Table of contents
TOC
Recolher sumário
Expandir sumário

Etapa 1 configurar a infraestrutura de acesso remoto

James McIllece|Última Atualização: 10/03/2017
|
1 Colaborador

Aplica-se a: Windows Server 2016

Observação: Windows Server 2012 combina DirectAccess e roteamento e acesso remoto (RRAS) em uma única função de acesso remoto.

Este tópico descreve como configurar a infraestrutura que é necessária para uma implantação avançada do acesso remoto usando um único servidor de acesso remoto em um ambiente misto IPv4 e IPv6. Antes de iniciar as etapas de implantação, certifique-se de que você tenha concluído as etapas de planejamento descritas em etapa 1: planejar a infraestrutura de acesso remoto.

TarefaDescrição
Definir configurações de rede do servidorDefina as configurações de rede do servidor no servidor de acesso remoto.
Configurar o roteamento na rede corporativaConfigure o roteamento na rede da empresa para verificar se o tráfego é roteado adequadamente.
Configurar firewallsConfigure firewalls adicionais, se necessário.
Configurar autoridades de certificação e certificadosConfigure uma autoridade de certificação (CA), se necessário e quaisquer outros modelos de certificado necessários na implantação.
Configure o servidor DNSDefina configurações de DNS para o servidor de acesso remoto.
Configurar o Active DirectoryAdicione computadores cliente e o servidor de acesso remoto ao domínio do Active Directory.
Configurar GPOsConfigure os objetos de política de grupo (GPOs) para a implantação, se necessário.
Definir grupos de segurançaDefina grupos de segurança que conterá os computadores cliente DirectAccess e outros grupos de segurança que são necessários na implantação.
Configurar o servidor de local de redeConfigure o servidor de local de rede, incluindo instalando o certificado de site de servidor de local de rede.
Observação

Este tópico inclui cmdlets do Windows PowerShell de exemplo que você pode usar para automatizar alguns dos procedimentos descritos. Para obter mais informações, consulte usando os Cmdlets do.

Definir configurações de rede do servidor

Dependendo se você optar por colocar o servidor de acesso remoto na borda ou atrás de um dispositivo de conversão de endereços de rede (NAT), as seguintes configurações de endereço de interface de rede são necessárias para uma implantação de servidor único em um ambiente com IPv4 e IPv6. Todos os endereços IP são configurados usando alterar as configurações do adaptador no Windows Networking central e compartilhamento.

Topologia Edge:

Requer o seguinte:

  • Dois voltados para Internet consecutivos público estáticos endereços IPv4 ou IPv6.

    Observação

    Dois endereços IPv4 públicos consecutivos são necessários para Teredo. Se você não estiver usando o Teredo, você pode configurar um endereço estático IPv4 público único.

  • Um único estático IPv4 ou IPv6 endereço interno.

Por trás do dispositivo NAT (dois adaptadores de rede):

Requer um único voltados para a rede estático IPv4 ou IPv6 endereço interno.

Por trás do dispositivo NAT (um adaptador de rede):

Requer um único endereço IPv4 ou IPv6 estático.

Se o servidor de acesso remoto tem dois adaptadores de rede (um para o perfil de domínio e outro para um perfil público ou privado), mas você está usando uma topologia de adaptador de rede único, a recomendação é o seguinte:

  1. Certifique-se de que o segundo adaptador de rede também é classificado no perfil do domínio.

  2. Se o segundo adaptador de rede não pode ser configurado para o perfil de domínio por qualquer motivo, na diretiva IPsec do DirectAccess deve ser manualmente no escopo de todos os perfis usando o seguinte comando do Windows PowerShell:

    $gposession = Open-NetGPO -PolicyStore <Name of the server GPO>  
    Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any  
    Save-NetGPO -GPOSession $gposession  
    

    Os nomes das políticas de IPsec para usar esse comando são DirectAccess DaServerToInfra e DirectAccess DaServerToCorp.

Configurar o roteamento na rede corporativa

Configure o roteamento na rede corporativa da seguinte maneira:

  • Quando IPv6 nativo é implantada na organização, adicione uma rota para que os roteadores na rota IPv6 tráfego de rede interna de volta por meio do servidor de acesso remoto.

