Windows Server 2012

Direct Access
Julin Blzquez Garca
Director Tcnico Implantacin de Sistemas
Sidertia Solutions
jblazquez@sidertia.com

Agenda
Arquitectura de Direct Access
Escenarios de implementacin
Infraestructura Servidor
Configuracin de Cliente
Direct Access Offline Domain Join

Nuevo Concepto de Permetro

Mi red esta donde estn mis edificios

Cmo puedo administrar, monitorizar y dar

soporte a todos los usuarios y equipos remotos al
mismo tiempo?
Cmo simplificar los accesos de los trabajadores
remotos?
Mi red esta donde estn mis usuarios y activos

Direct Access
Proporcionar acceso transparente y seguro
a los recursos de la empresa desde
cualquier lugar

Qu es DirectAcess
Una VPN, sin VPN
Los usuarios remotos trabajan del mismo modo
dentro y fuera de la oficina
La conexin se realiza antes de que el usuario
inicie sesin
Basado completamente en IPv6

Beneficios de Direct Access

+ Productividad

Siempre activo el
acceso a la red de la
empresa
No se requiere accin
alguna del usuario
listo para trabajar
Misma experiencia de
usuario (dentro y
fuera)

+ Seguridad

Equipos confiables y
sanos independiente
de la red
Control de Polticas
por servidor y/o
Aplicacin
Extender a los activos
mviles el
cumplimiento de la
normativa
Ruta de
implementacin
incremental hacia
IPv6

+ Manejabilidad y
Coste efectivo
Gestin sencilla de los
recursos mviles
como si estuvieran en
LAN
Menor coste
propiedad (TCO) con
infraestructura
siempre
administrada
Unificar el acceso
seguro a travs de
todos los escenarios y
redes
Administracin
integrada de todos los
mecanismos de
conectividad

Requisitos
Active Directory
DirectAccess Server (Windows Server
2012)
DirectAccess Client (Windows 8 o 7
Enterprise o Ultimate)
2 IPs pblicas consecutivas
Ahora ya no es necesario PKI (Windows 8)

Opciones de Implementacin
Requiere Clientes Windows 8
No PKI

Usa proxy Kerberos para adquirir Ticket Kerberos

Soporta Certificados SSL auto firmados
No requiere certificados de mquina
Ni lista de revocacin de certificados

Simple configuracin del tnel IPSec

Simple factor de autenticacin

Opciones de Implementacin
PKI integracin
Utiliza certificados de equipo
Lista de Revocacin de Certificados (opcional)

Un factor, dos factores y Autenticacin con

Certificados
Smartcard, OTP, TPM
NAP

Opciones de implementacin Multi-sitio

Soporta Clientes Windows 8 y Windows 7

Multisite
50 ms

20 ms

Entrada automtica por el punto

ms cercano para clientes de
Windows 8
Basada en mecanismos de sondeo

150 ms

Clientes Windows 7 acceso por punto fijo

Interoperabilidad
Windows 8

Windows Server 2012

Windows Server 2008 R2

Soporte completo

Soportado con las siguientes

limitaciones
No soporta DirectAccess y VPN en el
mismo servidor
Sin acceso directo a recursos IPv4
(Necesita soluciones NAT64/DNS64)
Requiere PKI
No soporta implementacin multisitio

Windows 7

Soportado con las siguientes limitaciones

Soporte con las siguientes limitaciones

Requiere PKI

No soporta DirectAccess y VPN en el

mismo servidor

Clientes Windows 7 deben conectarse a

una entrada preconfigurada

Sin acceso directo a recursos IPv4

(Necesita soluciones NAT64/DNS64)

No soporta Windows To Go, ni

configuracin off line

Requiere PKI
No soporta implementacin multisitio
No soporta Windows To Go, ni
configuracin off line

Alternativas de Acceso Remoto

Windows
Non-Windows

VPN

Windows
Non-Windows

VPN

Managed Windows
Clients
From any PC

F
I
R
DirectAcces
E
s W
A
VPN
L
Windows
RDS
L / VDIto Go

Unified
remote
access
server

+ DirectAccess
Mobile Phones

VPN

Remote
Desktop
Gateway

Acceso Remoto Unificado

Exchange
SharePoint
Apps

FIREWALL

VPN

Win XP / Vista /
Non-Windows

DirectAccess

Mobile
Broadband

Windows 7
Windows 8

Usuario
IT: Final:
Mejor
Experiencia
Administracin
Intranet
completa
Clientes
Mejoraremotos
de la
encendidos
Productividad
Decrementa el
ratio
parches
No
es de
iniciado
por
elperdidos
usuarios
Aplicar
GPOsla
a
Simplificada
equipos
remotos
conectividad

