Etapa 2: Configurar os servidores do DirectAccess Avançado
Este tópico descreve como configurar as definições do cliente e do servidor requeridas para uma implantação de Acesso Remoto avançado usando um único servidor de Acesso Remoto em um ambiente misto de IPv4 e IPv6. Antes de começar as etapas de implantação, verifique se você concluiu as etapas de planejamento descritas em Planejar uma implantação avançada do DirectAccess.
| Tarefa | Descrição |
|---|---|
| 2.1. Instalar a função Acesso Remoto | Instalar a função Acesso Remoto. |
| 2.2. Configurar o tipo de implantação | Configurar o tipo de implantação como DirectAccess e VPN, somente DirectAccess ou somente VPN. |
| Planejar uma implantação do DirectAccess Avançado | Configurar o servidor de Acesso Remoto com os grupos de segurança contendo os clientes do DirectAccess. |
| 2.4. Configurar o servidor de Acesso Remoto | Definir as configurações do servidor de Acesso Remoto. |
| 2.5. Configurar os servidores de infraestrutura | Configurar os servidores de infraestrutura usados na organização. |
| 2.6. Configurar os servidores de aplicativos | Configurar os servidores de aplicativos para que exijam autenticação e criptografia. |
| 2.7. Resumo de configuração e GPOs alternativos | Ver o resumo de configuração de Acesso Remoto e modificar os GPOs, se desejado. |
| 2.8. Como configurar o servidor de Acesso Remoto usando o Windows PowerShell | Configure o Acesso Remoto usando o Windows PowerShell. |
Observação
Este tópico inclui cmdlets do Windows PowerShell de exemplo que podem ser usados para automatizar alguns dos procedimentos descritos. Para obter mais informações, confira Usando os Cmdlets.
2.1. Instalar a função Acesso Remoto
Para implantar o Acesso Remoto, você deverá instalar a função Acesso Remoto em um servidor na sua organização que agirá como servidor de Acesso Remoto.
Para instalar a função Acesso Remoto.
No servidor de Acesso Remoto, no console do Gerenciador do Servidor, no Painel, clique em Adicionar funções e recursos.
Clique em Avançar três vezes para chegar à tela Selecionar funções do servidor.
Na página Selecionar funções do servidor, selecione Acesso Remoto, clique em Adicionar recursos e em Avançar.
Clique em Avançar cinco vezes.
Na página Confirmar seleções de instalação, clique em Instalar.
Na página Progresso da instalação, verifique se a instalação foi bem-sucedida e clique em Fechar.
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Install-WindowsFeature RemoteAccess -IncludeManagementTools
2.2. Configurar o tipo de implantação
É possível implantar o Acesso Remoto com o console de Gerenciamento de Acesso Remoto de três maneiras:
DirectAccess e VPN
Somente DirectAccess
Somente VPN
Este guia usa uma implantação somente DirectAccess nos procedimentos de exemplo.
Para configurar o tipo de implantação
No servidor de Acesso Remoto, abra o console de Gerenciamento de Acesso Remoto: na tela Inicial, digite RAMgmtUI.exe e pressione ENTER. Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a que você deseja e, em seguida, clique em Sim.
No Console de Gerenciamento de Acesso Remoto, no painel do meio, clique em Executar o assistente de configuração de acesso remoto.
Na caixa de diálogo Configurar o Acesso Remoto, clique na opção desejada para implantar DirectAccess e VPN, somente DirectAccess ou somente VPN.
2.3. Configurar os clientes de DirectAccess
Para que um computador cliente possa ser provisionado para usar o DirectAccess, ele deverá pertencer ao grupo de segurança selecionado. Depois de configurado o DirectAccess, os computadores cliente do grupo de segurança são provisionados para receber a GPO (Política de Grupo de Objeto) do DirectAccess. Você também pode configurar o cenário de implantação, que permite configurar o DirectAccess para acesso ao cliente e gerenciamento remoto, ou somente para gerenciamento remoto.
Para configurar os clientes do DirectAccess
No painel central do Console de Gerenciamento de Acesso Remoto, na área Etapa 1: Clientes Remotos, clique em Configurar.
No Assistente de configuração de cliente do DirectAccess, na página Cenário de implantação, clique no cenário de implantação que você deseja usar na sua organização (DirectAccess completo ou Somente gerenciamento remoto) e clique em Avançar.
Na página Selecionar Grupos, clique em Adicionar.
Na caixa de diálogo Selecionar Grupos, selecione os grupos de segurança que contêm computadores cliente do DirectAccess.
Observação
Se o grupo de segurança estiver em uma floresta diferente do servidor de Acesso Remoto, depois de concluir o Assistente de Instalação do Acesso Remoto, clique em Atualizar Servidores de Gerenciamento no painel Tarefas para descobrir os controladores de domínio e os servidores do Configuration Manager na nova floresta.
Marque a caixa de seleção Habilitar o DirectAccess apenas para computadores móveis para permitir que somente computadores móveis acessem a rede interna, se necessário.
