Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Este tópico descreve como configurar a infraestrutura necessária a uma implantação básica do DirectAccess que utiliza um servidor individual do DirectAccess em um ambiente misto de IPv4 e IPv6. Antes de começar as etapas de implantação, verifique se você concluiu as etapas de planejamento descritas em Planejar a implantação do DirectAccess.
| Task | Description |
|---|---|
| Definir configurações de rede do servidor | Definir as configurações de rede do servidor do DirectAccess. |
| Configurar o roteamento da rede corporativa | Configurar o roteamento da rede corporativa para verificar se o tráfego está devidamente roteado. |
| Configurar firewalls | Configurar firewalls adicionais, se necessário. |
| Configurar o servidor DNS | Configurar as definições de DNS do servidor do DirectAccess |
| Configurar o Active Directory | Unir computadores cliente e o servidor do DirectAccess no domínio do Active Directory. |
| Configurar GPOs | Configurar os GPOs para implantação, se necessário. |
| Configurar grupos de segurança | Configurar os grupos de segurança que conterão os computadores cliente do DirectAccess e quaisquer outros grupos de segurança requeridos na implantação. |
Note
Este tópico inclui cmdlets do Windows PowerShell de exemplo que podem ser usados para automatizar alguns dos procedimentos descritos. Para obter mais informações, consulte Como usar cmdlets.
Definir configurações de rede do servidor
As configurações de interface de rede a seguir são requeridas para uma implantação de servidor único em um ambiente com IPv4 e IPv6. Todos os endereços IP são configurados usando Alterar configurações do adaptador na Central de Rede e Compartilhamento do Windows.
Topologia de borda
Um endereço público estático IPv4 ou IPv6 voltado para a Internet.
Note
Dois endereços IPv4 públicos consecutivos são necessários para o Teredo. Se não estiver usando o Teredo, você poderá configurar um endereço IPv4 estático público individual.
Um único endereço estático interno IPv4 ou IPv6.
Atrás do dispositivo NAT (dois adaptadores de rede)
Um único endereço estático interno IPv4 ou IPv6 voltado para a rede.
Um único endereço estático de perímetro IPv4 ou IPv6 voltado para a rede.
Atrás do dispositivo NAT (um adaptador de rede)
- Um único endereço estático IPv4 ou IPv6.
Note
Se o servidor do DirectAccess tiver dois adaptadores de rede (um classificado no perfil do domínio e outro em um perfil público/privado), porém uma topologia de NIC único for usada, veja as recomendações a seguir:
Assegure que o segundo NIC e todos os outros NICs adicionais estejam classificados no perfil de domínio.
Se o segundo NIC não puder ser configurado para o perfil do domínio por alguma razão, a política de IPsec do DirectAccess deve ser manualmente estendida a todos os perfis usando os seguintes comandos do Windows PowerShell:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionOs nomes das políticas IPsec são DirectAccess-DaServerToInfra e DirectAccess-DaServerToCorp.
Configurar o roteamento da rede corporativa
Configure o roteamento na rede corporativa da seguinte forma:
Quando o IPv6 nativo for implantado na organização, adicione uma rota para que os roteadores no tráfego IPv6 da rota de rede interna retorne pelo servidor de Acesso Remoto.
Configure manualmente as rotas IPv4 e IPv6 da organização nos servidores de Acesso Remoto. Adicione uma rota publicada para que todo o tráfego com um prefixo IPv6 (/48) da organização seja encaminhado à rede interna. Além disso, para tráfego IPv4, adicione rotas explícitas para que o tráfego IPv4 seja encaminhado para a rede interna.
Configurar firewalls
Ao usar firewalls adicionais na sua implantação, aplique as seguintes exceções de firewall voltado para a Internet do tráfego de Acesso Remoto quando o servidor de Acesso Remoto está na Internet IPv4:
Tráfego 6to4 – Protocolo IP 41 de entrada e de saída.
IP-HTTPS – Entrada da porta de destino 443 do protocolo TCP e saída da porta de origem 443 de TCP. Quando o servidor de Acesso Remoto tem um único adaptador de rede e o servidor de local de rede está no servidor de acesso remoto, a porta TCP 62000 também é necessária.
Note
Essa isenção deve ser configurada no servidor de acesso remoto. Todas as outras isenções devem ser configuradas no firewall de borda.
Note
Para tráfego Teredo e 6to4, essas exceções devem ser aplicadas para os endereços IPv4 públicos consecutivos voltados para a Internet no servidor de Acesso Remoto. Para IP-HTTPS, as exceções precisam ser aplicadas apenas para o endereço no qual o nome externo do servidor é resolvido.
