Share via

Gerir Clientes DirectAccess Remotamente

  • Artigo

 

Aplica-se a: Windows Server 2012 R2, Windows Server 2012

Nota: O Windows Server 2012 combina o DirectAccess e o Serviço de Encaminhamento e Acesso Remoto (RRAS) numa única função de Acesso Remoto.

Este tópico fornece uma introdução para um cenário avançado que pode utilizar para configurar um único servidor de Acesso Remoto para a gestão remota de clientes DirectAccess.

Descrição do cenário

Neste cenário, um único computador a executar Windows Server 2012 está configurado como um servidor de Acesso Remoto com o único objetivo de gerir remotamente os clientes DirectAccess. A utilização deste cenário permite a gestão remota de clientes, mas desativa outros componentes que pode utilizar se selecionar uma implementação do DirectAccess completa, incluindo o acesso de clientes a redes internas, a imposição de túnel, a autenticação forte e a conformidade NAP.

Nota

Se pretende configurar uma implementação básica apenas com definições simples, consulte Implementar um Servidor DirectAccess Utilizando o Assistente Introdução. Neste cenário simples, pode configurar o Acesso Remoto com predefinições através de um assistente. Não configure definições de infraestrutura, tais como grupos de segurança do Active Directory ou uma autoridade de certificação (AC).

Neste cenário

Para configurar um único servidor de Acesso Remoto para gerir clientes, são necessários determinados passos de planeamento e implementação.

Passos de planeamento

O planeamento para este cenário é dividido em duas fases:

  1. Planear a infraestrutura de Acesso Remoto: nesta fase, deve planear a infraestrutura de rede antes de iniciar a implementação do Acesso Remoto. Inclui o planeamento para a topologia de rede e servidores, certificados, Sistema de Nomes de Domínio (DNS), Active Directory, Objetos de Política de Grupo (GPOs) e o servidor de localização de rede DirectAccess.

  2. Planear a implementação do Acesso Remoto: nesta fase, deve preparar-se para a implementação do Acesso Remoto. Inclui o planeamento para os computadores cliente de Acesso Remoto, os requisitos de autenticação do cliente e do servidor, as definições da VPN, a infraestrutura e os servidores de gestão.

Para obter passos detalhados do planeamento, consulte Planear a implementação para gestão remota de clientes DirectAccess.

Pré-requisitos

Antes de começar este cenário, consulte os requisitos importantes presentes nesta lista:

  • A firewall do Windows tem de estar ativada em todos os perfis.
  • O DirectAccess apenas suporta os clientes com o Windows 8.1, Windows 8 e Windows 7.
  • Não é suportada a alteração de políticas fora da consola de gestão do DirectAccess ou através dos cmdlets do Windows PowerShell.

Passos de implementação

O planeamento para este cenário é dividido em três fases:

  1. Configurar a infraestrutura de Acesso Remoto: nesta fase, deve configurar a rede e o encaminhamento, as definições da firewall, se necessário, certificados, servidores DNS, definições do Active Directory e do GPO e o servidor de localização de rede DirectAccess.

  2. Configurar definições do servidor de Acesso Remoto: nesta fase, deve configurar os computadores cliente de Acesso Remoto, o servidor de Acesso Remoto, os servidores de infraestrutura e os servidores de aplicações e gestão.

  3. Verificar a implementação: nesta fase, o utilizador verifica se a implementação está a funcionar corretamente.

Para obter os passos de implementação detalhados, consulte Instalar e configurar implementação para gestão remota de clientes DirectAccess.

Aplicações práticas

A implementação de um único servidor de Acesso Remoto para gerir os clientes DirectAccess fornece as seguintes vantagens:

  • Facilidade de Acesso: os computadores cliente geridos com Windows 8.1, Windows 8 ou Windows 7 podem ser configurados como computadores cliente do DirectAccess. Estes clientes podem aceder aos recursos da rede interna através do DirectAccess sempre que estiverem ligados à Internet sem ser necessário iniciar sessão numa ligação VPN. Os computadores cliente que não estejam a executar um destes sistemas operativos podem ligar à rede interna através de uma VPN. O DirectAccess e a VPN são geridos na mesma consola e com o mesmo conjunto de assistentes.

