Windows Server 2012 Direct Access - Microsoft

Document Sample
Windows Server 2012 Direct Access - Microsoft Powered By Docstoc
					Windows Server 2012
           Direct Access

          Julián Blázquez García
Director Técnico Implantación de Sistemas
             Sidertia Solutions
         jblazquez@sidertia.com
                          Agenda
• Arquitectura de Direct Access

• Escenarios de implementación

• Infraestructura Servidor

• Configuración de Cliente
   – Direct Access Offline Domain Join
     Nuevo Concepto de Perímetro

          “Mi red esta donde están mis edificios”



• ¿Cómo puedo administrar, monitorizar y dar soporte a todos
  los usuarios y equipos remotos al mismo tiempo?

• ¿Cómo simplificar los accesos de los trabajadores remotos?



     “Mi red esta donde están mis usuarios y activos”
                Direct Access
• Proporcionar acceso transparente y seguro a los
  recursos de la empresa desde cualquier lugar
               Qué es DirectAcess
• Una VPN, sin VPN

• Los usuarios remotos trabajan del mismo modo dentro y fuera
  de la oficina

• La conexión se realiza antes de que el usuario inicie sesión

• Basado completamente en IPv6
             Beneficios de Direct Access
   + Productividad                + Seguridad              + Manejabilidad y
                                                             Coste efectivo
Siempre activo el acceso a   Equipos confiables y sanos   Gestión sencilla de los
la red de la empresa         independiente de la red      recursos móviles como si
No se requiere acción        Control de Políticas por     estuvieran en LAN
alguna del usuario – listo   servidor y/o Aplicación      Menor coste propiedad
para trabajar                Extender a los activos       (TCO) con infraestructura
Misma experiencia de         móviles el cumplimiento      «siempre administrada»
usuario (dentro y fuera)     de la normativa              Unificar el acceso seguro a
                             Ruta de implementación       través de todos los
                             incremental hacia IPv6       escenarios y redes
                                                          Administración integrada
                                                          de todos los mecanismos
                                                          de conectividad
                     Requisitos
• Active Directory

• DirectAccess Server (Windows Server 2012)

• DirectAccess Client (Windows 8 o 7 Enterprise o
  Ultimate)

• 2 IP’s públicas consecutivas

• Ahora ya no es necesario PKI (Windows 8)
        Opciones de Implementación
• Requiere Clientes Windows 8
• No PKI
   –   Usa proxy Kerberos para adquirir Ticket Kerberos
   –   Soporta Certificados SSL auto firmados
   –   No requiere certificados de máquina
   –   Ni lista de revocación de certificados

• Simple configuración del túnel IPSec
• Simple factor de autenticación
      Opciones de Implementación
• PKI integración
   – Utiliza certificados de equipo
   – Lista de Revocación de Certificados (opcional)

• Un factor, dos factores y Autenticación con Certificados
   – Smartcard, OTP, TPM
   – NAP

• Opciones de implementación Multi-sitio

• Soporta Clientes Windows 8 y Windows 7
      Multisite



• Entrada automática por el punto más cercano
  para clientes de Windows 8

   – Basada en mecanismos de sondeo

   – Clientes Windows 7 acceso por punto fijo
                      Interoperabilidad
            Windows Server 2012                                Windows Server 2008 R2
Windows 8   Soporte completo                                   Soportado con las siguientes limitaciones

                                                               • No soporta DirectAccess y VPN en el mismo
                                                                 servidor

                                                               • Sin acceso directo a recursos IPv4 (Necesita
                                                                 soluciones NAT64/DNS64)

                                                               • Requiere PKI

                                                               • No soporta implementación multi-sitio

Windows 7   Soportado con las siguientes limitaciones          Soporte con las siguientes limitaciones
                                                               • No soporta DirectAccess y VPN en el mismo
            • Requiere PKI
                                                                 servidor
            • Clientes Windows 7 deben conectarse a una        • Sin acceso directo a recursos IPv4 (Necesita
              entrada preconfigurada                             soluciones NAT64/DNS64)