Ao usar firewalls adicionais, aplique as seguintes exceções de firewall voltado para a Internet do tráfego de Acesso Remoto quando o servidor de Acesso Remoto está na Internet IPv6:
Protocolo IP 50
Entrada da porta de destino UDP 500 e saída da porta de origem UDP 500.
Ao usar firewalls adicionais, aplique as seguintes exceções do firewall de rede interna no tráfego de Acesso Remoto:
ISATAP – Protocolo 41 de entrada e de saída
TCP/UDP para todo o tráfego IPv4/IPv6
Configurar o servidor DNS
Você deve configurar manualmente uma entrada DNS para o site do servidor de local da rede interna da sua implantação.
Para criar os registros do servidor de local de rede e do DNS da sonda NCSI
No servidor DNS de rede interna, execute dnsmgmt.msc e pressione ENTER.
No painel esquerdo do console do Gerenciador de DNS , expanda a zona de pesquisa para o seu domínio. Clique com o botão direito no domínio e clique em Novo Host (A ou AAAA).
Na caixa de diálogo Novo Host , na caixa Nome (usa o nome de domínio pai se estiver em branco), insira o nome DNS para o site do servidor de local de rede (esse é o nome que os clientes do DirectAccess usam para se conectar ao servidor de local de rede). Na caixa de endereço IP , insira o endereço IPv4 do servidor de local de rede e clique em Adicionar Host. Na caixa de diálogo DNS , clique em OK.
Na caixa de diálogo Novo Host , na caixa Nome (usa o nome de domínio pai se estiver em branco), insira o nome DNS para a investigação da Web (o nome da investigação da Web padrão é directaccess-webprobehost). Na caixa de endereço IP , insira o endereço IPv4 da investigação da Web e clique em Adicionar Host. Repita esse processo para o directaccess-corpconnectivityhost e quaisquer verificadores de conectividade criados manualmente. Na caixa de diálogo DNS , clique em OK.
Clique em Concluído.
Comandos equivalentes do Windows PowerShell do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Você também deve configurar entradas DNS para o seguinte:
O servidor IP-HTTPS – Os clientes do DirectAccess devem poder resolver o nome de DNS do servidor de Acesso Remoto pela Internet.
Verificação de revogação de CRL – O DirectAccess usa a verificação de revogação de certificados para a conexão IP-HTTPS entre os clientes DirectAccess e o servidor de Acesso Remoto, e também para a conexão baseada em HTPPS entre o cliente do DirectAccess e o servidor de local de rede. Em ambos os casos, os clientes do DirectAccess devem poder resolver e acessar o local do ponto de distribuição da CRL.
Configurar o Active Directory
O servidor de Acesso Remoto e todos os computadores cliente do DirectAccess devem ser ingressados em um domínio do Active Directory. Os computadores cliente do DirectAccess devem ser membros de um dos seguintes tipos de domínio:
Domínios pertencentes à mesma floresta que o servidor de Acesso Remoto.
Domínios pertencentes a florestas com relações de confiança bidirecional com a floresta do servidor de Acesso Remoto.
Domínios com relação de confiança bidirecional com o domínio do servidor de Acesso Remoto.
Para ingressar o servidor do DirectAccess em um domínio
No Gerenciador do Servidor, clique em Servidor Local. No painel de detalhes, clique no link ao lado do nome do computador.
Na caixa de diálogo Propriedades do Sistema , clique na guia Nome do Computador . Na guia Nome do Computador , clique em Alterar.
Em Nome do Computador, digite o nome do computador se você também estiver alterando o nome do computador ao ingressar o servidor no domínio. Em Membro, clique em Domínio e digite o nome do domínio ao qual você deseja ingressar no servidor; por exemplo, corp.contoso.com e clique em OK.
Quando for solicitado um nome de usuário e senha, insira o nome de usuário e a senha de um usuário com direitos para ingressar computadores no domínio e clique em OK.
Quando você vir uma caixa de diálogo recebendo você no domínio, clique em OK.
Quando for solicitado que você deve reiniciar o computador, clique em OK.
Na caixa de diálogo Propriedades do Sistema , clique em Fechar.
Quando for solicitado que você reinicie o computador, clique em Reiniciar Agora.
Para ingressar computadores cliente no domínio
Executar explorer.exe.
Clique com o botão direito do mouse no ícone computador e clique em Propriedades.
Na página Sistema , clique em Configurações avançadas do sistema.
Na caixa de diálogo Propriedades do Sistema , na guia Nome do Computador , clique em Alterar.
