Exportar (0) Imprimir
Expandir Tudo

Gerenciando acesso remoto

Publicado: agosto de 2012

Atualizado: agosto de 2012

Aplica-se a: Windows Server 2012, Windows Server 2012 R2



Uma visão geral do cenário de implantação do Gerenciamento de Cliente Remoto do DirectAccess para utilizar o DirectAccess para manter clientes na internet, suas fases, funções e recursos incluídos e links para recursos adicionais.

Como os computadores cliente DirectAccess estão conectados à intranet sempre que o cliente DirectAccess está conectado à Internet, independentemente de o usuário ter feito ou não logon no computador, eles podem ser gerenciados mais facilmente como recursos da intranet e podem continuar ativos com alterações da Política de Grupo, atualizações do sistema operacional, atualizações de software antimalware e outras alterações.

Em alguns casos, os computadores ou servidores da intranet devem iniciar as conexões com os clientes DirectAccess. Por exemplo, os computadores do departamento de assistência técnica podem usar conexões da área de trabalho remota para se conectar aos clientes DirectAccess remotos e solucionar seus problemas. Este cenário permite que você mantenha sua solução de acesso remoto existente em vigor para a conectividade do usuário, ao mesmo tempo que utiliza o DirectAccess apenas para gerenciamento remoto.

O Windows Server 2012 DirectAccess dá suporte a uma configuração somente de gerenciamento remoto (manage-out) através de uma opção do Assistente de Implantação que limita a criação de políticas apenas às que são necessárias para o gerenciamento remoto de computadores clientes. Nesta implantação, as opções de configuração de nível de usuário, como criação de túneis à força, integração de NAP e autenticação de dois fatores, não estão disponíveis.

O cenário de implantação do Gerenciamento de Cliente Remoto do DirectAccess inclui as seguintes etapas:

  • Planejar a implantação — Há somente alguns requisitos para planejar este cenário:

    • Topologia de rede e de servidor—Com o DirectAccess, você pode colocar o seu servidor de Acesso Remoto na borda de sua intranet, ou atrás de um dispositivo de NAT (Conversão de Endereços de Rede) ou firewall.

    • Servidor de local de rede DirectAccess — O servidor de local de rede é usado por clientes DirectAccess para determinar se estão localizados na rede interna. O servidor de local de rede pode ser instalado no servidor do DirectAccess ou em outro servidor.

    • Clientes DirectAccess—Decida quais computadores gerenciados serão configurados como clientes DirectAccess.

  • Configurar a implantação — Consiste no número de etapas de configuração:

    1. Configurando a infraestrutura — Configure as definições de DNS, adicione o servidor e os computadores clientes a um domínio, se necessário, e configure os grupos de segurança do Active Directory. Neste cenário de implantação, os GPOs serão criados automaticamente por Acesso Remoto. Para opções avançadas de GPO de certificado, consulte Implantar Acesso Remoto avançado.

    2. Configurando o servidor de Acesso Remoto e as configurações de rede—Configure adaptadores de rede, endereços IP e roteamento.

    3. Definindo configurações de certificado — Neste cenário de implantação, o Assistente do Guia de Introdução cria certificados autoassinados, assim não há necessidade de configurar a infraestrutura mais avançada de certificados usada em Implantar Acesso Remoto avançado.

    4. Configurando o servidor de local de rede — Neste cenário, o servidor de local de rede será instalado no servidor de Acesso Remoto.

    5. Servidores de gerenciamento do DirectAccess—Os administradores podem gerenciar remotamente os computadores cliente do DirectAccess localizados fora da rede corporativa na Internet. Plano para servidores de gerenciamento (como servidores de atualização) que são utilizados durante o gerenciamento de cliente remoto.

    6. Configurando o servidor de Acesso Remoto—Instale a função Acesso Remoto e Execute o Assistente de Introdução do DirectAccess para configurar o DirectAccess.

