Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Depois de planejar a infraestrutura do DirectAccess, a próxima etapa na implantação do DirectAccess avançado em um único servidor com IPv4 e IPv6 é planejar as configurações do Assistente de Configuração de Acesso Remoto.
| Task | Description |
|---|---|
| 2.1 Planejar a implantação do cliente | Planeje como permitir que os computadores clientes se conectem usando o DirectAccess. Decida quais computadores gerenciados serão configurados como clientes DirectAccess e planeje implantar o Assistente de Conectividade de Rede ou o Assistente de Conectividade DirectAccess em computadores cliente. |
| 2.2 Planejar a implantação do servidor DirectAccess | Planeje como implantar o servidor DirectAccess. |
| 2.3 Planejar servidores de infraestrutura | Planeje os servidores de infraestrutura para sua implantação do DirectAccess, incluindo o servidor de local de rede DirectAccess, servidores DNS (Sistema de Nomes de Domínio) e servidores de gerenciamento DirectAccess. |
| 2.4 Planejar servidores de aplicativos | Planeje servidores de aplicativos IPv4 e IPv6 e, opcionalmente, considere se a autenticação de ponta a ponta entre computadores cliente DirectAccess e servidores de aplicativos internos é necessária. |
| 2.5 Planear o DirectAccess e clientes VPN de terceiros | Ao implantar o DirectAccess com clientes VPN de terceiros, pode ser necessário definir um valor do Registro para permitir uma coexistência perfeita das duas soluções de acesso remoto. |
2.1 Planear a implantação do cliente
Há três decisões a tomar ao planear a implementação do cliente.
O DirectAccess estará disponível apenas para computadores móveis ou para qualquer computador?
Ao configurar clientes DirectAccess no Assistente de Configuração do Cliente DirectAccess, você pode optar por permitir que apenas computadores móveis nos grupos de segurança especificados se conectem usando o DirectAccess. Se você restringir o acesso a computadores móveis, o Acesso Remoto configurará automaticamente um filtro WMI para garantir que o GPO do cliente DirectAccess seja aplicado somente a computadores móveis nos grupos de segurança especificados. O administrador de Acesso Remoto requer permissões de segurança Criar ou Modificar para criar ou modificar filtros WMI de GPO (Objeto de Diretiva de Grupo) para habilitar essa configuração.
Que grupos de segurança conterão os computadores cliente DirectAccess?
As configurações do cliente DirectAccess estão contidas no GPO do cliente DirectAccess. O GPO é aplicado a computadores que fazem parte dos grupos de segurança especificados no Assistente de Configuração do Cliente DirectAccess. Você pode especificar que os grupos de segurança estejam contidos em qualquer domínio suportado. Para obter mais informações, consulte a seção 1.7 Planejar os Serviços de Domínio Ative Directory.
Antes de configurar o DirectAccess, você deve criar os grupos de segurança. Você pode adicionar computadores ao grupo de segurança depois de concluir a implantação do DirectAccess, mas se adicionar computadores cliente que residam em um domínio diferente do grupo de segurança, o GPO cliente não será aplicado a esses clientes. Por exemplo, se você criou SG1 no domínio A para clientes DirectAccess e, posteriormente, adicionar clientes do domínio B a esse grupo, o GPO do cliente não será aplicado aos clientes do domínio B. Para evitar esse problema, crie um novo grupo de segurança de cliente para cada domínio que contém computadores cliente DirectAccess. Como alternativa, se você não quiser criar um novo grupo de segurança, execute o cmdlet Add-DAClient do Windows PowerShell com o nome do novo GPO para o novo domínio.
Quais configurações você definirá para o assistente de conectividade de rede?
O assistente de conectividade de rede é executado em computadores cliente e fornece informações adicionais sobre a conexão do DirectAccess aos usuários finais. No Assistente de Configuração do Cliente DirectAccess, você pode configurar o seguinte:
Verificadores de conectividade
É criada uma sonda web padrão, utilizada pelos clientes para validar a conectividade com a rede interna. O nome padrão é:
https://directaccess-WebProbeHost.<domain_name>
O nome deve ser registado manualmente no DNS. Você pode criar outros verificadores de conectividade usando outros endereços da Web por HTTP ou ping. Para cada verificador de conectividade, deve existir uma entrada DNS.
Um endereço de e-mail do Help Desk
Se os usuários finais tiverem problemas de conectividade do DirectAccess, eles poderão enviar um email contendo informações de diagnóstico ao administrador do DirectAccess para solucionar o problema.