No nome do computador, digite o nome do computador se você também estiver alterando o nome do computador ao ingressar o servidor no domínio. Em Membro, clique em Domínio e digite o nome do domínio ao qual você deseja ingressar no servidor; por exemplo, corp.contoso.com e clique em OK.
Quando for solicitado um nome de usuário e senha, insira o nome de usuário e a senha de um usuário com direitos para ingressar computadores no domínio e clique em OK.
Quando você vir uma caixa de diálogo recebendo você no domínio, clique em OK.
Quando for solicitado que você deve reiniciar o computador, clique em OK.
Na caixa de diálogo Propriedades do Sistema , clique em Fechar. Clique em Reiniciar Agora quando solicitado.
Comandos equivalentes do Windows PowerShell do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Observe que você deve fornecer as credenciais do domínio depois de inserir o comando Add-Computer abaixo.
Add-Computer -DomainName <domain_name>
Restart-Computer
Configurar GPOs
Para implantar o Acesso Remoto, você precisará de pelo menos dois Objetos de Política de Grupo: um Objeto de Política de Grupo contém as configurações do servidor de Acesso Remoto e o outro contém as configurações dos computadores cliente do DirectAccess. Quando você configurar o Acesso Remoto, o assistente criará automaticamente os Objetos de Política de Grupo necessários. Contudo, se a sua organização impor uma convenção de nomenclatura ou se você não tem as permissões necessárias para criar ou editar Objetos de Política de Grupo, eles precisam ser criados antes da configuração do Acesso Remoto.
Para criar um Objeto de Política de Grupo, confira Criar e editar um Objeto de Política de Grupo.
Important
O administrador pode vincular manualmente o Objeto de Política de Grupo do DirectAccess a uma Unidade Organizacional usando estas etapas:
- Antes de configurar o DirectAccess, vincule os GPOs criados às respectivas Unidades Organizacionais.
- Configure o DirectAccess, especificando um grupo de segurança para computadores cliente.
- O administrador pode ou não ter permissões para vincular os Objetos de Política de Grupo ao domínio. De qualquer maneira, os Objetos de Política de Grupo serão configurados automaticamente. Se os GPOs já estiverem vinculados a uma OU, os links não serão removidos. E os GPOs não serão vinculados ao domínio. Para um GPO de servidor, a OU deverá conter o objeto de computador do servidor, ou o GPO será vinculado à raiz do domínio.
- Se a vinculação à OU não foi feita antes de executar o Assistente do DirectAccess, depois de concluir a configuração, o administrador poderá vincular os Objetos de Política de Grupo do DirectAccess às Unidades Organizacionais requeridas. O link para o domínio pode ser removido. As etapas para vincular um objeto de política de grupo a uma Unidade de Organização podem ser encontradas aqui
Note
Se um Objeto de Política de Grupo tiver sido criado manualmente, será possível que ele não esteja disponível, durante a configuração do DirectAccess. Talvez o Objeto de Política de Grupo não tenha sido replicado no controlador de domínio mais próximo ao computador de gerenciamento. Neste caso, o administrador pode aguardar a replicação ser concluída, ou forçá-la.
Warning
Não há suporte para o uso de outros meios além do Assistente de Instalação do DirectAccess para configurar o DirectAccess, como modificar os Objetos de Política de Grupo do DirectAccess ou modificar manualmente as configurações de política padrão no servidor ou no cliente.
Configurar grupos de segurança
As configurações do DirectAccess contidas no Objeto de Política de Grupo do computador cliente só serão aplicadas aos computadores membros dos grupos de segurança que você especificar ao configurar o Acesso Remoto.
Para criar um grupo de segurança para os clientes do DirectAccess
Execute dsa.msc. No console Usuários e Computadores do Active Directory, no painel esquerdo, expanda o domínio que conterá o grupo de segurança, clique com o botão direito do mouse em Usuários, aponte para Novo e clique em Grupo.
Na caixa de diálogo Novo Objeto - Grupo, em Nome do grupo, digite o nome do grupo de segurança.
No escopo de grupo, clique em Global, em Tipo de grupo, clique em Segurança e clique em OK.
Clique duas vezes no grupo de segurança de computadores cliente do DirectAccess e, na caixa de diálogo Propriedades, clique na guia Membros .
Na guia Membros , clique em Adicionar.
Na caixa de diálogo Selecionar Usuários, Contatos, Computadores ou Contas de Serviço, selecione os computadores cliente que você deseja habilitar para o DirectAccess e clique em OK.
Comandos equivalentes do Windows PowerShell do
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>