Implantar um único servidor DirectAccess com configurações avançadas

Aplica-se a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Important

A Microsoft recomenda vivamente que utilize VPN Always On em vez do DirectAccess para novas implementações. Para obter mais informações, consulte Sempre em VPN.

Este tópico fornece uma introdução ao cenário do DirectAccess que usa um único servidor DirectAccess e permite implantar o DirectAccess com configurações avançadas.

Antes de começar a implantar, consulte a lista de configurações sem suporte, problemas conhecidos e pré-requisitos

Você pode usar os tópicos a seguir para revisar pré-requisitos e outras informações antes de implantar o DirectAccess.

Descrição do cenário

Nesse cenário, um único computador executando o Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 é configurado como um servidor DirectAccess com configurações avançadas.

Note

Se você quiser configurar uma implantação básica apenas com configurações simples, consulte Implantar um único servidor DirectAccess usando o Assistente de Introdução. No cenário simples, o DirectAccess é configurado com configurações padrão usando um assistente, sem a necessidade de definir configurações de infraestrutura, como uma autoridade de certificação (CA) ou grupos de segurança do Ative Directory.

Neste cenário

Para configurar um único servidor DirectAccess com configurações avançadas, você deve concluir várias etapas de planejamento e implantação.

Prerequisites

Antes de começar, você pode revisar os seguintes requisitos.

O Firewall do Windows deve estar habilitado em todos os perfis.
O servidor DirectAccess é o servidor de local de rede.
Você deseja que todos os computadores sem fio no domínio em que você instala o servidor DirectAccess sejam habilitados para DirectAccess. Quando você implanta o DirectAccess, ele é habilitado automaticamente em todos os computadores móveis no domínio atual.

Important

Algumas tecnologias e configurações não são suportadas quando você implanta o DirectAccess.

Intra-Site Protocolo de Endereçamento Automático de Túneis (ISATAP) na rede corporativa não é suportado. Se você estiver usando ISATAP, deverá removê-lo e usar IPv6 nativo.

Etapas de planejamento

O planeamento divide-se em duas fases:

Planejamento da infraestrutura do DirectAccess. Esta fase descreve o planejamento necessário para configurar a infraestrutura de rede antes de iniciar a implantação do DirectAccess. Inclui o planeamento da topologia de rede e servidor, o planeamento de certificados, DNS, Active Directory e a configuração de objetos de Diretiva de Grupo (GPO), e o servidor de localização de rede do DirectAccess.
Planejando a implantação do DirectAccess. Esta fase descreve as etapas de planejamento necessárias para preparar a implantação do DirectAccess. Ele inclui planejamento para computadores cliente DirectAccess, requisitos de autenticação de servidor e cliente, configurações de VPN, servidores de infraestrutura e servidores de gerenciamento e aplicativos.

Etapas de implantação

A implantação está dividida em três fases:

Configurando a infraestrutura do DirectAccess. Esta fase inclui a configuração da rede e do roteamento, a definição das configurações do firewall, se necessário, a configuração de certificados, servidores DNS, configurações do Ative Directory e GPO e o servidor de local de rede DirectAccess.
Definindo as configurações do servidor DirectAccess. Esta fase inclui etapas para configurar computadores cliente DirectAccess, o servidor DirectAccess, servidores de infraestrutura, servidores de gerenciamento e servidores de aplicativos.
Verificando a implantação. Esta fase inclui etapas para verificar a implantação do DirectAccess.

Para obter etapas detalhadas de implantação, consulte Instalar e configurar o DirectAccess avançado.

Aplicações práticas

A implantação de um único servidor DirectAccess fornece o seguinte:

Facilidade de acesso. Os computadores cliente gerenciados que executam o Windows 10, Windows 8.1, Windows 8 e Windows 7 podem ser configurados como computadores cliente DirectAccess. Esses clientes podem acessar recursos de rede interna via DirectAccess sempre que estiverem localizados na Internet sem a necessidade de fazer login em uma conexão VPN. Os computadores clientes que não executam um desses sistemas operacionais podem se conectar à rede interna via VPN.
Facilidade de gestão. Os computadores cliente DirectAccess localizados na Internet podem ser gerenciados remotamente por administradores de Acesso Remoto pelo DirectAccess, mesmo quando os computadores cliente não estão localizados na rede corporativa interna. Os computadores clientes que não atendem aos requisitos corporativos podem ser remediados automaticamente pelos servidores de gerenciamento. O DirectAccess e a VPN são gerenciados no mesmo console e com o mesmo conjunto de assistentes. Além disso, um ou mais servidores DirectAccess podem ser gerenciados a partir de um único console de Gerenciamento de Acesso Remoto

