Exportar (0) Imprimir
Expandir Tudo

Implantar Acesso Remoto avançado

Publicado: fevereiro de 2012

Atualizado: maio de 2014

Aplica-se a: Windows Server 2012, Windows Server 2012 R2



O Windows Server® 2012 combina o DirectAccess e a VPN de RRAS (Serviço de Roteamento e Acesso Remoto) em uma única função de Acesso Remoto. Esta visão geral fornece uma introdução ao cenário avançado de Acesso Remoto do Windows Server® 2012 que implanta o Acesso Remoto a uma gama completa de recursos básicos e avançados.

Neste cenário, um computador único com o Windows Server 2012 em execução está configurado como um servidor de Acesso Remoto. Se você desejar configurar uma implantação básica apenas com configurações padrão simples, consulte Implantar um único servidor de acesso remoto com o uso do Assistente de Introdução.

O cenário de implantação avançada inclui várias etapas de planejamento e implantação:

  • Planejar uma implantação avançada - as etapas são:

    • Topologia da rede e do servidor - decidir onde colocar o servidor de Acesso Remoto (na borda ou atrás de um dispositivo NAT (Conversão de Endereços de Rede) ou firewall) e planejar endereçamento IP e roteamento.

    • DNS - planejar configurações de DNS para o servidor de Acesso Remoto, os servidores de infraestrutura, as opções de resolução de nome local e a conectividade de cliente.

    • Active Directory - planejar configurações de domínio, configurações de cliente DirectAccess e requisitos de GPO (Objeto de Política de Grupo).

    • Autenticação de cliente DirectAccess - planejar a autenticação de clientes DirectAccess usando o protocolo IPsec com certificados de cliente, usando o servidor de Acesso Remoto como um proxy de Kerberos.

    • Servidor do local de rede DirectAccess - o servidor do local de rede é usado por clientes DirectAccess para determinar se eles estão localizados na rede interna. Planeje o local do servidor do local de rede e decida se o servidor deve ser autenticado usando um certificado emitido por uma AC ou usando um certificado autoassinado emitido automaticamente pelo servidor de Acesso Remoto.

    • DirectAccess IP-HTTPS - IP-HTTPS é um protocolo de transição usado por clientes DirectAccess para tráfego IPv6 de túnel em redes IPv4. Decida se o protocolo IP-HTTPS deve ser autenticado com o servidor que está usando um certificado emitido por uma AC ou usando um certificado autoassinado emitido automaticamente pelo servidor de Acesso Remoto.

    • Clientes DirectAccess - decida quais computadores gerenciados serão configurados como clientes DirectAccess e planeje a implantação do NCA (Assistente de Conectividade de Rede) ou do DCA (Assistente de Conectividade do DirectAccess) em computadores cliente.

    • Servidores de aplicativos DirectAccess - planeje servidores de aplicativos IPv4 e IPv6 e, como opção, considere se a autenticação fim a fim entre computadores cliente DirectAccess e servidores de aplicativos internos é necessária.

    • Servidores de gerenciamento do DirectAccess - os administradores podem gerenciar remotamente os computadores cliente DirectAccess localizados fora da rede corporativa na Internet. Planeje servidores de gerenciamento (como servidores de atualização) que são usados durante o gerenciamento de cliente remoto.

    • VPN - existem várias etapas de planejamento para implantação da VPN:

      • Decida como os endereços IP serão alocados para clientes que conectam pela VPN. É possível implantar um servidor DHCP ou identificar um pool de endereços IP estáticos para alocação.

      • Identifique o método de autenticação usado para clientes VPN. É possível usar autenticação do Windows ou RADIUS. Para autenticação do Windows, é necessária uma infraestrutura do Active Directory. Para a autenticação RADIUS, deve ser implantado um servidor RADIUS.

  • Configurar uma implantação avançada - as etapas são:

    • Definindo configurações de servidor e de rede - configure adaptadores de rede, endereços IP e roteamento.

    • Definindo configurações de certificado - implante uma AC interna, se necessário, configure certificados para o protocolo IP-HTTPS e o servidor do local de rede, se não forem usado certificados autoassinados, configure o registro automático para certificados de computadores cliente se o proxy de Kerberos não for usado para autenticação IPsec cliente.

    • Configurando a infraestrutura - defina configurações de DNS, associe os computadores servidor e cliente a um domínio, se necessário, configure GPOs se eles não forem criados automaticamente pelo Acesso Remoto e configure grupos de segurança do Active Directory.

    • Configurando o servidor do local de rede - decida se deve executar o servidor do local de rede em um computador remoto ou no servidor de Acesso Remoto, configure um certificado conforme necessário e configure associações de site para um local de servidor remoto.

