Módulo 8: 70-411
Transcripción
Módulo 8: 70-411
Módulo 8: 70-411 Remote Access: Las tecnologias de Acceso Remoto en Microsoft Windows Server 2012 R2 son: • VPN • Routing: Enrutamiento dinámico (RIPv2), NAT (Network Address Translation). • Direct Access • Proxy Web: Web Application Proxy. (Nuevo en Windows Server 2012 R2) Virtual Private Network VPN es una tecnología de acceso remoto que permite cifrado, autenticación y chequeo de integridad usando diferentes protocolos y algoritmos. Podemos crear VPNs de diferentes tipos: • • • • • • L2TP PPTP IPSec SSTP GRE ... Cualquiera de ellas permite el acceso remoto, tanto de usuarios como la conexión entre diferentes redes LAN. Si las usamos para acceso remoto de usuario, SIEMPRE requiere la interacción del usuario. El usuario tiene que ejecutar el cliente VPN y usar sus credenciales (aunque podrían almacenarse en caché). Direct Access Es una tecnología de VPN de Microsoft que no requiere de interacción por parte del usuario. Direct Access usa un sistema de localización de forma que sabe si el usuario está en la LAN o conectándose desde Internet. Si está fuera, habilita la VPN sin interacción del usuario. Reconecta la VPN si pierde la conexión y permite mantener el acceso a Internet mientras la VPN está abierta. Direct Access permite que las actualizaciones de seguridad, las políticas de seguridad y las GPOs se apliquen a los equipos móviles sin depender de que un usuario abra la conexión con la LAN. La conexión con la LAN será permanente siempre que esté fuera y tenga conexión a Internet. Routing Incluye capacidades de: • Enrutamiento estático • Enrutamiento dinámico con RIPv2 • NAT Web Application Proxy (WAP) Nueva tecnología de acceso en Windows Server 2012 R2. Funciona a modo de Proxy Inverso y permite que usuarios que están fuera de la LAN puedan acceder a Aplicaciones Web que tenemos en la Intranet. Herramientas para gestionar las tecnologías de acceso • Routing and Remote Access (RRAS) ○ VPN ○ Routing: RIPv2, NAT, DHCP Relay. • Remote Access Management Console: ○ VPN ○ Direct Access ○ WAP • Powershell MCSA 70-411 página 1 • Powershell ○ Set-DAServer: Configurar Direct Access ○ Get-DAServer: Obtener información de Direct Access. ○ Set-RemoteAccess: Configuración de acceso remoto VPN. ○ Get-RemoteAccess: Obtener información de configuración de Acceso Remoto. PKI (Public Key Infraestructure.) Podemos tener: - CAs privadas: Las gestionamos nosotros - CAs públicas: Un proveedor las gestiona y le compramos certificados. La PKI puede estar formada por una única CA o por varias. CA (root) (Cuando se tiene toda la estructura creada, se apaga y se guarda). | ------------------------------------------------| | CA (subordinada) CA (subordinada) Equipos Usuarios y salud. Si sólo tenemos una CA, ella se encarga de entregar y gestionar todos los certificados. También gestiona la CRL (Certificate Revocation List). Si tenemos múltiples CAs, la raíz entrega certificados de CA a las subordinadas y estas entregan certificados de equipos, usuarios, salud, ..., a los clientes. Los clientes sólo necesitan tener como CA confiable a la raíz. Direct Access. Es una tecnología de acceso remoto que permite una conexión permanente con la red LAN sin la intervención del usuario y de forma transparente para él. Mantiene el acceso a Internet además de contar con acceso a la LAN a través de una VPN. Direct Access habilita enrutamiento para que mantenga el acceso a Internet. Apareció en Windows Server 2008 R2, aunque era mucho más complicada de configurar. Entre otros, los requisitos eran: • Contar con 2 direcciones IP públicas y consecutivas. • Contar con una PKI. MCSA 70-411 página 2 • Contar con una PKI. • Implementación de IPv6. La conexión de Direct Access se hace usando IPv6 y protegida con IPSec. En Windows Server 2012 y 2012 R2 estos requisitos ya no son necesarios. • No es necesario contar con una PKI si no tenemos clientes Windows 7. Si los clientes son Windows 8 o Windows 8.1, usa certificados autofirmados. Sistemas Operativos: • Windows Server 2012 o Windows Server 2012 R2. También Windows Server 2008 R2, pero con los requisitos ya nombrados. • Windows 8 (Enterprise, no PRO), Windows 7 Enterprise y Windows 7 Ultimate. Componentes de una infraestructura Direct Access. • Servidor Direct Access: Una máquina Windows Server 2012 que esté unido al dominio. Proporciona autenticación a los clientes Direct Access. En nuestro laboratorio será LON-RTR. LON-RTR estará conectado directamente a Internet. Y está implementado se llama Edge. También permite implementaciones en las que el Direct Access Server está detrás de un cortafuegos. • Clientes Direct Access: Pueden ser clientes internos y externos. Cuando son externos, se abre la VPN IPSec. Cuando son internos, no se abre la VPN y el acceso a los recursos es directo. La apertura de la VPN será automática sin que intervenga el usuario. Para esto, se necesita un método de localización para saber si el cliente está dentro o fuera. se denomina Network Location Server (NLS). • Network Location Sever: Es un servidor web al que los clientes se conectan vía HTTP. Los clientes reciben el certificado SSL del servidor y eso les permite saber si están fuera o dentro de la red. NLS sólo es accesible desde la LAN. Si el cliente no recibe el certificado, sabe que está fuera de la red. En nuestro laboratorio será también LON-RTR. • Directorio Activo: Proporciona la infraestructura necesaria para la distribución de GPOs, certificados y autenticación. Si usamos el asistente de Direct Access, se crean 2 GPOs, una para los clientes DA y otra para el servidor DA. • PKI: Es opcional, a no ser que queramos usar clientes Windows 7 o tengamos necesidades específicas de configuración, como la prohibición de usar certificados autoafirmados. • DNS: Permite la localización de recursos, entre ellos el NLS. Este DNS estará accesible sólo para los equipos en la LAN. Los clientes Direct Access no lo "verían" cuando están fuera de la red. Para resolver este problema, se utiliza NRPT. (Network Resolution Policy Table). • Recursos Internos: Servidores web, de archivos, de impresión, ... que están en la LAN. • NAP: Es un componente opcional. En este caso tendríamos que llevar a cabo la configuración avanzada de Direct Access, no está disponible la integración con NAP en el asistente. Nuestro laboratorio: Opciones de Implementación. Direct Access permite diferentes entornos de implementación: • Múltiples Extremos (Endropoints): Podemos tener múltiples DA Server en la empresa, por ejemplo, uno en cada sucursal. Direct Access redirigirá al cliente al servidor más cercano. Direct Access se suele combinar con DFS (Distributed File System). • Múltiples Dominios Bosques: Es posible implementar Direct Access en entornos de múltiples dominios y bosques. • Despliegue detrás de NAT. Podemos evitar el uso de direcciones IP pública si el DA Server está detrás de un NAT. • Soporte OTP Smartcards: OTP (One Time Password). También soporta autenticación de doble factor. • Soporta NIC Teaming • Soporta despliegue offline usando djoin.exe. Protocolos de Tunnelling en Direct Access. MCSA 70-411 página 3 Protocolos de Tunnelling en Direct Access. Direct Access no exige entornos nativos IPv6, pero requiere IPv6 para funcionar. Para resolver esto, usa diferentes protocolos de tunnelling de IPv6 en IPv4 según el escenario de uso. • • • • ISATAP: Se utiliza cuando los clientes tienen direcciones IP privadas y el servidor tiene direcciones IP pública. ISATAP no soporta NAT. 6to4: Se utiliza cuando tanto los clientes como el servidor tiene IPs públicas. Teredo: Se utiliza cuando los clientes están detrás de NAT. IP-HTTPS: Se utiliza cuando los 3 métodos anteriores fallan, por ejemplo restricciones de cortafuegos. Métodos de conexión Direct Access. Conexión para equipos en la LAN: 1.- El DA Client intenta resolver la FQDN del NLS. Intenta resolverlo con el DNS de la LAN. 2.- El DNS le responde con la IP del NLS. 3.- El DA Client se conecta al NLS (servidor HTTPS) y descarga su certificado SSL. 4.- El DA Client comprueba el certificado del NLS en la CRL. 5.- Si el certificado es válido, el DA Client sabe que está en la red local y no abre la VPN. 6.- El DA Client usa el DNS de la LAN para acceder a los recursos internos. Funciona como otro equipo de la LAN. Conexión para equipos fuera de la LAN: 1.- El DA Client intenta resolver la FQDN del NLS. Intenta resolverlo con el DNS de la LAN. 2.- No tiene acceso al DNS de la LAN y el DNS del ISP no podrá resolver el FQDN del NLS. 3.- El DA Client no puede obtener el certificado y sabe que está fuera de la red LAN. 4.- El DA Client usa las reglas de NRPT para localizar el servidor DA Server más cercano. 5.- Abre la VPN con el DA Server más cercano. 6.- El DA Client ya tiene acceso al DNS de la LAN. Configuración de DirecAccess usando el Asistente. Requisitos previos: • Debe estar funcionando y accesible los DCs de todos los dominios que tenemos configurados. LON-DC1 y LON-SRV2. Los 2 estarán en VMNet2. ○ LON-DC1: 192.168.10.10 ○ LON-SRV2: 192.168.10.70 • Las NICs deben tener habilitado IPv6. • LON-CL3 unido al dominio y en VMNet2 con la IP 192.168.10.151/24. Es necesario para que reciba la GPO de los DA Clients. • Por defecto, la GPO de DA Client se asigna a todos los equipos del dominio. Lo cambiaremos y sólo aplicaremos esta GPO a un grupo de equipos que llamaremos DA_Clients. El único miembro de este grupo será LON-CL3. • La interfaz "externa" (VMNet3) de LON-RTR (DA Server) debe tener una dirección IP pública (80.168.20.1/24) Creamos esta estructura para más adelante filtrar por grupo. No es necesario imitar esta organización es para tenerlo todo un poco ordenado. Entramos en la consola desde LON-RTR: Si a la izquierda no aparece Direct Access hay que reinstalar el rol de Remote Access completo (requiere reinicio). Vamos a utilizar primero el primer asistente. MCSA 70-411 página 4 Vamos a utilizar primero el primer asistente. Y desplegamos sólo Direct Access Si ponemos una IP privada sale ese error, diciendo que necesitamos una IP pública. Hemos cambiado en LON-RTR la VMNet3 con la IP 80.168.20.1 para que sea pública MCSA 70-411 página 5 Ponemos la IP pública. Queremos que se le aplique las directivas solo al grupo que hemos creado DA Clients Para eso pulsamos en Here MCSA 70-411 página 6 Cambiamos a los equipos a los que se aplica. Así viene por defecto. Borramos el grupo Domain Computer y añadimos a DA_Clients También desmarcamos ese check para que no se aplique a los ordenadores móviles. MCSA 70-411 página 7 De la siguiente pantalla no tocamos nada. Si tuviéramos varias conexiones podríamos cambiar el nombre de Workplace Connection para identificarla. También podríamos añadir el correo electrónico en la casilla justo de arriba (Helpdesk email address) Finalizamos y pulsamos ok. MCSA 70-411 página 8 Y cambia la pantalla. Nos muestra el entorno que ha creado DirectAccess. Aquí muestra la monitorización. Si vamos LON-DC1 vemos que nos ha creado 2 GPOs. Una que solo se aplica al grupo de DA_Clients MCSA 70-411 página 9 Y otra que solo se aplica al RTR Vemos que en LON-RTR ya se está aplicado, pero tenemos que reiniciar para que se aplique de verdad. Hacemos un gpupdate /force y reiniciamos la maquina Ahora entramos en LON-CL3 para forzar la aplicación de la GPO. MCSA 70-411 página 10 En LON-DC1 vamos a ver qué es lo que ha hecho cada una de esas directivas. Tras reiniciar LON-RTR entramos en Remote Access para ver la configuración. Y vemos que todo está ok. Vamos a ver si está funcionando el Direct Access desde LON-CL3 Ponemos ese comando y vemos que aparece "dentro de la red corporativa" y "configurado y deshabilitado" eso es que se está aplicando. MCSA 70-411 página 11 Hay otro comando del netsh para ver si está o no configurado, pero es menos fiable que el comando anterior. Tenemos comando de Powershell. Si ponemos GET-DA aparece comandos relacionados con DirectAccess. Por ejemplo: Cambiamos la dirección IP de LON-CL3 por una IP pública y cambiamos a la VMNet3 (Internet), tiene que tener conexión al menos con el router. Y ahora nos dice que está fuera de red, configurado y habilitado. MCSA 70-411 página 12 Si hacemos un ipconfig vemos que nos da 2 IPv6, uno para autenticarse y otro para el tráfico de usuario. Ahora tendríamos que configurar la parte avanzada para que funcione todo correctamente. ----------------------------------------------------------------------------------------------------------------------------------------------2 formas de desplegar Direct Access. Despliegue rápido usando el Getting Started Wizard. Despliegue avanzado usando el asistente de setup de Remote Access. Hasta ahora hemos usado el primero con las siguientes MVs: LON-DC1: Sólo funciona como DC. LON-RTR: Funciona como servidor Direct Access. LON-SRV2: Es un DC en contoso.com, aunque podría apagarse. LON-CL3: Cliente Direct Access con Windows 8.1 Enterprise. Parte de la configuración de este asistente rápido es la creación de GPOs en el dominio, tanto para servidores como para clientes Direct Access. NOTA: Diffie-Hellman con el asistente utiliza el "Group 2" Para Encriptar utiliza "AES-128" (128 bits). Para Integridad utiliza "MD5" MCSA 70-411 página 13 ESP: Encapsulation Security Payload (cifrado) AH: Authentication Header. (Sin cifrar) NLS: Network Location Server. Servidor que , si es accesible por el cliente, indica que este cliente está en la intranet. Si no es accesible para el cliente, indica que este cliente está fuera de la intranet y debe abrir el túnel Direct Access. Es un servidor HTTPS con un certificado autofirmado (en el caso de Getting Started Wizard). El cliente descarga el certificado y comprueba su validez. Si no puede descargarlo, es que se encuentra fuera de la intranet. OJO con esto: Deberia usar el DirectAccess-IPHTTPS pero como ya teníamos montada la PKI está usando el certificado de LON.RTR.adatum.com a veces el asistente se “lía” Limitaciones del asistente “Getting Started Wizard” No se puede usar en varias localizaciones por los certificados Certificados autofirmados no permite que se utilicen en varios sitios a la vez. La GPO solo indica un servidor en el que conf iar. El ultimo sitio que creara la GPO seria en el que confiaran los equipos ya que se machaca cada vez que se crea. Obligaría a que el CRL (Certificate Revocation List) este accesible desde el exterior. Si tenemos clientes con Windows 7 tampoco se puede usar porque no soportan certificados auto firmados. No te deja elegir donde está el servidor IIS para NLS (Network Location Server) para los certificados lo que implica que todo el mundo debería tener acceso a él, por obligación el NLS estará en el Servidor DirectAccess. Para saltarnos las limitaciones de Getting Started Wizard (no permite múltiples sitios ni tampoco Windows 7, tampoco permite elegir dónde instalar el NLS), tenemos que recurrir a la configuración Avanzada de Direct Access. MCSA 70-411 página 14 La configuración Avanzada de Direct Access también hace uso de un asistente: Remote Access Setup. El asistente Intermedio: Ventajas del Remote Access Setup. Podemos usar una PKI que tengamos en la empresa, lo que permite alta disponibilidad y escalabilidad. Podemos elegir dónde colocar el NLS y también si queremos tener varios para redundancia y alta disponibilidad. Podemos usar certificados firmados por una CA confiable para aplicarlos en equipos con Windows 7. Integrar una PKI existente con DirectAccess: 1. Crear un CA o usar una que ya existe. 2. En la CA crear una plantilla de certificado para servidor Web (la misma que hemos creado en otro ejercicio para HTTPS con SSL ) 3. La CA contendrá la CRL, o bien podemos instalar la CRL en otro servidor y publicar los certificados. 4. Distribuir los certificados a los clientes. Un método de distribución son las GPOs. La diferencia entre las 2 opciones son las reglas que se crean en el cortafuegos. (Más o menos restrictivas) (No guardaremos los cambios). Seleccionamos la 2ª opción. El primero permite el acceso a la red interna. El segundo no permite el acceso a la red interna pero si le aplicaría actualizaciones de GPOs, etc. MCSA 70-411 página 15 Si queremos habilitar la opcion de equipos mobiles, por ejemplo que un trabajador se lleve el portatil a casa y se pueda conectar, marcamos la primera casilla. Este es el asistente de conexión, intenta conectarse para ver si hay conectividad. MCSA 70-411 página 16 Si vamos a LON-CL3 vemos que tiene creada la conexión DirectAccess (Workplace Connection que es como la hemos llamado) Tambien podemos cambiar opciones del servidor. Pero no nos deja cambiar la topología. MCSA 70-411 página 17 Direct Access Server Network Topologies: Edge: (2 adaptadores de red): Una conectada a internet y otra a la intranet. Red Local Internet ------------- DA Server ---------Una tarjeta está conectada directamente a Internet y la otra a la Intranet. Behind an edge device (2 adaptadores de red). Red perimetral. ○ Una tarjeta se conecta a la intranet y otra a un firewall en la red perimetral. ○ No tiene conexión directa con Internet. Es intermediario para acceder a la red local. Red Local Red Perimetral Internet ----------- DA Server --------- Firewall ------- Behind an edge device (1 adaptador de red). Red Interna. ○ Está solamente conectado a la red local y atiende peticiones de DA a través del firewall de la red. Red Local Da Server ------ Switch ----- Red Perimetral ------ Firewall ------------- Management Server: DC System Center MCSA 70-411 página 18 Internet MCSA 70-411 página 19 Aquí podemos elegir quien administra DirectAccess. Puede ser un DC o System Center. MCSA 70-411 página 20 Network Location Server (NLS) Parte de la configuración Avanzada de Direct Access es diseñar la implementación del servidor NLS. Podemos instalar el servidor NLS en cualquier equipo que cumpla lo siguiente: Servidor web con un certificado válido para HTTPS. Debe ser accesible para todos los clientes Direct Access internos. Todos los clientes internos deben confiar en la CA que ha emitido el certificado para HTTPS Debería configurarse en alta disponibilidad. ○ Usar NLB (Network Load Balancing). Varios servidores web que atienden todos la misma URL. SCCM: System Center Configuration Manager. Aplicar actualizaciones Aplicar GPOs Despliegue de aplicaciones Modificaciones en la imagen usando DISM Active o desactive roles. …. SCO (Orchestrator) SCVMM (Virtual Machine Manager) SCOM (Operation Manager) SCDPM (Data Potection Manager) Metodología de Diagnostico de Fallos en DA. MCSA 70-411 página 21 Metodología de Diagnostico de Fallos en DA. • Comprobar que los sistemas operativos usados son compatibles con DA. Server: Windows Server 2008 R2 + Clientes: Windows 7 (no para el Getting Started), Windows 8.1 Enterprise. • • • • • • Los equipos cliente deben ser miembros del dominio. Comprobar que el servidor y los clientes han recibido y están aplicando las GPOs que les corresponden (gpresult /r). El cliente debe tener una IPv6 Global. El cliente debe alcanzar la IPv6 del servidor Direct Access. La red local debe tener directiones IPv6 Globales. Comprobar que la máquina cliente determina correctamente si está fuera o dentro de la red (netsh dns show state) • Comprobar que las reglas del Firewall se han creado correctamente. • Comprobar que los clientes pueden comunicarse con los servidores DNS internos. CMAK: Es una herramienta que permite crear archivos ejecutables (que luego podemos desplegar mediante GPOs) para configurar conexiones (VPN, Escritorio Remoto, …) en los equipos cliente. Tipos de VPN. Acceso Remoto: Un usuario móvil necesita acceder a los recursos de una red local estando en el exterior. Es el cliente el que "abre" la VPN. Sitio a Sitio: Queremos unir 2 (o más) redes locales de forma segura usando infraestructura pública. La VPN está permanentemente abierta. IMPORTANTE los puertos!! MCSA 70-411 página 22 Protocolo de Tunnelling. PPTP: Point to Point Tunelling Protocol: Puede usarse para cualquier tipo de VPN. Es el menos seguro. Soportado por prácticamente cualquier dispositivo. No aporta integridad de los datos. El protocolo de transporte es TCP y el puerto usado es el 1723. L2TP (Layer 2 Tunelling Protocol): Es un protocolo que permite encapsular cualquier protocolo de capas superiores para que vi aje por un enlace punto a punto (Frame Relay, ATM, …). La seguridad se obtiene cuando se asocia con IPSec en Modo Transporte (L2TP/IPSec). Soportado por los sistemas operativos Windows desde XP y Windows Server 2003. SSTP (Secure Socket Tunelling Protocol): Usa el puerto 443 (HTTPS, SSL) para encapsular todo el tráfico. IKE v2 (Internet Key Exchange): Indicado sobre todo cuando los clientes necesitan movilidad. Soportado a partir de Windows 7 y Windows 2008. Protocolo de Autenticación. PAP (Pasword Authentication Protocol): Es el más débil y la autenticación se hace en plano. CHAP (Challenge Authentication Protocol): Para evitar enviar en la red la contraseña, usa un mecanismo de desafío. El princip al inconveniente es que requiere almacenar la password en modo reversible. MS-CHAPv2: Mejora de CHAP en el que la contraseña ya no se tiene que almacenar en modo reversible. EAP (Extensible Authentication Protocol): Marco de autenticación que soporta sistemas de autenticación biométricos, dos factores, tarjetas inteligentes, certificados, … VPN Reconnect. Es una característica disponible desde Windows Server 2008 R2 y Windows 7. Si la conexión VPN se cierra por un problema de conectividad, se abre automáticamente cuando se recupera la conectividad. Un ejemplo es un usuario móvil en una red corporativa WiFi formada por múltiples APs. Al pasar de un AP a otro (roaming), el usuario perdería la conectividad momentáneamente y tendría que volver a abrir manualmente la VPN. VPN Reconnect se encarga de volver a abrir sin interacción por parte del usuario. Requiere del uso de IKE v2 y certificados, para lo que será necesario contar con una PKI. Ejercicio: -------------------------------------------------------------------------------------------------------------------------------------------------------------------------------Configurar una VPN usando el Getting Started Wizard de Remote Access Management. Configurar una VPN SSTP (solo utiliza el puerto 443) Primero deberíamos desmontar el DirectAccess que tenemos creado. Entramos LON-RTR y eliminamos primero la configuración. MCSA 70-411 página 23 Entramos LON-RTR y eliminamos primero la configuración. Ahora entramos en LON-DC1 y si no quiero eliminar las GPOs bastaría con desenlazarlas, en principio las elimina automáticamente, pero puede haber perdido la conexión y lo haríamos nosotros. En este caso lo ha hecho automáticamente. Vamos a LON-RTR para configura una VPN (Remote Access Setup) MCSA 70-411 página 24 En LON-RTR pulsamos con el botón derecho y configuramos la VPN. MCSA 70-411 página 25 Damos el rango de direcciones IP que queremos que reparta MCSA 70-411 página 26 MCSA 70-411 página 27 Ponemos LON-RTR que es quien tiene el certificado. Para configurar una SSTP necesitamos un certificado. MCSA 70-411 página 28 MCSA 70-411 página 29 Y con esto ya tendríamos configurado el servidor VPN Nos falta por configurar el cliente VPN (LON-CL3). Entramos en Panel de Control Instalamos CMAK en el cliente para crear el .exe de configuración de la VPN para ejecutarlo por políticas en todos los equipos. MCSA 70-411 página 30 Ponemos vpnadatu porque como máximo son 8 caracteres. MCSA 70-411 página 31 No vamos a trabajar con diferentes dominios, Dejamos marcada la de NO No tenemos perfiles que agregar. MCSA 70-411 página 32 Creamos una libreta de direcciones para este perfil (marcamos la primera casilla). Y le damos la IP del servidor VPN MCSA 70-411 página 33 Podemos editar las propiedades de la VPN Cambiamos el tipo de protocolo que vamos a utilizar, hemos creado la VPN con el protocolo SSTP por lo que el cliente tiene que utilizar el mismo. MCSA 70-411 página 34 Aceptamos y Siguiente. Desmarcamos la descarga automática de la libreta de teléfonos. MCSA 70-411 página 35 No tenemos proxy. MCSA 70-411 página 36 No queremos cambiar el logotipo. MCSA 70-411 página 37 MCSA 70-411 página 38 Cuando accedes a VPN entras en un sitio confidencial, puedes poner que acepte el acuerdo , etc… MCSA 70-411 página 39 Pulsamos Siguiente (crea el archivo) y Finalizar Esta es la ruta donde está el archivo MCSA 70-411 página 40 Ejecutamos el archivo Y nos crea un acceso directo en el escritorio MCSA 70-411 página 41 Ponemos una IP pública y la tarjeta en al VMNet3 Intentamos conectar pero no podemos porque tenemos que crear el certificado correspondiente. Entramos en LON-DC1 para crear el certificado. MCSA 70-411 página 42 Pulsamos con el botón derecho y a duplicar Cambiamos el nombre y le ponemos SSTP VPN MCSA 70-411 página 43 MCSA 70-411 página 44 Y ya aparece en plantillas. Abrimos en el router una mmc y añadimos el certificado MCSA 70-411 página 45 Pedimos el nuevo certificado. Modificamos esas opciones. MCSA 70-411 página 46 Modificamos esas opciones. Lo añadimos y aplicamos Al hacer esa modificación a nos deja marcar SSTP VPN y se habilita Enroll MCSA 70-411 página 47 MCSA 70-411 página 48
Documentos relacionados
70-411 - Modulo 8
Multiples Extremos (Endpoints): Podemos tener multiples DA Servers en la empresa, Por ejemplo, uno en cada sucursal. Direct Access redirigira al cliente al servidor mas cercano. Direct Access se su...
Más detalles