  • Configure manualmente organização IPv4 e IPv6 rotas nos servidores de acesso remoto. Adicione uma rota publicada para que todo o tráfego, com um (/ 48) prefixo IPv6 é encaminhado para a rede interna. Além disso, para o tráfego de IPv4, adicione rotas explícitas para que o tráfego IPv4 seja encaminhado à rede interna.

Configurar firewalls

Dependendo das configurações de rede que você escolheu, quando você usa firewalls adicionais em sua implantação, aplique as seguintes exceções de firewall para o tráfego de acesso remoto:

Servidor de acesso remoto na Internet IPv4

Aplique as seguintes exceções de firewall para a Internet para o tráfego de acesso remoto quando o servidor de acesso remoto está na Internet IPv4:

  • Tráfego Teredo

    Porta de destino do usuário Datagram Protocol (UDP) 3544 entrada e porta UDP origem 3544 saída. Aplica essa isenção para ambos os endereços públicos consecutivos IPv4 com a Internet no servidor de acesso remoto.

  • Tráfego 6to4

    IP 41 de protocolo de entrada e saída. Aplica essa isenção para ambos os endereços públicos consecutivos IPv4 com a Internet no servidor de acesso remoto.

  • Tráfego IP HTTPS

    Transmissão Control Protocol (TCP) destino porta 443 e a porta TCP 443 saída de origem. Quando o servidor de acesso remoto tem um adaptador de rede e o servidor de local de rede é no servidor de acesso remoto, a porta TCP 62000 também é necessária. Aplique essas isenções somente para o endereço para o qual é o nome externo do servidor resolvido.

    Observação

    Essa isenção é configurada no servidor de acesso remoto. Todas as outras isenções são configuradas no firewall edge.

Servidor de acesso remoto na Internet IPv6

Aplique as seguintes exceções de firewall para a Internet para o tráfego de acesso remoto quando o servidor de acesso remoto está na Internet IPv6:

  • Protocolo IP 50

  • Porta UDP de destino 500 entrada e porta UDP de origem 500 saída.

  • Protocolo de mensagem de controle da Internet para IPv6 (ICMPv6) o tráfego de entrada e saído - para implementações de Teredo apenas.

Tráfego de acesso remoto

Aplique as seguintes exceções de firewall de rede interna para o tráfego de acesso remoto:

  • ISATAP: Protocolo 41 entrada e saída

  • TCP/UDP para todo o tráfego IPv4 ou IPv6

  • ICMP para todo o tráfego IPv4 ou IPv6

Configurar autoridades de certificação e certificados

Com acesso remoto no Windows Server 2012, você escolha entre usar certificados para autenticação do computador ou usar uma autenticação Kerberos interna que usa nomes de usuário e senhas. Além disso, você deve configurar um certificado de IP-HTTPS no servidor de acesso remoto. Esta seção explica como configurar esses certificados.

Para obter informações sobre como configurar uma infraestrutura de chave pública (PKI), consulte serviços de certificados do Active Directory.

Configurar a autenticação de IPsec

É necessário um certificado no servidor de acesso remoto e todos os clientes do DirectAccess para que eles possam usar autenticação de IPsec. O certificado deve ser emitido por uma CA (autoridade de certificação interna). Clientes do DirectAccess e servidores de acesso remoto devem confiar a CA que emitiu os certificados intermediários e raiz.

Para configurar a autenticação de IPsec
  1. A autoridade de certificação interna, decida se você usará o modelo de certificado de computador padrão, ou se você criará um novo modelo de certificado conforme descrito em modelos de certificado criação.

    Observação

    Se você criar um novo modelo, ele deve ser configurado para autenticação do cliente.

  2. Implante o modelo de certificado, se necessário. Para obter mais informações, consulte implantando modelos de certificado.

  3. Configure o modelo para o registro automático, se necessário.

  4. Configure o registro automático de certificado se necessário. Para obter mais informações, consulte Configurar registro automático de certificados.

Configurar modelos de certificado

Quando você usa uma CA interna para emitir certificados, você deve configurar modelos de certificado para o certificado de IP HTTPS e o certificado do site rede local servidor.

Para configurar um modelo de certificado
  1. Em CA interna, crie um modelo de certificado, conforme descrito em modelos de certificado criação.

  2. Implantar o modelo de certificado, conforme descrito em implantando modelos de certificado.

Após preparar seus modelos, você pode usá-los para configurar os certificados. Veja os procedimentos a seguir para obter detalhes:

Configurar o certificado de IP HTTPS

Acesso remoto requer um certificado de IP HTTPS para autenticar conexões HTTPS IP para o servidor de acesso remoto. Há três opções de certificado para o certificado de IP HTTPS:

  • Público

    Fornecido por terceiros.

