Windows Server 2012

Direct Access

Julin Blzquez Garca

Director Tcnico Implantacin de Sistemas
Sidertia Solutions
jblazquez@sidertia.com
 Agenda
Arquitectura de Direct Access

Escenarios de implementacin

Infraestructura Servidor

Configuracin de Cliente
Direct Access Offline Domain Join
 Nuevo Concepto de Permetro

Mi red esta donde estn mis edificios

Cmo puedo administrar, monitorizar y dar soporte a todos

los usuarios y equipos remotos al mismo tiempo?

Cmo simplificar los accesos de los trabajadores remotos?

Mi red esta donde estn mis usuarios y activos

 Direct Access
Proporcionar acceso transparente y seguro a los
recursos de la empresa desde cualquier lugar
 Qu es DirectAcess
Una VPN, sin VPN

Los usuarios remotos trabajan del mismo modo dentro y fuera

de la oficina

La conexin se realiza antes de que el usuario inicie sesin

Basado completamente en IPv6

 Beneficios de Direct Access
+ Productividad + Seguridad + Manejabilidad y
Coste efectivo
Siempre activo el acceso a Equipos confiables y sanos Gestin sencilla de los
la red de la empresa independiente de la red recursos mviles como si
No se requiere accin Control de Polticas por estuvieran en LAN
alguna del usuario listo servidor y/o Aplicacin Menor coste propiedad
para trabajar Extender a los activos (TCO) con infraestructura
Misma experiencia de mviles el cumplimiento siempre administrada
usuario (dentro y fuera) de la normativa Unificar el acceso seguro a
Ruta de implementacin travs de todos los
incremental hacia IPv6 escenarios y redes
Administracin integrada
de todos los mecanismos
de conectividad
 Requisitos
Active Directory

DirectAccess Server (Windows Server 2012)

DirectAccess Client (Windows 8 o 7 Enterprise o

Ultimate)

2 IPs pblicas consecutivas

Ahora ya no es necesario PKI (Windows 8)

 Opciones de Implementacin
Requiere Clientes Windows 8
No PKI
Usa proxy Kerberos para adquirir Ticket Kerberos
Soporta Certificados SSL auto firmados
No requiere certificados de mquina
Ni lista de revocacin de certificados

Simple configuracin del tnel IPSec

Simple factor de autenticacin
 Opciones de Implementacin
PKI integracin
Utiliza certificados de equipo
Lista de Revocacin de Certificados (opcional)

Un factor, dos factores y Autenticacin con Certificados

Smartcard, OTP, TPM
NAP

Opciones de implementacin Multi-sitio

Soporta Clientes Windows 8 y Windows 7

 Multisite

Entrada automtica por el punto ms cercano

para clientes de Windows 8

Basada en mecanismos de sondeo

Clientes Windows 7 acceso por punto fijo

 Interoperabilidad
Windows Server 2012 Windows Server 2008 R2
Windows 8 Soporte completo Soportado con las siguientes limitaciones

No soporta DirectAccess y VPN en el mismo

servidor

Sin acceso directo a recursos IPv4 (Necesita

soluciones NAT64/DNS64)

Requiere PKI

No soporta implementacin multi-sitio

Windows 7 Soportado con las siguientes limitaciones Soporte con las siguientes limitaciones
No soporta DirectAccess y VPN en el mismo
Requiere PKI
servidor
Clientes Windows 7 deben conectarse a una Sin acceso directo a recursos IPv4 (Necesita
entrada preconfigurada soluciones NAT64/DNS64)

No soporta Windows To Go, ni configuracin off Requiere PKI

line No soporta implementacin multi-sitio
No soporta Windows To Go, ni configuracin
off line
 Alternativas de Acceso Remoto

Windows VPN
Non-Windows

Windows VPN
Non-Windows F
I
R Unified
Managed Windows DirectAccess
E remote
Clients VPNW access
A server
L
From any PC Windows
RDSL / VDIto Go +
DirectAccess

Mobile Phones VPN

Acceso Remoto Unificado

Exchange
SharePoint
Apps
IT: Usuario Final:
Administracin
Intranet
Mejor Experiencia
completa

VPN FIREWALL
Clientes
Mejoraremotos
de la
encendidos
Productividad
Win XP / Vista / Non-
Windows DirectAccess Decrementa el ratio
de iniciado
No es parches por
Mobile elperdidos
usuarios
Broadband
Windows 7 Aplicar GPOslaa
Simplificada
Windows 8 equipos remotos
conectividad

Las VPNs conectan los usuarios a la red

DirectAccess extiende la red a los equipos y usuarios
 Resumen de Comparaciones
VPN Outlook Web
Escenario SSL VPN TS gateway DirectAccess
Tradicional Access
Siempre Activo No No No No Si
Administracin
Limitado Limitado No No Si
Remota
Aplicaciones Publicadas por
Todas Todas Solo Correo Todas
Soportadas IT
Polticas por
servidor de No Depende Si No Si
aplicacin
Polticas de
Complejo Complejo Medio Simple Simple
Permetro
Equipos
No Slo
Administrados Ambos Ambos No Administrados
Administrados Administrados
No-administrados
 Habilitar IPv6 en la Organizacin
Aplicaciones de
Negocio

IPv6 IPv4

DirectAccess Server
(Windows Server 2012)
 Requisitos por Funcionalidad

Clientes DirectAccess Servidores Servidores de

Requiere Windows 8 DirectAccess Aplicacin
o Windows 7 Requiere Windows Windows Server
Clientes miembros Server 2012 2003 o posterior
del Dominio Localizado en el
Primera conexin en permetro
la red corporativa o
VPN
Configuracin
Offline
 Requisitos por Funcionalidad

DC/DNS Infraestructura NAT-PT

Al menos un de Red Se puede usar
servidor DC/DNS Puede ser IPv4 para proporcionar
Windows Server porque se acceso a recursos
2012 implementa que soportan
ISATAP con nicamente IPv4
DirectAccess
Direct Access

Siempre
Tunel sobre IPv4 UDP, Activo
HTTPS, etc.

Encriptacin IPsec+ESP

Native IPv6

6to4

Teredo

IP-HTTPS
Conectividad con la Nube Hbrida
Estado Unificado
Estado Actual
Private
cloud
Internet
DirectAccess & VPN:
Remote access:
Connecting remote
Connectivity using
clients to the hybrid
dedicated
cloud for
infrastructure
- Managed
- Unmanaged

Public
Cloud / Cross
Branch Site topremise
Site
connectivity:
connectivity using
Connecting
dedicated private
and public clouds
infrastructure
Remote Access
Unified Remote Access
Site to Site
End to End Security
W/IPsec (Optional)
 Infraestructura Direct Access
La solucin Direct Access permanece siempre activa
Proporciona acceso completo a los recursos de la red
Solo a equipos gestionados, no gestionados con UAG
Soporta administracin remota completa
Soporta polticas especficas para cada servidor de aplicacin
Permite establecer polticas de permetro de forma sencilla
Independiente de la infraestructura del cliente
 Configuracin Firewall
Protocolo Teredo 6to4 IP-HTTPS IPv6

UDP 3544 X

Protocolo 41 (IPv6) X

TCP 443 X

ICMPv6 X

Protocolo 50 (ESP) X
 DEMO
Configuracin de
Servidor Direct Access
 Integrada la experiencia del Usuario
Windows 8 conecta a los usuarios automticamente a Direct
Access (ms eficiente)

Experiencia de usuario integrada de DirectAccess

Autenticacin flexible: Kerberos, PKI, tarjeta inteligente,

tarjeta inteligente virtual y TPM

Ver fcilmente el estado de conectividad

 Resolucin de Problemas
Accesible a travs de las redes de la
interfaz de usuario
Reitera el estado de la conexin
Claramente presenta opciones de
correccin de problemas tiles
Los usuarios pueden seleccionar
manualmente un punto de entrada de
DirectAccess
Permite la fcil recoleccin y envo por
correo electrnico de los registros a
Helpdesk
 El proceso (I)
Dnde estoy?

Qu direccionamiento tengo?
IPv6.
IPv4 pblica. 6to4
IPv4 privada. Teredo
Si hay un firewall o un proxy. IP-HTTPS
 El proceso (II)
Autenticacin del equipo, basada en kerberos

Si NAP est implementado Chequeo

Trfico permitido hacia los servidores

Inicio de sesin en el AD. User/Password/SmartCard

Acceso a la red interna (IPv6, Isatap, NAT-PT)

TODO ELLO CIFRADO MEDIANTE IPSEC

 DEMO
Configuracin de
Cliente Direct Access
 Unified Remote Access:
Off Premise Provisioning with DirectAccess

Enable clients to join the corporate network from offsite locations

Create Transfer Apply
provisioning or load on provisioning
package client package

Works with Windows To Go

 DEMO
Aprovisionamiento
Direct Access Client
Descargate Windows Server 2012 Evaluacin
http://bit.ly/DescargaWS2012
http://bit.ly/AzureItPro
 Ms TechNet
IT CAMPS
http://bit.ly/ITCamps2012

Registro en futuros webcasts

http://technet.microsoft.com/es-es/bb291010.aspx

Suscripcin al boletn TechNet Flash

http://www.microsoft.com/spain/technet/boletines/default.mspx

TechCenters de TechNet (informacin de productos)

http://technet.microsoft.com/es-es/bb421517.aspx

Suscripciones TechNet
http://technet.microsoft.com/es-es/subscriptions/default.aspx
Serie de Webcasts Windows Server 2012
http://bit.ly/Webcasts2012
Sigue a TechNet Espaa

http://www.facebook.com/TechNet.Spain

http://www.twitter.com/TechNet_es
 Contacto
Julin Blzquez Garca
jblazquez@sidertia.com

www.sidertia.com
info@sidertia.com