    • Configurando o servidor de Acesso Remoto - execute o Assistente de Configuração de Acesso Remoto para configurar o DirectAccess. O assistente é constituído de quatro partes:

      1. Execute o Assistente do Cliente DirectAccess para especificar se o DirectAccess deve ser implantado para acesso ao cliente à rede interna e para gerenciamento remoto de clientes DirectAccess ou apenas para gerenciamento de cliente remoto. Especifique quais computadores gerenciados devem ser configurados como clientes DirectAccess e defina as configurações do NCA. Além disso, especifique se os clientes DirectAccess acessarão a Internet diretamente ou pelo servidor de Acesso Remoto.

      2. Execute o Assistente de Configuração do Servidor de Acesso Remoto para definir uma topologia de rede, configurações de servidor e endereço IP, configurações de certificado IP-HTTPS, requisitos de autenticação e suporte para computadores cliente do Windows 7. Além disso, defina as configurações da VPN, incluindo alocação de endereço do cliente e autenticação de cliente VPN.

      3. Execute o Assistente de Instalação do Servidor de Infraestrutura para definir as configurações do servidor de infraestrutura, incluindo o servidor do local de rede, as configurações de DNS e os servidores de gerenciamento usados para gerenciamento de cliente remoto.

      4. Execute o Assistente de Instalação do Servidor de Infraestrutura para configurar opcionalmente a autenticação fim a fim de computadores cliente DirectAccess até servidores de aplicativos internos específicos.

A implantação de um só servidor de Acesso Remoto oferece:

  • Facilidade de acesso - computadores cliente gerenciados que executam o Windows® 8 e o Windows 7 podem ser configurados como computadores cliente DirectAccess. Esses clientes podem acessar recursos da rede interna pelo DirectAccess sempre que estiverem localizados na Internet, sem precisar fazer logon em uma conexão VPN. Os computadores cliente que não estão executando um desses sistemas operacionais podem conectar com a rede interna pelo VPN. O DirectAccess e a VPN são gerenciados no mesmo console e com o mesmo conjunto de assistentes.

  • Facilidade de gerenciamento - computadores cliente DirectAccess localizados na Internet podem ser gerenciados remotamente por administradores de acesso remoto pelo DirectAccess, mesmo quando os computadores cliente não estão localizados na rede corporativa interna. Os computadores cliente que não atendem a requisitos corporativos podem ser automaticamente corrigidos por servidores de gerenciamento. Um ou mais servidores de Acesso Remoto podem ser gerenciados de um só console de Gerenciamento de Acesso Remoto.

A tabela a seguir lista as funções e os recursos necessários para o cenário:

 

Função/recurso Como este cenário tem suporte

Função Acesso Remoto

A função é instalada e desinstalada usando o console do Gerenciador de Servidores ou o Windows PowerShell. Essa função abrange o DirectAccess, que anteriormente era um recurso no Windows Server 2008 R2, e os Serviços de Roteamento e Acesso Remoto, que anteriormente era um serviço de função sob a função de servidor NPAS (Serviços de Acesso e Política de Rede). A função Acesso Remoto é constituída de dois componentes:

  1. DirectAccess e VPN de RRAS (Serviços de Roteamento e Acesso Remoto) - o DirectAccess e a VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto.

  2. Roteamento RRAS - os recursos de roteamento RRAS são gerenciados no console de Roteamento e Acesso Remoto herdado.

A Função de Servidor de Acesso Remoto depende dos seguintes recursos de servidor:

  • Servidor Web do IIS (Serviços de Informações da Internet) – esse recurso é necessário para configurar o servidor do local de rede e a investigação padrão da Web.

  • Banco de Dados Interno do Windows – usado para contabilização local no servidor de Acesso Remoto.

Recurso Ferramentas de Gerenciamento de Acesso Remoto

Esse recurso é instalado da seguinte forma:

  • Por padrão, ele é instalado em um servidor de Acesso Remoto quando a função Acesso Remoto é instalada e tem suporte para a interface de usuário do console de Gerenciamento Remoto.

  • Ele pode ser opcionalmente instalado em um servidor que não esteja executando a função de servidor Acesso Remoto. Neste caso, esse recurso é usado para gerenciamento remoto de um computador de Acesso Remoto que está executando o DirectAccess e a VPN.

O recurso Ferramentas de Gerenciamento de Acesso Remoto é constituído das seguintes opções:

  • Ferramentas de Linha de Comando e da GUI de Acesso Remoto

  • Módulo Acesso Remoto para o Windows PowerShell

As dependências incluem:

  • Console de Gerenciamento de Política de Grupo

  • CMAK (Kit de Administração do Gerenciador de Conexões) do RAS

  • Windows PowerShell 3.0

  • Ferramentas de Gerenciamento Gráfico e Infraestrutura

Os requisitos de hardware para este cenário incluem:

  • Requisitos de servidor:

    • Um computador que atenda aos requisitos de hardware do Windows Server 2012.