  • Privada

    O certificado é baseado no modelo de certificado que você criou na Configurando modelos de certificado. Isso requer, um ponto de distribuição de lista (CRL) de revogação de certificados que seja acessível a partir de um FQDN podem ser convertido publicamente.

  • Autoassinados

    Esse certificado requer um ponto de distribuição de CRL que seja acessível a partir de um FQDN podem ser convertido publicamente.

    Observação

    Certificados auto-assinados não podem ser usados em implantações multissite.

Certifique-se de que o certificado de site usado para autenticação HTTPS IP atenda aos seguintes requisitos:

  • Nome do requerente do certificado deve ser o nome de domínio totalmente qualificado (FQDN) externamente resolvido da URL HTTPS IP (o endereço ConnectTo) que é usado somente para as conexões de IP HTTPS de servidor de acesso remoto.

  • O nome comum do certificado deve corresponder ao nome do site IP-HTTPS.

  • No campo assunto, especifique o endereço IPv4 do adaptador externa da face do servidor de acesso remoto ou o FQDN da URL IP-HTTPS.

  • Para o uso avançado de chave campo, use o identificador de objeto (OIDS) de autenticação de servidor.

  • Para o pontos de distribuição de CRL campo, especificar um ponto de distribuição de CRL que seja acessado por clientes do DirectAccess que estão conectados à Internet.

  • O certificado de IP HTTPS deve ter uma chave privada.

  • O certificado de IP HTTPS deve ser importado diretamente para o armazenamento pessoal.

  • Certificados de IP HTTPS podem ter caracteres curinga no nome.

Para instalar o certificado de IP HTTPS de uma CA interna
  1. No servidor de acesso remoto: sobre o iniciar de tela, digitemmc.exe, e pressione ENTER.

  2. No console do MMC, no arquivo menu, clique em Adicionar/Remover Snap-in.

  3. No adicionar ou Remover Snap-ins caixa de diálogo, clique em certificados, clique em adicionar, clique em conta de computador, clique em próxima, clique em computador Local, clique em concluire clique em OK.

  4. Na árvore de console do snap-in de certificados, abra certificados (computador Local) \Personal\Certificates.

  5. Clique com botão direito certificados, aponte para todas as tarefas, clique em Solicitar novo certificadoe clique em próxima duas vezes.

  6. Sobre o solicitar certificados, marque a caixa de seleção para o modelo de certificado que você criou na configuração modelos de certificado e, se necessário, em obter mais informações é necessária para se registrar para obter esse certificado.

  7. No propriedades de certificado caixa de diálogo, pela assunto guia, o nome do requerente área, na tipo, selecione nome comum.

  8. Em valor, especifique o endereço IPv4 do adaptador externa da face do servidor de acesso remoto ou o FQDN da URL HTTPS de IP e, em seguida, clique em adicionar.

  9. No nome alternativo para área, na tipo, selecione DNS.

  10. Em valor, especifique o endereço IPv4 do adaptador externa da face do servidor de acesso remoto ou o FQDN da URL HTTPS de IP e, em seguida, clique em adicionar.

  11. Sobre o geral guia, nome amigável, você pode inserir um nome que ajudarão você a identificar o certificado.

  12. No extensões guia, próximo ao uso de chave estendido, clique na seta e certifique-se de que a autenticação de servidor está no selecionado opções lista.

  13. Clique em OK, clique em registrare clique em concluir.

  14. No painel de detalhes do snap-in de certificados, verifique se que o novo certificado foi registrado com a finalidade de autenticação de servidor.

Configure o servidor DNS

Você deve configurar manualmente uma entrada de DNS para o site do servidor do local de rede para a rede interna em sua implantação.

Para adicionar o teste de rede local server e web

  1. No servidor DNS interno de rede: sobre o iniciar de tela, digitednsmgmt.msc, e pressione ENTER.

  2. No painel esquerdo da Gerenciador DNS do console, expanda a zona de pesquisa direta para seu domínio. Clique com botão direito no domínio e clique em novo Host (A ou AAAA).

