Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Este tópico descreve como configurar a infraestrutura necessária para uma implantação básica do DirectAccess usando um único servidor DirectAccess em um ambiente misto de IPv4 e IPv6. Antes de iniciar as etapas de implementação, verifique se concluiu as etapas de planeamento descritas em Planear uma Implementação Básica de DirectAccess.
| Task | Description |
|---|---|
| Definir configurações de rede do servidor | Configure as configurações de rede do servidor no servidor DirectAccess. |
| Configurar o roteamento na rede corporativa | Configure o roteamento na rede corporativa para garantir que o tráfego seja roteado adequadamente. |
| Configurar firewalls | Configure firewalls adicionais, se for necessário. |
| Configurar o servidor DNS | Defina as configurações de DNS para o servidor DirectAccess. |
| Configurar Active Directory | Junte computadores cliente e o servidor DirectAccess ao domínio do Ative Directory. |
| Configurar GPOs | Configurar GPOs para a implantação, se necessário. |
| Configurar grupos de segurança | Configure grupos de segurança que conterão computadores cliente DirectAccess e quaisquer outros grupos de segurança necessários na implantação. |
Note
Este tópico inclui exemplos de cmdlets do Windows PowerShell que você pode usar para automatizar alguns dos procedimentos descritos. Para obter mais informações, consulte Usando cmdlets.
Definir configurações de rede do servidor
As seguintes configurações de interface de rede são necessárias para uma implantação de servidor único em um ambiente com IPv4 e IPv6. Todos os endereços IP são configurados usando Alterar configurações do adaptador no Centro de Rede e Compartilhamento do Windows.
Topologia de borda
Um endereço IPv4 ou IPv6 estático público voltado para a Internet.
Note
Dois endereços IPv4 públicos consecutivos são necessários para Teredo. Se você não estiver usando Teredo, poderá configurar um único endereço IPv4 estático público.
Um único endereço IPv4 ou IPv6 estático interno.
Atrás do dispositivo NAT (dois adaptadores de rede)
Um único endereço IPv4 ou IPv6 estático voltado para a rede interna.
Um único endereço IPv4 ou IPv6 estático voltado para a rede de perímetro.
Atrás do dispositivo NAT (um adaptador de rede)
- Um único endereço IPv4 ou IPv6 estático.
Note
Se o servidor DirectAccess tiver dois ou mais adaptadores de rede (um classificado no perfil de domínio e outro em um perfil público/privado), mas você quiser usar uma única topologia de NIC, as recomendações são:
Certifique-se de que a segunda NIC, e quaisquer NICs adicionais, também sejam classificadas no perfil de domínio.
Se a segunda NIC não puder ser configurada para o perfil de domínio por qualquer motivo, a política IPsec do DirectAccess deverá ter escopo manual para todos os perfis usando os seguintes comandos do Windows PowerShell:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionOs nomes das diretivas IPsec são DirectAccess-DaServerToInfra e DirectAccess-DaServerToCorp.
Configurar o roteamento na rede corporativa
Configure o roteamento na rede corporativa da seguinte maneira:
Quando o IPv6 nativo é implantado na organização, adicione uma rota para que os roteadores na rede interna roteiem o tráfego IPv6 de volta através do servidor de Acesso Remoto.
Configure manualmente as rotas IPv4 e IPv6 da organização nos servidores de Acesso Remoto. Adicione uma rota publicada para que todo o tráfego com um prefixo IPv6 da organização (/48) seja encaminhado para a rede interna. Além disso, para o tráfego IPv4, adicione rotas explícitas para que o tráfego IPv4 seja encaminhado para a rede interna.
Configurar firewalls
Ao usar firewalls adicionais em sua implantação, aplique as seguintes exceções de firewall voltadas para a Internet para o tráfego de Acesso Remoto quando o servidor de Acesso Remoto estiver na Internet IPv4:
Tráfego 6to4 -IP Protocolo 41 de entrada e de saída.
IP-HTTPS -Transmission Porta de destino TCP (Control Protocol) 443 e porta de origem TCP 443 de saída. Quando o servidor de Acesso Remoto tem um único adaptador de rede e o servidor de local de rede está no servidor de Acesso Remoto, a porta TCP 62000 também é necessária.
Note
Esta isenção tem de ser configurada no servidor de acesso remoto. Todas as outras isenções devem ser configuradas no firewall de borda.
Note
Para o tráfego Teredo e 6to4, essas exceções devem ser aplicadas para ambos os endereços IPv4 públicos consecutivos voltados para a Internet no servidor de Acesso Remoto. Para IP-HTTPS, as exceções só precisam ser aplicadas para o endereço para onde o nome externo do servidor aponta.