    • O servidor deve ter pelo menos um adaptador de rede instalado e habilitado. Deve haver apenas um adaptador conectado à rede corporativa interna e apenas um conectado à rede externa (Internet).

    • Se Teredo é requerido como um protocolo de transição IPv6 para IPv4, o adaptador externo do servidor exige dois endereços IPv4 públicos consecutivos. Se um só adaptador de rede está disponível, somente o protocolo IP-HTTPS pode ser usado como o protocolo de transição.

    • Pelo menos um controlador de domínio. Os servidores de Acesso Remoto e os clientes DirectAccess devem ser membros de domínio.

    • Um servidor de AC será necessário se você não desejar usar certificados autoassinados para o protocolo IP-HTTPS ou o servidor do local de rede ou se desejar usar certificados de cliente para autenticação IPsec de cliente.

  • Requisitos do cliente:

    • Um computador cliente deve estar executando o Windows® 8 ou o Windows 7.

  • Requisitos do servidor de gerenciamento e infraestrutura:

    • Durante o gerenciamento remoto de computadores cliente DirectAccess, os clientes iniciam a comunicação com servidores de gerenciamento, como controladores de domínio, Servidores do System Center Configuration e servidores HRA (Autoridade de Registro de Integridade), para serviços que incluem atualizações do Windows e de antivírus e conformidade com o cliente NAP (Proteção de Acesso à Rede). Os servidores necessários devem ser implantados antes de começar a implantação de Acesso Remoto.

    • Se o acesso remoto exigir conformidade com a NAP de cliente, os servidores NPS e HRS devem ser implantados antes de começar a implantação de acesso remoto.

    • Se a VPN estiver habilitada, um servidor DHCP será necessário para alocar endereços IP automaticamente para clientes VPN, se um pool de endereço estático não for usado.

    • É necessário um servidor DNS que execute o Windows Server 2008 SP2, o Windows Server 2008 R2 ou o Windows Server 2012.

Existem vários requisitos para este cenário:

  • Requisitos de servidor:

    • O servidor de Acesso Remoto deve ser um membro de domínio. O servidor pode ser implantado na borda da rede interna ou por trás de um firewall de borda ou outro dispositivo.

    • Se o servidor de Acesso Remoto estiver localizado por trás de um firewall de borda ou dispositivo NAT, o dispositivo deve ser configurado para permitir tráfego para o servidor de Acesso Remoto e a partir dele.

    • A pessoa que está implantando o acesso remoto no servidor exige permissões de administrador local no servidor e permissões de usuário de domínio. Além disso, o administrador exige permissões para os GPOs usados na implantação do DirectAccess. Para tirar proveito dos recursos que restringem a implantação do DirectAccess apenas a computadores móveis, é necessário ter as permissões para criar um filtro WMI (Administradores de Domínio) no controlador de domínio.

    • Se o servidor do local de rede não estiver localizado no servidor de Acesso Remoto, será necessário um servidor separado para executá-lo.

  • Requisitos de cliente de acesso remoto:

    • Os clientes DirectAccess devem ser membros do domínio. Os domínios que contêm clientes podem pertencer à mesma floresta que o servidor de Acesso Remoto ou ter confiança bidirecional com a floresta ou o domínio desse servidor.

    • Um grupo de segurança do Active Directory é requerido para conter os computadores que serão configurados como clientes DirectAccess. Observe que os computadores não devem ser incluídos em mais de um grupo de segurança que inclua clientes DirectAccess. Se os clientes forem incluídos em vários grupos, a resolução de nomes para solicitações de clientes não funcionará conforme o esperado.

A tabela a seguir fornece links para recursos adicionais.

 

Tipo de conteúdo Referências

Acesso Remoto no TechNet

TechCenter de Acesso Remoto

Avaliação do produto

Links para o material de avaliação e guias de teste de laboratório, quando publicados

Planejamento

Links para os outros cenários de implantação do Acesso Remoto, quando publicados.

Implantação

Links para os cenários de implantação do Acesso Remoto, quando publicados.

Solução de problemas

Solução de problemas do Acesso Remoto, quando publicada

Ferramentas e configurações

Links para cmdlets e outras ferramentas do PowerShell, quando disponíveis.

Recursos da comunidade

Blog da Equipe do Produto RRAS | Fórum do TechNet de Acesso Remoto

Entradas de wiki do DirectAccess

Tecnologias relacionadas

IPv6

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft