DirectAccess, que es y como implementarlo en nuestra Arquitectura de Active Directory. {Lab DirectAccess-Parte 2}

Microsoft_Direct_Access_thumbHoy vamos a seguir con la nota que escribí hace un tiempo sobre DirectAccess, que es y como implementarlo en nuestra Arquitectura de Active Directory. {Lab DirectAccess-Parte 1}. Veremos algunas de sus características, y el detalle de nuestro laboratorio, de sus requerimientos y diagrama de red, como para el día viernes terminar la sesión de este laboratorio con un video de como configurarlo y como verlo funcionar.

Como comentamos anteriormente, DirectAccess es una nueva característica en los sistemas operativos Windows 7 y Windows Server 2008 R2 que le permite a los usuarios estar conectados perfectamente a intranet en cualquier momento mientras tengan acceso a Internet. Con DirectAccess habilitado, las solicitudes de recursos de la intranet de nuestra empresa, como podría ser servidores de correo, carpetas compartidas o sitios Web de intranet, son conectados de forma segura sin la necesidad de que los usuarios se conecten a una VPN. Esto hace que sea una solución ideal para nuestros usuarios móviles, ya que mantendrán actualizadas sus políticas, incluso las de seguridad.

Por esto, podemos decir que mantiene nuestra Infraestructura de red segura y Flexible. Aprovechando las tecnologías tales como el Protocolo de Internet versión 6 (IPv6) y seguridad de Protocolo Internet (IPsec). Algunos features importantes son:

  • Autenticación: este feature autentica el equipo, permitiéndole conectarse a la intranet de nuestra organización, antes de que el usuario inicie sesión.
  • Cifrado: Utilizando IPsec proporciona la encriptación de las comunicaciones a través de Internet.
  • Control de acceso: podemos configurar los recursos para que sean accedidos por diferentes usuarios, garantizando un acceso ilimitado a los distintos recursos de nuestra arquitectura o sólo permitirles utilizar determinadas aplicaciones y servidores de acuerdo a lo que consideremos mejor para cada tipo de los usuarios remotos que tengamos.
  • Reducción de costos y Simplificación de nuestra Arquitectura: Reducimos el tráfico innecesario en la intranet enviando sólo tráfico destinado a la intranet a través del servidor de DirectAccess. Opcionalmente, podemos configurar los clientes para enviar todo el tráfico a través de nuestro servidor de DirectAccess.

Este seria la conexión general de como trabajaría el cliente de DirectAccess:

DirectAccessDiagram

Ahora les paso el diagrama de las VMs que vamos a instalar (si, son varias, y estoy complicado para llegar al viernes). Tengamos en cuenta que nuestro ”Laboratorio de prueba”, con varios equipos, y con la idea de mostrar la funcionalidad. Obviamente, esta configuración no está diseñada teniendo en cuenta las mejores prácticas ni refleja una configuración deseada o recomendada para implementarlo en producción. Vuelvo a repetir, es solamente a fines de mostrar la funcionalidad, y esta realizado sobre un laboratorio de VMs.

img001

Espero les sea de interés. Me voy a instalar VMs. Saludos. Roberto Di Lello.

Roberto Di Lello

Acerca del autor: Roberto Di Lello

Hola, soy Roberto Di Lello trabajo como Consultor Senior en Infraestructura, especializado en Tecnologias Microsoft con mas de 25 años en la industria. He sido galardonado como MS-MVP en Active Directory-Enterprise Mobility por 10 años, y actualmente soy MVP Windows Insider, ademas de poseer otras certificaciones de Microsoft. He trabajado en distintos projectos que involucran Migraciones, Implementaciones, y soporte de Active Directory y Microsoft Exchange, y en los ultimos años me he desempeñado armando equipos de trabajo para diferentes paises y areas de sistemas, he planificado a distintas migraciones a datacenters (ambiente cloud y mixtos). He tenido la oportunidad de participar como miembro del staff de Microsoft en eventos internacionales como ser TechEd NorteAmerica y MS Ignite (NA) al ser Trainer Certificado por Microsoft (MCT).