Um nome de conexão DirectAccess
Especifique um nome de conexão DirectAccess para ajudar os usuários finais a identificar a conexão DirectAccess em seus computadores.
Permitir que os clientes DirectAccess usem a resolução de nomes locais
Os clientes exigem uma maneira de resolver nomes localmente. Se você permitir que os clientes DirectAccess usem a resolução de nomes local, os usuários finais poderão usar servidores DNS locais para resolver nomes. Quando os usuários finais optam por usar servidores DNS locais para resoluções de nomes, o DirectAccess não envia solicitações de resolução para nomes de rótulo único para o servidor DNS corporativo interno. Em vez disso, ele usa a resolução de nomes locais (usando os protocolos LLMNR (Link-Local Multicast Name Resolution) e NetBIOS sobre TCP/IP).
2.2 Planejar a implantação do servidor DirectAccess
Considere as seguintes decisões quando estiver planejando implantar seu servidor DirectAccess:
Topologia de rede
Há algumas topologias disponíveis ao implantar um servidor DirectAccess:
Dois adaptadores de rede. Com dois adaptadores de rede, o DirectAccess pode ser configurado com um adaptador de rede conectado diretamente à Internet e o outro conectado à rede interna. Como alternativa, o servidor é instalado atrás de um dispositivo de borda, como um firewall ou um roteador. Nessa configuração, um adaptador de rede é conectado à rede de perímetro e o outro está conectado à rede interna.
Um adaptador de rede. Nessa configuração, o servidor DirectAccess é instalado atrás de um dispositivo de borda, como um firewall ou um roteador. O adaptador de rede está conectado à rede interna.
Para obter mais informações sobre como selecionar a topologia para sua implantação, consulte 1.1 Planejar topologia e configurações de rede.
Endereço ConnectTo
Os computadores clientes usam o endereço ConnectTo para se conectar ao servidor DirectAccess. O endereço escolhido deve corresponder ao nome do assunto do certificado de IP-HTTPS implantado para a conexão IP-HTTPS e deve estar disponível no DNS público.
Adaptadores de rede
O Assistente de Configuração do Servidor de Acesso Remoto deteta automaticamente os adaptadores de rede configurados no servidor DirectAccess. Você deve certificar-se de que os adaptadores corretos estão selecionados.
IP-HTTPS certificado
O Assistente de Configuração do Servidor de Acesso Remoto deteta automaticamente um certificado adequado para a conexão IP-HTTPS. O nome do assunto do certificado selecionado deve corresponder ao endereço ConnectTo. Se você estiver usando certificados autoassinados, poderá optar por usar um certificado criado automaticamente pelo servidor de Acesso Remoto.
Prefixos IPv6
Se o Assistente para Configuração do Servidor de Acesso Remoto detetar que o IPv6 foi implantado nos adaptadores de rede, ele preencherá automaticamente os prefixos IPv6 para a rede interna, um prefixo IPv6 para atribuir aos computadores cliente DirectAccess e um prefixo IPv6 para atribuir aos computadores cliente VPN. Se os prefixos gerados automaticamente não estiverem corretos para sua infraestrutura IPv6 nativa, você deverá alterá-los manualmente. Para obter mais informações, consulte 1.1 Planejar topologia e configurações de rede.
Authentication
Decida como os clientes DirectAccess serão autenticados no servidor DirectAccess:
Autenticação do usuário. Você pode permitir que os usuários se autentiquem com credenciais do Ative Directory ou com autenticação de dois fatores. Para obter mais informações sobre autenticação com autenticação de dois fatores, consulte Implantar acesso remoto com autenticação OTP.
Autenticação do computador. Você pode configurar a autenticação do computador para usar certificados ou para usar o servidor DirectAccess como um proxy Kerberos em nome do cliente. Para obter mais informações, consulte 1.3 Planejar requisitos de certificado.
Clientes Windows 7. Por padrão, os computadores cliente que executam o Windows 7 não podem se conectar a uma implantação do Windows Server 2012 R2 ou do Windows Server 2012 DirectAccess. Se você tiver clientes em sua organização que executam o Windows 7 e eles precisarem de acesso remoto a recursos internos, você poderá permitir que eles se conectem. Todos os computadores cliente que você deseja permitir o acesso a recursos internos devem ser membros de um grupo de segurança especificado no Assistente de Configuração do Cliente DirectAccess.
Note
Permitir que os clientes que executam o Windows 7 se conectem usando o DirectAccess requer que você use a autenticação de certificado de computador.
Configuração VPN
Antes de configurar o DirectAccess, decida se você vai fornecer acesso VPN para clientes remotos não compatíveis com DirectAccess. Você deve fornecer acesso VPN se tiver computadores cliente em sua organização que não oferecem suporte à conectividade DirectAccess (porque eles não são gerenciados ou porque executam um sistema operacional para o qual o DirectAccess não é suportado). O Assistente para Configuração do Servidor de Acesso Remoto permite configurar como os endereços IP são atribuídos (usando DHCP ou de um pool de endereços estáticos) e como os clientes VPN são autenticados - usando o Ative Directory ou um servidor RADIUS (Remote Authentication Dial-Up Service).
2.3 Planejar servidores de infraestrutura
O DirectAccess requer três tipos de servidores de infraestrutura:
Servidores DNS. Para obter mais informações, consulte 1.4 Planejar requisitos de DNS
Servidor de localização de rede. Para obter mais informações, consulte 1.5 Planejar o servidor de local de rede
Gestão de servidores. Para obter mais informações, consulte 1.6 Planejar servidores de gerenciamento
2.4 Planejar servidores de aplicativos
Servidores de aplicativos são os servidores na rede corporativa acessíveis por computadores clientes através de uma conexão DirectAccess. Os servidores de aplicativos são identificados adicionando-os a um grupo de segurança. O GPO do servidor de aplicativos é então aplicado aos servidores desse grupo.
Note
Adicionar os servidores de aplicativos a um grupo de segurança é necessário somente se você precisar de autenticação e criptografia de ponta a ponta.
Opcionalmente, você pode exigir autenticação e criptografia de ponta a ponta entre o cliente DirectAccess e os servidores de aplicativos internos selecionados. Se você configurar a autenticação de ponta a ponta, os clientes DirectAccess usarão uma política de transporte IPsec. Esta política requer que a autenticação e a proteção de tráfego de sessões IPsec sejam encerradas nos servidores de aplicativos especificados. Nesse caso, o servidor de Acesso Remoto encaminha as sessões IPsec autenticadas e protegidas para os servidores de aplicativos.
Por padrão, quando você estende a autenticação para servidores de aplicativos, a carga de dados é criptografada entre o cliente DirectAccess e o servidor de aplicativos. Você pode optar por não criptografar o tráfego e usar apenas a autenticação. No entanto, isso é menos seguro do que usar autenticação e criptografia e é suportado apenas para servidores de aplicativos que executam os sistemas operacionais Windows Server 2008 R2 ou Windows Server 2012.
2.5 Planear o DirectAccess e os clientes VPN de terceiros
Alguns clientes VPN de terceiros não criam conexões na pasta Conexões de Rede. Isso pode fazer com que o DirectAccess determine que ele não tem conectividade de intranet quando a conexão VPN é estabelecida e a conectividade com a intranet existe. Isso ocorre quando clientes VPN de terceiros registram suas interfaces definindo-as como tipos de ponto de extremidade NDIS (Network Device Interface Specification). Você pode habilitar a coexistência com esses tipos de clientes VPN definindo o seguinte valor do Registro como 1 em clientes DirectAccess:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\ShowDomainEndpointInterfaces (REG_DWORD)
Alguns clientes VPN de terceiros usam uma configuração de túnel dividido, que permite que o computador cliente VPN acesse a Internet diretamente, sem a necessidade de enviar o tráfego através da conexão VPN para a intranet.
As configurações de túnel dividido normalmente deixam a definição de gateway padrão no cliente VPN como não configurada ou como zeros completos (0.0.0.0). Você pode confirmar isso estabelecendo uma conexão VPN bem-sucedida com sua intranet e usando a ferramenta de linha de comando Ipconfig.exe para exibir a configuração resultante.
Se a conexão VPN listar seu gateway padrão como vazio ou todos os zeros (0.0.0.0), seu cliente VPN será configurado dessa maneira. Por padrão, o cliente DirectAccess não identifica configurações de túnel dividido. Para configurar clientes DirectAccess para detetar esses tipos de configurações de cliente VPN e coexistir com eles, defina o seguinte valor do Registro como 1:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NlaSvc\Parameters\Internet\ EnableNoGatewayLocationDetection (REG_DWORD)