none
Problemas con DirectAccess en Windows 2012 Server RRS feed

  • Pregunta

  • Muy buenas compañeros, estoy intentando de probar el nuevo soporte para directaccess, y no logro finalizar el wizard.

    Mi maquina de pruebas es un Hyper-V con guest  Server 2012 Datacenter, este esta haciendo las funciones de todo en uno. (DNS,DC, ISS, y Directaccess).

    He usado el wizard por defecto, crea todas las entradas en el DNS, crea los certificados, habilita el espacio en el ISS, exporta los clientes a los equipos win8 que añado en el grupo. Todo menos que da fallo critico en el Network Location Server (url availability). Le he dado ya algunas vueltas pero no doy con la "tecla".

    Alguna sugerencia.

    miércoles, 10 de abril de 2013 8:40

Respuestas

  • Para los mas noveles como yo...

    Recordar que directaccess no esta soportado en las versiones Windows 8 professional (como es mi caso) necesitamos enterprise.

    Para ese caso crea la VPN dando prioridad a los tuneles SSTP. Para ello se puede exportar la configuracion generando un msi que luego se puede ejecutar en las maquinas clientes

    Tras el wizard algo que no deja hecho y es necesario es activar en las cuentas de usuario con las que se vaya a registar en la VPN.

    Si esto no se realiza lanzara error:691

     La pestaña "Dial In" esta por defecto en controlar por NPS, si no lo teneis activo como es mi caso, recordar de pasarlo a "allow access"

    jueves, 11 de abril de 2013 21:00

Todas las respuestas

  • Hola Ignacio, te comento para que revises uno de los puntos que, por lo menos a mí, me ha dado bastante trabajo, entiendo que lo estás haciendo en ambiente de laboratorio ¿si? ¿son virtuales?

    Me refiero al diagrama que he utilizado en: Windows Server 2012: DirectAccess Paso a Paso, Sencillo y Fácil | WindowServer:
    http://windowserver.wordpress.com/2012/11/02/windows-server-2012-directaccess-paso-a-paso-sencillo-y-fcil/

    Lo que me ha costado bastante es hacer creer al servidor DirectAccess (máquina virtual) que realmente era un "Edge" server. Para poder lograrlo no sólo debía tener una dirección IP pública, sino que además detectaba si tenía acceso a Internet, aunque el cliente se conectaba desde la "Internet simulada" ¿realmente te ha habilitado la opción "Edge Server"?

    ¿En qué máquina da el fallo de NLA? ¿el DirectAccess server? ¿o el cliente?

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    miércoles, 10 de abril de 2013 11:26
    Moderador
  • Mi esquema es bastante mas sencillo que el tuyo que expones. Yo parto de la opcion "behind an edge device" es decir estoy detras de un router haciendo NAT con todos los puertos mapeados hacia este server. Asi que nada mas tiene una direccion ip privada en la unica ethernet que tiene.

    Como he comentado la misma maquina, hace de DC, ISS,Directaccess. La maquina donde falla el NLS es en el mismo DirectAccess. 

    Aparece el fallo en el Remote Access Dashboard en el "Operation Status". 

    Un saludo! y gracias por tu pronta repuesta.


    • Editado Ignacio Sabido miércoles, 10 de abril de 2013 12:18 correcion
    miércoles, 10 de abril de 2013 12:17
  • Cosas de windows... y como novato de excasos recursos... he desinstalado el role completo de ISS y DA, he vuelto a instalar he seguido el wizard y ya al menos tengo todos los cheking en verde tendre que probar ya con un cliente remoto.

    Gracias por tu interes y el de todos.

    miércoles, 10 de abril de 2013 14:38
  • Para los mas noveles como yo...

    Recordar que directaccess no esta soportado en las versiones Windows 8 professional (como es mi caso) necesitamos enterprise.

    Para ese caso crea la VPN dando prioridad a los tuneles SSTP. Para ello se puede exportar la configuracion generando un msi que luego se puede ejecutar en las maquinas clientes

    Tras el wizard algo que no deja hecho y es necesario es activar en las cuentas de usuario con las que se vaya a registar en la VPN.

    Si esto no se realiza lanzara error:691

     La pestaña "Dial In" esta por defecto en controlar por NPS, si no lo teneis activo como es mi caso, recordar de pasarlo a "allow access"

    jueves, 11 de abril de 2013 21:00
  • Hola Ignacio, a ver si me puedes aclarar algunas cosas, y aprendo algo más yo :-)

    La idea de DirectAccess es justamente no hacer una VPN propiamente dicha, sino que en realidad se arman dos tuneles IPSec

    Y la conexión de DirectAccess es independiente del usuario, con que la máquina esté prendida y con conectividad a Internet ya se tiene que establecer la conexión, por lo tanto no hace falta autorizar al usuario (Dial In)

    ¿Me puedes aclarar el tema? Gracias

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    viernes, 12 de abril de 2013 11:38
    Moderador
  • Por supuesto que te intento aclarar, es para mi un honor, aportar mi granito de arena. Toda tu duda, viene mas bien porque con anterioridad no he sabido explicarme. Lo aclaro...

    Cuando configuras por el wizard con la opcion de Directaccess + VPN, la idea es que los equipos que no son compatibles con directaccess (que funciona como bien has explicado) puedan acceder a traves de una conexion de VPN tradicional. Es por ese el motivo que en mi caso al probar desde clientes Windows 8 PRO, he tenido que activar el dial-in al no disponer de soporte directacces y tener que enganchar por VPN.

    Un saludo!

    viernes, 12 de abril de 2013 20:56
  • Ahora si :-)

     


    Guillermo Delprato - Buenos Aires, Argentina
    Visite Windows Server - Todos los Paso a Paso
    MVP [Directory Services] - MCT - MCSE - MCSA
    MAP - MCC - MCSA Windows Server 2012
    MCSA Windows Server 2008 MCITP: Enterprise Administrator / Server Administrator
    MCTS: Active Directory / Network Configuration / Applications Configuration / Server Virtualization / Windows 7 Configuration / Windows 7 & Office 2010 Deployment / Vista Configuration
    Este mensaje se proporciona "como está" sin garantías de ninguna clase. Usted asume todos los riesgos.

    sábado, 13 de abril de 2013 13:26
    Moderador