            • No soporta Windows To Go, ni configuración off   • Requiere PKI
              line                                             • No soporta implementación multi-sitio
                                                               • No soporta Windows To Go, ni configuración
                                                                 off line
         Alternativas de Acceso Remoto

Windows           VPN
Non-Windows

Windows           VPN
Non-Windows          F
                     I
                     R              Unified
Managed Windows   DirectAccess
                     E              remote
Clients           VPNW              access
                     A              server
                     L
From any PC       Windows to Go +
                  RDS / VDI
                     L
                  DirectAccess

Mobile Phones     VPN
Acceso Remoto Unificado

                                                                Exchange
                                                                           SharePoint
                                                                               Apps
                                                                              IT: Usuario Final:
                                                                                   Administración
                                                                                 Intranet
                                                                               Mejor Experiencia
                                                                                    completa

                        VPN                          FIREWALL
                                                                                Clientes remotos
                                                                                  Mejora de la
                                                                                  “encendidos”
                                                                                 Productividad
Win XP / Vista / Non-
     Windows                  DirectAccess                                     Decrementa el ratio
                                                                                  de parches
                                                                               No es iniciado por
                Mobile                                                              perdidos
                                                                                  el usuarios
              Broadband
                                         Windows 7                               Simplificada a
                                                                                Aplicar GPOsla
                                         Windows 8                              equipos remotos
                                                                                  conectividad



            Las VPNs conectan los usuarios a la red
   DirectAccess extiende la red a los equipos y usuarios
                Resumen de Comparaciones
                      VPN                                     Outlook Web
    Escenario                    SSL VPN    TS gateway                          DirectAccess
                   Tradicional                                  Access
Siempre Activo         No          No            No                No                Si
Administración
                    Limitado     Limitado        No                No                Si
Remota
Aplicaciones                                Publicadas por
                      Todas       Todas                        Solo Correo         Todas
Soportadas                                        IT
Políticas por
servidor de            No        Depende          Si               No                Si
aplicación
Políticas de
                    Complejo     Complejo      Medio             Simple            Simple
Perímetro
Equipos
                                                No                                  Sólo
Administrados        Ambos        Ambos                      No Administrados
                                            Administrados                       Administrados
No-administrados
        Habilitar IPv6 en la Organización
                                   Aplicaciones de
                                      Negocio

         IPv6           IPv4




  DirectAccess Server
(Windows Server 2012)
       Requisitos por Funcionalidad



Clientes DirectAccess       Servidores         Servidores de
• Requiere Windows 8       DirectAccess         Aplicación
     o Windows 7        • Requiere Windows    • Windows Server
 • Clientes miembros        Server 2012        2003 o posterior
      del Dominio        • Localizado en el
• Primera conexión en        perímetro
 la red corporativa o
          VPN
   • Configuración
        Offline
     Requisitos por Funcionalidad



   DC/DNS         Infraestructura        NAT-PT
 • Al menos un        de Red          • Se puede usar
servidor DC/DNS   • Puede ser IPv4   para proporcionar
Windows Server      porque se        acceso a recursos
      2012          implementa         que soportan
                    ISATAP con        únicamente IPv4
                    DirectAccess
Direct Access

                                     Siempre
      Tunel sobre IPv4 UDP,           Activo
          HTTPS, etc.