Funções e recursos necessários para este cenário

A tabela a seguir lista as funções e os recursos necessários para esse cenário:

Role/feature	Como ele suporta esse cenário
Função de Acesso Remoto	A função é instalada e desinstalada usando o console do Gerenciador do Servidor ou o Windows PowerShell. Essa função engloba o DirectAccess e os Serviços de Roteamento e Acesso Remoto (RRAS). A função Acesso Remoto consiste em dois componentes: 1. DirectAccess e VPN RRAS. O DirectAccess e a VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto. 2. Roteamento RRAS. Os recursos de roteamento RRAS são gerenciados no console de Roteamento e Acesso Remoto herdado. A função de servidor Acesso Remoto depende das seguintes funções/recursos de servidor: - Servidor Web dos Serviços de Informação Internet (IIS) - Esta funcionalidade é necessária para configurar o servidor de localização de rede no servidor DirectAccess e a sonda Web predefinida. - Base de Dados Interna Windows. Usado para contabilidade local no servidor DirectAccess.
Funcionalidade de Ferramentas de Gestão de Acesso Remoto	Este recurso é instalado da seguinte maneira: - Ele é instalado por padrão em um servidor DirectAccess quando a função Acesso Remoto é instalada e suporta a interface do usuário do console de Gerenciamento Remoto e cmdlets do Windows PowerShell. - Pode ser instalado opcionalmente em um servidor que não esteja executando a função de servidor DirectAccess. Neste caso, ele é usado para o gerenciamento remoto de um computador de Acesso Remoto executando DirectAccess e VPN. O recurso Ferramentas de Gerenciamento de Acesso Remoto consiste no seguinte: - Interface gráfica do usuário de acesso remoto (GUI) - Módulo de Acesso Remoto para Windows PowerShell As dependências incluem: - Console de Gestão de Política de Grupo - Kit de Administração do Gestor de Ligações RAS (CMAK) - Windows PowerShell 3.0 - Ferramentas de Gestão Gráfica e Infraestrutura

Role/feature

Como ele suporta esse cenário

Função de Acesso Remoto

A função é instalada e desinstalada usando o console do Gerenciador do Servidor ou o Windows PowerShell. Essa função engloba o DirectAccess e os Serviços de Roteamento e Acesso Remoto (RRAS). A função Acesso Remoto consiste em dois componentes:

1. DirectAccess e VPN RRAS. O DirectAccess e a VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto.
2. Roteamento RRAS. Os recursos de roteamento RRAS são gerenciados no console de Roteamento e Acesso Remoto herdado.

A função de servidor Acesso Remoto depende das seguintes funções/recursos de servidor:

- Servidor Web dos Serviços de Informação Internet (IIS) - Esta funcionalidade é necessária para configurar o servidor de localização de rede no servidor DirectAccess e a sonda Web predefinida.
- Base de Dados Interna Windows. Usado para contabilidade local no servidor DirectAccess.

Funcionalidade de Ferramentas de Gestão de Acesso Remoto

Este recurso é instalado da seguinte maneira:

- Ele é instalado por padrão em um servidor DirectAccess quando a função Acesso Remoto é instalada e suporta a interface do usuário do console de Gerenciamento Remoto e cmdlets do Windows PowerShell.
- Pode ser instalado opcionalmente em um servidor que não esteja executando a função de servidor DirectAccess. Neste caso, ele é usado para o gerenciamento remoto de um computador de Acesso Remoto executando DirectAccess e VPN.

O recurso Ferramentas de Gerenciamento de Acesso Remoto consiste no seguinte:

- Interface gráfica do usuário de acesso remoto (GUI)
- Módulo de Acesso Remoto para Windows PowerShell

As dependências incluem:

- Console de Gestão de Política de Grupo
- Kit de Administração do Gestor de Ligações RAS (CMAK)
- Windows PowerShell 3.0
- Ferramentas de Gestão Gráfica e Infraestrutura

Requisitos de hardware

Os requisitos de hardware para este cenário incluem o seguinte:

