Exportar (0) Imprimir
Expandir Tudo

Visão geral do Acesso Remoto (DirectAccess, Roteamento e Acesso Remoto)

Publicado: fevereiro de 2012

Atualizado: março de 2012

Aplica-se a: Windows Server 2012

Uma visão geral da tecnologia Acesso Remoto do Windows Server 2012, sua funcionalidade nova e alterada e links para recursos adicionais.

No Windows Server 2012, o Acesso Remoto combina dois serviços de rede em uma função de servidor unificada.

O Windows Server 2008 R2 introduziu o DirectAccess, um novo recurso de acesso remoto que permite conectividade com recursos de rede corporativos, mas sem precisar de conexões tradicionais de VPN (Rede Virtual Privada). O DirectAccess dá suporte apenas para os clientes da edição Windows 7 Enterprise e Ultimate associados ao domínio. O RRAS (Servidor de Roteamento e Acesso Remoto) do Windows oferece conectividade tradicional de VPN para clientes herdados, clientes que não ingressaram no domínio e clientes VPN de terceiros. O RRAS também fornece conexões site a site entre servidores. No Windows Server 2008 R2, o RRAS não pode coexistir no mesmo servidor de borda do DirectAccess e deve ser implantado e gerenciado de forma separada do DirectAccess.

O Windows Server 2012 combina o recurso DirectAccess e o serviço de função RRAS em uma nova função de servidor unificada. Essa nova função de servidor Acesso Remoto permite administração centralizada, configuração e monitoramento de serviços de acesso remoto baseados em DirectAccess e VPN. Além disso, o DirectAccess do Windows Server 2012 fornece várias atualizações e melhorias para lidar com bloqueadores de implantação e simplificar o gerenciamento.

O DirectAccess também está disponível no Windows Server 2012 Essentials e, da mesma forma, habilita conectividade ininterrupta na rede da organização, a partir de qualquer local remoto equipado com Internet e sem a necessidade de estabelecer uma conexão VPN (rede virtual privada).

Para saber mais sobre o DirectAccess do Windows Server 2012 Essentials, veja Configurando o DirectAccess no Windows Server 2012 Essentials.

A nova função de servidor unificada para DirectAccess e RRAS oferece um único ponto de configuração e gerenciamento para implantação de servidor de acesso remoto. O Windows Server 2012 inclui as seguintes melhorias no DirectAccess e no RRAS para Windows 7.

  • Coexistência do DirectAccess e do RRAS

  • Implantação simplificada do DirectAccess

  • Remoção da implantação de PKI (infraestrutura de chave pública) como um pré-requisito do DirectAccess

  • Suporte interno do NAT64 e do DNS64 para acessar recursos somente IPv4

  • Suporte para servidor DirectAccess por trás de um dispositivo NAT

  • Política de segurança de rede simplificada

  • Suporte ao balanceamento de carga

  • Suporte para vários domínios

  • Integração NAP

  • Suporte para OTP (autenticação baseada em token)

  • Suporte automatizado para criação de túneis à força

  • Melhorias de desempenho e da interoperabilidade IP-HTTPS

  • Gerenciamento remoto do DirectAccess para dar suporte a clientes

  • Suporte multissite

  • Suporte para Server Core

  • Suporte ao Windows PowerShell

  • Monitoramento de usuário

  • Status operacional de servidor

  • Diagnóstico

  • Contabilização e geração de relatório

  • VPN do modo de túnel IKEv2 IPsec site a site

Tanto o DirectAccess quanto o RRAS implementam recursos de segurança para proteger o servidor de tráfego de entrada hostil. Anteriormente, três configurações de recursos de segurança conflitavam entre si se os dois serviços tentavam executar no mesmo servidor, impedindo o DirectAccess ou o RRAS de funcionar conforme esperado.

O DirectAccess usa tecnologias de transição IPv6 para estabelecer conexões de clientes. O RRAS implementa o protocolo IPsec IKEv2 e configura filtros do pacote de entrada e saída para ignorar todos os pacotes que usam tecnologias de transição. Isso resulta no bloqueio do tráfego do DirectAccess se o RRAS está instalado e o acesso à VPN é implantado com o protocolo IKEv2.

O DirectAccess implementa a DoSP (Proteção Contra Negação de Serviço IPsec) para proteger recursos na rede corporativa. A DoSP elimina todo o tráfego IPv4 e IPv6 protegido pelo protocolo IPsec, exceto os pacotes ICMPv6. Isso resulta no bloqueio de todos os pacotes IPv4 e de todos os pacotes IPv6 não protegidos pelo IPsec encaminhados pelo RRAS se o DirectAccess está instalado.

A função de servidor unificada DirectAcces e RRAS, do Windows Server 2012, resolve esses problemas modificando as políticas IKEv2 para permitir tráfego de tecnologia de transição de IPv6 e alterando IPsec DoSP para permitir tráfego VPN. Essas alterações permitem que o DirectAccess e o RRAS coexistam no mesmo servidor.