You May Also Like

10 Comments

  1. hey gracias por la ayuda, pero bueno te explico lo mas entendible posible, el exchange es versión 2010, y yo realicé las pruebas con el owa, enviando funciona perfecto a cuentas del mismo dominio y enviando a hotmail, y recibiendo desde cuentas del mismo dominio no hay problema, pero intenté enviando a hotmail y me da el error:

    404 – File or directory not found.
    The resource you are looking for might have been removed, had its name changed, or is temporarily unavailable.

    sin embargo estuve mirando y moviendo cosas en el IIS que no recuerdo y ya no aparece error pero de igual manera rebota el mensaje al enviarlo. bueno una de las cuestiones es que no tengo el spf aun, pero digo yo que en el caso de que fuera por el spf no llegaria a hotmail cuando envio no?, pero si llegan , en la carpeta de no deseados pero con el spf supongo que se corrige el problema, lo raro es cuando intento enviar desde hotmail hacia el dominio y no funciona. si deseas intenta enviar un correo a edwinc@hdcowin.com

    una ultima duda, podrias decirme donde encuentro el log de errores para estos casos?.

    de nuevo muchas gracias por la ayuda.

  2. Edwin, disculpa mi demora en contestar pero estuve medio complicado con los tiempos, y se me había pasado tu email.

    Te paso un link que te puede ayudar con tu problema, leete bien la nota para ver si aplica según tus síntomas.
    How to Configure a Relay Connector for Exchange Server 2010 http://exchangeserverpro.com/how-to-configure-a-relay-connector-for-exchange-server-2010
    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Buen comienzo de año. Saludos!

  3. Hola Roberto Di Lello ,
    quería hacerte unas consultas respecto al tema de Disaster recovery en windows sever 2003 R2 por lo cual te agradezco de ante mano por tu ayuda. En la empresa donde laboro tengo actuamente tenemos 2 servidores con Windows Server 2003 R2 llamados:

    1) SRVDC01 (Active Directory, DNS, DHCP)
    IP: 172.16.0.2
    M: 255.255.0.0
    G: 172.16.0.1
    DNS1: 172.16.0.2
    DNS2: 172.16.0.3

    2) SRVDC02 (Active Directory, DNS, DHCP, WINS)
    IP: 172.16.0.3
    M: 255.255.0.0
    G: 172.16.0.1
    DNS1: 172.16.0.2
    DNS2: 172.16.0.3
    WINS: 172.16.0.3

    Ambos servidores están funcionando y replicando correctamente pero me han pedido que realice un laboratorio simulando la misma infraestructura actual para probar el tema de Disaster recovery con los backup se realiza diariamente a los DC el backup lo realizamos con la herramienta de Windows NTBackup.
    Bueno he armado un laboratorio para realizar unas pruebas similares a la infraestructura que tenemos y he llamado a cada servidor:
    1) COMD-AD01 (Active Directory, DNS, DHCP)
    IP: 172.16.0.2
    M: 255.255.0.0
    G: 172.16.0.1
    DNS1: 172.16.0.2
    DNS2: 172.16.0.3

    2) COMD-AD02 (Active Directory, DNS, DHCP, WINS)
    IP: 172.16.0.3
    M: 255.255.0.0
    G: 172.16.0.1
    DNS1: 172.16.0.2
    DNS2: 172.16.0.3
    WINS: 172.16.0.3

    Realice una prueba de replicación entre los 2 servidores COMD-AD01 & COMD-AD02 y todo está funcionando bien. Ahora acabo de apagar y desconectar de la red al servidor COMD-AD01 y he instalado un nuevo servidor llamado COMD-AD03 este nuevo servidor tiene todas las actualizaciones instaladas igual que los controladores de dominio.
    3) COMD-AD03
    IP: 172.16.0.2
    M: 255.255.0.0
    G: 172.16.0.1
    DNS1: 172.16.0.2
    DNS2: 172.16.0.3

    En esta parte me surgen algunas interrogantes:

    En el caso que falle un servidor
    a) En el servidor COMD-AD03 tengo que colocar la misma direcciones TCP/IP igual al servidor COMD-AD01 para realizar el restore ya que este servidor es el que está simulando haber tenido algún desastre.
    b) El servidor COMD-AD03 tiene que estar unido al dominio para poder realizar el restore o lo puedo realizar desde modo Workgroup y al momento que realice el restore este se encarga de unirlo al dominio y promoverlo a AD y configurar el dns, esto lo haría iniciando de modo de DSRM.
    c) El servidor COMD-AD03 tiene que estar unido y promovido a DC y de ahí inicio en modo de DSRM y recién realizo la restauración.

    En el caso que falle los dos servidores
    a) Después de haber instalado el sistema operativo y haberlo actualizado, tengo que promoverlo a Directorio Activo + DNS configurado y de ahí inicio en modo de DSRM y lo restauro desde el backup que tengo generado con NTBackup.
    b) Bastaría con que el servidor este en Workgroups y de ahí inicio en modo de DSRM y lo restauro desde el backup que tengo generado con NTBackup y al momento que realice el restore este se encarga de unirlo al dominio y promoverlo a AD y configurar el dns, esto lo haría iniciando de modo de DSRM.

