Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
O Windows Server 2016 e o Windows Server 2012 combinam o DirectAccess e a VPN de RAS (Serviço de Acesso Remoto) em uma única função de Acesso Remoto. O Acesso Remoto pode ser implantado em diversos cenários corporativos. Esta visão geral apresenta uma introdução ao cenário corporativo de implantação de servidores de Acesso Remoto em uma configuração multissite.
Descrição do cenário
Em uma implantação multissite, dois ou mais servidores de Acesso Remoto ou clusters de servidor são implantados e configurados como pontos de entrada diferentes em um só local ou em locais geográficos dispersos. Implantar vários pontos de entrada em um só local permite redundância de servidor ou para o alinhamento de servidores de Acesso Remoto com a arquitetura de rede existente. A implantação por localização geográfica garante o uso eficiente de recursos, pois os computadores cliente remotos podem se conectar a recursos de rede internos usando um ponto de entrada mais próximo deles. O tráfego pela implantação de vários sites pode ser distribuído e balanceado com um balanceador de carga global externo.
Uma implantação multisite dá suporte a computadores cliente que executam Windows 10, Windows 8 ou Windows 7. Os computadores cliente que executam Windows 10 ou Windows 8 identificam automaticamente um ponto de entrada ou o usuário pode selecionar manualmente um ponto de entrada. A atribuição automática ocorre na seguinte ordem de prioridade:
Use um ponto de entrada selecionado manualmente pelo usuário.
Use um ponto de entrada identificado por um balanceador de carga global externo, se um for implantado.
Use o ponto de entrada mais próximo identificado pelo computador cliente usando um mecanismo de investigação automática.
O suporte para clientes que executam o Windows 7 deve ser habilitado manualmente em cada ponto de entrada e não há suporte para a seleção de um ponto de entrada por esses clientes.
Pré-requisitos
Antes de começar a implantar este cenário, examine esta lista de requisitos importantes:
Implantar um servidor DirectAccess único com configurações avançadas deve ser implantado antes de uma implantação multissite.
Os clientes do Windows 7 sempre se conectarão a um site específico. Eles não poderão se conectar ao site mais próximo com base na localização do cliente (ao contrário de clientes Windows 10, 8 ou 8.1).
Não há suporte para alteração de políticas fora do console de gerenciamento do DirectAccess ou dos cmdlets do PowerShell.
Uma infraestrutura de chave pública deve ser implantada.
Para saber mais, veja os tópicos sobre: Minimódulo de guia do laboratório de teste: PKI Básico para Windows Server 2012.
A rede corporativa deve estar habilitada para IPv6. Se você estiver usando ISATAP, remova-o e use o IPv6 nativo.
Neste cenário
O cenário de implantação de vários sites inclui diversas etapas:
Implantar um único servidor do DirectAccess com configurações avançadas. U so servidor de acesso remoto com configurações avançadas deve ser implantado antes de configurar uma implantação de vários sites.
Planejar uma implantação multissite. Para criar uma implantação de vários sites com base em um só servidor, várias etapas de planejamento adicionais são necessárias, incluindo conformidade com pré-requisitos de vários sites e planejamento para grupos de segurança do Active Directory, GPOs (Objetos Política de Grupo), DNS e configurações do cliente.
Configurar uma implantação multissite. Isso consiste em várias etapas de configuração, incluindo a preparação da infraestrutura do Active Directory, a configuração do servidor de Acesso Remoto existente e a adição de vários servidores de Acesso Remoto como pontos de entrada à implantação multissite.
Solução de problemas de uma implantação multissite. Esta seção solução de problemas descreve alguns dos erros mais comuns que podem ocorrer ao implantar o acesso remoto em uma implantação de vários sites.
Aplicações práticas
Uma implantação de vários sites fornece o seguinte:
Desempenho aprimorado – uma implantação multissite permite que os computadores cliente que acessam recursos internos usando o Acesso Remoto se conectem usando o ponto de entrada mais próximo e adequado. O acesso do cliente aos recursos internos com eficiência e a velocidade das solicitações de Internet do cliente roteadas por meio do DirectAccess são aprimoradas. O tráfego entre pontos de entrada pode ser equilibrado usando um balanceador de carga global externo.
A facilidade de gerenciamento multissite permite que os administradores alinhem a implantação de Acesso Remoto com uma implantação de sites do Active Directory fornecendo uma arquitetura simplificada. As configurações compartilhadas podem ser facilmente definidas entre servidores de ponto de entrada ou clusters. As configurações de Acesso Remoto podem ser gerenciadas a partir de qualquer um dos servidores na implantação, ou remotamente utilizando as RSAT (Ferramentas de Administração do Servidor Remoto). Além disso, toda a implantação de vários sites pode ser monitorada usando um só console de Gerenciamento de Acesso Remoto.
Funções e recursos incluídos neste cenário
A tabela a seguir lista funções e recursos utilizados neste cenário.
| Função/recurso | Como este cenário tem suporte |
|---|---|
| Função Acesso Remoto | A função é instalada e desinstalada pelo console Gerenciador do Servidor. Essa função engloba o DirectAccess, que era anteriormente um recurso no Windows Server 2008 R2 e Serviços de Roteamento e Acesso Remoto (RRAS) que eram anteriormente um serviço de função sob a função de servidor de Serviços de Acesso e Política de Rede (NPAS). A função Acesso Remoto consiste em dois componentes: - O DirectAccess e VPN de Serviços de Roteamento e Acesso Remoto (RRAS) – o DirectAccess e VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto. As dependências são as seguintes: – Servidor Web de IIS (Serviços de Informações da Internet) – Este recurso é necessário para configurar o servidor de local de rede e a investigação da Web padrão. |
| Recurso Ferramentas de Gerenciamento de Acesso Remoto | Este recurso é instalado da seguinte maneira: – Ele é instalado por padrão em um servidor de acesso remoto quando a função acesso remoto for instalada e oferece suporte a interface do usuário do console de Gerenciamento remoto. O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste em: – GUI de acesso remoto e ferramentas de linha de comando As dependências incluem: – Console de Gerenciamento de Política de Grupo |
Requisitos de hardware
Os requisitos de hardware para este cenário incluem o seguinte:
Pelo menos dois computadores de Acesso Remoto a serem coletados em uma implantação multissite.
Para testar o cenário, é necessário pelo menos um computador que execute Windows 8 e que seja configurado como um cliente do DirectAccess. Para testar o cenário para clientes que executam o Windows 7, é necessário pelo menos um computador executando o Windows 7.
Para balancear a carga do tráfego entre servidores de ponto de entrada, é necessário um balanceador de carga global externo de terceiros.
Requisitos de software
Os requisitos de software para este cenário incluem:
Requisitos de software para implantação de servidor único.
Além dos requisitos de software para um servidor único, há diversos requisitos específicos de multissite:
Requisitos de autenticação IPsec – em uma implantação multissite, o DirectAccess deve ser implantado usando a autenticação de certificado de computador IPsec. Não há suporte para a opção de executar a autenticação IPsec usando o servidor de Acesso Remoto como um proxy Kerberos. Uma AC interna é necessária para implantar os certificados IPsec.
Requisitos de servidor de localização de rede e IP-HTTPS – certificados exigidos para IP-HTTPS e o servidor de local de rede devem ser emitidos por uma AC. Não há suporte para a opção de usar certificados emitidos automaticamente e autoassinados pelo servidor de Acesso Remoto. Os certificados podem ser emitidos por uma AC interna ou por uma AC externa de terceiros.
Requisitos do Active Directory – pelo menos um site do Active Directory é necessário. O servidor de Acesso Remoto deve estar localizado no site. Para tempos de atualização mais rápidos, é recomendável que cada site tenha um controlador de domínio gravável, embora isso não seja obrigatório.
Requisitos do grupo de segurança – os requisitos são os seguintes:
Um só grupo de segurança é necessário para todos os computadores cliente Windows 8 de todos os domínios. É recomendável criar um grupo de segurança exclusivo desses clientes para cada domínio.
Um grupo de segurança exclusivo que contém computadores Windows 7 é necessário para cada ponto de entrada configurado para dar suporte a clientes windows 7. É recomendável ter um grupo de segurança exclusivo para cada ponto de entrada em cada domínio.
Computadores não devem ser incluídos em mais de um grupo de segurança que inclua clientes do DirectAccess. Se os clientes forem incluídos em diversos grupos, a resolução do nome dos grupos para solicitações de clientes não funcionará conforme esperado.
Requisitos de GPO – os GPOs podem ser criados manualmente antes de configurar o Acesso Remoto ou criados automaticamente durante a implantação do Acesso Remoto. Os requisitos são os seguintes:
Um GPO de cliente exclusivo é necessário para cada domínio.
Um GPO do servidor é necessário para cada ponto de entrada, no domínio no qual o ponto de entrada está localizado. Portanto, se vários pontos de entrada estiverem localizados no mesmo domínio, haverá vários GPOs de servidor (um para cada ponto de entrada) no domínio.
Um GPO de cliente exclusivo do Windows 7 é necessário para cada ponto de entrada habilitado para o suporte ao cliente Windows 7, para cada domínio.
Problemas conhecidos
Os seguintes são problemas conhecidos ao configurar um cenário de vários sites:
Vários pontos de entrada na mesma sub-rede IPv4. Adicionar vários pontos de entrada na mesma sub-rede IPv4 resultará em uma mensagem de conflito de endereço IP e o endereço DNS64 para o ponto de entrada não será configurado como o esperado. Esse problema ocorre quando o IPv6 não foi implantado nas interfaces internas dos servidores na rede corporativa. Para evitar esse problema, execute o seguinte comando Windows PowerShell em todos os servidores de Acesso Remoto atuais e futuros:
Set-NetIPInterface -InterfaceAlias <InternalInterfaceName> -AddressFamily IPv6 -DadTransmits 0Se o endereço público especificado para clientes do DirectAccess se conectarem ao servidor de Acesso Remoto tiver um sufixo incluído no NRPT, o DirectAccess poderá não funcionar conforme o esperado. Verifique se o NRPT tem uma isenção para o nome público. Em uma implantação multissite, as isenções devem ser adicionadas aos nomes públicos de todos os pontos de entrada. Observe que, se o túnel forçado estiver habilitado, essas isenções serão adicionadas automaticamente. Elas serão removidas se o túnel forçado estiver desabilitado.
Ao usar o cmdlet Windows PowerShell Disable-DAMultiSite, os parâmetros WhatIf e Confirm não têm efeito e o Multisite será desabilitado e os GPOs do Windows 7 serão removidos.
Quando os clientes do Windows 7 que usam o DCA em uma implantação multissite são atualizados para Windows 8, o Assistente de Conectividade de Rede não funcionará. Esse problema pode ser resolvido antes da atualização do cliente modificando os GPOs do Windows 7 usando os seguintes cmdlets Windows PowerShell:
Set-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant" -ValueName "TemporaryValue" -Type Dword -Value 1 Remove-GPRegistryValue -Name <Windows7GpoName> -Domain <DomainName> -Key "HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\NetworkConnectivityAssistant"Caso o cliente já tenha sido atualizado, mova o computador cliente para o grupo de segurança do Windows 8.
Ao modificar as configurações do controlador de domínio usando o cmdlet do Windows PowerShell Set-DAEntryPointDC, se o parâmetro ComputerName especificado for um servidor de Acesso Remoto em um ponto de entrada diferente do último adicionado à implantação multisite, será exibido um aviso indicando que o servidor especificado não será atualizado até a próxima atualização de política. É possível ver os servidores reais que não foram atualizados usando o Status da Configuração no PAINEL do Console de Gerenciamento de Acesso Remoto. Isso não causará problemas funcionais; porém, você pode executar gpupdate /force nos servidores que não foram atualizados para que o status da configuração seja atualizado imediatamente.
Quando o multissite é implantado em uma rede corporativa somente IPv4, alterar o prefixo IPv6 de rede interna também altera o endereço DNS64, mas não atualiza o endereço em regras de firewall que permitem consultas DNS para o serviço DNS64. Para resolver esse problema, execute os seguintes comandos Windows PowerShell depois de alterar o prefixo IPv6 de rede interna:
$dns64Address = (Get-DAClientDnsConfiguration).NrptEntry | ?{ $_.DirectAccessDnsServers -match ':3333::1' } | Select-Object -First 1 -ExpandProperty DirectAccessDnsServers $serverGpoName = (Get-RemoteAccess).ServerGpoName $serverGpoDc = (Get-DAEntryPointDC).DomainControllerName $gpoSession = Open-NetGPO -PolicyStore $serverGpoName -DomainController $serverGpoDc Get-NetFirewallRule -GPOSession $gpoSession | ? {$_.Name -in @('0FDEEC95-1EA6-4042-8BA6-6EF5336DE91A', '24FD98AA-178E-4B01-9220-D0DADA9C8503')} | Set-NetFirewallRule -LocalAddress $dns64Address Save-NetGPO -GPOSession $gpoSessionSe o DirectAccess foi implantado quando havia uma infraestrutura ISATAP, ao remover um ponto de entrada que era um host ISATAP, o endereço IPv6 do serviço DNS64 será removido dos endereços do servidor DNS de todos os sufixos DNS no NRPT.
Para resolver esse problema, no assistente Instalação do Servidor de Infraestrutura, na página DNS, remova os sufixos DNS modificados e adicione-os novamente com os endereços de servidor DNS corretos clicando em Detectar na caixa de diálogo Endereços do Servidor DNS.