O Windows Server 2012 inclui recursos para facilitar a implantação, especialmente em organizações de pequeno e médio porte. Esses novos recursos incluem uma lista simplificada de pré-requisitos, a remoção da necessidade de uma implantação completa de PKI, o provisionamento de certificado integrado e a remoção da exigência de dois endereços IPv4 públicos consecutivos. Cada um desses recursos é abordado em mais detalhes nas seções a seguir.

Os administradores agora podem implantar o DirectAccess usando um novo Assistente do Guia de Introdução, que apresenta uma experiência de configuração bastante simplificada. O Assistente do Guia de Introdução mascara a complexidade do DirectAccess e permite uma configuração automatizada em algumas etapas simples. O administrador não precisa mais compreender os detalhes técnicos das tecnologias de transição IPv6 e da implantação de NLS (Servidor de Local de Rede).

Um bloqueador de implantação principal do DirectAccess do Windows 7 é o requisito de uma PKI para autenticação baseada em certificado de servidor e cliente. O DirectAccess depende de políticas IPsec AuthIP para autenticar e proteger o tráfego de clientes conectados à Internet. Para autenticar em recursos de domínio usando Kerberos, primeiro o cliente deve estabelecer conectividade com servidores DNS e DCs (Controladores de Domínio).

O Windows 7 DirectAccess permite essa conectividade com a implementação de dois métodos de autenticação nas políticas AuthIP. O túnel IPsec da infraestrutura é estabelecido usando o certificado de computador como o primeiro método de autenticação e o NTLM do usuário como o segundo método. Depois que esse túnel é estabelecido e um DC está disponível, o cliente pode obter token Kerberos e estabelecer o túnel IPsec da intranet usando o certificado do computador e o Kerberos do usuário como o primeiro e o segundo métodos de autenticação.

Essa implementação exige que o servidor do DirectAccess e todos os clientes sejam provisionados com certificados de computador para autenticação mútua. O gerenciamento de uma PKI interna é considerado difícil por muitas organizações de pequeno e médio porte. O DirectAccess do Windows Server 2012 permite que a implantação de PKI seja opcional para simplificar a configuração e o gerenciamento.

Essa funcionalidade é atingida implementando um proxy Kerberos baseado em HTTPS. Solicitações de autenticação de cliente são enviadas a um serviço de proxy Kerberos em execução no servidor DirectAccess. Em seguida, o proxy Kerberos envia solicitações de Kerberos a Controladores de Domínio em nome do cliente.

O novo Assistente do Guia de Introdução fornece uma experiência tranquila para o administrador, pois configura automaticamente essa solução. Nessa implantação simplificada do DirectAccess, não estão disponíveis as opções de configuração de nível de usuário, como criação de túneis à força, integração de NAP (Proteção de Acesso à Rede) e autenticação de dois fatores. Essa implantação exige que apenas um túnel IPsec seja estabelecido e tenha os requisitos a seguir:

  • O servidor DirectAccess deve ter a porta TCP 443 aberta em seu firewall.

  • O servidor DirectAccess deve ter um certificado de autenticação de servidor para TLS emitido por uma AC (Autoridade de Certificação) que seja confiável para os clientes DirectAccess. A AC pode ser pública e não há exigência de uma implantação interna da PKI. Se nenhum certificado estiver disponível, o processo de configuração do servidor DirectAccess configurará o certificado proxy necessário de IP-HTTPS e KDC, automaticamente, como um certificado autoassinado.

Para permitir acesso aos recursos internos somente IPv4, o DirectAccess do Windows Server 2012 inclui suporte nativo ao gateway de conversão de protocolo (NAT64) e de resolução de nome (DNS64) para converter a comunicação IPv6 de um cliente DirectAccess para IPv4 para os servidores internos. Os computadores da intranet somente IPv4 não podem iniciar conexões com clientes DirectAccess para gerenciamento remoto, pois a conversão feita com NAT64 é unidirecional (para tráfego iniciado pelo cliente DirectAccess).

Existem três instâncias principais em que o DirectAccess somente IPv6 não permite total acesso a recursos da intranet corporativa.

  • Servidores intranet que não são totalmente compatíveis com IPv6 e têm suporte apenas para IPv4, como servidores de arquivo do Windows Server 2003.

  • Ambientes em que o IPv6 foi administrativamente desabilitado na rede.

  • Aplicativos que são executados em servidores compatíveis com IPv6 (como o Windows Server 2008) que não são compatíveis com IPv6 (como aplicativos que não podem escutar nem responder a tráfego na interface IPv6).

Para acessar esses recursos no DirectAccess, a conversão de protocolo deve ser feita entre o servidor DirectAccess e os recursos internos somente IPv4, com conversão subsequente de volta para IPv6 para respostas enviadas a clientes DirectAccess. O NAT64 recebe tráfego IPv6 do cliente e converte-o em tráfego IPv4 na intranet. O NAT64 é usado em conjunto com o DNS64. O DNS64 intercepta consultas DNS de clientes e envia respostas depois de converter as respostas do IPv4 em mapeamentos associados do IPv6 no NAT64.

noteObservação
Antes do DirectAcces do Windows Server 2012, o único método disponível para fornecer conversão de protocolo para DirectAccess era a implantação do DirectAccess de Gateway de Acesso Unificado do Microsoft Forefront.

