avanzado NO se puede cambiar la topologia, tendriamos que recofigurar entero de nuevo

Direct Access Server Network Topologies:

-

Edge (2 adaptadores de red)

o

Una tarjeta conectada a internet y otra a la intranet

Behind an edge device (2 adaptadores de red). Red perimetral

o

Una tarjeta se conecta a la intranet y la otra a un firewall en la red perimetral

No tiene conexin directa con internet. Es intermediario para acceder a la red local

Behind an edge device (1 adaptador de red). Red interna

o

Esta solamente conectado a la red local y atiende peticiones de DA a traves del firewall de la red

Paso 3

Aqu podriamos elegir quien administra directaccess puede ser un DC o System Center

Network Location Server (NLS):

Parte de la configuracion Avanzada de DirectAccess es disear la implementacion del servidor NLS.
Podemos instalar el servidor NLS en cualquier equipo que cumpla lo siguiente:
-

Servidor web con un certificado valido para HTTPS.

Debe ser accesible para todos los clientes Direct Access internos.

Todos los clientes internos deben confiar en la CA que ha emitido el certificado para HTTPS

Deberia configurarse en alta disponibilidad.

o

Usar NBL (Network Load Balancing). Varios servidores web que atienden todos a la misma URL.

SCCM: System Center Configuration Manager

-

Aplicar actualizaciones

Aplicar GPOs

Despliegue de aplicaciones

Modificaciones de la imagen usando DISM

Active o desactive roles

SCVMM (Virtual machine manager)

SCO (Orchestrator)
SCOM (Operation manager)
SCDPM (Data Protection Manager)

Metodologia de diagnostico de Fallos en DA:

-

Comprobar que los sistemas opertivos usados son compatibles con DA

o

Server: Windows Server 2008 R2 +

Clientes: Windows 7 (No para el getting started wizard), windows 8 enterprise

Los equipos cliente deben ser miembros del dominio.

Comprobar que el servidor y los clientes han recibido y estan aplicando las GPOs que les correspondan
(Gpresult /r)

El cliente debe tener una IPv6 Global.

El cliente debe alcanzar la IPv6 del servidor Direct Access

La red local debe tener direccion IPv6 Global

Comprobar que la maquina cliente determina Correctamente si esta fuera o dentro de la red (netsh dns
show state)

Comprobar que las reglas del firewall se han creado correctamente.

Comprobar que los clientes pueden comunicarse con los servidores DNS internos.

CMAK: Es una herramienta que permite crear archivos ejecutables (que luego podemos desplegar mediante GPOs) para
configurar conexiones (VPN, Escritorio remoto,) en los equipos cliente.

Tipos de VPN:
-

Acceso remoto: un usuario movil necesita acceder a los recursos de una red local estando en el exterior. El
acceso debe ser seguro. Es el cliente el que abre la VPN

Sitio a sitio: queremos unir dos (o mas) redes locales de forma segura usando infraestructura publica. La
VPN esta permanentemente abierta.

Importate para el examen aprenderse los puertos

Protocolos de tunnelling:
-

PPTP: Point to Point Tunnelling Protocol. Puede usarse para cualquier tipo de VPN. Es el menos seguro.
Soportado por practicamente cualquier dispositivo. No aporta integridad de los datos. El protocolo de
tranporte es TCP y el puerto usado es el 1723.

L2TP (Layer 2 tunnelling Protocol): es un protocolo que permite encapsular cualquier protocolo de capas
superiores para que viaje por un enlace punto a punto (Frame Relay, ATM). La seguridad se obtiene cuando
se asocia con IPSec en Modo transporte (L2TP/IPSec). Soportado por los sistemas operativos windows desde
XP y Windows Server 2003. La pega son la cantidad de puertos que necesita UDP 500 UDP 1701 UDP 4500 y
IPPID 50

SSTP (Secure socket Tunnellin Protocol). Usa el puerto 443 (HTTP/SSL) para encapsular todo el trafico

IKE v2 (Internet Key Exchange). Indicado sobre todo cuando los clientes necesitan movilidad. Soportado a
partir de windows 7 y windows 2008

Protocolos de autenticacion:
-

PAP (Password Authentication Protocol): es el mas debil y la autenticacion se hace en plano

CHAP (Challenge Authentication Protocol): Para evitar enviar en la red la contrasea, usa un mecanismo de
desafio. El principal es que requiere almacenar la password en modo reversible.

MS-CHAPv2: mejora de CHAP en la que la contrasea ya no se tiene que almacenar en modo reversible

EAP (Extensible Authentication Protocol): Marco de autenticacion que soporta sistemas de autenticacion
biometricos, dos factores, tarjetas inteligentes, certificados, .

VPN reconnect:
Es una caracteristica disponible desde windows Server 2008 R2 y Windows 7.
Si la conexin VPN se cierra por un problema de conectividad, se abre automaticamente cuando se recupera la
conectividad.
Un ejemplo es un usuario movil en una red corporativa wifi formada por multiples Aps. Al pasar de un AP a otro
(Roaming), el usuario perderia la conectividad momentaneamente y tendria que volver a abrir manualmente la VPN.
VPN reconnect se encarga de volver a abrir sin interaccion por parte del usuario.
Requiere el uso de IKE v2 y certificados, para lo que sera necesario contar con una PKI.

Ejercicio: Configurar una VPN usando el getting started wizard de remote access management. Configurar una VPN SSTP

Seguimos los pasos de VPN en RRAS

Dejamos los filtros activados

Para configurar el SSL

Aqu le indicamos el certificado para SSL

Instalamos CMAK en el cliente para crear el .exe de configuracion de la VPN para ejecutarlo por politicas en todos los
equipos

Creacion de .exe con CMAK

Para autoconfiguracion de conexines en equipos clientes

Si tubieramos varios dominios aqu pondriamos el REALM

Ya estaria listo nuestro exe para instalar.

Si lo instalamos se ve asi

Necesitamos que la vpn tenga certificado vamos a crearlo

Aqu elegimos el que hemos creado para que este disponible

Y ya podemos solicitarlo desde el servidor vpn para usarlo

Ya vemos que aparece en certificados del equipo

Y ahora iramos al rras y configurariamos el certificado en las propiedades del servidor RRAS
eligiendo el nuevo certificado