Requisitos do servidor:
- Um computador que atenda aos requisitos de hardware do Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 .
- O servidor deve ter pelo menos um adaptador de rede instalado, habilitado e conectado à rede interna. Quando dois adaptadores são usados, deve haver um adaptador conectado à rede corporativa interna e um conectado à rede externa (Internet ou rede privada).
- Se o Teredo for necessário como um protocolo de transição IPv4 para IPv6, o adaptador externo do servidor exigirá dois endereços IPv4 públicos consecutivos. Se um único endereço IP estiver disponível, apenas IP-HTTPS poderá ser usado como protocolo de transição.
- Pelo menos um controlador de domínio. O servidor DirectAccess e os clientes DirectAccess devem ser membros do domínio.
- Uma autoridade de certificação (CA) é necessária se você não quiser usar certificados autoassinados para IP-HTTPS ou o servidor de local de rede, ou se quiser usar certificados de cliente para autenticação IPsec de cliente. Como alternativa, você pode solicitar certificados de uma autoridade de certificação pública.
- Se o servidor de local de rede não estiver localizado no servidor DirectAccess, será necessário um servidor Web separado para executá-lo.
Requisitos do cliente:
- Um computador cliente deve estar executando o Windows 10, Windows 8 ou Windows 7.
  
  Note
  
  Os seguintes sistemas operacionais podem ser usados como clientes DirectAccess: Windows 10, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise, Windows 7 Enterprise ou Windows 7 Ultimate.
Requisitos de infraestrutura e servidor de gerenciamento:
- Durante a gestão remota de computadores clientes DirectAccess, os clientes iniciam comunicações com servidores de gestão, como controladores de domínio, Servidor de Configuração do System Center e servidores da Autoridade de Registro de Integridade (HRA), para serviços como atualizações do Windows e antivírus, e para assegurar a conformidade do cliente NAP (Proteção de Acesso à Rede). Os servidores necessários devem ser implantados antes de iniciar a implantação do Acesso Remoto.
- Se o Acesso Remoto exigir conformidade com NAP do cliente, os servidores NPS e HRS deverão ser implantados antes de iniciar a implantação do acesso remoto
- Se a VPN estiver habilitada, um servidor DHCP será necessário para alocar endereços IP automaticamente para clientes VPN, se um pool de endereços estáticos não for usado.

Requisitos de software

Há uma série de requisitos para esse cenário:

Requisitos do servidor:
- O servidor DirectAccess deve ser um membro do domínio. O servidor pode ser implantado na borda da rede interna ou atrás de um firewall de borda ou outro dispositivo.
- Se o servidor DirectAccess estiver localizado atrás de um firewall de borda ou dispositivo NAT, o dispositivo deverá ser configurado para permitir o tráfego de e para o servidor DirectAccess.
- A pessoa que implanta o acesso remoto no servidor requer permissões de administrador local no servidor e permissões de usuário de domínio. Além disso, o administrador requer permissões para os GPOs usados na implantação do DirectAccess. Para aproveitar os recursos que restringem a implantação do DirectAccess apenas a computadores móveis, são necessárias permissões para criar um filtro WMI no controlador de domínio.
Requisitos do cliente de Acesso Remoto:
- Os clientes DirectAccess devem ser membros do domínio. Os domínios que contêm clientes podem pertencer à mesma floresta que o servidor DirectAccess ou ter uma relação de confiança bidirecional com a floresta ou domínio do servidor DirectAccess.
- Um grupo de segurança do Ative Directory é necessário para conter os computadores que serão configurados como clientes DirectAccess. Se um grupo de segurança não for especificado ao definir as configurações do cliente DirectAccess, por padrão, o GPO cliente será aplicado em todos os laptops do grupo de segurança Computadores do Domínio.
  
  Note
  
  É recomendável criar um grupo de segurança para cada domínio que contenha computadores cliente DirectAccess.
  
  Important
  
  Se você habilitou o Teredo em sua implantação do DirectAccess e deseja fornecer acesso aos clientes do Windows 7, certifique-se de que os clientes sejam atualizados para o Windows 7 com SP1. Os clientes que usam o Windows 7 RTM não poderão se conectar por Teredo. No entanto, esses clientes ainda poderão se conectar à rede corporativa por IP-HTTPS.

Consulte também

A tabela a seguir fornece links para recursos adicionais.

Tipo de conteúdo	References
Deployment	Caminhos de implantação do DirectAccess no Windows Server Implantar um único servidor DirectAccess usando o Assistente de Introdução
Ferramentas e configurações	Cmdlets do PowerShell de Acesso Remoto
Recursos da comunidade	Guia de sobrevivência do DirectAccess Entradas Wiki do DirectAccess
Tecnologias relacionadas	Como funciona o IPv6

Feedback

Esta página foi útil?

Last updated on 2025-07-14