Entendiendo DirectAccess (Windows Server 2008 R2 & Windows 7)

Posted on September 10, 2009

2


COMPUTERWORD  en una publicación del 18 de marzo de este año describe  de una forma muy acertada una de las nuevas características de Windows 7 & Windows Server 2008 R2:

“DirectAccess, promete el nirvana de la conectividad: una infraestructura de aplicación siempre activa para los empleados tanto internos como remotos de la organización”(*)

La tendencia mundial es tener más usuarios móviles que trabajan desde la casa, cafés, hoteles, aeropuertos, etc que requieren  acceso remoto  a los recursos de la red corporativa.

En este escenario la tarea de administración, actualización e instalación de parches en equipos móviles cuando están desconectados de la red interna se convierte en un verdadero desafío.

Por otro lado soluciones como VPN exigen un esfuerzo extra para los usuarios y un gran trabajo de soporte para los administradores  IT.

DirectAccess tiene como objetivo ofrecer la misma experiencia al momento de acceder a recursos corporativos tanto de fuera de la oficina, brindando conectividad transparente e incrementando la productividad de los usuarios móviles, además de facilitar la aplicación de  actualizaciones y políticas en equipos móviles.

Los clientes DirectAccess  mantienen una conectividad constante con la red corporativa a través de un direccionamiento end-to-end  que es provisto por el  protocol IPv6 (sesiones IPSec). Como  muchas organizaciones no implementan todavía este protocolo, DirectAccess incluye tecnologías de transición  IPv6 como Teredo que encapsula paquetes IPv6 en datagramas UDP IPv4 que pueden ser dirigidos a través de dispositivos NAT  y 6to4 que permite enviar paquetes IPv6 sobre redes IPv4 obviando la necesidad de configurar túneles manualmente  a través de la asignación de direcciones IPv6 que contienen embebida la dirección IPv4 pública de un enrutador  asegurando  la conectividad  sobre las rede IPv4 existentes.

Para su implementación necesitamos tener una entidad emisora de certificados  que nos permita generar certificados para asegurar la conectividad con el protocolo IP-HTTPS que es IP sobre HTTPS protocolo que permite establecer  un túnel IP seguro usando una conexión HTTP, además de certificados no da la posibilidad de utilizar smart card.

DirectAccess utiliza  para separar el tráfico  de la Internet y intranet, una nueva característica que incluye Windows 7  llamada Name Resolution Policy Table (NRPT). El NRPT  permite que las computadoras  remotos puedan determinar que consultas DNS  deben ser direccionadas las los servidores DNS de la intranet.

 

Windows Server 2008 R2 incluye un nuevo feature llamado DirectAccess Management Console que permite una configuración sencilla de esta tecnología a través de 4 pasos.

Paso 1: Se define el grupo de seguridad que contiene la cuenta de los equipos que van a acceder a la red corporativa.

 Paso 2: Seleccionamos la interface de red externa (que tiene que tener configurada 2 direcciones ip públicas) y la interface interna, además seleccionamos la entidad emisora de certificados y el certificado para la conexión segura sobre HTTPS.

Paso 3: Identificamos los servidores de infraestructura como el servidor DNS interno y el controlador de Dominio.

Paso 4: Finalmente identificados que servidores de aplicación van a aceptar conexiones seguras end-to-end con sesiones IPSec  desde los clientes remotos.

La consola adicionalmente nos ofrece un tablero de monitoreo de los principales compontes de la solución que está casado con el Performance Monitor del sistema operativo.

Para  configuración de la conexión de clientes  Windows 7 usando DirectAccess realiza utilizan políticas de directorio (GPO).

Referencias:

*http://www.computerworld.com/s/article/9129812/Hands_on_with_Windows_Server_2008_R2_DirectAccess

 

Posted in: Windows 7