  3. No novo Host na caixa o nome (usa nome do domínio pai se em branco), digite o nome DNS para o site de servidor de local de rede (Este é o nome que os clientes do DirectAccess usam para se conectar ao servidor de local de rede). No endereço IP caixa, insira o endereço IPv4 do servidor de localização da rede e clique em Adicionar Hoste clique em OK.

  4. No novo Host na caixa o nome (usa nome do domínio pai se em branco), digite o nome DNS para o teste da web (o nome para o teste da web padrão é directaccess webprobehost). Na endereço IP caixa, insira o endereço IPv4 do teste da web e, em seguida, clique em Adicionar Host.

  5. Repita esse processo para directaccess corpconnectivityhost e qualquer verificadores de conectividade criada manualmente. No DNS caixa de diálogo, clique em OK.

  6. Clique em feito.

Windows PowerShellWindows PowerShell equivalente comandos * * *

O cmdlet do Windows PowerShell ou os cmdlets a seguir realizam as mesmas funções que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que eles possam aparecer com quebras automáticas em várias linhas devido a restrições de formatação.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>  
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>  

Você também deve configurar entradas DNS para o seguinte:

  • O servidor de IP HTTPS

    Clientes do DirectAccess devem ser capazes de resolver o nome DNS do servidor de acesso remoto da Internet.

  • Verificação de revogação CRL

    O DirectAccess usa a verificação de revogação de certificados para a conexão IP HTTPS entre clientes do DirectAccess e o servidor de acesso remoto e para a conexão entre o cliente do DirectAccess e o servidor de local de rede baseada em HTTPS. Em ambos os casos, os clientes do DirectAccess devem ser capazes de resolver e acessar a localização de ponto de distribuição de CRL.

  • ISATAP

    Protocolo de endereçamento de encapsulamento automático entre sites (ISATAP) usa túneis para permitir que os clientes do DirectAccess para se conectar ao servidor de acesso remoto pela Internet IPv4, o encapsulamento dos pacotes IPv6 dentro de um cabeçalho IPv4. Ele é usado pelo acesso remoto para fornecer conectividade IPv6 para hosts ISATAP através de uma intranet. Em um ambiente de rede não nativas IPv6, o servidor de acesso remoto se configura automaticamente como um roteador ISATAP. Suporte de resolução para o nome ISATAP é necessário.

Configurar o Active Directory

O servidor de acesso remoto e todos os computadores de clientes do DirectAccess devem ser associados a um domínio do Active Directory. Os computadores cliente DirectAccess devem ser um membro de um dos seguintes tipos de domínio:

  • Domínios que pertencem à mesma floresta como o servidor de acesso remoto.

  • Domínios que pertencem a florestas com uma relação de confiança bidirecional com a floresta de servidor de acesso remoto.

  • Domínios que têm um domínio bidirecional confiam no domínio do servidor de acesso remoto.

Para ingressar o servidor de acesso remoto em um domínio

  1. No Gerenciador do servidor, clique em servidor Local. No painel de detalhes, clique no link ao lado de nome do computador.

  2. No propriedades do sistema caixa de diálogo, clique no nome do computador guia e, em seguida, clique em alteração.

  3. No nome do computador, digite o nome do computador se você também estiver alterando o nome do computador ao juntar o servidor ao domínio. Em membro do, clique em domínioe, em seguida, digite o nome do domínio ao qual você deseja ingressar o servidor, (por exemplo, corp.contoso.com) e clique em OK.

  4. Quando você for solicitado um nome de usuário e senha, insira o nome de usuário e a senha de um usuário com permissões para adicionar computadores ao domínio e, em seguida, clique em OK.

  5. Quando você vê uma caixa de diálogo boas-vindas ao domínio, clique em OK.

  6. Quando você for solicitado que você deve reiniciar o computador, clique em OK.

  7. No propriedades do sistema caixa de diálogo, clique em fechar.

  8. Quando você for solicitado a reiniciar o computador, clique em reiniciar agora.

Para adicionar computadores ao domínio

  1. Sobre o iniciar de tela, digiteexplorer.exe, e pressione ENTER.

  2. Clique com botão direito no ícone de computador e, em seguida, clique em propriedades.

  3. Sobre a sistema página, clique em configurações avançadas do sistema.

  4. No propriedades do sistema caixa de diálogo, pela nome do computador, clique em alteração.

  5. No nome do computador, digite o nome do computador se você também estiver alterando o nome do computador ao juntar o servidor ao domínio. Em membro do, clique em domínioe, em seguida, digite o nome do domínio ao qual você deseja ingressar o servidor (por exemplo, corp.contoso.com) e clique em OK.