O assistente de configuração do DirectAccess configura diretamente os componentes de conversão de protocolo como uma operação em segundo plano, sem nenhuma necessidade de interação administrativa. Não há opções de configuração expostas ao administrador. O assistente de configuração habilita automaticamente o NAT64 e o DNS64 quando a interface internal do servidor DirectAccess tem um endereço IPv4 atribuído. Para dar suporte a essa funcionalidade, o assistente de configuração define um prefixo de rede IPv6 para NAT64. O assistente atribui o prefixo NAT64 automaticamente e aplica-o a todos os intervalos de IPv4 na empresa.

Um servidor DirectAccess do Windows Server 2008 R2 exige que duas interfaces de rede com dois endereços IPv4 públicos consecutivos sejam atribuídas à interface externa. Isso é necessário para que ele possa funcionar como um servidor Teredo. Para que os clientes por trás de um NAT determinem o servidor Teredo e o tipo de dispositivo NAT, o servidor Teredo exige dois endereços IPv4 consecutivos.

Essa exigência apresenta dificuldades para organizações de pequeno e médio porte que não têm acesso a endereços IPv4 públicos consecutivos. No futuro, é possível que isso se torne um bloqueador de implantação, pois o espaço disponível do endereço IPv4 é esgotado. O DirectAccess do Windows Server 2012 fornece a capacidade de implantar o servidor DirectAccess atrás de um dispositivo NAT, com suporte para uma única interface de rede ou para várias delas, e remove o pré-requisito de endereço IPv4 público.

Quando o Assistente do Guia de Introdução da Configuração dos Serviços de Acesso Remoto ou o Assistente de Configuração do Acesso Remoto é executado, ele verifica o status das interfaces de rede no servidor para determinar se o servidor DirectAccess está localizado por trás de um dispositivo NAT. Nessa configuração, somente protocolo IP-HTTPS será implantado. O protocolo IP-HTTPS é uma tecnologia de transição IPv6 que permite que um túnel IP seguro seja estabelecido usando uma conexão HTTP segura.

O DirectAccess do Windows Server 2008 R2 usa dois túneis IPsec para estabelecer a conectividade com a rede corporativa. O cliente DirectAccess exige o túnel de infraestrutura para acessar recursos da infraestrutura, como DNS, DC e servidores de gerenciamento. Esses servidores de infraestrutura são todos listados como pontos de extremidade na política IPsec do túnel de infraestrutura. Em seguida, o túnel da intranet fornece acesso a todos os outros recursos corporativos da intranet.

Os pontos de extremidade listados na política do túnel da infraestrutura exigem atualizações periódicas à medida que a infraestrutura é alterada, como quando os servidores DNS ou os Controladores de Domínio são adicionados à rede de produção ou removidos dela. Os clientes podem perder a conectividade com o domínio quando suas políticas IPsec não são atualizadas para refletir os pontos de extremidade atuais do servidor da infraestrutura, e essa perda de conectividade os impedirá de receber atualizações da política de grupo para corrigir a falha.

No Windows Server 2012, o modelo DirectAccess Simplificado fornece uma forma de implantar o DirectAccess em um único túnel IPsec, o que elimina esse problema. No entanto, o DirectAccess Simplificado não dá suporte para determinados recursos que usam a autenticação baseada em certificado. São exemplos a autenticação de dois fatores com cartões inteligentes e a integração NAP. As empresas que exigem experiência completa do DirectAccess ainda precisam implantar o modelo de dois túneis.

Caso o modelo de dois túneis seja necessário para obter a funcionalidade total, há funcionalidade adicional disponível para permitir que os administradores atualizem a lista de servidores acessíveis por meio do túnel de infraestrutura. Novos controladores de domínio e servidores SCCM (System Center Configuration Manager) são descobertos e adicionados à lista. Servidores que não existem mais são removidos da lista e as entradas para servidores cujos endereços IP foram alterados são atualizadas.

O DirectAccess do Windows Server 2008 R2 não fornece uma solução completa de alta disponibilidade e está limitado a implantações de servidor único. Para fornecer redundância de hardware limitada, o DirectAccess pode ser configurado dentro de um cluster de failover do Hyper-V configurado para Migração ao Vivo do Hyper-V. No entanto, somente um nó de servidor pode estar online a qualquer momento.

As implantações do DirectAccess se desenvolveram rapidamente além do ponto em que um único servidor pode fornecer poder adequado de processamento. As empresas precisam da flexibilidade de implantar servidores adicionais de forma rápida e transparente, a fim de atender aos requisitos de carga em constante mudança. Além disso, o Servidor de Local de Rede usado para detecção interna/externa deve estar altamente disponível para impedir as principais interrupções de clientes DirectAccess conectados à intranet.

O DirectAccess do Windows Server 2012 cuida desses problemas por meio do suporte interno a NLB (Balanceamento de Carga de Rede) do Windows para obter alta disponibilidade e escalabilidade para VPN do DirectAccess e do RRAS. A configuração do NLB é simples de definir e automatizar por meio da nova interface do assistente de implantação. O processo de configuração também dá suporte integrado para soluções de terceiros do balanceador de carga baseado em hardware externo.

ImportantImportante
O DirectAccess do Windows Server 2012 fornece uma solução de failover básica usando Balanceamento de Carga de Rede até oito nós. Embora a carga do servidor seja compartilhada em todos os nós NLB, as conexões existentes não serão automaticamente transferidas para outros servidores quando um servidor ficar indisponível.

O assistente de configuração do DirectAccess do Windows Server 2008 R2 pode ser usado para configurar o DirectAccess apenas para um único domínio. Isso significa que os clientes remotos, em um domínio diferente do servidor DirectAccess, não poderão usar o DirectAccess. Além disso, se os servidores de aplicativos estiverem em um domínio diferente, os clientes remotos não poderão acessá-los remotamente pelo DirectAccess.

Embora os administradores possam configurar manualmente o suporte para vários domínios, no Windows Server 2008 R2, a implantação exige edição manual das políticas do DirectAccess após a conclusão da configuração. O DirectAccess do Windows Server 2012 fornece suporte integrado a vários domínios para permitir que o cliente remoto acesse os recursos da empresa localizados em outros domínios.

O DirectAccess do Windows Server 2008 R2 dava suporte à integração de NAP (Proteção de Acesso à Rede) via exigência de um certificado de integridade da autenticação de pares IPsec do túnel de intranet. Um certificado de integridade é um certificado com o OID (identificador de objeto) de Integridade de Sistema. Um cliente NAP poderá obter apenas um certificado de integridade de uma HRA (Autoridade de Registro de Integridade) se cumprir os requisitos de integridade do sistema, tal como configurado em um servidor de política de integridade NAP.

Para integrar a NAP com o DirectAccess do Windows Server 2008 R2, o administrador precisa editar manualmente os objetos da Política de Grupo e as políticas criadas pelo assistente de configuração do DirectAccess após sua implantação. O DirectAccess do Windows Server 2012 fornece a capacidade de configurar uma verificação de integridade de NAP diretamente na interface do usuário da instalação. Esse recurso automatiza a política e as modificações do GPO necessárias à integração de NAP. A imposição de verificação da integridade de NAP pode ser habilitada pelo Assistente para Configuração de Acesso Remoto.

noteObservação
Embora o novo assistente de configuração simplifique a integração NAP com o DirectAccess, não automatiza a implantação real da NAP. Um Administrador deve configurar a imposição de IPsec para NAP e a infraestrutura HRA independentemente.

Para aumentar a segurança de logon, muitas organizações implantaram a autenticação de dois fatores OTP (Senha de Uso Único) e impuseram seu uso para conexões de acesso remoto. O DirectAccess do Windows Server 2008 R2 dava suporte à autenticação de dois fatores com cartões inteligentes, mas não podia fazer a integração com soluções de fornecedores OTP, como RSA SecurID Isso impediu a implantação do DirectAccess em organizações que exigiam esse nível de segurança.

O DirectAccess do Windows Server 2012 dá suporte à autenticação de dois fatores com cartões inteligentes ou às soluções baseadas em token de OTP. Esse recurso exige a implantação de uma PKI, portanto, se a opção for selecionada no Assistente de Configuração do DirectAccess, a opção Usar certificados de computador será automaticamente selecionada e imposta.

Além do suporte à autenticação padrão com cartão inteligente, o DirectAccess pode usar os recursos de cartão inteligente virtual baseado em TPM (Trusted Platform Module), que estão disponíveis no Windows Server 2012. O TPM de computadores clientes pode funcionar como um cartão inteligente virtual para autenticação de dois fatores, removendo assim a sobrecarga e os custos inerentes à implantação do cartão inteligente.

Por padrão, os clientes DirectAccess podem acessar a Internet, a intranet corporativa e os recursos de LAN locais simultaneamente. Como apenas as conexões estabelecidas para a intranet corporativa são enviadas pelos túneis IPsec do DirectAccess, isso é conhecido como uma configuração de túnel dividido. A criação de um túnel dividido inclui uma ótima experiência do usuário ao acessar recursos na Internet, fornecendo ainda uma forte segurança para tráfego projetado pela intranet.

Embora o túnel dividido não seja um risco à segurança, algumas organizações tem como requisito a imposição de todo o tráfego a um proxy corporativo, para que ele possa ser inspecionado pelo IDS. Com conexões VPN herdadas, existe a possibilidade de os usuários fazerem ponte do tráfego entre redes (por exemplo, uma rede doméstica e a rede corporativa), fazendo com que o cliente opere efetivamente como um roteador. Por esse motivo, é uma prática comum entre os administradores desabilitar a criação de túnel dividido para conexões VPN, forçando o roteamento de todo o tráfego da rede pela conexão VPN. Isso resulta na redução do desempenho durante o acesso a recursos da Internet, pois todo o tráfego deve percorrer o túnel VPN e depois ser encaminhado via proxy para a Internet. Essa prática também consome significativamente mais largura de banda na rede corporativa.