Ao usar firewalls adicionais, aplique as seguintes exceções de firewall voltadas para a Internet para o tráfego de Acesso Remoto quando o servidor de Acesso Remoto estiver na Internet IPv6:
Protocolo IP 50
Porta de destino UDP 500 de entrada e porta de origem UDP 500 de saída.
Ao usar firewalls adicionais, aplique as seguintes exceções de firewall de rede interna para o tráfego de Acesso Remoto:
ISATAP -Protocol 41 entrada e saída
TCP/UDP para todo o tráfego IPv4/IPv6
Configurar o servidor DNS
Você deve configurar manualmente uma entrada DNS para o website do servidor de localização de rede na rede interna na sua implementação.
Para criar o servidor de localização de rede e os registos DNS da sonda NCSI
No servidor DNS da rede interna, execute dnsmgmt.msc e pressione ENTER.
No painel esquerdo da consola do Gestor de DNS , expanda a zona de pesquisa direta do seu domínio. Clique com o botão direito do mouse no domínio e clique em Novo Host (A ou AAAA).
Na caixa de diálogo Novo Host , na caixa Nome (usa o nome de domínio pai se estiver em branco), digite o nome DNS do site do servidor de local de rede (esse é o nome que os clientes DirectAccess usam para se conectar ao servidor de local de rede). Na caixa Endereço IP , digite o endereço IPv4 do servidor de local de rede e clique em Adicionar Host. Na caixa de diálogo DNS, clique em OK.
Na caixa de diálogo Novo Host , na caixa Nome (usa o nome de domínio pai se estiver em branco), digite o nome DNS para a sonda da Web (o nome da sonda da Web padrão é directaccess-webprobehost). Na caixa Endereço IP , digite o endereço IPv4 da sonda Web e clique em Adicionar Host. Repita esse processo para directaccess-corpconnectivityhost e qualquer verificador de conectividade criado manualmente. Na caixa de diálogo DNS, clique em OK.
Clique em Concluído.
Comandos equivalentes do Windows PowerShell
O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Você também deve configurar entradas DNS para o seguinte:
O servidor IP-HTTPS -DirectAccess clientes devem ser capazes de resolver o nome DNS do servidor de Acesso Remoto a partir da Internet.
Verificação da Lista de Revogação de Certificados (CRL) -DirectAccess utiliza a verificação de revogação de certificados para a conexão IP-HTTPS entre os clientes DirectAccess e o servidor de Acesso Remoto, bem como para a conexão baseada em HTTPS entre o cliente DirectAccess e o servidor de localização de rede. Em ambos os casos, os clientes DirectAccess devem ser capazes de resolver e acessar o local do ponto de distribuição da CRL.
Configurar Active Directory
O servidor de Acesso Remoto e todos os computadores cliente DirectAccess devem estar associados a um domínio do Ative Directory. Os computadores cliente DirectAccess devem ser membros de um dos seguintes tipos de domínio:
Domínios que pertencem à mesma floresta que o servidor de Acesso Remoto.
Domínios que pertencem a florestas com uma relação de confiança bidirecional com a floresta do servidor de Acesso Remoto.
Domínios que têm uma confiança de domínio bidirecional para o domínio do servidor de Acesso Remoto.
Para associar o servidor de Acesso Remoto a um domínio
No Gerenciador do Servidor, clique em Servidor Local. No painel de detalhes, clique no link ao lado de Nome do computador.
Na caixa de diálogo Propriedades do Sistema , clique na guia Nome do Computador . Na guia Nome do Computador , clique em Alterar.
Em Nome do Computador, digite o nome do computador se você também estiver alterando o nome do computador ao ingressar o servidor no domínio. Em Membro de, clique em Domínio e digite o nome do domínio ao qual você deseja ingressar no servidor; por exemplo, corp.contoso.com e, em seguida, clique em OK.
Quando lhe for pedido um nome de utilizador e uma palavra-passe, introduza o nome de utilizador e a palavra-passe de um utilizador com direitos para associar computadores ao domínio e, em seguida, clique em OK.
Quando vir uma caixa de diálogo a dar-lhe as boas-vindas ao domínio, clique em OK.
Quando lhe for pedido que tem de reiniciar o computador, clique em OK.
Na caixa de diálogo Propriedades do sistema , clique em Fechar.
Quando lhe for pedido para reiniciar o computador, clique em Reiniciar Agora.
Para associar computadores clientes ao domínio
Execute explorer.exe.
Clique com o botão direito do rato no ícone Computador e, em seguida, clique em Propriedades.
Na página Sistema , clique em Configurações avançadas do sistema.
Na caixa de diálogo Propriedades do Sistema , na guia Nome do Computador , clique em Alterar.
Em Nome do computador, digite o nome do computador se você também estiver alterando o nome do computador ao ingressar o servidor no domínio. Em Membro de, clique em Domínio e digite o nome do domínio ao qual você deseja ingressar no servidor; por exemplo, corp.contoso.com e, em seguida, clique em OK.
Quando lhe for pedido um nome de utilizador e uma palavra-passe, introduza o nome de utilizador e a palavra-passe de um utilizador com direitos para associar computadores ao domínio e, em seguida, clique em OK.
Quando vir uma caixa de diálogo a dar-lhe as boas-vindas ao domínio, clique em OK.
Quando lhe for pedido que tem de reiniciar o computador, clique em OK.
Na caixa de diálogo Propriedades do sistema , clique em Fechar. Clique em Reiniciar agora quando solicitado.
Comandos equivalentes do Windows PowerShell
O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.
Observe que você deve fornecer credenciais de domínio depois de inserir o comando Add-Computer abaixo.
Add-Computer -DomainName <domain_name>
Restart-Computer
Configurar GPOs
Para implantar o Acesso Remoto, você precisa de um mínimo de dois objetos de Diretiva de Grupo: um objeto de Diretiva de Grupo contém configurações para o servidor de Acesso Remoto e outro contém configurações para computadores cliente DirectAccess. Quando você configura o Acesso Remoto, o assistente cria automaticamente o objeto de diretiva de Grupo necessário. No entanto, se sua organização impor uma convenção de nomenclatura ou se você não tiver as permissões necessárias para criar ou editar objetos de diretiva de grupo, eles deverão ser criados antes de configurar o Acesso Remoto.
Para criar um objeto de diretiva de grupo, consulte Criar e editar um objeto de diretiva de grupo.
Important
O administrador pode vincular manualmente o objeto de diretiva de Grupo DirectAccess a uma Unidade Organizacional usando estas etapas:
- Antes de configurar o DirectAccess, vincule os GPOs criados às respetivas Unidades Organizacionais.
- Configure o DirectAccess, especificando um grupo de segurança para os computadores cliente.
- O administrador pode ou não ter permissões para vincular os Objetos de Diretiva de Grupo ao domínio. Em ambos os casos, os Objetos de Diretiva de Grupo serão configurados automaticamente. Se os GPOs já estiverem vinculados a uma UO, os links não serão removidos. Os GPOs também não serão vinculados ao domínio. Para o GPO do servidor, a UO deve conter o objeto do computador servidor, caso contrário, o GPO será vinculado à raiz do domínio.
- Se a vinculação à UO não tiver sido feita antes de executar o assistente do DirectAccess, após a conclusão da configuração, o administrador poderá vincular os Objetos de Diretiva de Grupo do DirectAccess às Unidades Organizacionais necessárias. O link para o domínio pode ser removido. As etapas para vincular um objeto de diretiva de Grupo a uma Unidade Organizacional podem ser encontradas aqui
Note
Se um objeto de diretiva de grupo tiver sido criado manualmente, é possível durante a configuração do DirectAccess que o objeto de diretiva de grupo não esteja disponível. O objeto de diretiva de grupo pode não ter sido replicado para o controlador de domínio mais próximo do computador de gerenciamento. Nesse caso, o administrador pode aguardar a conclusão da replicação ou forçar a replicação.
Warning
Não há suporte para o uso de qualquer meio que não seja o Assistente de Instalação do DirectAccess para configurar o DirectAccess, como modificar Objetos de Política de Grupo do DirectAccess diretamente ou manualmente as configurações de diretiva padrão no servidor ou cliente.
Configurar grupos de segurança
As configurações do DirectAccess contidas nos objetos de diretiva de Grupo do computador cliente são aplicadas somente a computadores que são membros dos grupos de segurança especificados ao configurar o Acesso Remoto.
Para criar um grupo de segurança para clientes DirectAccess
Execute dsa.msc. Na consola de Utilizadores e Computadores do Active Directory, no painel esquerdo, expanda o domínio que conterá o grupo de segurança, clique com o botão direito do rato em Utilizadores, aponte para Novoe clique em Grupo.
Na caixa de diálogo Novo Objeto - Grupo , em Nome do grupo, digite o nome do grupo de segurança.
Em Âmbito do grupo, clique em Global, em Tipo de grupo, clique em Segurança e, em seguida, clique em OK.
Clique duas vezes no grupo de segurança computadores cliente DirectAccess e, na caixa de diálogo Propriedades, clique na guia Membros .
Na guia Membros, clique em Adicionar.
Na caixa de diálogo Selecionar Usuários, Contatos, Computadores ou Contas de Serviço, selecione os computadores clientes que deseja habilitar para o DirectAccess e clique em OK.
Comandos equivalentes do Windows PowerShell
O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>