Table of contents
TOC
Recolher sumário
Expandir sumário

Etapa 1 plano a infraestrutura básica do DirectAccess

James McIllece|Última Atualização: 10/03/2017
|
1 Colaborador

A primeira etapa para uma implantação básica do DirectAccess em um único servidor é executar o planejamento para a infraestrutura necessária para a implantação. Este tópico descreve a infraestrutura de planejamento etapas:

TarefaDescrição
Topologia de rede de plano e configuraçõesDecidir onde colocar o servidor DirectAccess (na borda ou atrás de uma conversão de endereços de rede (NAT) dispositivo ou firewall)e planeje endereçamento e roteamento IP.
Requisitos de firewall de planoPlaneje para permitir que o DirectAccess através de firewalls de borda.
Requisitos de certificado do planoO DirectAccess pode usar Kerberos ou certificados para autenticação do cliente. Nesta implantação básica do DirectAccess um Proxy de Kerberos é configurado automaticamente e autenticação é feita usando as credenciais do Active Directory.
Requisitos de DNS de planoPlaneje as configurações de DNS para o servidor DirectAccess, servidores de infraestrutura e conectividade do cliente.
Planeje do Active DirectoryPlaneje seus controladores de domínio e requisitos do Active Directory.
Objetos de política de grupo de planoDecida quais GPOs são necessários em sua organização e como criar ou editar os GPOs.

As tarefas de planejamento não precisa ser feito em uma ordem específica.

Topologia de rede de plano e configurações

Planeje os adaptadores de rede e endereçamento IP

  1. Identifique a topologia de adaptador de rede que você deseja usar. O DirectAccess pode ser configurado com qualquer um destes procedimentos:

    • Com dois adaptadores de rede??? Tanto na borda com um adaptador de rede conectado à Internet e o outro para a rede interna ou protegido por um NAT, firewall ou dispositivo do roteador, com um adaptador de rede conectado a uma rede de perímetro e outro à rede interna.

    • Por trás de um dispositivo NAT com um adaptador de rede??? O servidor DirectAccess é instalado por trás de um dispositivo NAT e o único adaptador de rede está conectado à rede interna.

  2. Identidade seu IP lidando com os requisitos:

    O DirectAccess usa IPv6 com IPsec para criar uma conexão segura entre computadores de clientes do DirectAccess e a rede corporativa interna. No entanto, DirectAccess não necessariamente requer conectividade com a Internet IPv6 ou suporte nativo de IPv6 em redes internas. Em vez disso, ele automaticamente configura e usa tecnologias de transição IPv6 para encapsular tráfego IPv6 pela Internet IPv4 (6to4, Teredo, IP-HTTPS) e em todos os seus IPv4-apenas intranet (NAT64 ou ISATAP). Para obter uma visão geral dessas tecnologias de transição, consulte os seguintes recursos:

  3. Configure adaptadores necessários e endereçamento de acordo com a tabela a seguir. Para implantações atrás de um dispositivo NAT usando um único adaptador de rede, configurar seus endereços IP usando somente a??? Adaptador de rede interno??? coluna.

    Adaptador de rede externoAdaptador de rede interno1Requisitos de roteamento
    IPv4 intranet e Internet IPv4Configure o seguinte:

    -Um estático endereço IPv4 público com a máscara de sub-rede apropriada.
    -Um gateway padrão endereço IPv4 de seu firewall com a Internet ou o provedor de serviços de Internet local (ISP) roteador.
    Configure o seguinte:

    -Um endereço da intranet de IPv4 com a máscara de sub-rede apropriada.
    -Uma conexão-sufixo DNS específico de seu namespace de intranet. Um servidor DNS também deve ser configurado na interface interna.
    – Não configure um gateway padrão em qualquer interfaces de intranet.
    Para configurar o servidor DirectAccess para acessar todas as sub-redes na rede interna IPv4 faça o seguinte:

    1. Liste os espaços de endereço IPv4 para todos os locais na intranet.
    2. Use o rota adicionar -p ou netsh interface ipv4 Adicionar rota espaços de endereçamento de comandos para adicionar o IPv4 como rotas estáticas na tabela de roteamento IPv4 do servidor DirectAccess.
    Internet IPv6 e IPv6 intranetConfigure o seguinte:

    -Use a configuração do endereço autoconfigured fornecida por seu ISP.
    -Use o rotear imprimir comando para garantir que uma rota de IPv6 padrão apontando para o roteador ISP existe na tabela de roteamento IPv6.
    -Determine se os roteadores ISP e da intranet são usando as preferências de roteador padrão descrito em RFC 4191 e usando uma preferência padrão mais alta que seu roteadores da intranet local. Se ambas são verdadeiras, nenhuma outra configuração para a rota padrão será necessária. A preferência de maior para o roteador ISP garante que a rota padrão active IPv6 os pontos de servidor DirectAccess à Internet IPv6.

