Partilhar via


Implantar um único servidor de DirectAccess usando o Assistente de Introdução

Importante

A Microsoft recomenda que você use Always On VPN, em vez do DirectAccess, para novas implantações. Para mais informações, confira VPN Always On.

Este tópico fornece uma introdução ao cenário do DirectAccess que usa um único servidor DirectAccess e permite implantar o DirectAccess em algumas etapas fáceis.

Antes de iniciar a implantação, consulte a lista de configurações sem suporte, de problemas conhecidos e de pré-requisitos

Use os tópicos a seguir para analisar os pré-requisitos e outras informações antes de implantar o DirectAccess.

Descrição do cenário

Nesse cenário, um computador Windows Server é configurado como um servidor DirectAccess com configurações padrão. A configura exige apenas algumas etapas simples com assistente, sem exigir a configuração de definições de infraestrutura como uma AC (autoridade de certificação) ou grupos de segurança do Active Directory.

Observação

Se você quiser configurar uma implantação avançada com configurações personalizadas, consulte Deploy a Single DirectAccess Server with Advanced Settings

Neste cenário

Para configurar um servidor DirectAccess básico, várias etapas de planejamento e implantação são necessárias.

Pré-requisitos

Antes de começar a implantar este cenário, examine esta lista de requisitos importantes:

  • O Firewall do Windows deve estar habilitado em todos os perfis

  • Esse cenário só tem suporte quando os computadores cliente estão executando Windows 10, Windows 8.1 ou Windows 8.

  • Não há suporte para ISATAP na rede corporativa. Se você estiver usando ISATAP, remova-o e use o IPv6 nativo.

  • Uma infraestrutura de chave pública não é necessária.

  • Não há suporte para implantação de autenticação de dois fatores. Credenciais de domínio são necessárias para autenticação.

  • Implanta automaticamente o DirectAccess para todos os computadores móveis no domínio atual.

  • Tráfego de Internet não passa pelo túnel do DirectAccess. Não há suporte para forçar configuração de túnel.

  • O servidor DirectAccess é o servidor de local de rede.

  • A NAP (Proteção de Acesso à Rede) não é permitida.

  • Não há suporte para alteração de políticas fora do console de gerenciamento do DirectAccess ou dos cmdlets do PowerShell.

  • Para implantar vários sites, agora ou no futuro, primeiro implante um servidor DirectAccess único com configurações avançadas.

Etapas de planejamento

O planejamento está dividido em duas fases:

  1. Planejando para a infraestrutura do DirectAccess. Esta fase descreve o planejamento necessário para configurar a infraestrutura de rede antes de começar a implantação do DirectAccess. O planejamento inclui o projeto da topologia de redes e servidores, além do servidor de local de rede do DirectAccess.

  2. Planejando a implantação do DirectAccess. Esta fase descreve as etapas de planejamento necessárias para preparar a implantação do DirectAccess. Ela inclui o planejamento para computadores cliente de DirectAccess, requisitos de autenticação de servidor e cliente, configurações de VPN, servidores de infraestrutura e servidores de gerenciamento e de aplicativos.

Para ver as etapas detalhadas de planejamento, confira Planejar uma implantação avançada do DirectAccess.

Etapas de implantação

A implantação está dividida em três fases:

  1. Configurando a infraestrutura do DirectAccess. Essa fase inclui a configuração dos seguintes componentes:
  • Rede e roteamento
  • Configurações de firewall (se necessário)
  • Certificados
  • Servidores DNS
  • Configurações do Active Directory e GPO
  • Servidor de local de rede do DirectAccess
  1. Definindo as configurações do servidor do DirectAccess. Esta fase inclui etapas para configurar os computadores cliente de DirectAccess, o servidor do DirectAccess, os servidores de infraestrutura e os servidores de gerenciamento e de aplicativos.

  2. Verificando a implantação. Esta fase inclui etapas para verificar se a implantação está funcionando adequadamente.

Para obter etapas detalhadas de implantação, consulte Install and Configure Basic DirectAccess.

Aplicações práticas

A implantação de um só servidor de Acesso Remoto proporciona os seguintes benefícios:

  • Facilidade de acesso. Você pode configurar computadores cliente gerenciados que executam Windows 10, Windows 8.1, Windows 8 ou Windows 7, como clientes do DirectAccess. Esses clientes podem acessar os recursos da rede interna por meio do DirectAccess sempre que estiverem localizados na Internet sem precisar fazer logon em uma conexão VPN. Computadores cliente que não executem um desses sistemas operacionais podem se conectar à rede interna por meio de conexões VPN tradicionais.

  • Facilidade de gerenciamento. Os computadores cliente do DirectAccess localizados na Internet podem ser gerenciados remotamente por administradores de Acesso Remoto pelo DirectAccess, mesmo quando não estão localizados na rede corporativa interna. Os computadores cliente que não atendem aos requisitos corporativos podem ser corrigidos automaticamente por servidores de gerenciamento. O DirectAccess e a VPN são gerenciados no mesmo console e com o mesmo conjunto de assistentes. Além disso, um ou mais servidores de Acesso Remoto podem ser gerenciados a partir de um único console de Gerenciamento de Acesso Remoto.