O risco de segurança percebido da criação de túneis divididos não é válido em um cenário do DirectAccess, pois as regras de IPsec que habilitam o DirectAccess exigem autenticação pelo ponto de extremidade do cliente. Se outro ponto de extremidade tentar rotear pelo cliente DirectAccess, não será uma fonte autenticada e o protocolo IPsec impedirá a conexão. No entanto, como algumas organizações têm um requisito de forçar todo o tráfego pelo servidor proxy corporativo para que ele possa ser inspecionado, a opção Criação de Túneis à Força do DirectAccess oferece esse recurso.

A opção Criar Túneis à Força foi apresentada no DirectAccess do Windows Server 2008 R2, mas exigia etapas manuais para habilitá-la via configuração de política de grupo. O DirectAccess do Windows Server 2012 integra a opção Criar Túneis à Força com o Assistente de Instalação e a interface do usuário de gerenciamento para automatizar as configurações necessárias. A habilitação da opção Criar Túneis à Força limita o cliente DirectAccess a usar apenas o protocolo IP-HTTPS para conectividade e, por padrão, usa o servidor DirectAccess como o servidor NAT64/DNS64 para converter recursos do IPv6 a serem enviados ao servidor proxy IPv4.

Em certas redes, as configurações de firewall da Internet podem impedir o êxito de conexões de cliente usando as tecnologias de transição IPv6 6to4 ou Teredo. O protocolo IP-HTTPS é uma tecnologia de transição IPv6 introduzida no Windows 7 para garantir que clientes DirectAccess possam se conectar à rede corporativa mesmo quando todas as outras tecnologias de transição IPv6 falham. O IP-HTTPS atribui um endereço IPv6 exclusivo e globalmente roteável a um host IPv4, encapsula os pacotes IPv6 dentro do IPv4 para transmissão por um túnel HTTP e roteia o tráfego de IPv6 entre o host e outros nós de IPv6 globalmente roteáveis.

O Windows Server 2012 fornece várias melhorias à implementação de IP-HTTPS. As alterações tecnológicas permitem que os clientes IP-HTTPS obtenham informações da configuração de proxy e se autentiquem em um proxy HTTP, caso a autenticação seja necessária. O requisito do Windows 7 para implantar certificados de cliente a cada cliente IP-HTTPS foi removido.

O protocolo IP-HTTPS funciona criando uma conexão SSL/TLS entre o cliente e o servidor e, em seguida, passando o tráfego de IP pela conexão. Esses dados são criptografados por IPsec, o que significa que eles são criptografados duas vezes, primeiro por IPsec e novamente por SSL. O resultado é o baixo desempenho e uma experiência negativa do usuário se comparado com outras tecnologias de transição IPv6, como 6to4 e Teredo, e o limite da escalabilidade do servidor DirectAccess.

O DirectAccess do Windows Server 2012 inclui várias melhorias de desempenho para IP-HTTPS, para aumentar a escalabilidade e reduzir a sobrecarga associada a esse método de conectividade. Essas otimizações incluem alterações no comportamento de envio em lote e em buffers de recebimento, redução na contenção de bloqueio e a opção para implementar SSL com criptografia NULL.

O protocolo IP-HTTPS é executado em um contexto de sistema, em vez de um contexto de usuário. Esse contexto pode provocar problemas de conexão. Por exemplo, se um computador cliente DirectAccess estiver localizado na rede de uma empresa parceira que usa um proxy para acessar a Internet e a detecção automática WPAD não for usada, o usuário deverá configurar manualmente as definições de proxy para acessar a Internet. Essas configurações são definidas no Internet Explorer para cada usuário e não podem ser recuperadas de maneira intuitiva em nome do IP-HTTPS. Além disso, se o proxy exigir autenticação, o cliente fornecerá credenciais para acesso à Internet, mas o IP-HTTPS não fornecerá as credenciais necessárias para autenticação no DirectAccess. No Windows Server 2012, um novo recurso resolve esses problemas. Especificamente, o usuário pode configurar o protocolo IP-HTTPS para funcionar quando está por trás de um proxy que não é configurado usando WPAD; o IP-HTTPS solicitará e fornecerá as credenciais de proxy necessárias para a solicitação do IP-HTTPS autenticado e as retransmitirá para o servidor DirectAccess.

Ao configurar o protocolo IP-HTTPS no DirectAccess, você pode usar um certificado emitido por uma AC (autoridade de certificação) ou pode especificar que o DirectAccess deve gerar automaticamente um certificado autoassinado.

Os clientes DirectAccess estabelecem conectividade com a intranet corporativa sempre que uma conexão com a Internet está disponível, mesmo que não haja usuário conectado. Isso permite que administradores de TI gerenciem máquinas remotas para aplicação de patch e imposição da conformidade mesmo quando estão fora do escritório. Alguns clientes vêem isso como o principal benefício do DirectAccess e optam por manter essa solução existente de acesso remoto para a conectividade do usuário, usando o DirectAccess apenas para gerenciamento remoto.