    Como o servidor DirectAccess é um roteador IPv6, se você tiver uma infraestrutura de IPv6 nativa, a interface de Internet também pode chegar a controladores de domínio na intranet. Nesse caso, adicione filtros de pacotes para o controlador de domínio na rede de perímetro que impedir a conectividade com o endereço IPv6 da Internet-voltado para a interface do servidor DirectAccess.
    Configure o seguinte:

    -Se você não estiver usando os níveis de preferência de padrão, configurar suas interfaces de intranet com o netsh interface ipv6 definir Índice_da_interface ignoredefaultroutes=habilitado comando. Esse comando garante que as rotas padrão adicionais apontando para roteadores intranet não serão adicionadas à tabela de roteamento IPv6. Você pode obter o Índice_da_interface de suas interfaces de intranet na exibição do comando netsh interface mostrar interface.
    Se você tiver uma intranet IPv6, para configurar o servidor DirectAccess para alcançar todos os locais de IPv6, faça o seguinte:

    1. Liste os espaços de endereço IPv6 para todos os locais na intranet.
    2. Use o netsh interface ipv6 Adicionar rota comando para adicionar os espaços de endereço IPv6 como rotas estáticas na tabela de roteamento IPv6 do servidor DirectAccess.
    Internet IPv4 e IPv6 intranetO servidor DirectAccess encaminha o tráfego de rota de IPv6 padrão usando a interface do Microsoft 6to4 adaptador a uma retransmissão 6to4 na Internet IPv4. Você pode configurar um servidor DirectAccess para o endereço IPv4 de retransmissão de 6to4 a Microsoft na Internet IPv4 (usado quando IPv6 nativo não é implantada na rede corporativa) com o seguinte comando: netsh interface ipv6 6to4 definir o nome de retransmissão=192.88.99.1 estado=habilitado comando.
    Observação

    Observe o seguinte:

    1. Se o cliente do DirectAccess tiver sido atribuído um endereço IPv4 público, ele usará a tecnologia de transição 6to4 para se conectar à intranet. Se o cliente do DirectAccess não consegue se conectar ao servidor DirectAccess com 6to4, ele usará IP-HTTPS.
    2. Os computadores cliente IPv6 nativos podem se conectar ao servidor DirectAccess sobre IPv6 nativo, e nenhuma tecnologia de transição é necessária.

Requisitos de firewall de plano

Se o servidor do DirectAccess estiver em um firewall de borda, as seguintes exceções será necessárias para o tráfego do DirectAccess quando o servidor DirectAccess está na Internet IPv4:

  • Tráfego 6to4??? IP 41 de protocolo de entrada e saída.

  • IP-HTTPS??? Protocolo de controle de transmissão (TCP) destino porta 443 e a porta TCP 443 saída de origem.

  • Se você estiver implantando o DirectAccess com um único adaptador de rede e instalar o servidor de local de rede no servidor do DirectAccess, porta TCP 62000 também deve isentos.

    Observação

    Essa isenção é no servidor DirectAccess. Todas as exceções são no firewall edge.

As seguintes exceções será necessárias para o tráfego do DirectAccess quando o servidor DirectAccess está na Internet IPv6:

  • Protocolo IP 50

  • Porta UDP de destino 500 entrada e porta UDP de origem 500 saída.