Funções e recursos incluídos neste cenário

A tabela a seguir lista funções e recursos necessários para o cenário:

Função/recurso Como este cenário tem suporte
Função Acesso Remoto A função é instalada e desinstalada usando o console de Gerenciador do Servidor ou o Windows PowerShell. Esta função abrange o DirectAccess, o Roteamento e os Serviços de Acesso Remoto. A função Acesso Remoto consiste em dois componentes:

1. VPN do DirectAccess e RRAS (Serviços de Roteamento e Acesso Remoto). DirectAccess e VPN são gerenciados juntos no console de gerenciamento de acesso remoto.
2. Roteamento de RRAS. Os recursos de roteamento de RRAS são gerenciados no console de Roteamento e Acesso Remoto legado.

A Função Servidor de Acesso Remoto depende dos seguintes recursos/funções de servidor:

- Servidor Web de IIS (Serviços de Informações da Internet) – este recurso é necessário para configurar o servidor de local de rede e o servidor de Acesso Remoto, além da investigação da Web padrão.
– Banco de Dados Interno do Windows. Usado para contabilidade local no servidor de Acesso Remoto.

Recurso Ferramentas de Gerenciamento de Acesso Remoto Este recurso é instalado da seguinte maneira:

- Ele é instalado por padrão em um servidor de Acesso Remoto quando a função Acesso Remoto está instalada e dá suporte à interface do usuário do console de Gerenciamento Remoto e aos cmdlets do Windows PowerShell.
– Ele pode ser instalado opcionalmente em um servidor que não esteja executando a função de servidor de acesso remoto. Neste caso, ele é usado para o gerenciamento remoto de um computador de Acesso Remoto que executa DirectAccess e VPN.

O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste nos seguintes componentes:

- Interface do usuário de Acesso Remoto
– Módulo de acesso remoto para o Windows PowerShell

As dependências incluem:

– Console de Gerenciamento de Política de Grupo
– Kit de administração do Gerenciador de Conexões de RAS (CMAK)
– PowerShell 3.0 do Windows
– Ferramentas e Infraestrutura de Gerenciamento Gráfico

Requisitos de hardware

Os requisitos de hardware para este cenário incluem o seguinte:

  • Requisitos de servidor:

    • Um computador que atende aos requisitos de hardware para o Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 .

    • O servidor deve ter pelo menos um adaptador de rede instalado, habilitado e conectado à rede interna. Quando são usados dois adaptadores, um deles deve estar conectado à rede corporativa interna e o outro, à rede externa (Internet ou rede privada).

    • Pelo menos um controlador de domínio. O servidor de Acesso Remoto e os clientes do DirectAccess devem ser membros do domínio.

  • Requisitos do cliente:

    • Um computador cliente deve estar executando o Windows 10, Windows 8.1 ou Windows 8.

      Importante

      Se alguns ou todos os computadores cliente estiverem executando o Windows 7, você deve usar o Assistente de Instalação Avançada. O Assistente de Instalação de Introdução descrita neste documento não oferece suporte a computadores cliente que estejam executando o Windows 7. Confira Implantar um servidor DirectAccess único com configurações avançadas para instruções sobre como usar clientes Windows 7 com DirectAccess.

      Observação

      Apenas os seguintes sistemas operacionais podem ser usados como clientes do DirectAccess: Windows 10 Enterprise, Windows 8.1 Enterprise, Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise e Windows 7 Ultimate.

  • Requisitos do servidor de infraestrutura e gerenciamento:

    • Se a VPN estiver habilitada e um pool de endereços IP estáticos não estiver configurado, você deve implantar um servidor DHCP para alocar endereços IP automaticamente a clientes VPN.
  • Um servidor DNS executando Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012, Windows Server 2008 SP2 ou Windows Server 2008 R2 é necessário.

Requisitos de software

Abaixo estão os requisitos para este cenário:

  • Requisitos de servidor:

    • O servidor de Acesso Remoto deve ser um membro do domínio. O servidor pode ser implantado na borda da rede interna, ou atrás de um firewall de borda ou outro dispositivo.

    • Se o servidor de Acesso Remoto estiver localizado atrás de um firewall de borda ou dispositivo de NAT, o dispositivo deve ser configurado para permitir o tráfego de e para o servidor de Acesso Remoto.

    • A pessoa que implanta o acesso remoto no servidor precisa de permissões de administrador local no servidor e permissões de usuário de domínio. Além disso, o administrador precisa de permissões para os GPOs utilizados na implantação do DirectAccess. Para aproveitar os recursos que restringem a implantação do DirectAccess somente a computadores móveis, são necessárias permissões para criar um filtro WMI no controlador de domínio.

  • Requisitos de cliente de Acesso Remoto:

    • Os clientes do DirectAccess devem ser membros do domínio. Domínios que contêm clientes podem pertencer à mesma floresta que o servidor de acesso remoto ou tiver uma relação de confiança bidirecional com a floresta do servidor de acesso remoto.

    • Um grupo de segurança do Active Directory é necessário para conter os computadores que serão configurados como clientes do DirectAccess. Se um grupo de segurança não for especificado ao configurar as definições de cliente do DirectAccess, por padrão o GPO do cliente será aplicado em todos os computadores laptop no grupo de segurança de Computadores de Domínio. Apenas os seguintes sistemas operacionais podem ser usados como clientes do DirectAccess: Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate.

A tabela a seguir fornece links para recursos adicionais.

Tipo de conteúdo Referências
Acesso Remoto no TechNet TechCenter de Acesso Remoto
Ferramentas e configurações Cmdlets do PowerShell para acesso remoto
Recursos da comunidade Entradas de wiki do DirectAccess
Tecnologias relacionadas Como o IPv6 funciona