Deploy a Single DirectAccess Server with Advanced Settings

Artigo
08/03/2016

Aplica-se a: Windows Server 2012 R2, Windows Server 2012

Este tópico fornece uma introdução ao cenário do DirectAccess que usa um único servidor de DirectAccess e permite implantar o DirectAccess com configurações Avançadas.

Você também pode implantar os ambientes de DirectAccess Básico e DirectAccess para Empresa. Para obter informações sobre caminhos de implantação alternativos, consulte Caminhos de implantação do DirectAccess no Windows Server.

Para configurar uma implantação básica apenas com configurações simples, consulte Implantar um único servidor de DirectAccess usando o Assistente de Introdução. No cenário simples, o DirectAccess é configurado com definições padrão usando um assistente, sem exigir a configuração de definições de infraestrutura, como uma AC (autoridade de certificação) ou grupos de segurança do Active Directory.
Para configurar o DirectAccess com recursos de rede corporativa, como um cluster com balanceamento de carga, implantação multissite ou autenticação de cliente de dois fatores, conclua o cenário descrito neste tópico para configurar um único servidor e implemente o cenário corporativo descrito em Implantar o Acesso Remoto em uma Empresa.

Importante

Para implantar o DirectAccess usando este guia, você deve usar um servidor do DirectAccess executando o Windows Server ® 2012 R2 ou o Windows Server ® 2012.

Neste cenário

Para configurar um servidor único de DirectAccess com configurações avançadas, será necessário concluir diversas etapas de planejamento e implantação.

Pré-requisitos

Antes de começar, analise os requisitos a seguir.

O Firewall do Windows deve estar habilitado em todos os perfis.
O servidor DirectAccess é o servidor de local de rede.
Você deseja que todos os computadores sem fio no domínio onde o servidor DirectAccess foi instalado estejam habilitados para o DirectAccess. Quando você implanta o DirectAccess, ele fica habilitado automaticamente em todos os computadores móveis no domínio atual.

Importante

Algumas tecnologias e configurações não são compatíveis ao implantar o DirectAccess.

O protocolo ISATAP não é compatível na rede corporativa. Se você estiver usando o ISATAP, deverá removê-lo e usar o IPv6 nativo.

Etapas de planejamento

O planejamento está dividido em duas fases:

Planejando para a infraestrutura do DirectAccess. Esta fase descreve o planejamento necessário para configurar a infraestrutura de rede antes de começar a implantação do DirectAccess. Ela inclui planejar a topologia de rede e servidor, o planejamento de certificados, o DNS, a configuração do Active Directory e do GPO (Objeto de Política de Grupo) e o servidor de local de rede do DirectAccess.
Planejando a implantação do DirectAccess. Esta fase descreve as etapas de planejamento necessárias para preparar a implantação do DirectAccess. Ela inclui o planejamento para computadores cliente de DirectAccess, requisitos de autenticação de servidor e cliente, configurações de VPN, servidores de infraestrutura e servidores de gerenciamento e de aplicativos.

Para obter etapas detalhadas de planejamento, consulte Planejar uma implantação avançada do DirectAccess.

Etapas de implantação

A implantação está dividida em três fases:

Configurando a infraestrutura do DirectAccess. Esta fase inclui a configuração da rede e do roteamento, das definições de firewall se necessário, de certificados, de servidores DNS, das definições do Active Directory e do GPO e do servidor de local de rede do DirectAccess.
Definindo as configurações do servidor do DirectAccess. Esta fase inclui etapas para configurar os computadores cliente de DirectAccess, o servidor do DirectAccess, os servidores de infraestrutura e os servidores de gerenciamento e de aplicativos.
Verificando a implantação. Esta fase inclui etapas para verificar a implantação do DirectAccess.

Para etapas detalhadas de implantação, consulte Instalar e configurar o DirectAccess avançado.

Aplicações práticas

A implantação de um só servidor de DirectAccess oferece:

Facilidade de acesso. Computadores cliente gerenciados que executam o Windows ® 8.1, Windows® 8, e Windows ® 7 podem ser configurados como computadores cliente do DirectAccess. Esses clientes podem acessar os recursos da rede interna por meio do DirectAccess sempre que estiverem localizados na Internet sem precisar fazer logon em uma conexão VPN. Computadores cliente que não executam um desses sistemas operacionais podem se conectar à rede interna por meio de VPN.
Facilidade de gerenciamento. Os computadores cliente do DirectAccess localizados na Internet podem ser gerenciados remotamente por administradores de Acesso Remoto pelo DirectAccess, mesmo quando não estão localizados na rede corporativa interna. Os computadores cliente que não atendem aos requisitos corporativos podem ser corrigidos automaticamente por servidores de gerenciamento. O DirectAccess e a VPN são gerenciados no mesmo console e com o mesmo conjunto de assistentes. Além disso, um ou mais servidores de DirectAccess podem ser gerenciados em um único console de Gerenciamento de Acesso Remoto.

Funções e recursos requeridos para este cenário

A tabela a seguir lista funções e recursos necessários para este cenário:

Função/recurso	Como este cenário tem suporte
Função Acesso Remoto	A função é instalada e desinstalada usando o console de Gerenciador do Servidor ou o Windows PowerShell. Esta função abrange o DirectAccess e o RRAS (Serviços de Roteamento e Acesso Remoto). A função Acesso Remoto consiste em dois componentes: DirectAccess e VPN de RRAS — O DirectAccess e a VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto. Roteamento de RRAS — Os recursos de roteamento de RRAS são gerenciados no console de Roteamento e Acesso Remoto legado. A função de servidor Acesso Remoto depende dos seguintes recursos/funções de servidor: Servidor Web de IIS (Serviços de Informações da Internet) – este recurso é necessário para configurar o servidor de local de rede e o servidor de DirectAccess, além da investigação da Web padrão. Banco de Dados Interno do Windows — Utilizado para contabilidade local no servidor do DirectAccess.
Recurso Ferramentas de Gerenciamento de Acesso Remoto	Este recurso é instalado da seguinte maneira: Ele é instalado por padrão em um servidor de DirectAccess quando a função Acesso Remoto está instalada e dá suporte à interface do usuário do console de Gerenciamento Remoto e aos cmdlets do Windows PowerShell. Ele pode ser instalado opcionalmente em um servidor que não esteja executando a função de servidor de DirectAccess. Neste caso, ele é usado para gerenciamento remoto de um computador de Acesso Remoto que executa o DirectAccess e VPN. O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste em: GUI (interface gráfica do usuário) do Acesso Remoto Módulo de Acesso Remoto para o Windows PowerShell As dependências incluem: Console de gerenciamento de política de grupo Kit de Administração do Gerenciador de Conexões RAS (CMAK) Windows PowerShell 3.0 Ferramentas e Infraestrutura de Gerenciamento Gráfico

Função Acesso Remoto

A função é instalada e desinstalada usando o console de Gerenciador do Servidor ou o Windows PowerShell. Esta função abrange o DirectAccess e o RRAS (Serviços de Roteamento e Acesso Remoto). A função Acesso Remoto consiste em dois componentes:

DirectAccess e VPN de RRAS — O DirectAccess e a VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto.
Roteamento de RRAS — Os recursos de roteamento de RRAS são gerenciados no console de Roteamento e Acesso Remoto legado.

A função de servidor Acesso Remoto depende dos seguintes recursos/funções de servidor:

Servidor Web de IIS (Serviços de Informações da Internet) – este recurso é necessário para configurar o servidor de local de rede e o servidor de DirectAccess, além da investigação da Web padrão.
Banco de Dados Interno do Windows — Utilizado para contabilidade local no servidor do DirectAccess.

Recurso Ferramentas de Gerenciamento de Acesso Remoto

Este recurso é instalado da seguinte maneira:

Ele é instalado por padrão em um servidor de DirectAccess quando a função Acesso Remoto está instalada e dá suporte à interface do usuário do console de Gerenciamento Remoto e aos cmdlets do Windows PowerShell.
Ele pode ser instalado opcionalmente em um servidor que não esteja executando a função de servidor de DirectAccess. Neste caso, ele é usado para gerenciamento remoto de um computador de Acesso Remoto que executa o DirectAccess e VPN.

O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste em:

GUI (interface gráfica do usuário) do Acesso Remoto
Módulo de Acesso Remoto para o Windows PowerShell

As dependências incluem:

Console de gerenciamento de política de grupo
Kit de Administração do Gerenciador de Conexões RAS (CMAK)
Windows PowerShell 3.0
Ferramentas e Infraestrutura de Gerenciamento Gráfico

Requisitos de hardware

Os requisitos de hardware para este cenário incluem o seguinte:

Requisitos de servidor:
- Um computador que atenda aos requisitos de hardware do Windows Server 2012.
- O servidor deve ter pelo menos um adaptador de rede instalado, habilitado e conectado à rede interna. Quando são usados dois adaptadores, um deles deve estar conectado à rede corporativa interna e o outro, à rede externa (Internet ou rede privada).
- Se for necessário Teredo como um protocolo de transição de IPv4 para IPv6, o adaptador externo do servidor exigirá dois endereços IPv4 públicos consecutivos. Se um único endereço IP estiver disponível, apenas IP-HTTPS poderá ser usado como o protocolo de transição.
- Pelo menos um controlador de domínio. O servidor do DirectAccess e os clientes do DirectAccess devem ser membros do domínio.
- Uma AC (autoridade de certificação) é necessária se não desejar utilizar certificados autoassinados para IP-HTTPS ou servidor de local de rede, ou se desejar utilizar certificados de cliente para autenticação IPsec do cliente. Você também pode solicitar certificados de uma AC pública.
- Se o servidor de local de rede não estiver localizado no servidor de DirectAccess, será necessário um servidor Web isolado para executá-lo.
Requisitos do cliente:
- Um computador cliente deve estar executando o Windows 8 ou o Windows 7.
  
  Dica
  
  Somente os seguintes sistemas operacionais podem ser usados como clientes do DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate Edition.
Requisitos do servidor de infraestrutura e gerenciamento:
- Durante o gerenciamento remoto de computadores cliente do DirectAccess, os clientes iniciam as comunicações com os servidores de gerenciamento como controladores de domínio, Servidores de Configuração do System Center e servidores de Autoridade de Registro de Integridade (HRA) para serviços que incluem atualizações do Windows e de antivírus e conformidade de cliente de Proteção de Acesso à Rede (NAP). Os servidores necessários devem ser implantados antes de começar a implantação do Acesso Remoto.
- Se o Acesso Remoto exigir conformidade de NAP do cliente, os servidores NPS e HRS deverão ser implantados antes do início da implantação de acesso remoto
- Se o VPN estiver habilitado, um servidor DHCP será necessário para alocar automaticamente os endereços IP a clientes VPN, se um pool de endereços estáticos não for usado.

Requisitos de software

Há diversos requisitos para este cenário:

Requisitos de servidor:
- O servidor do DirectAccess deve ser um membro do domínio. O servidor pode ser implantado na borda da rede interna, ou atrás de um firewall de borda ou outro dispositivo.
- Se o servidor do DirectAccess estiver localizado atrás de um firewall de borda ou dispositivo NAT, o dispositivo deverá ser configurado para permitir o tráfego de/para o servidor de DirectAccess.
- A pessoa que implanta o acesso remoto no servidor precisa de permissões de administrador local no servidor e permissões de usuário de domínio. Além disso, o administrador precisa de permissões para os GPOs utilizados na implantação do DirectAccess. Para aproveitar os recursos que restringem a implantação do DirectAccess somente a computadores móveis, são necessárias permissões para criar um filtro WMI no controlador de domínio.
Requisitos de cliente de Acesso Remoto:
- Os clientes do DirectAccess devem ser membros do domínio. Os domínios que contiverem clientes podem pertencer à mesma floresta do servidor do DirectAccess, ou ter uma relação de confiança bidirecional com o domínio ou a floresta de servidor DirectAccess.
- Um grupo de segurança do Active Directory é necessário para conter os computadores que serão configurados como clientes do DirectAccess. Se um grupo de segurança não for especificado ao configurar as definições de cliente do DirectAccess, por padrão o GPO do cliente será aplicado em todos os computadores laptop no grupo de segurança de Computadores de Domínio. Somente os seguintes sistemas operacionais podem ser usados como clientes do DirectAccess: Windows Server 2012 R2, Windows 8.1 Enterprise, Windows Server 2012, O Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise, e Windows 7 Ultimate Edition.
  
  Dica
  
  É recomendado criar um grupo de segurança para cada domínio que contém computadores cliente do DirectAccess.
  
  Importante
  
  Se você habilitou o Teredo na implantação do DirectAccess, forneça acesso aos clientes Windows 7 e verifique se os clientes estão atualizados para o Windows 7 com SP1. Clientes que usam RTM Windows 7 não poderão se conectar pelo Teredo. Contudo, tais clientes ainda poderão conectar-se à rede corporativa com IP-HTTPS.

Consulte também

A tabela a seguir fornece links para recursos adicionais.

Tipo de conteúdo	Referências
Acesso Remoto no TechNet	TechCenter de Acesso Remoto
Avaliação do produto	Guia de Teste de Laboratório: demonstrar o DirectAccess em um cluster com Windows NLB Guia de laboratório de teste: Demonstrar uma implantação do DirectAccess multissite Guia de laboratório de teste: Demonstrar o DirectAccess com autenticação OTP e SecurID RSA
Implantação	Caminhos de implantação do DirectAccess no Windows Server Implantar um único servidor de DirectAccess usando o Assistente de Introdução Implantar o Acesso Remoto em uma Empresa
Ferramentas e configurações	Cmdlets do PowerShell para acesso remoto
Recursos da comunidade	Guia de sobrevivência do DirectAccess Entradas de wiki do DirectAccess
Tecnologias relacionadas	Como o IPv6 funciona

Compartilhar via