Gerenciar remotamente os clientes do DirectAccess

  • Artigo

 

Aplica-se a: Windows Server 2012 R2, Windows Server 2012

Observação: O Windows Server 2012 reúne o DirectAccess e o RRAS (Serviço de Roteamento e Acesso Remoto) em uma única função de Acesso Remoto.

Este tópico fornece uma introdução a um cenário avançado que você pode usar para configurar um único servidor de Acesso Remoto para gerenciamento remoto de clientes do DirectAccess.

Descrição do cenário

Neste cenário, um único computador que executa o Windows Server 2012 é configurado como um servidor de Acesso Remoto com o único objetivo de gerenciar remotamente os clientes do DirectAccess. Usar esse cenário permite o gerenciamento remoto de clientes, mas desabilita outros componentes que poderiam ser usados se você selecionasse uma implantação completa do DirectAccess, incluindo acesso de clientes a redes internas, criação de túneis à força, forte autenticação e conformidade com NAP.

Dica

Se você desejar configurar uma implantação básica apenas com configurações simples, consulte Implantar um único servidor de DirectAccess usando o Assistente de Introdução. No cenário simples, você pode configurar o Acesso Remoto com definições padrão usando um assistente. Não configure definições de infraestrutura, como uma AC (autoridade de certificação) ou grupos de segurança do Active Directory.

Neste cenário

Para configurar um único servidor de Acesso Remoto para gerenciar clientes, várias etapas de planejamento e implantação são necessárias.

Etapas de planejamento

O planejamento neste cenário é dividido em duas fases:

  1. Planeje a infraestrutura de Acesso Remoto: nesta fase, planeje a infraestrutura da rede antes de começar a implantação do Acesso Remoto. Isso inclui fazer o planejamento para topologia de rede e servidor, certificados, DNS (Sistema de Nomes de Domínio), Active Directory, GPOs (Objetos de Política de Grupo) e o servidor de local de rede do DirectAccess.

  2. Planejar a implantação do Acesso Remoto: nesta fase, prepare a implantação do Acesso Remoto. Isso inclui o planejamento para computadores cliente de Acesso Remoto, requisitos de autenticação de servidor e cliente, configurações de VPN, infraestrutura e servidores de gerenciamento.

Para obter etapas detalhadas de planejamento, consulte Planejar a implantação do gerenciamento remoto de clientes DirectAccess.

Pré-requisitos

Antes de começar este cenário, examine esta lista de requisitos importantes:

  • O Firewall do Windows deve estar habilitado em todos os perfis.
  • O DirectAccess dá suporte somente a clientes que executam Windows 8.1, Windows 8 e Windows 7.
  • Não há suporte para alteração de políticas fora do console de gerenciamento do DirectAccess ou usando cmdlets do Windows PowerShell.

Etapas de implantação

A implantação deste cenário é dividida em três fases:

  1. Configurar a infraestrutura do Acesso Remoto: nesta fase, você configura rede e roteamento, configurações de firewall, certificados, servidores DNS, configurações do Active Directory e do GPO e o servidor de local de rede do DirectAccess.

  2. Configurar as definições do servidor do Acesso Remoto: nesta fase, configure computadores cliente de Acesso Remoto, o servidor de Acesso Remoto, servidores de infraestrutura e servidores de aplicativos e de gerenciamento.

  3. Verificar a implantação: nesta fase, verifique se a implantação está funcionando conforme o necessário.

Para obter etapas detalhadas de implantação, consulte Instalar e configurar a implantação para o gerenciamento remoto de clientes DirectAccess.

Aplicações práticas

A implantação de um único servidor de Acesso Remoto para gerenciar clientes do DirectAccess fornece os seguintes benefícios:

  • Facilidade de acesso: os computadores cliente gerenciados que executam o Windows 8.1, o Windows 8 ou o Windows 7 podem ser configurados como computadores cliente do DirectAccess. Eles podem acessar os recursos da rede interna por meio do DirectAccess sempre que estiverem conectados à Internet, sem precisar entrar em uma conexão VPN. Computadores cliente que não executam um desses sistemas operacionais podem se conectar à rede interna por meio de uma VPN. O DirectAccess e a VPN são gerenciados no mesmo console e com o mesmo conjunto de assistentes.