    Bueno les agradeciera mucho por su ayuda.

  4. José Luis, disculpa mi demora en contestar pero estuve medio complicado con los tiempos; y la verdad se me paso tu mail.

    Por lo que vi del mail, hay varias cosas que están haciendo distintas a un disaster recovery. Si instalas un nuevo server y lo promoves como DC, no estas haciendo un recover de tu AD, ya que en definitiva estas instalando otro DC con otro nombre que se vuelve a replicar y entonces asume el rol nuevo reemplazando al viejo.

    Si quieres hacer un Disaster Recovery, te paso un par de links que te van a ayudar con este tema, en donde podrás ver el procedimiento:
    * Disaster Recovery de Active Directory en Windows Server2008 R2 utilizando Server Backup Feature (Parte 1) {ScreenCast} https://www.radians.com.ar/blog/?p=1005
    * Disaster Recovery de Active Directory en Windows Server2008 R2 utilizando Server Backup Feature (Parte 2) {ScreenCast} https://www.radians.com.ar/blog/?p=1010
    * Disaster Recovery Windows Server 2003 Domain {ScreenCast} https://www.radians.com.ar/blog/?p=692
    * Disaster Recovery de Directory Services (Active Directory) https://www.radians.com.ar/blog/?p=1410

    En estos screencast tenés las dos opciones, si se te cae un solo server o si se rompe todo el AD, y como restaurarlo desde el backup del system state.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Buen comienzo de año. Saludos!

  5. maestro

    le hago una consulta tengo el siguiente esquema

    necesito acceder a un buzon shareado (ya se realizo el shareo a traves del powershell ) desde 2 cuentas CREADAS solo en AD… tengo EXCHANGE 2010 VERSION 14.01.0339.001… ES POSIBLE????

    EL CLIENTE NO QUIERE LA SOLUCION QUE LE DI … fue crear 2 buzones en dominio y luego dar permiso de shareo a la cuenta X para que puedan acceder estas 2 personas… EL CLIENTE NO QUIERE QUE LOS 2 TENGAN BUZONES EN EXCHANGE…algun centro???

    abzo

  6. Adrian, disculpa mi demora en contestar pero estuve medio complicado con los tiempos.

    mmhhhh medio complejo el tema… a mi me paso lo mismo, pero la relación es un usuario un buzon, entonces se complica. Por lo que te entendí es que quiere dos personas con un solo mail, no?

    Tuve una experiencia similar con un cliente que quería que las dos recepcionistas tuvieran los mismos mails: se podía hacer de varias formas, haciendo forwards de los mails de una cuenta a otra, o que ambas personas tengan compartidos los mails, o de otras maneras, pero no le cerraba con lo que quería. Entonces se opto, por decisión del cliente, que ambas tuvieran un user genérico al cual entraban y tenían configuradas la misma cuenta de mail; que en definitiva era lo que el quería. Igualmente estas personas también tienen su cuenta personal de mail, pero entran por medio de OWA o de un perfil adicional en el outlook.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sirva esta experiencia. Buen comienzo de año. Saludos!

  7. Gracias Maestro por contestarme …Muy buena tu page , la voy a difundir.!!

    Te cuento que al cliente lo convenci de esta manera

    la cuenta X que tenia que acceder la configure desde powershell como buzon shareado, y a los 2 auditores le creen cuenta de exchange y los hice entrar con sus cuentas respectivas , y desde ahi abrir el buzon shareado.

    me costo convencerlos pero asi se soluciono.

    gracias maestro por contestarme .
    un abzo

  8. te felicito, excelente sitio , mucha información importante y fácil de entender para los que estamos empezando, no encuentro la forma de implementar y configurar directacces en windows 2012

  9. Edie Perez Gomez, gracias por comentar! Disculpa mi demora pero tube algunos problemas con los mails y con las Q&A del Blog.

    Es similar a 2008R2, igualmente en breve estare publicando un video sobre DirectAccess en Windows Server 2012. Necesito un tiempo para editar el video.

    Aprovecho la oportunidad para agradecerte por participar del blog y ayudar a que siga creciendo; y te pido que nos ayudes a difundirlo con tus amigos y contactos! Te cuento que hay mucho material en el. Te invito a que veas los labs, videos, tutoriales, notas. Si querés buscar un tema o necesitas ayuda, tenés la solapa AYUDA donde explico un poco como hacerlo, sino también tenés el buscador de google.

    Espero te sean de utilidad. Saludos!

Comments are closed.