Adicionar o DirectAccess a uma implantação de Acesso Remoto (VPN) existente

  • Artigo

 

Aplica-se a: Windows Server 2012 R2, Windows Server 2012

Observação: O Windows Server 2012 reúne o DirectAccess e o RRAS (Serviço de Roteamento e Acesso Remoto) em uma única função de Acesso Remoto. 

Este tópico fornece uma introdução ao Assistente para Habilitar o DirectAccess de Acesso Remoto, usado para configurar um único servidor de Acesso Remoto com as configurações recomendadas depois de já ter sido criada uma VPN (Rede Virtual Privada).

Documentação de implantação definida para Acesso Remoto do Windows Server 2012 (DirectAccess)

Segue uma lista de tópicos que você pode usar para implantar o Acesso Remoto por meio de três caminhos principais:

  • Básico

  • Avançado

  • Enterprise

Os tópicos relacionados ao gerenciamento e migração de Acesso Remoto disponíveis para esta versão também são listados.

Antes de iniciar a implantação, consulte a seguinte lista de configurações não têm suporte, problemas conhecidos e pré-requisitos:

Implantação básica de Acesso Remoto

Implantação avançada do Acesso Remoto

Implantação de Acesso Remoto em uma empresa

Gerenciar Acesso Remoto

Migrar Acesso Remoto

Descrição do cenário

Neste cenário, um único computador que executa o Windows Server 2012 é configurado como um servidor de Acesso Remoto com as configurações recomendadas depois de a VPN já ter sido instalada e configurada. Se você desejar configurar o Acesso Remoto com recursos corporativos como um cluster com carga balanceada, implantação multissite ou autenticação de cliente de dois fatores, conclua o cenário descrito neste tópico para configurar um único servidor e configure o cenário corporativo conforme descrito em Implantar o Acesso Remoto em uma Empresa.

Neste cenário

Para configurar um único servidor de Acesso Remoto, várias etapas de planejamento e implantação são necessárias.

Etapas de planejamento

O planejamento está dividido em duas fases:

  1. planejar a infraestrutura do Acesso Remoto

    Nesta fase, você descreve o planejamento necessário para configurar a infraestrutura de rede antes de começar a implantação do Acesso Remoto. Isso inclui planejar a rede e a topologia do servidor, certificados, DNS (Sistema de Nomes de Domínio), configuração do Active Directory e do GPO (Objeto de Política de Grupo) e o servidor de local de rede do DirectAccess.

  2. Planejar a implantação do Acesso Remoto

    Nesta fase, você descreve as etapas de planejamento necessárias para preparar a implantação do Acesso Remoto. Ela inclui o planejamento para computadores cliente de Acesso Remoto, requisitos de autenticação de servidor e cliente e servidores de infraestrutura.

Etapas de implantação

A implantação está dividida em três fases:

  1. Configurar a infraestrutura do Acesso Remoto

    Nesta fase, você configura rede e roteamento, configurações de firewall (se necessário), certificados, servidores DNS, configurações do Active Directory e do GPO e o servidor de local de rede do DirectAccess.

  2. Definir as configurações do servidor de Acesso Remoto

    Nesta fase, você configura os computadores cliente de Acesso Remoto, o servidor de Acesso Remoto e os servidores de infraestrutura.

  3. Verificar a implantação

    Nesta fase, verifique se a implantação está funcionando conforme o necessário.

Aplicações práticas

A implantação de um só servidor de Acesso Remoto oferece:

  • Facilidade de acesso

    Os computadores cliente gerenciados que executam o Windows 8 e o Windows 7 podem ser configurados como computadores cliente do DirectAccess. Esses clientes podem acessar os recursos da rede interna por meio do DirectAccess sempre que estiverem localizados na Internet, sem precisar entrar em uma conexão VPN. Computadores cliente que não executam um desses sistemas operacionais podem se conectar à rede interna por meio de uma VPN. O DirectAccess e a VPN são gerenciados no mesmo console e com o mesmo conjunto de assistentes.

  • Facilidade de gerenciamento

    Computadores cliente DirectAccess com acesso à Internet podem ser gerenciados remotamente por administradores de acesso remoto usando o DirectAccess, mesmo quando os computadores cliente não estiverem localizados na rede corporativa interna. Os computadores cliente que não atendem aos requisitos corporativos podem ser corrigidos automaticamente por servidores de gerenciamento.

Funções e recursos requeridos para este cenário

A tabela a seguir lista funções e recursos necessários para este cenário:

Função/recurso

Como este cenário tem suporte

Função Acesso Remoto

A função é instalada e desinstalada usando o console de Gerenciador do Servidor ou o Windows PowerShell. Essa função engloba o DirectAccess, que era anteriormente um recurso no Windows Server 2008 R2 e os Serviços de Roteamento e Acesso Remoto que eram anteriormente um serviço de função na função de servidor NPAS (Serviços de Acesso e Política de Rede). A função Acesso Remoto consiste em dois componentes:

  1. VPN do DirectAccess e RRAS (Serviços de Roteamento e Acesso Remoto): Gerenciado no console de Gerenciamento de Acesso Remoto.

  2. Roteamento RRAS: Gerenciado no console de Roteamento e Acesso Remoto.

A função Servidor de Acesso Remoto depende dos seguintes recursos de servidor:

  • Servidor Web de IIS (Serviços de Informações da Internet): necessário para configurar o servidor de local de rede no servidor de Acesso Remoto, além da investigação Web padrão.

  • Banco de dados interno do Windows: Usado para contabilidade local no servidor de Acesso Remoto.