Ao usar firewalls adicionais, aplique as seguintes exceções de firewall de rede interna para o tráfego do DirectAccess:

  • ISATAP??? Protocolo 41 entrada e saída

  • TCP\/UDP para todos os IPv4\/tráfego IPv6

Requisitos de certificado do plano

Requisitos de certificado para IPsec incluem um certificado de computador usado por computadores cliente DirectAccess ao estabelecer a conexão IPsec entre o cliente e o servidor DirectAccess e um certificado de computador usado pelos servidores DirectAccess para estabelecer conexões de IPsec com clientes do DirectAccess. O uso desses certificados IPsec para DirectAccess no Windows Server 2012 R2 e Windows Server 2012, não é obrigatório. O Assistente de Introdução configura o servidor DirectAccess para atuar como um proxy de Kerberos para realizar autenticação de IPsec sem a necessidade de certificados.

  1. IP-servidor HTTPS. Quando você configura o DirectAccess, o servidor de DirectAccess é configurado automaticamente para atuar como o IP-ouvinte de web HTTPS. IP-site HTTPS requer um certificado de site e computadores cliente devem ser capazes de entrar em contato com a lista de certificados revogados (CRL) site para o certificado. O Assistente para habilitar o DirectAccess tenta usar o certificado SSTP VPN. Se não estiver configurado SSTP, ele verifica se um certificado para IP-HTTPS está presente no repositório pessoal do computador. Se nenhuma estiver disponível, ele cria automaticamente um self-assinados certificado.

  2. O servidor de rede local. O servidor de local de rede é um site usado para detectar se os computadores cliente estão localizados na rede corporativa. O servidor de local de rede requer um certificado de site. Clientes do DirectAccess devem ser capazes de entrar em contato com o site CRL para o certificado. O Assistente de habilitar o acesso remoto verifica se um certificado de servidor de rede local estiver presente no repositório pessoal do computador. Se não estiverem presentes, ele cria automaticamente um self-assinados certificado.

Requisitos de certificação para cada um desses estão resumidos na tabela a seguir:

Autenticação de IPsecIP-servidor HTTPSServidor de local de rede
Uma CA interna é necessária para emitir certificados de computador para o servidor do DirectAccess e clientes para autenticação de IPsec quando você não??? usar o proxy Kerberos para autenticaçãoAutoridade de certificação pública??? É recomendável usar uma autoridade de certificação pública para emitir IP-certificado HTTPS, isso garante que o ponto de distribuição de CRL está disponível externamente.CA interna??? Você pode usar uma CA interna para emitir o certificado de site de servidor de local de rede. Certifique-se de que o ponto de distribuição de CRL é altamente disponível da rede interna.
CA interna??? Você pode usar uma CA interna para emitir IP-certificado HTTPS; No entanto, você deve certificar-se de que o ponto de distribuição de CRL está disponível externamente.Self-assinados certificado??? Você pode usar um self-assinados certificado para o site de servidor de local de rede; No entanto, você não pode usar um self-assinados certificado em implantações multissite.
Self-assinados certificado??? Você pode usar um self-assinado certificado para o IP-servidor HTTPS; No entanto, você deve certificar-se de que o ponto de distribuição de CRL está disponível externamente. Um self-certificado assinado não pode ser usado em uma implantação multissite.

Planejar certificados IP-servidor local HTTPS e rede

Se você deseja provisionar um certificado para essas finalidades, consulte implantar um único servidor DirectAccess com configurações avançadas. Se nenhum certificado estiver disponível, o assistente Introdução cria automaticamente self-certificados assinados para essas finalidades.

Observação

Se você provisionar certificados para IP-HTTPS e o servidor de local de rede manualmente, verifique se os certificados têm um nome de entidade. Se o certificado não tem um nome do requerente, mas tem um nome alternativo, ele não serão aceitos pelo Assistente do DirectAccess.

Requisitos de DNS de plano

Em uma implantação do DirectAccess, DNS é necessário para o seguinte:

  • Solicitações de cliente do DirectAccess. DNS é usado para determinar as solicitações do DirectAccess computadores que não estão localizados na rede interna. Os clientes do DirectAccess tentam se conectar ao servidor de local de rede DirectAccess para determinar se eles estão localizados na Internet ou na rede corporativa: se a conexão for bem-sucedida, em seguida, os clientes têm determinados ser na intranet DirectAccess não é usado e solicitações de cliente são resolvidas usando o servidor DNS configurado no adaptador de rede do computador cliente. Se a conexão não tiver êxito, os clientes são considerados na Internet. Os clientes do DirectAccess usarão a tabela de políticas de resolução de nome (NRPT) para determinar qual servidor DNS para usar ao resolver solicitações de nome. Você pode especificar que os clientes devem usar o DirectAccess DNS64 para resolver nomes ou um servidor DNS interno alternativo. Ao executar a resolução de nomes, NRPT é usada pelos clientes do DirectAccess para identificar como manipular uma solicitação. Os clientes de solicitam um FQDN ou um único-nome de rótulo como http:\/\/interno. Se um único-nome rótulo é solicitações, um sufixo DNS é acrescentado para tornar um FQDN. Se a consulta DNS corresponde a uma entrada na NRPT, e DNS4 ou um servidor DNS de intranet é especificado para a entrada, a consulta é enviada para resolução de nome usando o servidor especificado. Se houver uma correspondência, mas nenhum servidor DNS for especificado, isso indica uma regra de isenção e normal resolução de nome é aplicada.

    Quando um novo sufixo é adicionado ao NRPT no console de gerenciamento do DirectAccess, os servidores DNS padrão para o sufixo podem ser descobertos automaticamente clicando o detectar botão. Detecção automática funciona da seguinte maneira:

    1. Se a rede corporativa estiver IPv4-com base, ou IPv4 e IPv6, o endereço padrão é o endereço DNS64 do adaptador interno no servidor DirectAccess.

    2. Se a rede corporativa estiver IPv6-com base, o endereço padrão é o endereço IPv6 dos servidores DNS na rede corporativa.

  • Servidores de infraestrutura

    1. O servidor de rede local. Os clientes do DirectAccess tentam acessar o servidor de local de rede para determinar se eles estão na rede interna. Os clientes na rede interna devem ser capazes de resolver o nome do servidor de local de rede, mas devem ser impedidos de resolução do nome quando eles estão localizados na Internet. Para garantir que isso ocorre, por padrão, o FQDN do servidor de local de rede é adicionado como uma regra de isenção para NRPT. Além disso, quando você configura o DirectAccess, as seguintes regras são criadas automaticamente:

      1. Uma regra de sufixo DNS para domínio raiz ou o nome de domínio do servidor DirectAccess e os endereços IPv6 correspondente para os servidores DNS intranet configurados no servidor DirectAccess. Por exemplo, se o servidor DirectAccess é um membro do domínio corp.contoso.com, uma regra é criada para o sufixo DNS corp.contoso.com.

      2. Uma regra de isenção para o FQDN do servidor de localização da rede. Por exemplo, se a URL de servidor de local de rede é https:\/\/nls.corp.contoso.com, uma regra de isenção é criada para o FQDN nls.corp.contoso.com.

      IP-servidor HTTPS. O servidor DirectAccess age como um IP-Ouvinte HTTPS e usa seu servidor de certificados para autenticar IP-clientes HTTPS. IP-HTTPS nome deve ser resolvido pelos clientes do DirectAccess usando servidores DNS públicos.

      Verificadores de conectividade. O DirectAccess cria um teste de web padrão que é usado pelo uso de computadores cliente DirectAccess para verificar a conectividade de rede interna. Para garantir que o teste funcione conforme esperado que os seguintes nomes devem ser registrados manualmente no DNS:

      1. O DirectAccess-webprobehost??? resolvidos para o endereço IPv4 interno do servidor DirectAccess ou para o endereço IPv6 em um IPv6-somente ambiente.

      2. O DirectAccess-corpconnectivityhost??? deve ser resolvida em localhost (loopback) endereço. A e AAAA registro deve ser criado, um registro com valor 127.0.0.1 e registro AAAA com valor construído sem prefixo NAT64 com os últimos 32 bits como 127.0.0.1. O prefixo NAT64 pode ser recuperado, executando o cmdlet get-netnattransitionconfiguration.

      Você pode criar verificadores de conectividade adicional usando outros endereços da web por HTTP ou PING. Para cada Verificador de conectividade, deve existir uma entrada de DNS.