    7. Verificar a Implantação—Teste um cliente DirectAccess para certificar-se de que seja capaz de se conectar à rede interna e à Internet com o DirectAccess.

Implantar um servidor de Acesso Remoto único para gerenciar clientes DirectAccess fornece:

  • Facilidade de acesso — É possível configurar os computadores clientes gerenciados com Windows® 8 e Windows 7 como computadores clientes do DirectAccess. Esses clientes podem acessar os recursos da rede interna por meio do DirectAccess sempre que estiverem localizados na Internet sem precisar fazer logon em uma conexão VPN. Computadores clientes que não executam um desses sistemas operacionais podem se conectar à rede interna por meio de VPN. O DirectAccess e a VPN são gerenciados no mesmo console e com o mesmo conjunto de assistentes.

  • Facilidade de gerenciamento—Os computadores cliente do DirectAccess localizados na Internet pode ser gerenciados remotamente por administradores de acesso remoto pelo DirectAccess, mesmo quando os computadores não estiverem localizados na rede corporativa interna. Os computadores cliente que não atenderem aos requisitos corporativos podem ser corrigidos automaticamente por servidores de gerenciamento. Um ou mais servidores de Acesso Remoto podem ser gerenciados a partir de um único console de Gerenciamento de Acesso Remoto.

A tabela a seguir lista funções e recursos necessários para o cenário:

 

Função/recurso Como suporta este cenário

Função Acesso Remoto

A função é instalada e desinstalada usando o console de Gerenciador do Servidor ou o Windows PowerShell. Essa função engloba o DirectAccess, que era anteriormente um recurso no Windows Server 2008 R2 e Serviços de Roteamento e Acesso Remoto que eram anteriormente um serviço de função sob a função de servidor de Serviços de Acesso e Política de Rede (NPAS). A função Acesso Remoto consiste em dois componentes:

  1. O DirectAccess e VPN de Serviços de Roteamento e Acesso Remoto (RRAS) — O DirectAccess e VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto.

  2. Roteamento de RRAS — Os recursos de roteamento de RRAS são gerenciados no console de Roteamento e Acesso Remoto legado.

A Função Servidor de Acesso Remoto depende dos seguintes recursos de servidor:

  • Servidor Web de IIS (Serviços de Informações da Internet) – Este recurso é necessário para configurar o servidor de local de rede e a investigação da Web padrão.

  • Banco de Dados Interno do Windows — Utilizado para contabilidade local no servidor do Acesso Remoto.

Recurso Ferramentas de Gerenciamento de Acesso Remoto

Este recurso é instalado da seguinte maneira:

  • Ele é instalado por padrão em um servidor de Acesso Remoto quando a função Acesso Remoto for instalada e suporta a interface de usuário do console de Gerenciamento Remoto.

  • Ele pode ser instalado opcionalmente em um servidor que não esteja executando a função servidor de Acesso Remoto. Neste caso, ele é usado para gerenciamento remoto de um computador de Acesso Remoto que executa o DirectAccess e VPN.

O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste em:

  • GUI de Acesso Remoto e Ferramentas de Linha de Comando

  • Módulo de Acesso Remoto para o Windows PowerShell

As dependências incluem:

  • Console de Gerenciamento de Política de Grupo

  • Kit de Administração do Gerenciador de Conexões RAS (CMAK)

  • Windows PowerShell 3.0

  • Ferramentas e Infraestrutura de Gerenciamento Gráfico

Os requisitos de hardware para este cenário incluem o seguinte:

  • Requisitos de servidor:

    • Um computador que atenda aos requisitos de hardware do Windows Server 2012.

    • O servidor deve ter pelo menos um adaptador de rede instalado e habilitado. Deve haver apenas um adaptador conectado à rede interna corporativa e apenas um conectado à rede externa (Internet).

    • Se for necessário Teredo como um protocolo de transição de IPv6 para IPv4, o adaptador externo do servidor exigirá dois endereços IPv4 públicos consecutivos. Se um único adaptador de rede estiver disponível, então apenas IP-HTTPS pode ser usado como protocolo de transição.

    • Pelo menos um controlador de domínio. Os servidores de Acesso Remoto e os clientes DirectAccess devem ser membros do domínio.

    • Um servidor CA é necessário se não desejar utilizar certificados autoassinados para IP-HTTPS ou servidor de local de rede, ou se desejar utilizar certificados de cliente para autenticação IPsec do cliente.

  • Requisitos do cliente:

    • Um computador cliente com Windows® 8 ou Windows 7.

  • Requisitos do servidor de infraestrutura e gerenciamento:

    • Durante o gerenciamento remoto de computadores cliente do DirectAccess, os clientes iniciam as comunicações com os servidores de gerenciamento como controladores de domínio, Servidores de Configuração do System Center e servidores de Autoridade de Registro de Integridade (HRA) para serviços que incluem atualizações do Windows e de antivírus e conformidade de cliente de Proteção de Acesso à Rede (NAP). Os servidores necessários devem ser implantados antes de começar a implantação do Acesso Remoto.

    • Um servidor DNS com Windows Server 2008 SP2; Windows Server 2008 R2 ou Windows Server 2012 é obrigatório.

Há diversos requisitos para este cenário:

  • Requisitos de servidor:

    • O servidor de Acesso Remoto deve ser um membro do domínio. O servidor pode ser implantado na borda da rede interna, ou atrás de um firewall de borda ou outro dispositivo.

    • Se o servidor de Acesso Remoto estiver localizado atrás de um firewall de borda ou dispositivo de NAT, o dispositivo deve ser configurado para permitir o tráfego de e para o servidor de Acesso Remoto.

    • A pessoa que implanta o acesso remoto no servidor precisa de permissões de administrador local no servidor e permissões de usuário de domínio. Além disso, o administrador precisa de permissões para os GPOs utilizados na implantação do DirectAccess. Para aproveitar os recursos que restringem a implantação do DirectAccess para computadores móveis apenas, as permissões para criar um filtro WMI (Administradores de Domínio) no controlador de domínio são necessárias.

    • Se o servidor de local de rede não estiver localizado no servidor de Acesso Remoto, será necessário um servidor isolado para executá-lo.

  • Requisitos de cliente de Acesso Remoto:

    • Os clientes do DirectAccess devem ser membros do domínio. Domínios que contêm clientes podem pertencer à mesma floresta que o servidor de Acesso Remoto, ou possuir uma confiança bidirecional com a floresta ou domínio do servidor do Acesso Remoto.

    • Um grupo de segurança do Active Directory é necessário para conter os computadores que serão configurados como clientes do DirectAccess. Observe que os computadores não devem ser incluídos em mais de um grupo de segurança que inclua clientes do DirectAccess. Se os clientes forem incluídos em diversos grupos, a resolução do nome dos grupos para solicitações de clientes não funcionará conforme esperado.

A tabela a seguir fornece links para recursos adicionais:

 

Tipo de conteúdo Referências

Acesso Remoto no TechNet

TechCenter de Acesso Remoto

Avaliação do produto

Guia de Teste de Laboratório: Demonstrar o DirectAccess em um cluster com Windows NLB

Test Lab Guide: Demonstrate a DirectAccess Multisite Deployment

Test Lab Guide: Demonstrate DirectAccess with OTP Authentication and RSA SecurID

implantação

Visão geral do Acesso Remoto (DirectAccess, Roteamento e Acesso Remoto)

Solução de problemas

Documentação de solução de problemas de acesso remoto, quando disponível.

Ferramentas e configurações

Cmdlets do PowerShell para acesso remoto

Recursos da comunidade

Blog da equipe do produto RRAS | Fórum de acesso remoto do TechNet

Entradas de Wiki do DirectAccess

Tecnologias relacionadas

Como o IPv6 funciona

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários

Contribuições da comunidade

ADICIONAR
Mostrar:
© 2014 Microsoft