Recurso Ferramentas de Gerenciamento de Acesso Remoto

Este recurso é instalado da seguinte maneira:

  • Por padrão, em um servidor de Acesso Remoto quando a função de Acesso Remoto é instalada. Dá suporte à interface de usuário do console de Gerenciamento Remoto e os cmdlets do Windows PowerShell.

  • Opcionalmente instalado em um servidor que não executa a função de servidor de Acesso Remoto. Neste caso, ele é usado para o gerenciamento remoto de um computador de Acesso Remoto que executa DirectAccess e VPN.

O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste em:

  • Interface do usuário de Acesso Remoto

  • Módulo de Acesso Remoto para o Windows PowerShell

As dependências incluem:

  • Console de gerenciamento de política de grupo

  • Kit de Administração do Gerenciador de Conexões RAS (CMAK)

  • Windows PowerShell 3.0

  • Ferramentas e Infraestrutura de Gerenciamento Gráfico

Requisitos de hardware

Os requisitos de hardware para este cenário incluem o seguinte:

Requisitos de servidor 

  • Um computador que atenda aos requisitos de hardware do Windows Server 2012.

  • O servidor deve ter pelo menos um adaptador de rede instalado, habilitado e associado à rede interna. Quando são usados dois adaptadores, um deles deve estar conectado à rede corporativa interna e o outro, à rede externa (Internet).

  • Se for necessário Teredo como um protocolo de transição de IPv4 para IPv6, o adaptador externo do servidor exigirá dois endereços IPv4 públicos consecutivos. O Assistente para Habilitar o DirectAccess não permite Teredo, mesmo que dois endereços IP consecutivos estejam presentes. Para habilitar o Teredo, consulte Implantar um único servidor DirectAccess com configurações avançadas. Se um único endereço IP estiver disponível, apenas IP-HTTPS poderá ser usado como protocolo de transição.

  • Pelo menos um controlador de domínio. O servidor de Acesso Remoto e os clientes do DirectAccess devem ser membros do domínio.

  • O Assistente para Habilitar o DirectAccess requer certificados para IP-HTTPS e o servidor local de rede. Se a VPN SSTP já estiver usando um certificado, ele será reutilizado para IP-HTTPS. Se a VPN SSTP não estiver configurada, você poderá configurar um certificado para IP-HTTPS ou usar um certificado autoassinado criado automaticamente. Para o servidor de local de rede, você pode configurar um certificado ou usar um certificado autoassinado criado automaticamente.

Requisitos do cliente

  • Um computador cliente com Windows 8 ou Windows 7.

    Dica

    Somente os seguintes sistemas operacionais podem ser usados como clientes do DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate Edition.

Requisitos de servidor de gerenciamento e infraestrutura

  • Durante o gerenciamento remoto de computadores cliente DirectAccess, os clientes iniciam a comunicação com servidores de gerenciamento, como controladores de domínio, servidores de configuração do System Center e servidores de HRA (Autoridade de Registro de Integridade) para serviços que incluem atualizações do Windows e antivírus e conformidade do cliente com a NAP (Proteção de Acesso à Rede). Os servidores necessários devem ser implantados antes de iniciar a implantação do Acesso Remoto.

  • Se o acesso remoto exigir conformidade NAP do cliente, o NPS (Servidor de Políticas de Rede) e HRA deverão ser implantados antes do início da implantação do Acesso Remoto.

  • É necessário um servidor DNS executando o Windows Server 2012, o Windows Server 2008 SP2 ou Windows Server 2008 com SP2.

Requisitos de software

Os requisitos de software para este cenário incluem:

Requisitos de servidor

  • O servidor de Acesso Remoto deve ser um membro do domínio. O servidor pode ser implantado na borda da rede interna, ou atrás de um firewall de borda ou outro dispositivo.

  • Se o servidor de Acesso Remoto estiver localizado atrás de um firewall de borda ou dispositivo NAT (Conversão de Endereços de Rede), o dispositivo deverá ser configurado para permitir o tráfego de e para o servidor de Acesso Remoto.

  • A pessoa que implanta o acesso remoto no servidor precisa de permissões do administrador local no servidor e permissões de usuário de domínio. Além disso, o administrador precisa de permissões para os GPOs utilizados na implantação do DirectAccess. Para aproveitar os recursos que restringem uma implantação do DirectAccess somente a computadores móveis, são necessárias permissões para criar um filtro WMI no controlador de domínio.

Requisitos de cliente do Acesso Remoto

  • Os clientes do DirectAccess devem ser membros do domínio. Os domínios que contêm clientes podem pertencer à mesma floresta do servidor de Acesso Remoto, ou ter uma relação de confiança bidirecional com a floresta ou o domínio do servidor de Acesso Remoto.

  • Um grupo de segurança do Active Directory é necessário para conter os computadores que serão configurados como clientes do DirectAccess. Se um grupo de segurança não for especificado quando você definir as configurações de cliente do DirectAccess, por padrão, o GPO do cliente será aplicado a todos os computadores laptop (compatíveis com o DirectAccess) no grupo de segurança de Computadores de Domínio. Somente os seguintes sistemas operacionais podem ser usados como clientes do DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate Edition.

    Dica

    Recomendamos que você crie um grupo de segurança para cada domínio que contém os computadores que serão configurados como clientes do DirectAccess.

Consulte também

A tabela a seguir fornece links para recursos adicionais.

Tipo de conteúdo

Referências

Acesso Remoto no TechNet

TechCenter de Acesso Remoto

Avaliação do produto

Demonstrar o DirectAccess em um cluster com NLB

Demonstrar uma implantação multissite do DirectAccess

Demonstrar uma implantação multissite do DirectAccess

Implantação

Acesso remoto

Ferramentas e configurações

Cmdlets do PowerShell para acesso remoto 

Recursos da comunidade

Tecnologias relacionadas

Como o IPv6 funciona