  • Facilidade de gerenciamento: computadores cliente DirectAccess conectados à Internet podem ser gerenciados remotamente por administradores de acesso remoto por meio do DirectAccess, mesmo quando os computadores cliente não estão localizados na rede corporativa interna. Os computadores cliente que não atenderem aos requisitos corporativos podem ser corrigidos automaticamente usando servidores de gerenciamento.

Funções e recursos incluídos neste cenário

A tabela a seguir lista funções e recursos necessários para planejar e implantar este cenário.

Função/recurso

Como este cenário tem suporte

Função Acesso Remoto

A função é instalada e desinstalada usando o console de Gerenciador do Servidor ou o Windows PowerShell. Essa função engloba o DirectAccess, que era anteriormente um recurso no Windows Server 2008 R2 e Serviços de Roteamento e Acesso Remoto que eram anteriormente um serviço de função sob a função de servidor de Serviços de Acesso e Política de Rede (NPAS). A função Acesso Remoto consiste em dois componentes:

  1. O DirectAccess e VPN de Serviços de Roteamento e Acesso Remoto (RRAS) — O DirectAccess e VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto.

  2. Roteamento de RRAS — Os recursos de roteamento de RRAS são gerenciados no console de Roteamento e Acesso Remoto legado.

A Função de Servidor de Acesso Remoto depende dos seguintes recursos/funções de servidor:

  • Servidor Web de IIS (Serviços de Informações da Internet) – este recurso é necessário para configurar o servidor de local de rede e o servidor de Acesso Remoto, além da investigação da Web padrão.

  • Banco de Dados Interno do Windows — Utilizado para contabilização local no servidor de acesso remoto.

Recurso Ferramentas de Gerenciamento de Acesso Remoto

Este recurso é instalado da seguinte maneira:

  • Ele é instalado por padrão em um servidor de Acesso Remoto quando a função de Acesso Remoto é instalada e dá suporte à interface do usuário de console de Gerenciamento Remoto e aos cmdlets do Windows PowerShell.

  • Ele pode ser instalado opcionalmente em um servidor que não esteja executando a função de servidor Acesso Remoto. Neste caso, ele é usado para gerenciamento remoto de um computador de Acesso Remoto que executa o DirectAccess e VPN.

O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste em:

  • Interface do usuário de Acesso Remoto

  • Módulo de Acesso Remoto para o Windows PowerShell

As dependências incluem:

  • Console de gerenciamento de política de grupo

  • Kit de Administração do Gerenciador de Conexões RAS (CMAK)

  • Windows PowerShell 3.0

  • Ferramentas e Infraestrutura de Gerenciamento Gráfico

Requisitos de hardware

Os requisitos de hardware para este cenário incluem o seguinte:

  • Requisitos de servidor:

    • Um computador que atenda aos requisitos de hardware do Windows Server 2012.

    • O servidor deve ter pelo menos um adaptador de rede instalado e habilitado. Quando são usados dois adaptadores, um deles deve estar conectado à rede corporativa interna e o outro, à rede externa (Internet).

    • Se for necessário Teredo como um protocolo de transição de IPv4 para IPv6, o adaptador externo do servidor exigirá dois endereços IPv4 públicos consecutivos. Se um único endereço IP estiver disponível, apenas IP-HTTPS poderá ser usado como o protocolo de transição.

    • Pelo menos um controlador de domínio. O servidor de Acesso Remoto e os clientes do DirectAccess devem ser membros do domínio.

    • Um servidor CA é necessário se não desejar utilizar certificados autoassinados para IP-HTTPS ou servidor de local de rede, ou se desejar utilizar certificados de cliente para autenticação IPsec do cliente. Você também pode solicitar certificados de uma AC pública.