O DirectAccess do Windows Server 2008 R2 não fornece um método automatizado para limitar a implantação só ao gerenciamento remoto; os administradores precisam editar manualmente as políticas criadas pelo assistente de instalação. O DirectAccess do Windows Server 2012 dá suporte a uma configuração somente de gerenciamento remoto por meio de uma opção do assistente de implantação que limita a criação de políticas apenas àquelas necessárias ao gerenciamento remoto de computadores clientes. Nessa implantação, não estão disponíveis as opções de configuração de nível de usuário, como criação de túneis à força, integração da NAP e autenticação de dois fatores.

noteObservação
O suporte ao gerenciamento remoto exige a implantação de ISATAP ou servidores de gerenciamento com endereços v6.

Os servidores DirectAccess podem ser implantados em vários locais para aumentar a capacidade e proporcionar acesso mais eficaz ao ponto de entrada mais próximo para recursos da intranet. Esse suporte funciona bem se os clientes permanecem em seus respectivos locais e não precisam se deslocar para diferentes locais dentro da empresa. No entanto, a configuração do DirectAccess multissite exigirá planejamento e projeto cuidadosos se os clientes forem se mover entre locais, a fim de garantir que eles se conectem por servidores DirectAccess pela rota mais eficaz.

Há muitos desafios a serem considerados em um ambiente multissite; por exemplo, verificar se o cliente localiza os servidores IP-HTTPS, Teredo e DNS mais próximos e o Controlador de Domínio. O DirectAccess do Windows Server 2012 fornece uma solução que permite a implantação de vários pontos de entrada do DirectAccess em locais geográficos e permite que os clientes, independentemente da localização física, acessem com eficiência os recursos da rede corporativa.

Os servidores DirectAccess do Windows Server 2012 podem ser configurados em uma implantação multissite que permita aos usuários remotos, dispersos em locais geográficos, se conectar ao ponto de entrada multissite mais próximo deles. Para computadores clientes executando o Windows 8, os pontos de entrada podem ser atribuídos automaticamente ou selecionados manualmente pelo cliente. Nos computadores clientes do Windows 7, os pontos de entrada podem ser alocados estaticamente. Os clientes Windows 7 também poderão se beneficiar da seleção automática de ponto de entrada se a organização implantar a solução GSLB (Balanceamento de Carga Global de Servidor). O tráfego pela implantação multissite pode ser distribuído e balanceado com um tráfego externo na implantação multissite que, por sua vez, pode ser distribuído e balanceado com um balanceador de carga global externo.

Server Core é uma opção mínima de instalação de servidor desenvolvida para reduzir espaço em disco, manutenção e requisitos de gerenciamento, bem como para diminuir a superfície de ataque do sistema operacional. No sistema Server Core, não há suporte para uma Interface Gráfica do Usuário e os administradores devem usar a linha de comando ou as ferramentas de gerenciamento remoto para realizar todas as tarefas de configuração necessárias.

A instalação Server Core dá suporte apenas para um subconjunto limitado dos recursos disponíveis em uma instalação completa do Windows Server e, atualmente, não inclui suporte para o recurso DirectAccess ou a função de servidor Acesso Remoto. A instalação Server Core do Windows Server 2012 inclui suporte para a função de servidor unificada para DirectAccess e RRAS.

A nova função de servidor Acesso Remoto tem suporte total do Windows PowerShell, no Windows Server 2012, e pode ser usada para instalação, configuração e monitoramento. A função de servidor Acesso Remoto também pode ser configurada pelo gerenciamento de servidor remoto.

O DirectAccess do Windows Server 2008 R2não dispõe de script completo e interface de linha de comando para opções de configuração. O Windows Server 2012 fornece total suporte do Windows PowerShell para instalação, configuração, gerenciamento, monitoramento e solução de problemas da função de servidor Acesso Remoto.

Os recursos de monitoramento e diagnóstico para o servidor e para o DirectAccess são limitados no Windows Server 2008 R2. Para o DirectAccess, os recursos de monitoramento incluem apenas o monitoramento básico de integridade do DirectAccess e seus componentes. Os dados e as estatísticas de monitoramento disponíveis são pouco significativos ou relevantes para os administradores.

O monitoramento de integridade de usuário e servidor, introduzido no Windows Server 2012, permite ao administrador entender o comportamento de clientes e conexões do DirectAccess. O console de monitoramento é usado para acompanhar a carga no servidor DirectAccess, na atividade do usuário e no uso do recurso atual. O administrador usa essas informações para identificar as atividades de uso possivelmente indesejáveis ou inadequadas. O rastreamento de diagnóstico também pode ser habilitado no console de monitoramento.

Monitoramento do usuário

Os administradores de soluções de acesso remoto exigem a capacidade de monitorar não apenas quais usuários estão conectados, mas também quais recursos eles estão acessando. Se os usuários reclamarem que determinado servidor ou compartilhamento de arquivo está inacessível enquanto está remoto, o administrador não tem como determinar no momento se outros usuários estão acessando com êxito o recurso do console de acesso remoto. Várias ferramentas e aplicativos geralmente são necessários para solucionar problemas como usuários específicos que consomem largura de banda demais.

Para acessar o Painel no novo console de gerenciamento de servidor de Acesso Remoto, basta selecionar a guia Painel no painel de navegação. O painel exibe o status de integridade geral e a atividade e o status do cliente remoto. O administrador também pode exibir relatórios rápidos diretamente no painel.