Requisitos de servidor DNS

  • Para clientes do DirectAccess, você deve usar um servidor DNS que está executando o Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows Server 2012 R2, Windows Server 2016 ou qualquer servidor DNS que dá suporte a IPv6.
Observação

Não é recomendável que você use servidores DNS que executam o Windows Server 2003 quando você estiver implantando o DirectAccess. Embora registros IPv6 dão suporte a servidores DNS do Windows Server 2003, Windows Server 2003 não suportada pela Microsoft. Além disso, você não deve implantar DirectAccess se os controladores de domínio estiver executando o Windows Server 2003 devido a um problema com o serviço de duplicação de arquivos. Para obter mais informações, consulte configurações não suportadas do DirectAccess.

Planeje o servidor de local de rede

O servidor de local de rede é um site usado para detectar se os clientes do DirectAccess estão localizados na rede corporativa. Os clientes na rede corporativa não usar o DirectAccess para acessar os recursos internos, mas em vez disso, se conectar diretamente.

O Assistente de Introdução configura automaticamente servidor de local de rede no servidor do DirectAccess e o site é criado automaticamente quando você implanta o DirectAccess. Isso permite uma instalação simples sem o uso de uma infraestrutura de certificado.

Se você deseja implantar um servidor de local de rede e não usar self-certificados assinados, consulte implantar um único servidor DirectAccess com configurações avançadas.

Planeje do Active Directory

O DirectAccess usa Active Directory e objetos de política de grupo do Active Directory da seguinte maneira:

  • Autenticação. Active Directory é usado para autenticação. O encapsulamento do DirectAccess usa autenticação Kerberos para o usuário para acessar os recursos internos.

  • Objetos de política de grupo. O DirectAccess coleta configurações em objetos de política de grupo são aplicados a clientes e servidores do DirectAccess.

  • Grupos de segurança. O DirectAccess usa grupos de segurança para reunir e identificar os computadores cliente DirectAccess e servidores do DirectAccess. As políticas de grupo são aplicadas ao grupo de segurança necessárias.

Requisitos do Active Directory

Ao planejar uma implantação do DirectAccess do Active Directory, é necessário o seguinte:

  • Pelo menos um controlador de domínio instalado no Windows Server 2008, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 ou Windows Server 2016.

    Se o controlador de domínio está em uma rede do perímetro (e, portanto, acessível da Internet-voltado para o adaptador de rede do servidor DirectAccess) impedir que o servidor DirectAccess chegue-la adicionando filtros de pacotes no controlador de domínio, para impedir a conectividade com o endereço IP do adaptador de Internet.

  • O servidor DirectAccess deve ser um membro do domínio.

  • Os clientes do DirectAccess devem ser membros do domínio. Os clientes podem pertencer a:

    • Qualquer domínio na floresta do mesmo como o servidor do DirectAccess.

    • Qualquer domínio que tenha um dois-confiança de maneira com o domínio de servidor DirectAccess.

    • Qualquer domínio em uma floresta que tem um dois-maneira confiança da floresta à qual pertence o domínio do DirectAccess.

Observação
  • O servidor DirectAccess não pode ser um controlador de domínio.
  • O controlador de domínio do Active Directory usado para DirectAccess não deve ser acessível a partir do adaptador de Internet externo do servidor DirectAccess (o adaptador não deve ser no perfil de domínio do Firewall do Windows).

Objetos de política de grupo de plano

As configurações do DirectAccess configuradas quando você configura o DirectAccess são coletadas em objetos de política de grupo (GPO). Dois GPOs diferentes são preenchidos com as configurações do DirectAccess e distribuídos da seguinte maneira:

  • GPO de cliente do DirectAccess. Esse GPO contém as configurações do cliente, incluindo configurações de tecnologia de transição IPv6, entradas de NRPT e o Firewall do Windows com regras de segurança de conexão de segurança avançada. O GPO é aplicado aos grupos de segurança especificados para os computadores cliente.

  • Servidor DirectAccess GPO. Esse GPO contém as definições de configuração do DirectAccess que são aplicadas a qualquer servidor configurado como um servidor DirectAccess em sua implantação. Ele também contém o Firewall do Windows com regras de segurança de conexão de segurança avançada.

GPOs podem ser configuradas de duas maneiras:

  1. Automaticamente. Você pode especificar que eles são criados automaticamente. Um nome padrão é especificado para cada GPO. GPOs são criados automaticamente pelo Assistente de Introdução.

  2. Manualmente. Você pode usar GPOs que foram predefinidos pelo administrador do Active Directory.

Observe que, depois que o DirectAccess está configurado para usar GPOs específicos, ele não pode ser configurado para usar GPOs diferentes.

Importante

Se você estiver usando automaticamente ou GPOs configurados manualmente, você precisará adicionar uma política para detecção de vínculo lento se seus clientes usarão 3G. O caminho de política de grupo para política: detecção de vínculo lento de diretiva de grupo configurar é: configuração do computador \/diretivas \/modelos administrativos \/sistema \/política de grupo.

Cuidado

Use o procedimento a seguir para fazer backup de todos os objetos de política de grupo DirectAccess antes de executar cmdlets do DirectAccess: backup e restaurar a configuração do DirectAccess

Automaticamente-criar GPOs

Observe o seguinte ao usar automaticamente-criar GPOs:

Criado automaticamente GPOS são aplicadas de acordo com o local e o parâmetro de destino do link, da seguinte maneira:

  • Para o servidor do DirectAccess GPO, o local e o link parâmetros apontam para o domínio que contém o servidor DirectAccess.

  • Quando o cliente GPOs são criados, a localização é definida como um único domínio no qual o GPO será criado. O nome do GPO é pesquisado em cada domínio e preenchido com as configurações do DirectAccess, se ele existir. O destino do link é definido como a raiz do domínio no qual o GPO foi criado. Um GPO é criado para cada domínio que contém os computadores cliente e o GPO é vinculado à raiz do seu domínio respectivo.

Quando usar automaticamente criado GPOs, aplicar configurações do DirectAccess, o administrador do servidor DirectAccess requer as seguintes permissões:

  • GPO criar permissões para cada domínio.

  • Vincular as permissões para todas as raízes de domínio do cliente selecionado.

  • Vincular as permissões para as raízes de domínio do servidor GPO.

  • Criar, editar, excluir e modificar a segurança permissões são necessárias para os GPOs.

  • É recomendável que o administrador do DirectAccess tem permissões de leitura para cada domínio necessário do GPO. Isso permite que o DirectAccess verificar se os GPOs com nomes duplicados não existem durante a criação de GPOs.

Observe que, se as permissões corretas para vinculação GPOs não existir, é emitido um aviso. A operação de DirectAccess continuará, mas vinculação não ocorrerá. Se esse aviso é emitido links não serão criados automaticamente, mesmo depois que as permissões são adicionadas posteriormente. Em vez disso, o administrador precisará criar manualmente os links.

Manualmente-criar GPOs

Observe o seguinte ao usar manualmente-criar GPOs:

  • Os GPOs devem existir antes de executar o assistente remoto Introdução acesso.

  • Ao usar manualmente-criado GPOs, para aplicar as configurações do DirectAccess o DirectAccess administrador requer permissões completas do GPO (editar, excluir, modificar segurança) na manualmente-criar GPOs.

  • Quando usar manualmente criado GPOs uma pesquisa é feito para um link para o GPO em todo o domínio. Se o GPO não está vinculado no domínio um link é automaticamente criado na raiz do domínio. Se as permissões necessárias para criar o link não estão disponíveis é emitido um aviso.

Observe que, se as permissões corretas para vinculação GPOs não existir, é emitido um aviso. A operação de DirectAccess continuará, mas vinculação não ocorrerá. Se esse aviso é emitido links não serão criados automaticamente, mesmo quando as permissões são adicionadas posteriormente. Em vez disso, o administrador precisará criar manualmente os links.

Recuperar um GPO excluído

Se um servidor do DirectAccess, cliente ou servidor de aplicativos GPO foi excluído por acidente e não há nenhum backup disponível, você deve remover as definições de configuração e re-configurar novamente. Se um backup estiver disponível, você poderá restaurar o GPO usando o backup.

Gerenciamento do DirectAccess exibirá a seguinte mensagem de erro: GPO não pode ser encontrado. Para remover as definições de configuração, siga estas etapas:

  1. Execute o cmdlet do PowerShell desinstalar-acesso remoto.

  2. Re-abrir gerenciamento do DirectAccess.

  3. Você verá uma mensagem de erro que o GPO não for encontrado. Clique em remover configurações. Após a conclusão, o servidor será restaurado para um cancelamento-configurado estado.

Próxima etapa

© 2017 Microsoft