  6. Quando você for solicitado um nome de usuário e senha, insira o nome de usuário e a senha de um usuário com permissões para adicionar computadores ao domínio e, em seguida, clique em OK.

  7. Quando você vê uma caixa de diálogo boas-vindas ao domínio, clique em OK.

  8. Quando você for solicitado que você deve reiniciar o computador, clique em OK.

  9. No propriedades do sistema caixa de diálogo, clique em Fechar.

  10. Clique em reiniciar agora quando solicitado.

Windows PowerShellWindows PowerShell equivalente comandos * * *

O cmdlet do Windows PowerShell ou os cmdlets a seguir realizam as mesmas funções que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que eles possam aparecer com quebras automáticas em várias linhas devido a restrições de formatação.

Observação

Você deve fornecer as credenciais de domínio depois que você digite o seguinte comando.

Add-Computer -DomainName <domain_name>  
Restart-Computer  

Configurar GPOs

Para implantar o acesso remoto, você deve exigir um mínimo de dois objetos de política de grupo. Um objeto de diretiva de grupo contém configurações para o servidor de acesso remoto e um contém configurações para computadores de clientes do DirectAccess. Quando você configurar o acesso remoto, o assistente cria automaticamente os objetos de política de grupo necessários. No entanto, se sua organização impõe uma convenção de nomenclatura, ou você não tem as permissões necessárias para criar ou editar objetos de política de grupo, ele devem ser criados antes de configurar o acesso remoto.

Para criar objetos de política de grupo, consulte criar e editar um objeto de política de grupo.

Um administrador pode vincular manualmente os objetos de política de grupo do DirectAccess para uma unidade organizacional (UO). Considere o seguinte:

  1. Vincule os GPOs criados para as respectivas UOs antes de configurar o DirectAccess.

  2. Quando você configura o DirectAccess, especifique um grupo de segurança para os computadores cliente.

  3. Os GPOs são configuradas automaticamente, independentemente de se o administrador tiver permissões para vincular os GPOs no domínio.

  4. Se já, os GPOs são vinculados a uma UO, os links não serão removidos, mas eles não estão vinculados ao domínio.

  5. Para o servidor de GPOs, na UO deve conter o servidor computador objeto-caso contrário, o GPO será vinculado à raiz do domínio.

  6. Se a UO não foi vinculada anteriormente, executando o Assistente de instalação do DirectAccess, depois que a configuração for concluída, o administrador pode vincular os GPOs do DirectAccess às UOs necessários e remova o link para o domínio.

    Para obter mais informações, consulte vincular um objeto de política de grupo.

Observação

Se um objeto de política de grupo foi criado manualmente, é possível que o objeto de política de grupo não estarão disponível durante a configuração do DirectAccess. O objeto de política de grupo podem não ter sido replicado para o controlador de domínio mais próximo ao computador de gerenciamento. O administrador pode esperar para replicação completar ou forçar a replicação.

Definir grupos de segurança

As configurações do DirectAccess que estão contidas no computador cliente objeto de política de grupo são aplicadas apenas a computadores que são membros dos grupos de segurança que você especificar quando configurar o acesso remoto.

Para criar um grupo de segurança para clientes do DirectAccess

  1. Sobre o iniciar de tela, digitedsa.msc, e pressione ENTER.

  2. No Active Directory usuários e computadores console, no painel esquerdo, expanda o domínio que irá conter o grupo de segurança, clique com botão direito usuários, aponte para novae clique em grupo.

  3. No novo objeto - grupo caixa de diálogo, em nome do grupo, insira o nome do grupo de segurança.

  4. Em agrupar escopo, clique em Globale, em agrupar tipo, clique em segurançae clique em OK.

  5. Clique duas vezes o grupo de segurança de computadores de cliente DirectAccess e no propriedades caixa de diálogo, clique no membros guia.

  6. Sobre o membros, clique em adicionar.

  7. No selecionar usuários, contatos, computadores ou contas de serviço caixa de diálogo, selecione os computadores cliente que você deseja habilitar para DirectAccess e clique em OK.

Windows PowerShellcomandos equivalentes do Windows PowerShell

O cmdlet do Windows PowerShell ou os cmdlets a seguir realizam as mesmas funções que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que eles possam aparecer com quebras automáticas em várias linhas devido a restrições de formatação.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>  
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>  

Configurar o servidor de local de rede

O servidor de local de rede deve estar em um servidor com alta disponibilidade e ele precisa de um certificado válido de Secure Sockets Layer (SSL) que é confiável para clientes do DirectAccess.

Observação

Se o site de servidor de local de rede está localizado no servidor de acesso remoto, um site será criado automaticamente quando você configura o acesso remoto e ele está associado para o certificado do servidor que você fornecer.

Há duas opções de certificado para o certificado de servidor de local de rede:

  • Privada

    Observação

    O certificado é baseado no modelo de certificado que você criou na Configurando modelos de certificado.

  • Autoassinados

    Observação

    Certificados auto-assinados não podem ser usados em implantações multissite.

Se você usar um certificado privado ou um certificado autoassinado, eles exigem o seguinte:

  • Um certificado de site que é usado para o servidor de local de rede. Entidade do certificado deve ser a URL do servidor de localização da rede.

  • Um ponto de distribuição de CRL com alta disponibilidade na rede interna.

Para instalar o certificado de servidor de local de rede de uma CA interna

  1. No servidor que hospeda o site de servidor de local de rede: sobre o iniciar de tela, digitemmc.exe, e pressione ENTER.

  2. No console do MMC, no arquivo menu, clique em Adicionar/Remover Snap-in.

  3. No adicionar ou Remover Snap-ins caixa de diálogo, clique em certificados, clique em adicionar, clique em conta de computador, clique em próxima, clique em computador Local, clique em concluire clique em OK.

  4. Na árvore de console do snap-in de certificados, abra certificados (computador Local) \Personal\Certificates.

  5. Clique com botão direito certificados, aponte para todas as tarefas, clique em Solicitar novo certificadoe clique em próxima duas vezes.

  6. Sobre o solicitar certificados, marque a caixa de seleção para o modelo de certificado que você criou na configuração modelos de certificado e, se necessário, em obter mais informações é necessária para se registrar para obter esse certificado.

  7. No propriedades de certificado caixa de diálogo, pela assunto guia, o nome do requerente área, na tipo, selecione nome comum.

  8. Em valor, digite o FQDN do site de servidor da rede local e, em seguida, clique em adicionar.

  9. No nome alternativo para área, na tipo, selecione DNS.

  10. Em valor, digite o FQDN do site de servidor da rede local e, em seguida, clique em adicionar.

  11. Sobre o geral guia, nome amigável, você pode inserir um nome que ajudarão você a identificar o certificado.

  12. Clique em OK, clique em registrare clique em concluir.

  13. No painel de detalhes do snap-in de certificados, verifique se que esse novo certificado foi registrado com a finalidade de autenticação de servidor.

Para configurar o servidor de local de rede

  1. Configure um site em um servidor de alta disponibilidade. O site não exige nenhum conteúdo, mas quando você testá-lo, você pode definir uma página padrão que oferece uma mensagem quando os clientes se conectar.

    Esta etapa não é necessária se o site de servidor de local de rede está hospedado no servidor de acesso remoto.

  2. Associe um certificado de servidor HTTPS para o site. O nome comum do certificado deve corresponder ao nome do site de servidor da rede local. Certifique-se de que os clientes do DirectAccess confiam a CA emissora.

    Esta etapa não é necessária se o site de servidor de local de rede está hospedado no servidor de acesso remoto.

  3. Configure um site CRL que hass alta disponibilidade na rede interna.

    Pontos de distribuição de CRL podem ser acessados por meio de:

    • Servidores que usam uma URL baseados em HTTP, como Web: http://crl.corp.contoso.com/crld/corp-APP1-CA.crl

    • Servidores que são acessados por meio de um caminho universal naming convention (UNC), como de arquivos \\crl.corp.contoso.com\crld\corp-APP1-CA.crl

    Se o ponto de distribuição de CRL interno é acessível apenas por IPv6, você deve configurar o Firewall do Windows com regra de segurança de conexão de segurança avançada. Isso isenta proteção de IPsec do espaço de endereço IPv6 da intranet para os endereços IPv6 dos seus pontos de distribuição de CRL.

  4. Certifique-se de que os clientes do DirectAccess na rede interna podem resolver o nome do servidor de localização da rede e que os clientes do DirectAccess na Internet não é possível resolver o nome.

Consulte também

© 2017 Microsoft