O Painel de Monitoramento mostra um resumo do status de conectividade de cliente remoto para os itens a seguir. As informações são geradas pelos contadores e dados de contabilização de Desempenho do Sistema relevantes.

  • Número total de clientes remotos ativos – inclui clientes remotos DirectAccess e VPN

  • Número total de clientes DirectAccess ativos conectados – somente o número total de clientes conectados usando o DirectAccess

  • Número total de clientes VPN ativos conectados – somente o número total de clientes conectados usando a VPN

  • Total de usuários exclusivos conectados – inclui usuários do DirectAccess e da VPN, com base nas conexões ativas

  • Número total de sessões cumulativas – o número total de conexões atendidas pelo Servidor de Acesso Remoto desde a última reinicialização do servidor

  • Número máximo de clientes remotos conectados – o número máximo de usuários remotos simultâneos conectados ao Servidor de Acesso Remoto desde a última reinicialização do servidor

  • Total de dados transferidos – o tráfego total de entrada e saída do Servidor de Acesso Remoto para DirectAccess e VPN desde a última reinicialização do servidor

    1. Tráfego de entrada – Total de bytes/tráfego no servidor/gateway de acesso remoto

    2. Tráfego de saída – Total de bytes/tráfego de saída do servidor/gateway de acesso remoto

Em uma implantação de cluster, o resumo de Atividade e Status do Cliente Remoto no Painel de Acesso Remoto exibe os valores totais de todos os nós de cluster.

Os administradores podem ver uma lista de todos os usuários conectados no momento e podem exibir uma lista de todos os recursos que estão sendo acessados clicando em um usuário remoto específico. Os administradores podem exibir estatísticas de usuários remotos selecionando o link Status de Cliente Remoto no Console de Gerenciamento de Acesso Remoto. As estatísticas de usuário podem ser filtradas com base nas seleções de critérios usando os seguintes campos:

 

Nome do campo

Valor

Nome de Usuário

O nome de usuário ou o alias do usuário remoto. Podem ser usados curingas para selecionar um grupo de usuários, como contoso\* ou *\administrator. Se o Comentário [A5]: Mover esta tabela para o documento de monitoramento de cenário; nenhum domínio foi especificado, então *\username será aplicado.

nome_do_host

O nome da conta do computador do usuário remoto. Também é possível especificar um endereço IPv4 ou IPv6.

Tipo

DirectAccess ou VPN. Se DirectAccess for selecionado, todos os usuários remotos que conectam usando o DirectAccess serão listados. Se VPN for selecionado, todos os usuários remotos que conectam usando a VPN serão listados.

endereço ISP

O endereço IPv4 ou IPv6 do usuário remoto.

Endereço IPv4

O endereço IPv4 interno do túnel que conecta o usuário remoto à rede corporativa.

Endereço IPv6

O endereço IPv6 interno do túnel que conecta o usuário remoto à rede corporativa.

Protocolo/Túnel

A tecnologia de transição usada pelo cliente remoto – Teredo, 6to4 ou IP-HTTPS no caso de usuários do DirectAccess, e PPTP, L2TP, SSTP ou IKEv2 no caso de usuários da VPN.

Recurso Acessado

Todos os usuários que acessam um recurso corporativo ou um ponto de extremidade específico. O valor correspondente a esse campo é o nome do host/endereço IP do servidor/ponto de extremidade.

Servidor

O servidor de Acesso Remoto ao qual os clientes estão conectados. Isso é relevante apenas para implantações de cluster e multissite.

Esse recurso permite que os administradores gerenciem e monitorem o status das implantações de acesso remoto em um console de monitoramento centralizado. O recurso mostra alertas aos administradores sempre que é detectado um problema que exige atenção. A interface exibe informações de diagnóstico detalhadas, com etapas para permitir a resolução.

O nó Painel da árvore do console mostra o status do Servidor de Acesso Remoto, incluindo o status da infraestrutura de acesso remoto e dos componentes relacionados, como também indica se a configuração foi distribuída adequadamente nos pontos de entrada.

O nó Status de Operações da árvore do console mostra o status do Servidor de Acesso Remoto, incluindo o status da infraestrutura de acesso remoto e dos componentes relacionados. Ao clicar em um componente específico, os administradores podem ver o estado, o histórico de alterações e os detalhes de monitoramento desse componente.

Se forem implantados servidores de acesso remoto em uma implantação de cluster ou multissite, todos os servidores na implantação serão avaliados de maneira assíncrona e serão listados com o respectivo status geral. Os administradores podem rolar pela lista de servidores e expandir ou reduzir a exibição para mostrar componentes do servidor DirectAccess e VPN.

Os componentes de Acesso Remoto com monitores de status exibidos no painel Status de Operações do Servidor são listados a seguir.

