Exportar (0) Imprimir
Expandir Tudo

Configurar o DirectAccess no Windows Server 2012 Essentials

Publicado: julho de 2012

Atualizado: outubro de 2012

Aplica-se a: Windows Server 2012 Essentials

O DirectAccess é um recurso do Windows Server 2012 Essentials que permite estabelecer uma conexão ininterrupta com a rede da organização a partir de qualquer local remoto com Internet sem uma conexão com VPN (rede virtual privada). O DirectAccess fornece um aumento da produtividade para a força de trabalho móvel de sua organização, oferecendo a mesma experiência de conectividade dentro e fora do escritório. Este tópico fornece instruções passo a passo de configuração do DirectAccess no Windows Server 2012 Essentials.

noteObservação
Este documento aplica-se à configuração do DirectAccess no Windows Server 2012 Essentials somente para computadores clientes com Windows 8. As instruções passo a passo de configuração do DirectAccess no Windows Server 2012 Essentials para computadores clientes com Windows 7 serão adicionadas ao documento posteriormente.

Para configurar o DirectAccess no Windows Server 2012 Essentials, você deve concluir as etapas a seguir após habilitar a VPN (rede virtual privada) usando o assistente de configuração do Acesso em Qualquer Local:

  1. No servidor, no canto inferior direito da tela, clique no ícone do Gerenciador de Servidores.

  2. Caso a mensagem de aviso de Controle de Conta do Usuário seja exibida, clique em Sim.

  3. No painel do Gerenciador de Servidores, clique em Gerenciar e depois em Adicionar Funções e Recursos.

  4. No Assistente de Adição de Funções e Recursos, faça o seguinte:

    1. Na página Tipo de Instalação, clique em Instalação baseada em função ou recurso.

    2. Na página Selecionar servidor de destino, clique em Selecionar um servidor no pool de servidor.

    3. Na página Recursos, expanda Ferramentas de Administração de Servidor Remoto (Instalado), expanda Ferramentas de Gerenciamento de Acesso Remoto (instalado) e selecione GUI de Acesso Remoto e Ferramentas de Linha de Comando.

    4. Siga as instruções para concluir o assistente.

noteObservação
Caso não tenha habilitado a rede virtual privada usando o assistente de configuração do Acesso em Qualquer Local, marque Acesso Remoto para adicionar a função no Assistente de Adição de Funções e Recursos.

O DirectAccess requer um adaptador com endereço IP estático. Você deve alterar o endereço IP do adaptador de rede local no servidor.

  1. No servidor, clique em Início; na janela Início, clique em Painel de Controle.

  2. Clique em Rede e Internet e em Exibir o status e as tarefas da rede.

  3. No painel de tarefas da Central de Rede e Compartilhamento, clique em Alterar as configurações do adaptador.

  4. Clique com o botão direito no adaptador de rede local e clique em Propriedades.

  5. Na guia Rede, clique em Protocolo IP Versão 4 (TCP/IPv4) e em Propriedades.

  6. Na guia Geral, clique em Usar o seguinte endereço IP e digite o endereço IP que deseja usar.

    Um valor padrão para a máscara de sub-rede aparece automaticamente na caixa Máscara de sub-rede. Aceite o valor padrão ou digite o valor da máscara de sub-rede que deseja usar.

  7. Na caixa Gateway padrão, digite o endereço IP do seu gateway padrão.

  8. Na caixa Servidor DNS preferencial, digite o endereço IP do seu servidor DNS.

    noteObservação
    Use o endereço IP atribuído ao seu adaptador por DHCP (por exemplo, 192.168.X.X) em vez de uma rede de loopback (por exemplo, 127.0.0.1).

  9. Na caixa Servidor DNS alternativo, digite o endereço IP do seu servidor DNS alternativo, se houver.

  10. Clique em OK e em Fechar.

ImportantImportante
Certifique-se de configurar o roteador de modo a encaminhar as portas 80 e 443 para o novo endereço IP estático do servidor.

Esta seção inclui instruções passo a passo para as seguintes tarefas:

  • Conceder permissão total de autenticação de usuários para o modelo de certificado de servidor Web na autoridade de certificação.

  • Inscrever um certificado para o servidor de local de rede com um nome comum, que não pode ser resolvido a partir da rede externa.

  • Adicionar um novo host ao servidor DNS e mapeá-lo para o endereço do servidor do Windows Server 2012 Essentials.

  1. No servidor, clique em Pesquisar. Na caixa Pesquisar, digite Certification Authority e, no painel de resultados, clique em Autoridade de Certificação.

  2. No console Autoridade de Certificação (Local), expanda <nome_do_servidor>-Autoridade de Certificação, clique com o botão direito em Modelos de Certificado e clique em Gerenciar.

  3. No console Autoridade de Certificação (Local), clique com o botão direito em Servidor Web e clique em Propriedades.

  4. Na caixa <nome_do_servidor>-Propriedades de Autoridade de Certificação, na guia Segurança, clique em Usuários Autenticados, selecione Controle Total e clique em OK.

  1. No servidor, clique em Pesquisar e, na caixa Pesquisar, digite mmc.

  2. Caso a mensagem de aviso de Controle de Conta do Usuário seja exibida, clique em Sim.

  3. O MMC (Console de Gerenciamento Microsoft) é exibido.

  4. No menu Arquivo, clique em Adicionar/Remover Snap-in, clique em Certificados e clique em Adicionar.

  5. Na página Snap-in de certificados, clique em Conta de computador e em Avançar.

  6. Na página Selecionar Computador, clique em Computador local, em Concluir e em OK.

  7. No console Certificados, no painel de detalhes, clique em Pessoal, clique com o botão direito em Certificados e, em Todas as Tarefas, clique em Solicitar Novo Certificado. O assistente de inscrição de certificados é exibido. Clique em Avançar.

  8. Na página de seleção de política de inscrição, clique em Avançar.

  9. Na página de solicitação de certificado, clique em Servidor Web e clique na opção que diz que mais informações são necessárias para inscrever o certificado.

  10. Na caixa de propriedades do certificado, no nome da entidade, clique em Nome Comum no menu suspenso. Em Valor, digite o nome do servidor de local de rede (por exemplo, DirectAccess-NLS.contoso.local) e clique em Adicionar.

  11. Clique em Avançar e em Concluir.

  1. Abra o Gerenciador de DNS, clique com o botão direito em Zonas de Pesquisa Direta com o sufixo do domínio e clique em Novo Host (A ou AAAA)…

  2. Digite o nome e o endereço IP do servidor (por exemplo, DirectAccess-NLS.contoso.local) e o endereço do servidor correspondente (por exemplo, 192.168.x.x).

  3. Clique em Adicionar host e em Concluído.

Para habilitar e configurar o DirectAccess no Windows Server 2012 Essentials, você deve fazer o seguinte:

Esta seção fornece instruções passo a passo para habilitar o DirectAccess no Windows Server 2012 Essentials.

  1. No servidor, clique em Pesquisar. Na caixa Pesquisar, digite Remote Access Management e, na seção Resultados, clique em Gerenciamento de Acesso Remoto.

  2. No console Gerenciamento de Acesso Remoto, clique em Configuração e depois, no painel Configuração de Acesso Remoto, clique em Habilitar DirectAccess. O assistente para habilitar o DirectAccess é exibido.

    noteObservação
    Caso não tenha habilitado o VPN no painel do servidor, para habilitar o DirectAccess, no console Gerenciamento de Acesso Remoto, clique em Configuração e, no painel central Configuração de Acesso Remoto, na Etapa 1, clique em Editar

  3. No assistente para habilitar o DirectAccess, faça o seguinte:

    1. Em Pré-requisitos do DirectAccess, clique em Avançar.

    2. Na guia Selecionar Grupos, adicione um grupo de segurança para clientes do DirectAccess.

      noteObservação
      Você pode adicionar todos os computadores do domínio ao grupo de segurança selecionando Computadores do Domínio ou usar um grupo de segurança criado para computadores remotos na organização.

    3. Na guia Selecionar Grupos, clique em Habilitar o DirectAccess apenas para computadores móveis caso deseje permitir que computadores móveis usem o DirectAccess para acessar o servidor remotamente e clique em Avançar.

    4. Em Topologia de Rede, selecione a topologia do servidor e clique em Avançar.

    5. Em Lista de Pesquisa de Sufixos DNS, adicione outro sufixo DNS para computadores clientes, se necessário, e clique em Avançar.

      noteObservação
      Por padrão, o assistente do DirectAccess adiciona automaticamente o sufixo DNS para o domínio atual. Porém, você pode adicionar mais se necessário.

    6. Examine os GPOs (objetos de política de grupo) que serão aplicados e modifique-os se necessário.

    7. Clique em Avançar e em Concluir.

Abra o Windows PowerShell como administrador e execute os seguintes comandos:

Restart-Service RaMgmtSvc
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name “DirectAccess Server Settings” -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate

Esta seção fornece instruções passo a passo para definir as configurações do servidor de local de rede.

noteObservação
Antes de começar, copie todo o conteúdo da pasta $env:SystemDrive\inetpub\wwwroot para a pasta $env:SystemDrive \Program Files\Windows Server\Bin\WebApps\Site\insideoutside. Copie também o conteúdo da pasta $env:SystemDrive\Program Files\Windows Server\Bin\WebApps\Site\default.aspx para a pasta $env:SystemDrive \Program Files\Windows Server\Bin\WebApps\Site\insideoutside.

  1. No console Gerenciamento de Acesso Remoto, clique em Configuração e, no painel de detalhes Configuração de Acesso Remoto, na Etapa 3, clique em Editar.

  2. No Assistente para Configuração do Servidor de Acesso Remoto, na guia Servidor de Local de Rede, selecione O servidor do local de rede é implantado no servidor de Acesso Remoto. Em seguida, selecione o certificado emitido anteriormente na seguinte etapa: Etapa 3: Preparar um certificado e registro de DNS para o servidor de local de rede.

  3. Siga as instruções para concluir o assistente e clique em Concluir.

  1. No servidor, clique em Pesquisar. Na caixa Pesquisar, digite regedit e, na seção Resultados, clique em regedit.

  2. Expanda HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters. No painel de navegação, expanda Computador, expanda HKEY_LOCAL_MACHINE, expanda System, expanda CurrentControlSet, expanda Services, expanda IKEEXT e expanda Parameters. Clique com o botão direito em Parameters, clique em Novo e selecione Valor DWORD (32 bits).

  3. Renomeie o valor recém-adicionado como ikeflags. Clique duas vezes em ikeflags, defina os dados de valor como 8000, defina o Tipo como Hexadecimal, e clique em OK.

Esta seção fornece instruções para edição de entradas da NPRT (tabela de políticas de resolução de nome) para endereços internos (por exemplo, aqueles com sufixo sbs.local) para GPOs de cliente do DirectAccess e definição do endereço da interface IPHTTPS.

  1. No servidor, clique em Pesquisar. Na caixa Pesquisar, digite Group Policy Management e, na seção Resultados, clique em Gerenciamento de Política de Grupo.

  2. No console Gerenciamento de Política de Grupo, clique na floresta e domínio padrão, clique com o botão direito em Configurações do Cliente do DirectAccess e clique em Editar.

  3. Clique em Configurações do Computador, clique em Políticas, clique em Configurações do Windows, clique em Política de Resolução de Nome. Selecione a entrada cujo namespace é idêntico ao sufixo DNS e clique em Editar Regra.

  4. Clique na guia Configurações de DNS para DirectAccess e selecione Habilitar configurações de DNS para DirectAccess nesta regra. Adicione o endereço IPv6 para a interface IP-HTTPS na lista de servidores DNS.

    noteObservação
    Você pode usar o seguinte comando do Windows PowerShell para obter o endereço IPv6: Get-NetIPAddress -InterfaceAlias IPHTTPSInterface | Get-NetIPAddress -PrefixLength 128)[1].IPAddress

Esta seção inclui instruções passo a passo para configurar regras de firewall TCP e UDP para os GPOs do servidor do DirectAccess

  1. No servidor, clique em Pesquisar. Na caixa Pesquisar, digite Group Policy Management e, na seção Resultados, clique em Gerenciamento de Política de Grupo.

  2. No console Gerenciamento de Política de Grupo, clique na floresta e domínio padrão, clique com o botão direito em Configurações do Servidor do DirectAccess e clique em Editar.

  3. Clique em Configurações do Computador, Políticas, Configurações do Windows, Configurações de Segurança, Firewall do Windows com Segurança Avançada, Regras de Entrada. Clique com o botão direito do mouse em Servidor de Nomes de Domínio (TCP-Entrada) e clique em Propriedades.

  4. Clique na guia Escopo e, na lista Endereço IP Local, adicione o endereço IPv6 da interface IP-HTTPS.

  5. Repita o mesmo procedimento para Servidor de Nomes de Domínio (UDP-Entrada).

Você deve alterar a configuração DNS64 para escutar a interface IP-HTTPS usando o comando de Windows PowerShell a seguir.

Set-NetDnsTransitionConfiguration –AcceptInterface IPHTTPSInterface

Use o comando de PowerShell a seguir e substitua "192.168.1.100" pelo endereço IPv4 do servidor do Windows Server 2012 Essentials.

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("192.168.1.100, 10000-47000")

Você poderá isentar portas adicionais se houver conflitos no intervalo de portas com outro aplicativo. Por exemplo, o comando a seguir isentará a porta 46500 do intervalo de portas reservado.

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("192.168.1.100, 10000-46499","192.168.1.100, 46499-47000" )

Você deve iniciar o serviço Driver NAT do Windows (winnat) usando o comando do Windows PowerShell a seguir.

Restart-Service winnat

Esta seção descreve como instalar e configurar o DirectAccess usando o Windows PowerShell.

Antes de começar a configuração do servidor para o DirectAccess, você deve:

  1. Seguir o procedimento em Etapa 3: Preparar um certificado e registro de DNS para o servidor de local de rede para inscrever um certificado chamado DirectAccess-NLS.contoso.com (onde contoso.com é substituído pelo nome real do domínio interno) e adicionar um registro DNS para o NLS (servidor de local de rede).

  2. Adicionar um grupo de segurança chamado DirectAccessClients ao Active Directory e adicionar os computadores clientes para os quais deseja fornecer a funcionalidade do DirectAccess.

#Add Remote Access role if not installed yet
$ra = Get-WindowsFeature RemoteAccess
If ($ra.Installed -eq $FALSE) { Add-WindowsFeature RemoteAccess }

#Server may need to restart if you installed RemoteAccess role in the above step



#Set the internet domain name to access server, replace contoso.com below with your own domain name
$InternetDomain = "www.contoso.com"
#Set the SG name which you create for DA clients
$DaSecurityGroup = "DirectAccessClients"
#Set the internal domain name
$InternalDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().Name

#Set static IP and DNS settings
$NetConfig = Get-WmiObject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=$true"
$CurrentIP = $NetConfig.IPAddress[0]
$SubnetMask = $NetConfig.IPSubnet | Where-Object{$_ -like "*.*.*.*"}
$NetConfig.EnableStatic($CurrentIP, $SubnetMask)
$NetConfig.SetGateways($NetConfig.DefaultIPGateway)
$NetConfig.SetDNSServerSearchOrder($CurrentIP)

#Get physical adapter name and the certificate for NLS server
$Adapter = (Get-WmiObject -Class Win32_NetworkAdapter -Filter "NetEnabled=$true").NetConnectionId
$Certs = dir cert:\LocalMachine\My
$nlscert = $certs | Where-Object{$_.Subject -like "*CN=DirectAccess-NLS*"}

#Add regkey to bypass CA cert for IPsec authentication
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000

#Install DirectAccess. 
Install-RemoteAccess -NoPrerequisite  -DAInstallType FullInstall  -InternetInterface $Adapter  -InternalInterface $Adapter -ConnectToAddress $InternetDomain -nlscertificate $nlscert -force

#Restart Remote Access Management service
Restart-Service RaMgmtSvc

#Remove the unnecessary IPv6 prefix GPO
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate

#Set the appropriate security group used for DA client computers. Replace the group name below with the one you created for DA clients
Add-DAClient -SecurityGroupNameList $DaSecurityGroup 
Remove-DAClient -SecurityGroupNameList "Domain Computers"
Set-DAClient -OnlyRemoteComputers Disabled

#Gather DNS64 IP address information
$Remoteaccess = get-remoteaccess
$IPinterface = get-netipinterface -InterfaceAlias IPHTTPSInterface | get-netipaddress -PrefixLength 128
$DNS64IP=$IPInterface[1].IPaddress
$Natconfig = Get-NetNatTransitionConfiguration

# Configure TCP and UDP firewall rules for the DirectAccess server GPO
$GpoName = 'GPO:'+$InternalDomain+'\DirectAccess Server Settings'
Get-NetFirewallRule -PolicyStore $GpoName -Displayname "Domain Name Server (TCP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP
Get-NetFirewallrule -PolicyStore $GpoName -Displayname "Domain Name Server (UDP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP

# Configure the name resolution policy settings for the DirectAccess server, replace the DNS suffix below with the one in your domain
$Suffix = '.' + $InternalDomain
set-daclientdnsconfiguration -DNSsuffix $Suffix -DNSIPAddress $DNS64IP

# Change the DNS64 configuration to listen to IP-HTTPS interface
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface

# Copy the necessary files to NLS site folder
XCOPY 'C:\inetpub\wwwroot' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /E
XCOPY 'C:\Program Files\Windows Server\Bin\WebApps\Site\Default.aspx' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside'

# Reserve port for NAT64

Set-NetNatTransitionConfiguration –IPv4AddressPortPool @("$CurrentIP, 10000-47000")

Restart-Service winnat

Isso foi útil para você?
(1500 caracteres restantes)
Agradecemos os seus comentários
Mostrar:
© 2014 Microsoft