Table of contents
TOC
Fechar a tabela de conteúdos
Expandir a tabela de conteúdos

Planear uma implementação da floresta com vários

James McIllece|Última Atualização: 10/03/2017
|
1 Contribuinte

Aplica-se a: Windows Server 2016

Este tópico descreve os passos de planeamento necessários quando configurar acesso remoto através de uma implementação da floresta com vários.

Pré-requisitos

Antes de começar a implementar neste cenário, reveja esta lista para importantes requisitos:

  • Relação de confiança bidirecional é obrigatório.

Plano de confiança entre florestas

Quando optar por permitir o acesso a recursos de uma nova floresta, permitir que os clientes da floresta nova para utilizar o DirectAccess, ou adicionar os servidores de acesso remoto da floresta nova como pontos de entrada para a implementação de acesso remoto, tem de garantir que um total de confiança; ou seja, uma relação de confiança transitiva bidirecional, está configurada entre as duas florestas, consulte tipos de confiança. Relação de confiança total entre florestas é um pré-requisito para uma implementação da floresta com vários permitir que os administradores executar operações, tais como editar GPOs na nova floresta, utilizando os grupos de segurança da nova floresta como o grupo de segurança do cliente, execução remotas chamadas (WinRM, RPC) em computadores na nova floresta e autenticação de clientes remotos da floresta de novo.

Plano de permissões de administrador acesso remoto

Quando configurar acesso remoto-as atualizações e, por vezes, cria GPOs em cada uma dos domínios que contêm os servidores de acesso remoto ou clientes. Num ambiente floresta múltiplo, como nas ambientes single-floresta, o administrador de acesso remoto tem tiver permissões para escrever e modificar GPOs DirectAccess e os filtros de segurança e, opcionalmente, tiver permissões para criar hiperligações para os GPOs DirectAccess em todas as florestas envolvidas. Estas permissões são necessários independentemente da floresta ao qual pertence o administrador de acesso remoto.

Além disso, o administrador de acesso remoto tem de ser um administrador local em todos os servidores de acesso remoto, incluindo nos servidores do acesso remoto da floresta nova adicionados como pontos de entrada para a implementação de acesso remoto original.

Plano de grupos de segurança do cliente

Tem de configurar pelo menos um grupo de segurança na nova floresta para as máquinas de cliente DirectAccess na floresta de novo. Esta é uma vez que um grupo de segurança única não pode conter as contas de várias florestas.

Nota
  • O DirectAccess requer pelo menos uma Windows 10® ou Windows® grupo de segurança de cliente 8 para cada floresta. No entanto, recomenda-se para ter um grupo de segurança de cliente do Windows 8 para cada domínio que contém os clientes do Windows 10 ou Windows 8 ou Windows 10.
  • Quando o multissite estiver ativado, DirectAccess requer o Windows 7, pelo menos, uma® grupo de segurança do cliente por floresta para cada ponto de entrada DirectAccess no qual o Windows 7 computadores cliente são suportados. No entanto, recomenda-se para ter um grupo de segurança de cliente Windows 7 separado para cada ponto de entrada para cada domínio que contém os clientes do Windows 7.

Para o DirectAccess ser aplicadas em computadores cliente nos domínios adicionais, GPOs cliente devem ser criados nesses domínios. Adicionar acionadores de grupos de segurança escrever novo cliente GPOs para os domínios do novo; como tal, se adicionar um novo grupo de segurança de um domínio de novo para a lista de grupos de segurança do cliente DirectAccess, um cliente GPO será criado automaticamente no domínio de novo e computadores cliente de domínio do novo irão obter as definições de DirectAccess através do cliente GPO.

Tenha em atenção que se adicionar um cliente de um novo domínio a um grupo de segurança existente que já está configurado como um grupo de segurança do cliente DirectAccess, GPO o cliente não será criado automaticamente pelo DirectAccess no domínio de novo. O cliente no novo domínio não receberá as definições de DirectAccess e não será capaz de estabelecer a ligação utilizando DirectAcecss.

Plano de autoridades de certificação

Se a implementação de DirectAccess estiver configurada para utilizar a autenticação de palavra-passe ocasional (OTP), cada floresta contém os modelos de certificado de assinatura mesmo mas com a identificação de objeto diferente valores. Esta razão, as florestas não está a ser capaz de ser configurada como uma unidade única configuração. Para resolver este problema e configurar OTP num ambiente floresta múltiplo, consulte a secção "Configurar OTP na implementação de uma floresta com vários" no tópico configurar uma implementação da floresta com vários.

Quando utilizar a autenticação de certificado de máquina IPsec, todos os computadores cliente e servidor tem de ter um certificado emitido pela raiz do mesmo ou a autoridade de certificação intermédio, independentemente da floresta à qual pertençam do computador.

Plano OTP isenção

Se estiver a utilizar a autenticação DirectAccess OTP, tenha em atenção que o grupo de segurança de isenção OTP está limitado aos utilizadores de uma única floresta. Esta é uma vez que cada grupo de segurança pode conter apenas utilizadores de uma única floresta e pode ser configurado tal apenas a um grupo de segurança.

© 2017 Microsoft