Las VPNs conectan los usuarios a la red

DirectAccess extiende la red a los equipos y usuarios

Resumen de Comparaciones
Escenario

VPN
Tradiciona
l

SSL
VPN

TS
gateway

Outlook
Web
Access

DirectAcce
ss

Siempre Activo

No

No

No

No

Si

Administracin
Remota

Limitado

Limitado

No

No

Si

Aplicaciones
Soportadas

Todas

Todas

Publicadas
por IT

Solo Correo

Todas

Polticas por
servidor de
aplicacin

No

Depende

Si

No

Si

Polticas de
Permetro

Complejo

Complejo

Medio

Simple

Simple

Ambos

No
Administrad
os

No
Administrados

Slo
Administrad
os

Equipos
Administrado
s
Noadministrado
s

Ambos

Habilitar IPv6 en la
Organizacin
Aplicaciones de
Negocio
IPv6

DirectAccess
Server
(Windows Server
2012)

IPv4

Requisitos por Funcionalidad

Clientes
DirectAccess
Requiere
Windows 8 o
Windows 7
Clientes
miembros del
Dominio
Primera conexin
en la red
corporativa o VPN
Configuracin
Offline

Servidores
DirectAccess
Requiere
Windows Server
2012
Localizado en el
permetro

Servidores de
Aplicacin
Windows Server
2003 o posterior

Requisitos por Funcionalidad

DC/DNS
Al menos un
servidor
DC/DNS
Windows
Server 2012

Infraestruc
tura de
Red
Puede ser
IPv4 porque
se
implementa
ISATAP con
DirectAccess

NAT-PT
Se puede usar
para
proporcionar
acceso a
recursos que
soportan
nicamente
IPv4

Direct Access
Tunel sobre IPv4 UDP,
HTTPS, etc.

Siempre
Activo

Encriptacin
IPsec+ESP
Native IPv6
6to4
Teredo
IP-HTTPS

Conectividad con la Nube Hbrida

Estado
Estado
Unificado
Actual

Private
cloud

Internet

DirectAccess & VPN:

Remote access:
Connecting
remote
Connectivity
clients to the hybrid
using
cloud
fordedicated
- infrastructure
Managed
- Unmanaged
Public
Cloud /
Branch

Remote Access
Unified Remote Access
Site to Site
End to End Security
W/IPsec (Optional)

Cross
Site topremise
Site
connectivity:
connectivity using
Connecting
dedicated
private
and public
infrastructure
clouds

Infraestructura Direct
Access
La solucin Direct Access permanece siempre
activa
Proporciona acceso completo a los recursos de la
red
Solo a equipos gestionados, no gestionados con
UAG
Soporta administracin remota completa
Soporta polticas especficas para cada servidor
de aplicacin
Permite establecer polticas de permetro de
forma sencilla

Configuracin Firewall
Protocolo
UDP 3544
Protocolo 41
(IPv6)
TCP 443

Teredo

6to
4

IP-HTTPS

IPv6

X
X
X

ICMPv6

Protocolo 50
(ESP)

DEMO
Configuracin de
Servidor Direct Access

Integrada la experiencia del Usuario

Windows 8 conecta a los usuarios
automticamente a Direct Access (ms eficiente)
Experiencia de usuario integrada de DirectAccess
Autenticacin flexible: Kerberos, PKI, tarjeta
inteligente, tarjeta inteligente virtual y TPM
Ver fcilmente el estado de conectividad

Resolucin de Problemas
Accesible a travs de las redes
de la interfaz de usuario
Reitera el estado de la
conexin
Claramente presenta opciones
de correccin de problemas
tiles
Los usuarios pueden
seleccionar manualmente un
punto de entrada de
DirectAccess
Permite la fcil recoleccin y
envo por correo electrnico de

El proceso (I)
Dnde estoy?
Qu direccionamiento tengo?
IPv6.
IPv4 pblica. 6to4
IPv4 privada. Teredo
Si hay un firewall o un proxy. IP-HTTPS

El proceso (II)
Autenticacin del equipo, basada en kerberos
Si NAP est implementado Chequeo
Trfico permitido hacia los servidores
Inicio de sesin en el AD. User/Password/SmartCard
Acceso a la red interna (IPv6, Isatap, NAT-PT)

TODO ELLO CIFRADO MEDIANTE IPSEC

DEMO
Configuracin de
Cliente Direct Access

Unified Remote Access:

Off Premise Provisioning with
DirectAccess
Enable clients to join the corporate network from offsite
locations
Create
provisionin
g package

Works with Windows To Go

Transfer
or load on
client

Apply
provisionin
g package

DEMO
Aprovisionamiento
Direct Access Client

Descargate Windows Server 2012

Evaluacin
http://bit.ly/DescargaWS2012

http://bit.ly/AzureItPro

Ms TechNet
IT CAMPS
http://bit.ly/ITCamps2012

Registro en futuros webcasts

http://technet.microsoft.com/es-es/bb291010.aspx

Suscripcin al boletn TechNet Flash

http://www.microsoft.com/spain/technet/boletines/default.mspx

TechCenters de TechNet (informacin de

productos)
http://technet.microsoft.com/es-es/bb421517.aspx

Suscripciones TechNet
http://technet.microsoft.com/es-es/subscriptions/default.aspx

Serie de Webcasts Windows Server

2012

http://bit.ly/Webcasts2012

Sigue a TechNet Espaa

http://www.facebook.com/TechNet.Spain

http://www.twitter.com/TechNet_es

Contacto
Julin Blzquez Garca
jblazquez@sidertia.com

www.sidertia.com
info@sidertia.com