  • 6to4

  • DNS

  • DNS64

  • Controlador de domínio

  • IP-HTTPS

  • IPsec

  • ISATAP

  • Kerberos

  • Servidores de Gerenciamento

  • NAT64

  • Adaptadores de Rede

  • Servidor de Local de Rede

  • Segurança de Rede (IPsec DoSP)

  • Serviços

  • Teredo

  • Balanceamento de Carga

  • Endereçamento VPN

  • Conectividade VPN

A solução de falhas de conectividade do acesso remoto para RRAS e DirectAccess pode ser muito complexa devido aos limitados recursos de registro em log oferecidos no momento. Geralmente, os administradores exigem capturas de Monitor de Rede e rastreio do RRAS para solucionar problemas, uma vez que os logs do Visualizador de Eventos não são muito úteis ou prescritivos.

O Windows Server 2012 fornece as seguintes melhorias do recurso de diagnóstico para solução de problemas de acesso remoto.

  • Log detalhado de eventos para o DirectAccess

    Os administradores podem usar o log de eventos aprimorado para identificar problemas e executar a análise de capacidade e desempenho. Os logs de eventos são padronizados para garantir uma experiência consistente com outros componentes de rede.

  • Rastreio e captura de pacote

    O rastreamento integrado facilita, para os administradores, a coleta de logs de rastreamento e as capturas de pacotes de rede com um só clique. O rastreamento com captura de pacote e a correlação de log realizados como parte de um processo único quando o administrador clica na tarefa Iniciar rastreamento, no painel Tarefas.

  • Correlação de Logs

    Esse recurso oferece a coleta e a correlação automatizada de logs para diferentes componentes do DirectAccess com um único clique, usando o recurso Rastreamento Unificado do Windows. Os eventos coletados de diferentes componentes são consolidados em um só arquivo pela correlação de IDs de Atividade. IDs de Atividade são GUIDs que identificam uma tarefa ou ação específica. Quando um componente registra em log um evento, ele associa uma ID de Atividade ao evento. Em seguida, o componente transmite essa ID ou um evento de transferência mapeado para a ID ao componente que executa a próxima tarefa no cenário, que associa sua ID de atividade aos eventos do log. Ao analisar o arquivo de rastreio resultante, o relacionamento entre os vários componentes relevantes a um cenário pode ser reconstruído.

  • Habilitando/exibindo logs

    O rastreamento pode ser habilitado no painel Tarefas do Painel de Monitoramento ou na linha de comando que também controla os níveis de log, as palavras-chave e os filtros. Os arquivos ETL de Rastreamento Unificado resultantes podem ser lidos e exibidos usando o Monitor de Rede.

Um servidor de acesso remoto do Windows Server 2012 pode otimizar uma implantação de servidor RADIUS existente ou um WID (Banco de Dados Interno do Windows), para fins de contabilização. As informações e os dados históricos referentes ao status de carga e servidor são disponibilizados pelos contadores de Monitor de Desempenho do sistema e são armazenados no repositório de contabilidade do WID. Sempre que alguma conexão é recebida ou desconectada no servidor de acesso remoto, todas as estatísticas do usuário remoto (incluindo os pontos de extremidade acessados) são salvas no repositório de contabilidade como uma sessão. Isso permite que os detalhes da sessão sejam acessados posteriormente para fins de relatório e auditoria.

A funcionalidade de geração de relatórios e contabilidade, fornecida na Função de Servidor Acesso Remoto, inclui o recurso para medir métricas específicas. As métricas disponíveis incluem o número de usuários conectados a um servidor DirectAccess específico e o total de bytes transferidos. Os administradores podem criar relatórios personalizados para identificar padrões de uso e tráfego, incluindo um histórico desses padrões.

Os recursos de geração de relatórios do DirectAccess e do RRAS permitem que os administradores gerem relatórios de uso detalhados sobre várias estatísticas, como estatísticas do usuário remoto, disponibilidade do servidor e carga. O repositório de contabilidade da caixa de entrada é otimizado para gerar o relatório de uso. A contabilidade de caixa de entrada para um banco de dados WID local deve estar habilitada para gerar relatórios de uso. A contabilidade NPS/RADIUS não é usada para gerar relatórios.

O relatório de uso fornece uma exibição do histórico de uso, incluindo quais usuários estabeleceram conexões remotas, que recursos acessaram, o número total de usuários exclusivos e a carga máxima do servidor gerada. O administrador pode selecionar um período de tempo específico para gerar os dados.

A Conectividade entre Instalações é um recurso do Windows Server 2012 que fornece a conectividade de rede para habilitar provedores de hospedagem de serviços, para migrar aplicativos e infraestrutura para a nuvem. Esse recurso inclui uma solução de conectividade VPN do modo de túnel IKEv2 (Protocolo IKE versão 2) e uma interface de gerenciamento. O Windows Server 2008 R2 introduziu o suporte ao IKEv2 no RRAS para conexões VPN. Uma VPN IKEv2 oferece resiliência ao cliente VPN quando o cliente se move de uma rede para outra ou quando alterna entre conexão sem fio e com fio. O uso de IKEv2 e IPsec permite dar suporte a métodos fortes de criptografia e autenticação. O RRAS do Windows Server 2012 fornece melhorias de recurso adicionado para habilitar o IKEv2 para conexões VPN site a site.

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft