Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Depois de planejar a infraestrutura do DirectAccess, a próxima etapa na implantação do DirectAccess em um único servidor com configurações básicas é planejar as configurações do Assistente de Introdução.
| Task | Description |
|---|---|
| Planeamento da implementação do cliente | Por padrão, o Assistente de Configuração implanta o DirectAccess em todos os computadores portáteis no domínio aplicando um filtro WMI às configurações do cliente no GPO. |
| Planejando a implantação do servidor DirectAccess | Planeje como implantar o servidor DirectAccess. |
Planeamento da implementação do cliente
Existem duas decisões a tomar ao planear a implementação do cliente:
O DirectAccess estará disponível apenas para computadores móveis ou para qualquer computador?
Ao configurar clientes DirectAccess no Assistente de Introdução, você pode optar por permitir que apenas computadores móveis nos grupos de segurança especificados se conectem usando o DirectAccess. Se você restringir o acesso a computadores móveis, o DirectAccess configurará automaticamente um filtro WMI para garantir que o GPO cliente DirectAccess seja aplicado somente a computadores móveis nos grupos de segurança especificados. O administrador do DirectAccess requer permissões para criar ou modificar filtros WMI de política de grupo para habilitar essa configuração.
Que grupos de segurança conterão os computadores cliente DirectAccess?
As configurações do DirectAccess estão contidas no GPO do cliente DirectAccess. O GPO é aplicado a computadores que fazem parte dos grupos de segurança especificados no assistente de Introdução. Você pode especificar grupos de segurança contidos em qualquer domínio suportado. Antes de configurar o DirectAccess, os grupos de segurança devem ser criados. Você pode adicionar computadores ao grupo de segurança depois de concluir a implantação do DirectAccess, mas observe que, se você adicionar computadores cliente que residem em um domínio diferente ao grupo de segurança, o GPO do cliente não será aplicado a esses clientes. Por exemplo, se você criou SG1 no domínio A para clientes DirectAccess e, posteriormente, adicionar clientes do domínio B a esse grupo, o GPO do cliente não será aplicado aos clientes no domínio B. Para evitar esse problema, crie um novo grupo de segurança de cliente para cada domínio que contém computadores cliente. Como alternativa, se você não quiser criar um novo grupo de segurança, execute o cmdlet Add-DAClient com o nome do novo GPO para o novo domínio.
Planejando a implantação do servidor DirectAccess
Há várias decisões a serem tomadas ao planejar a implantação do servidor DirectAccess:
Topologia de rede -There são duas topologias disponíveis ao implantar um servidor DirectAccess:
Dois adaptadores - Com dois adaptadores de rede, o DirectAccess pode ser configurado com um adaptador de rede conectado diretamente à Internet e o outro conectado à rede interna. Ou, alternativamente, o servidor é instalado atrás de um dispositivo de borda, como um firewall ou um roteador. Nesta configuração, um adaptador de rede está conectado à rede de perímetro, o outro está conectado à rede interna.
Único adaptador de rede -In nesta configuração, o servidor DirectAccess é instalado atrás de um dispositivo de borda, como um firewall ou um router. O adaptador de rede está conectado à rede interna.
Adaptadores de rede -The assistente do DirectAccess deteta automaticamente os adaptadores de rede configurados no servidor DirectAccess. Você pode certificar-se de que os adaptadores corretos estão selecionados na página Revisão .
IP-HTTPS certificado -Since não houver PKI necessária nesta implantação, o assistente provisionará automaticamente certificados autoassinados para IP-HTTPS e o Servidor de Local de Rede (se nenhum certificado estiver presente) e habilitará automaticamente o proxy Kerberos. O assistente também habilita NAT64 e DNS64 para conversão de protocolo no ambiente somente IPv4. Depois que o assistente concluir com êxito a aplicação da configuração, clique em Fechar.
Os clientes Windows 7 -You não conseguem ativar o suporte para clientes Windows 7 a partir do assistente de configuração inicial. Isso pode ser ativado no Assistente de Configuração Avançada. Para obter mais detalhes, consulte Implantar um único servidor DirectAccess com configurações avançadas.
Configuração de VPN -Antes de configurar o DirectAccess, decida se vai fornecer acesso VPN a clientes remotos. Você deve fornecer acesso VPN se tiver computadores cliente em sua organização que não ofereçam suporte à conectividade DirectAccess (seja porque eles não são gerenciados ou executam um sistema operacional para o qual o DirectAccess não é suportado). O Assistente de Introdução configura a atribuição de endereços IP VPN usando DHCP e configura clientes VPN para serem autenticados usando o Ative Directory.
Force Tunneling - Se planeia usar o Force Tunneling, ou pode adicioná-lo no futuro, deve utilizar implementar um único servidor DirectAccess com definições avançadas para configurar dois túneis. Devido a considerações de segurança, não há suporte para o túnel forçado em uma configuração de um único túnel.