  • Facilidade de gestão: os computadores cliente DirectAccess ligados à Internet podem ser geridos remotamente pelos administradores do acesso remoto através do DirectAccess, mesmo quando os computadores cliente não estiverem localizados na rede empresarial interna. Os computadores cliente que não cumprirem os requisitos empresariais podem ser automaticamente remediados pelos servidores de gestão.

Funções e funcionalidades incluídas neste cenário

A seguinte tabela lista as funções e funcionalidades necessárias para planear e implementar este cenário.

Função/funcionalidade

Como suporta este cenário

Função de Acesso Remoto

A função é instalada e desinstalada através da consola Gestor de Servidores ou do Windows PowerShell. Esta função abrange o DirectAccess, que foi anteriormente uma funcionalidade no Windows Server 2008 R2, e os Serviços de Encaminhamento e Acesso Remoto, que foram anteriormente um serviço de função na função de servidor Serviços de Política e Acesso de Rede (NPAS). A função de Acesso Remoto é composta por dois componentes:

  1. DirectAccess e VPN Serviços de Encaminhamento e Acesso Remoto (RRAS) – o DirectAccess e a VPN são geridos em conjunto na consola de Gestão de Acesso Remoto.

  2. Encaminhamento do RRAS – as funcionalidades do encaminhamento do RRAS são geridas na consola de Encaminhamento e Acesso Remoto legada.

A Função de Servidor de Acesso Remoto depende das seguintes funções/funcionalidades:

  • Servidor Web dos Serviços de Informação Internet (IIS) – Esta funcionalidade é necessária para configurar o servidor de localização de rede no servidor de Acesso Remoto e na sonda Web predefinida.

  • Base de Dados Interna do Windows – Utilizada para a gestão de contas local no servidor de Acesso Remoto.

Funcionalidade de Ferramentas de Gestão de Acesso Remoto

Esta funcionalidade é instalada da seguinte forma:

  • Está instalada por predefinição num servidor de Acesso Remoto quando a função Acesso Remoto está instalada e suporta a interface de utilizador da consola de Gestão Remota e os cmdlets Windows PowerShell.

  • Opcionalmente, pode ser instalada num servidor que não esteja a executar a função de servidor de Acesso Remoto. Neste caso, é utilizada para a gestão remota de um computador com Acesso Remoto que execute o DirectAccess e a VPN.

A funcionalidade de Ferramentas de Gestão de Acesso Remoto consiste no seguinte:

  • GUI de Acesso Remoto

  • Módulo de Acesso Remoto para o Windows PowerShell

As dependências incluem:

  • Consola de Gestão de Políticas de Grupo

  • Kit de Administração do Gestor de Ligações (CMAK) RAS

  • Windows PowerShell 3.0

  • Infraestrutura e Ferramentas de Gestão Gráficas

Requisitos de hardware

Os requisitos de hardware para este cenário incluem o seguinte:

  • Requisitos do servidor:

    • Um computador que cumpra os requisitos de hardware do Windows Server 2012.

    • O servidor deve ter, pelo menos, uma placa de rede instalada e ativada. Se forem utilizadas duas placas, uma deve estar ligada à rede empresarial interna e a outra à rede externa (Internet).

    • Se for necessário o Teredo como protocolo de transição de IPv4 para IPv6, o adaptador externo do servidor requer dois endereços IPv4 públicos consecutivos. Se um único endereço IP estiver disponível, apenas o IP-HTTPS poderá ser utilizado como o protocolo de transição.

    • Pelo menos um controlador de domínio. O servidor de Acesso Remoto e os clientes do DirectAccess devem ser membros do domínio.

    • É necessário um servidor de AC se não quiser utilizar certificados autoassinados para IP-HTTPS ou o servidor de localização de rede ou se quiser utilizar certificados cliente para a autenticação IPsec cliente. Em alternativa, pode solicitar certificados de uma AC pública.

    • Se o servidor de localização de rede não estiver localizado no servidor de Acesso Remoto, será necessário executar um servidor Web separado.

  • Requisitos do cliente:

    • Um computador cliente deve executar Windows 8 ou Windows 7.

      Nota

      Apenas os seguintes sistemas operativos podem ser utilizados como clientes do DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate.

  • Requisitos do servidor de gestão e infraestrutura:

    • Durante a gestão remota dos computadores cliente DirectAccess, os clientes iniciam comunicações com os servidores de gestão, tais como controladores de domínio e Servidores da System Center Configuration para serviços que incluem atualizações do antivírus e do Windows e a conformidade de cliente de Proteção de Acesso à Rede (NAP). Os servidores necessários devem ser implementados antes do início da implementação do Acesso Remoto.

    • Se o acesso remoto precisar da conformidade NAP cliente, os servidores NPS e HRS deverão ser implementados antes do início da implementação do acesso remoto

    • Se a VPN estiver ativada, é preciso que um servidor DHCP aloque os endereços IP automaticamente para os clientes VPN se não for utilizado um conjunto de endereços estático.

    • É necessário um servidor DNS com Windows Server 2008 SP2; Windows Server 2008 R2; ou será necessário o Windows Server 2012.

Requisitos de software

Existem vários requisitos para este cenário:

  • Requisitos do servidor:

    • O servidor de Acesso Remoto deve ser um membro de domínio. O servidor pode ser implementado no limite da rede interna ou protegido por uma firewall de limite ou outro dispositivo.

    • Se o servidor de Acesso Remoto estiver localizado atrás de um dispositivo NAT ou uma firewall de limite, o dispositivo deve ser configurado de modo a permitir o tráfego de e para o servidor de Acesso Remoto.

    • A pessoa que implementar o acesso remoto no servidor necessita de permissões de administrador local no servidor e permissões de utilizador do domínio. Além disso, o administrador precisa de permissões para os GPOs utilizados na implementação do DirectAccess. Para tirar partido das funcionalidades que restringem a implementação do DirectAccess apenas para computadores portáteis, são necessárias permissões para criar um filtro WMI no controlador de domínio.

  • Requisitos do cliente de acesso remoto:

    • Os clientes DirectAccess têm de ser membros de domínio. Os domínios que contêm clientes podem pertencer à mesma floresta que o servidor de Acesso Remoto ou ter uma confiança bidirecional com o domínio ou a floresta do servidor de Acesso Remoto.

    • É necessário um grupo de segurança do Active Directory para conter os computadores que serão configurados como clientes do DirectAccess. Se um grupo de segurança não for especificado na configuração das definições do cliente DirectAccess, por predefinição, o GPO do cliente será aplicado a todos os computadores portáteis no grupo de segurança Computadores de Domínio. Tenha em atenção o seguinte:

      Recomendamos que crie um grupo de segurança para cada domínio que tiver computadores que serão configurados como clientes DirectAccess.

Consulte também

A tabela seguinte fornece ligações para recursos adicionais.

Tipo de conteúdo

Referências

Acesso Remoto no TechNet

Acesso Remoto no TechCenter

Avaliação do produto

Guia do Laboratório de Teste: Demonstrar o DirectAccess num Cluster com o Windows NLB

Guia de laboratório de teste: Demonstram uma implementação Multisite DirectAccess

Guia de laboratório de teste: Demonstram DirectAccess com autenticação OTP e SecurID de RSA

Resolução de Problemas

Documentação da Resolução de Problemas com o Acesso Remoto, quando disponível.

Ferramentas e definições

Cmdlets do PowerShell de Acesso Remoto 

Recursos de comunidade

Blogue da Equipa de Produto RRAS | Fórum TechNet do Acesso Remoto

Entradas Wiki do DirectAccess

Tecnologias relacionadas

Como funciona o IPv6