Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Analise a lista a seguir de configurações do DirectAccess sem suporte antes de iniciar a implantação para evitar ter que iniciar a implantação novamente.
Distribuição de objetos de Diretiva de Grupo pelo Serviço de Replicação de Ficheiros (FRS) (replicações SYSVOL)
Não implante o DirectAccess em ambientes onde os controladores de domínio estejam executando o FRS (Serviço de Replicação de Arquivos) para distribuição de objetos de Diretiva de Grupo (replicações SYSVOL). A implantação do DirectAccess não é suportada quando você usa o FRS.
Você está usando o FRS se tiver controladores de domínio que estejam executando o Windows Server 2003 ou Windows Server 2003 R2. Além disso, poderá estar a usar o FRS se já tiver usado os controladores de domínio do Windows 2000 Server ou do Windows Server 2003 e nunca tiver migrado a replicação SYSVOL do FRS para a Replicação do Sistema de Arquivos Distribuído (DFS-R).
Se você implantar o DirectAccess com a replicação FRS SYSVOL, correrá o risco de excluir intencionalmente os objetos de Diretiva de Grupo do DirectAccess que contêm as informações de configuração do servidor e do cliente do DirectAccess. Se esses objetos forem excluídos, sua implantação do DirectAccess sofrerá uma interrupção e os computadores clientes que usam o DirectAccess não poderão se conectar à sua rede.
Se estiver a planear implementar o DirectAccess, tem de utilizar controladores de domínio que estejam a executar sistemas operativos posteriores ao Windows Server 2003 R2 e tem de utilizar o DFS-R.
Para obter informações sobre como migrar do FRS para o DFS-R, consulte o SYSVOL Replication Migration Guide: FRS to DFS Replication.
Proteção de Acesso à Rede para clientes DirectAccess
A NAP (Proteção de Acesso à Rede) é usada para determinar se os computadores cliente remotos atendem às políticas de TI antes de receberem acesso à rede corporativa. A NAP foi preterida no Windows Server 2012 R2 e não está incluída no Windows Server 2016. Por esse motivo, iniciar uma nova implantação do DirectAccess com NAP não é recomendado. Recomenda-se um método diferente de controle de ponto final para a segurança de clientes DirectAccess.
Suporte multisite para clientes Windows 7
Quando o DirectAccess é configurado em uma implantação multissite, os clientes Windows 10®, Windows® 8.1 e Windows® 8 têm a capacidade de se conectar ao site mais próximo. Os computadores cliente Windows 7® não têm a mesma capacidade. A seleção de sites para clientes Windows 7 é definida como um site específico no momento da configuração da política, e esses clientes sempre se conectarão a esse site designado, independentemente de sua localização.
Controle de acesso baseado no usuário
As políticas do DirectAccess são baseadas no computador, não no usuário. Não há suporte para a especificação de políticas de usuário do DirectAccess para controlar o acesso à rede corporativa.
Personalizando a política do DirectAccess
O DirectAccess pode ser configurado usando o Assistente de Instalação do DirectAccess, o console de Gerenciamento de Acesso Remoto ou os cmdlets do Windows PowerShell de Acesso Remoto. Não há suporte para o uso de qualquer meio que não seja o Assistente de Instalação do DirectAccess para configurar o DirectAccess, como modificar Objetos de Política de Grupo do DirectAccess diretamente ou manualmente as configurações de diretiva padrão no servidor ou cliente. Essas modificações podem resultar em uma configuração inutilizável.
Autenticação KerbProxy
Quando você configura um servidor DirectAccess com o Assistente de Introdução, o servidor DirectAccess é configurado automaticamente para usar a autenticação KerbProxy para autenticação de computador e usuário. Por isso, você só deve usar o Assistente de Introdução para implantações de site único em que apenas clientes Windows 10®, Windows 8.1 ou Windows 8 são implantados.
Além disso, os seguintes recursos não devem ser usados com a autenticação KerbProxy:
Balanceamento de carga usando um balanceador de carga externo ou o Windows Load Balancer
Autenticação de dois fatores onde cartões inteligentes ou uma senha de uso único (OTP) são necessários
Os seguintes planos de implantação não são suportados se você habilitar a autenticação KerbProxy:
Multisite.
Suporte do DirectAccess para clientes Windows 7.
Forçar o tunelamento. Para garantir que a autenticação KerbProxy não esteja habilitada quando você usa o túnel de força, configure os seguintes itens ao executar o assistente:
Ativar tunelamento de força
Habilitar o DirectAccess para clientes Windows 7
Note
Para as implantações anteriores, você deve usar o Assistente de Configuração Avançada, que usa uma configuração de dois túneis com um computador baseado em certificado e autenticação de usuário. Para obter mais informações, consulte implantar um único servidor DirectAccess com configurações avançadas.
Usando o ISATAP
ISATAP é uma tecnologia de transição que fornece conectividade IPv6 em redes corporativas somente IPv4. Ele é limitado a organizações de pequeno e médio porte com uma única implantação de servidor DirectAccess e permite o gerenciamento remoto de clientes DirectAccess. Se o ISATAP for implantado em um ambiente multissite, balanceamento de carga ou multidomínio, você deverá removê-lo ou movê-lo para uma implantação IPv6 nativa antes de configurar o DirectAccess.
Configuração do ponto final IPHTTPS e configuração de palavra-passe única (OTP)
Quando você usa IPHTTPS, a conexão IPHTTPS deve ser encerrada no servidor DirectAccess, não em qualquer outro dispositivo, como um balanceador de carga. Da mesma forma, a conexão SSL (Secure Sockets Layer) fora de banda criada durante a autenticação OTP (senha de uso único) deve ser encerrada no servidor DirectAccess. Todos os dispositivos entre os pontos finais dessas conexões devem ser configurados no modo de passagem.
Force Tunnel com autenticação OTP
Não implante um servidor DirectAccess com autenticação de dois fatores com OTP e Force Tunneling, ou a autenticação OTP falhará. É necessária uma ligação SSL (Secure Sockets Layer) fora de banda entre o servidor DirectAccess e o cliente DirectAccess. Essa conexão requer uma isenção para enviar o tráfego para fora do túnel do DirectAccess. Em uma configuração de túnel de força, todo o tráfego deve fluir através de um túnel DirectAccess, e nenhuma isenção é permitida depois que o túnel é estabelecido. Por isso, não há suporte para autenticação OTP em uma configuração de túnel forçado.
Implantando o DirectAccess com um controlador de domínio Read-Only
Os servidores DirectAccess devem ter acesso a um controlador de domínio de leitura-gravação e não funcionam corretamente com um Controlador de Domínio Read-Only (RODC).
Um controlador de domínio de leitura-gravação é necessário por vários motivos, incluindo os seguintes:
No servidor DirectAccess, é necessário um controlador de domínio de leitura/gravação para abrir o Console de Gerenciamento Microsoft (MMC) de Acesso Remoto.
O servidor DirectAccess deve tanto ler quanto gravar nos Objetos de Política de Grupo (GPOs) do cliente DirectAccess e do servidor DirectAccess.
O servidor DirectAccess lê e grava no GPO do cliente especificamente a partir do emulador do controlador de domínio primário (PDCe).
Devido a esses requisitos, não implante o DirectAccess com um RODC.