    • Se o servidor de local de rede não estiver localizado no servidor de Acesso Remoto, será necessário um servidor Web separado para executá-lo.

  • Requisitos do cliente:

    • Um computador cliente deve estar executando o Windows 8 ou o Windows 7.

      Dica

      Somente os seguintes sistemas operacionais podem ser usados como clientes do DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate Edition.

  • Requisitos do servidor de infraestrutura e gerenciamento:

    • Durante o gerenciamento remoto de computadores cliente DirectAccess, eles iniciam comunicações com servidores de gerenciamento, como controladores de domínio e System Center Configuration Servers, para serviços que incluem atualizações do Windows e de antivírus e conformidade do cliente com NAP (Proteção de Acesso à Rede). Os servidores necessários devem ser implantados antes de começar a implantação do Acesso Remoto.

    • Se o acesso remoto exigir conformidade de NAP do cliente, os servidores NPS e HRS deverão ser implantados antes do início da implantação de acesso remoto

    • Se o VPN estiver habilitado, um servidor DHCP será necessário para alocar automaticamente os endereços IP a clientes VPN, se um pool de endereços estáticos não for usado.

    • Um servidor DNS com Windows Server 2008 SP2; Windows Server 2008 R2 ou Windows Server 2012 é obrigatório.

Requisitos de software

Há diversos requisitos para este cenário:

  • Requisitos de servidor:

    • O servidor de Acesso Remoto deve ser um membro do domínio. O servidor pode ser implantado na borda da rede interna, ou atrás de um firewall de borda ou outro dispositivo.

    • Se o servidor de Acesso Remoto estiver localizado atrás de um firewall de borda ou dispositivo de NAT, o dispositivo deve ser configurado para permitir o tráfego de e para o servidor de Acesso Remoto.

    • A pessoa que implanta o acesso remoto no servidor precisa de permissões de administrador local no servidor e permissões de usuário de domínio. Além disso, o administrador precisa de permissões para os GPOs utilizados na implantação do DirectAccess. Para aproveitar os recursos que restringem a implantação do DirectAccess somente a computadores móveis, são necessárias permissões para criar um filtro WMI no controlador de domínio.

  • Requisitos de cliente de Acesso Remoto:

    • Os clientes do DirectAccess devem ser membros do domínio. Domínios que contêm clientes podem pertencer à mesma floresta que o servidor de acesso remoto, ou possuir uma relação de confiança bidirecional com a floresta ou com o domínio do servidor de acesso remoto.

    • Um grupo de segurança do Active Directory é necessário para conter os computadores que serão configurados como clientes do DirectAccess. Se um grupo de segurança não for especificado ao configurar as definições de cliente do DirectAccess, por padrão o GPO do cliente será aplicado em todos os computadores laptop no grupo de segurança de Computadores de Domínio. Observe o seguinte:

      Recomendamos que você crie um grupo de segurança para cada domínio que contém os computadores que serão configurados como clientes do DirectAccess.

Consulte também

A tabela a seguir fornece links para recursos adicionais.

Tipo de conteúdo

Referências

Acesso Remoto no TechNet

TechCenter de Acesso Remoto

Avaliação do produto

Guia de Teste de Laboratório: demonstrar o DirectAccess em um cluster com Windows NLB

Guia do laboratório de teste: Demonstrar uma implantação do DirectAccess multissite

Guia do laboratório de teste: Demonstrar o DirectAccess com autenticação OTP e SecurID RSA

Solução de problemas

Documentação de solução de problemas de acesso remoto, quando disponível.

Ferramentas e configurações

Cmdlets do PowerShell para acesso remoto 

Recursos da comunidade

Blog da equipe do produto RRAS | Fórum de acesso remoto do TechNet

Entradas de wiki do DirectAccess

Tecnologias relacionadas

Como o IPv6 funciona