      Encriptación IPsec+ESP


                              Native IPv6

                                 6to4

                                Teredo

                              IP-HTTPS
Conectividad con la Nube Híbrida
                            Estado Unificado
                               Estado Actual
                          Private
                           cloud
Internet
                                    DirectAccess & VPN:
                                       Remote access:
                                    Connecting remote
                                       Connectivity using
                                    clients to the hybrid
                                       dedicated
                                    cloud for
                                       infrastructure
                                     - Managed
                                     - Unmanaged


                          Public
                          Cloud /   Cross premise
                          Branch    Site to Site
                                    connectivity: using
                                    connectivity
                                    Connecting private
                                    dedicated
                                    and public clouds
                                    infrastructure
  Remote Access
  Unified Remote Access
  Site to Site
  End to End Security
  W/IPsec (Optional)
    Infraestructura Direct Access
• La solución Direct Access permanece siempre activa
• Proporciona acceso completo a los recursos de la red
• Solo a equipos gestionados, no gestionados con UAG
• Soporta administración remota completa
• Soporta políticas específicas para cada servidor de aplicación
• Permite establecer políticas de perímetro de forma sencilla
• Independiente de la infraestructura del cliente
             Configuración Firewall
     Protocolo        Teredo   6to4   IP-HTTPS   IPv6

UDP 3544                X

Protocolo 41 (IPv6)             X

TCP 443                                  X

ICMPv6                                            X

Protocolo 50 (ESP)                                X
    DEMO
  Configuración de
Servidor Direct Access
 Integrada la experiencia del Usuario
• Windows 8 conecta a los usuarios automáticamente a Direct
  Access (más eficiente)

• Experiencia de usuario integrada de DirectAccess

• Autenticación flexible: Kerberos, PKI, tarjeta inteligente,
  tarjeta inteligente virtual y TPM

• Ver fácilmente el estado de conectividad
        Resolución de Problemas
• Accesible a través de las redes de la
  interfaz de usuario
• Reitera el estado de la conexión
• Claramente presenta opciones de
  corrección de problemas útiles
• Los usuarios pueden seleccionar
  manualmente un punto de entrada de
  DirectAccess
• Permite la fácil recolección y envío por
  correo electrónico de los registros a
  Helpdesk
                   El proceso (I)
• ¿Dónde estoy?

• ¿Qué direccionamiento tengo?
  • IPv6.
  • IPv4 pública. 6to4
  • IPv4 privada. Teredo
  • Si hay un firewall o un proxy. IP-HTTPS
                    El proceso (II)
• Autenticación del equipo, basada en kerberos

• Si NAP está implementado  Chequeo

• Tráfico permitido hacia los servidores

• Inicio de sesión en el AD. User/Password/SmartCard

• Acceso a la red interna (IPv6, Isatap, NAT-PT)



      TODO ELLO CIFRADO MEDIANTE IPSEC
   DEMO
  Configuración de
Cliente Direct Access
              Unified Remote Access:
     Off Premise Provisioning with DirectAccess

Enable clients to join the corporate network from offsite locations
                   Create                Transfer                 Apply
                provisioning            or load on             provisioning
                  package                 client                 package




Works with Windows To Go
  DEMO
Aprovisionamiento
Direct Access Client
Descargate Windows Server 2012 Evaluación
         http://bit.ly/DescargaWS2012
http://bit.ly/AzureItPro
                          Más TechNet
• IT CAMPS
   http://bit.ly/ITCamps2012


• Registro en futuros webcasts
   http://technet.microsoft.com/es-es/bb291010.aspx

• Suscripción al boletín TechNet Flash
   http://www.microsoft.com/spain/technet/boletines/default.mspx

• TechCenters de TechNet (información de productos)
   http://technet.microsoft.com/es-es/bb421517.aspx

• Suscripciones TechNet
   http://technet.microsoft.com/es-es/subscriptions/default.aspx
Serie de Webcasts Windows Server 2012
   http://bit.ly/Webcasts2012
Sigue a TechNet España


  http://www.facebook.com/TechNet.Spain




  http://www.twitter.com/TechNet_es
    Contacto
 Julián Blázquez García
jblazquez@sidertia.com




  www.sidertia.com
  info@sidertia.com

				
DOCUMENT INFO
Shared By:
Categories:
Tags:
Stats:
views:0
posted:5/9/2013
language:
pages:36