Adicionar o DirectAccess a uma implantação de Acesso Remoto (VPN) existente
Aplica-se a: Windows Server 2012 R2, Windows Server 2012
Observação: O Windows Server 2012 reúne o DirectAccess e o RRAS (Serviço de Roteamento e Acesso Remoto) em uma única função de Acesso Remoto.
Este tópico fornece uma introdução ao Assistente para Habilitar o DirectAccess de Acesso Remoto, usado para configurar um único servidor de Acesso Remoto com as configurações recomendadas depois de já ter sido criada uma VPN (Rede Virtual Privada).
Documentação de implantação definida para Acesso Remoto do Windows Server 2012 (DirectAccess)
Segue uma lista de tópicos que você pode usar para implantar o Acesso Remoto por meio de três caminhos principais:
Básico
Avançado
Enterprise
Os tópicos relacionados ao gerenciamento e migração de Acesso Remoto disponíveis para esta versão também são listados.
Antes de iniciar a implantação, consulte a seguinte lista de configurações não têm suporte, problemas conhecidos e pré-requisitos:
Implantação básica de Acesso Remoto
Implantação avançada do Acesso Remoto
Implantação de Acesso Remoto em uma empresa
Implantar vários servidores de acesso remoto em uma implantação multissite
Implantar o Acesso Remoto em um ambiente de várias florestas
Gerenciar Acesso Remoto
Migrar Acesso Remoto
Descrição do cenário
Neste cenário, um único computador que executa o Windows Server 2012 é configurado como um servidor de Acesso Remoto com as configurações recomendadas depois de a VPN já ter sido instalada e configurada. Se você desejar configurar o Acesso Remoto com recursos corporativos como um cluster com carga balanceada, implantação multissite ou autenticação de cliente de dois fatores, conclua o cenário descrito neste tópico para configurar um único servidor e configure o cenário corporativo conforme descrito em Implantar o Acesso Remoto em uma Empresa.
Neste cenário
Para configurar um único servidor de Acesso Remoto, várias etapas de planejamento e implantação são necessárias.
Etapas de planejamento
O planejamento está dividido em duas fases:
planejar a infraestrutura do Acesso Remoto
Nesta fase, você descreve o planejamento necessário para configurar a infraestrutura de rede antes de começar a implantação do Acesso Remoto. Isso inclui planejar a rede e a topologia do servidor, certificados, DNS (Sistema de Nomes de Domínio), configuração do Active Directory e do GPO (Objeto de Política de Grupo) e o servidor de local de rede do DirectAccess.
Planejar a implantação do Acesso Remoto
Nesta fase, você descreve as etapas de planejamento necessárias para preparar a implantação do Acesso Remoto. Ela inclui o planejamento para computadores cliente de Acesso Remoto, requisitos de autenticação de servidor e cliente e servidores de infraestrutura.
Etapas de implantação
A implantação está dividida em três fases:
Configurar a infraestrutura do Acesso Remoto
Nesta fase, você configura rede e roteamento, configurações de firewall (se necessário), certificados, servidores DNS, configurações do Active Directory e do GPO e o servidor de local de rede do DirectAccess.
Definir as configurações do servidor de Acesso Remoto
Nesta fase, você configura os computadores cliente de Acesso Remoto, o servidor de Acesso Remoto e os servidores de infraestrutura.
Verificar a implantação
Nesta fase, verifique se a implantação está funcionando conforme o necessário.
Aplicações práticas
A implantação de um só servidor de Acesso Remoto oferece:
Facilidade de acesso
Os computadores cliente gerenciados que executam o Windows 8 e o Windows 7 podem ser configurados como computadores cliente do DirectAccess. Esses clientes podem acessar os recursos da rede interna por meio do DirectAccess sempre que estiverem localizados na Internet, sem precisar entrar em uma conexão VPN. Computadores cliente que não executam um desses sistemas operacionais podem se conectar à rede interna por meio de uma VPN. O DirectAccess e a VPN são gerenciados no mesmo console e com o mesmo conjunto de assistentes.
Facilidade de gerenciamento
Computadores cliente DirectAccess com acesso à Internet podem ser gerenciados remotamente por administradores de acesso remoto usando o DirectAccess, mesmo quando os computadores cliente não estiverem localizados na rede corporativa interna. Os computadores cliente que não atendem aos requisitos corporativos podem ser corrigidos automaticamente por servidores de gerenciamento.
Funções e recursos requeridos para este cenário
A tabela a seguir lista funções e recursos necessários para este cenário:
Função/recurso |
Como este cenário tem suporte |
|---|---|
Função Acesso Remoto |
A função é instalada e desinstalada usando o console de Gerenciador do Servidor ou o Windows PowerShell. Essa função engloba o DirectAccess, que era anteriormente um recurso no Windows Server 2008 R2 e os Serviços de Roteamento e Acesso Remoto que eram anteriormente um serviço de função na função de servidor NPAS (Serviços de Acesso e Política de Rede). A função Acesso Remoto consiste em dois componentes:
A função Servidor de Acesso Remoto depende dos seguintes recursos de servidor:
|
Recurso Ferramentas de Gerenciamento de Acesso Remoto |
Este recurso é instalado da seguinte maneira:
O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste em:
As dependências incluem:
|
Requisitos de hardware
Os requisitos de hardware para este cenário incluem o seguinte:
Requisitos de servidor
Um computador que atenda aos requisitos de hardware do Windows Server 2012.
O servidor deve ter pelo menos um adaptador de rede instalado, habilitado e associado à rede interna. Quando são usados dois adaptadores, um deles deve estar conectado à rede corporativa interna e o outro, à rede externa (Internet).
Se for necessário Teredo como um protocolo de transição de IPv4 para IPv6, o adaptador externo do servidor exigirá dois endereços IPv4 públicos consecutivos. O Assistente para Habilitar o DirectAccess não permite Teredo, mesmo que dois endereços IP consecutivos estejam presentes. Para habilitar o Teredo, consulte Implantar um único servidor DirectAccess com configurações avançadas. Se um único endereço IP estiver disponível, apenas IP-HTTPS poderá ser usado como protocolo de transição.
Pelo menos um controlador de domínio. O servidor de Acesso Remoto e os clientes do DirectAccess devem ser membros do domínio.
O Assistente para Habilitar o DirectAccess requer certificados para IP-HTTPS e o servidor local de rede. Se a VPN SSTP já estiver usando um certificado, ele será reutilizado para IP-HTTPS. Se a VPN SSTP não estiver configurada, você poderá configurar um certificado para IP-HTTPS ou usar um certificado autoassinado criado automaticamente. Para o servidor de local de rede, você pode configurar um certificado ou usar um certificado autoassinado criado automaticamente.
Requisitos do cliente
Um computador cliente com Windows 8 ou Windows 7.
Dica
Somente os seguintes sistemas operacionais podem ser usados como clientes do DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate Edition.
Requisitos de servidor de gerenciamento e infraestrutura
Durante o gerenciamento remoto de computadores cliente DirectAccess, os clientes iniciam a comunicação com servidores de gerenciamento, como controladores de domínio, servidores de configuração do System Center e servidores de HRA (Autoridade de Registro de Integridade) para serviços que incluem atualizações do Windows e antivírus e conformidade do cliente com a NAP (Proteção de Acesso à Rede). Os servidores necessários devem ser implantados antes de iniciar a implantação do Acesso Remoto.
Se o acesso remoto exigir conformidade NAP do cliente, o NPS (Servidor de Políticas de Rede) e HRA deverão ser implantados antes do início da implantação do Acesso Remoto.
É necessário um servidor DNS executando o Windows Server 2012, o Windows Server 2008 SP2 ou Windows Server 2008 com SP2.
Requisitos de software
Os requisitos de software para este cenário incluem:
Requisitos de servidor
O servidor de Acesso Remoto deve ser um membro do domínio. O servidor pode ser implantado na borda da rede interna, ou atrás de um firewall de borda ou outro dispositivo.
Se o servidor de Acesso Remoto estiver localizado atrás de um firewall de borda ou dispositivo NAT (Conversão de Endereços de Rede), o dispositivo deverá ser configurado para permitir o tráfego de e para o servidor de Acesso Remoto.
A pessoa que implanta o acesso remoto no servidor precisa de permissões do administrador local no servidor e permissões de usuário de domínio. Além disso, o administrador precisa de permissões para os GPOs utilizados na implantação do DirectAccess. Para aproveitar os recursos que restringem uma implantação do DirectAccess somente a computadores móveis, são necessárias permissões para criar um filtro WMI no controlador de domínio.
Requisitos de cliente do Acesso Remoto
Os clientes do DirectAccess devem ser membros do domínio. Os domínios que contêm clientes podem pertencer à mesma floresta do servidor de Acesso Remoto, ou ter uma relação de confiança bidirecional com a floresta ou o domínio do servidor de Acesso Remoto.
Um grupo de segurança do Active Directory é necessário para conter os computadores que serão configurados como clientes do DirectAccess. Se um grupo de segurança não for especificado quando você definir as configurações de cliente do DirectAccess, por padrão, o GPO do cliente será aplicado a todos os computadores laptop (compatíveis com o DirectAccess) no grupo de segurança de Computadores de Domínio. Somente os seguintes sistemas operacionais podem ser usados como clientes do DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate Edition.
Dica
Recomendamos que você crie um grupo de segurança para cada domínio que contém os computadores que serão configurados como clientes do DirectAccess.
Consulte também
A tabela a seguir fornece links para recursos adicionais.
Tipo de conteúdo |
Referências |
|---|---|
Acesso Remoto no TechNet |
|
Avaliação do produto |
Demonstrar o DirectAccess em um cluster com NLB |
Implantação |
|
Ferramentas e configurações |
|
Recursos da comunidade |
|
Tecnologias relacionadas |