Marque a caixa de seleção Usar criação de túneis à força para rotear todo o tráfego cliente (para a rede interna e para a Internet) pelo servidor de Acesso Remoto, se necessário.
Clique em Próximo.
Na página Assistente de conectividade de rede:
Na tabela, adicione recursos que serão usados para determinar a conectividade com a rede interna. Uma sonda de web padrão é criada automaticamente se nenhum outro recurso estiver configurado.
Cuidado
Ao configurar os locais da sonda da web para determinar a conectividade com a rede Corporativa, certifique-se de possuir pelo menos uma sonda HTTP configurada. Configurar somente uma sonda ping não é suficiente, podendo levar à determinação imprecisa do status de conectividade. Isso ocorre porque o ping é uma exceção do IPsec, não garantindo, assim, que os túneis do IPsec sejam estabelecidos adequadamente.
Adicione um endereço de email de assistência técnica para permitir que os usuários enviem informações se enfrentarem problemas de conectividade.
Forneça um nome amigável para a conexão do DirectAccess. Este nome aparecerá na lista de redes quando os usuários clicarem no ícone de rede na área de notificações.
Marque a caixa de seleção Permitir que clientes do DirectAccess usem resolução de nome local, se necessário.
Observação
Quando a resolução de nome local é habilitada, os usuários que executarem o Assistente de conectividade de rede podem escolher resolver nomes usando servidores DNS configurados no computador cliente do DirectAccess.
Clique em Concluir.
2.4. Configurar o servidor de Acesso Remoto
Para implantar o Acesso Remoto, será necessário configurar o servidor de Acesso Remoto com os adaptadores de rede corretos, uma URL pública para o servidor de Acesso Remoto, à qual os computadores cliente poderão se conectar (o endereço ConnectTo) e um certificado IP-HTTPS com o assunto correspondente ao endereço ConnectTo, configurações IPv6 e autenticação no computador cliente.
Para configurar o servidor de Acesso Remoto
No painel central do Console de Gerenciamento de Acesso Remoto, na área Etapa 2: Servidor de Acesso Remoto, clique em Configurar.
No Assistente de configuração do servidor de Acesso Remoto, na página Topologia de Rede, clique na topologia de implantação que será usada na sua organização. Em Digitar o nome público ou endereço IPv4 usado pelos clientes para se conectar ao servidor de acesso remoto, digite o nome público da implantação (esse nome corresponde ao nome do assunto do certificado IP-HTTPS, por exemplo, edge1.contoso.com) e clique em Avançar.
Na página Adaptadores de rede, o assistente detecta automaticamente os adaptadores de rede para as redes da sua implantação. Se o assistente não detectar os adaptadores de rede corretos, selecione-os manualmente. O assistente também detecta automaticamente o certificado IP-HTTPS com base no nome público da implantação definido na etapa anterior do assistente. Se o assistente não detectar o certificado IP-HTTPS correto, clique em Navegar para selecionar manualmente o certificado correto e clique em Avançar.
Na página Configuração de prefixo (ela aparecerá somente se o IPv6 for implantado na rede interna), o assistente detecta automaticamente as configurações de IPv6 usadas na rede interna. Se sua implantação necessitar de prefixos adicionais, configure os prefixos IPv6 para a rede interna, um prefixo IPv6 para atribuir a computadores cliente do DirectAccess e um para atribuir a computadores cliente do VPN.
Observação
Você pode especificar vários prefixos IPv6 internos usando uma lista delimitada por ponto e vírgula, como, por exemplo, 2001:db8:1::/48;2001:db8:2::/48.
Na página Autenticação:
Em Autenticação do usuário, clique em Credenciais do Active Directory. Para configurar uma implantação usando o autenticador de dois fatores, clique em Autenticação de dois fatores. Para mais informações, consulte Implantar Acesso Remoto com autenticação OTP.
Para implantações multissite e com autenticação de dois fatores, você deverá usar uma autenticação de certificado de computador. Marque a caixa de seleção Usar certificados de computador para usar autenticação de certificado de computador e selecione o certificado raiz IPsec.
Para habilitar computadores clientes com Windows 7 a se conectarem por meio do DirectAccess, marque a caixa de seleção Habilitar computadores clientes com Windows 7 a se conectarem por meio do DirectAccess.
Observação
Você também deverá usar uma autenticação de certificado de computador para este tipo de implantação.
Clique em Concluir.
2.5. Configurar os servidores de infraestrutura
Para configurar os servidores de infraestrutura em uma implantação de Acesso Remoto, você deverá configurar o servidor de local de rede, as configurações de DNS (incluindo a lista de pesquisa do sufixo de DNS) e servidores de gerenciamento que não são detectados automaticamente pelo Acesso Remoto.
Para configurar os servidores de infraestrutura
No painel central do Console de Gerenciamento de Acesso Remoto, na área Etapa 3: Servidores de Infraestrutura, clique em Configurar.
No Assistente de configuração de servidor de infraestrutura, na página Servidor do local de rede, clique na opção correspondente ao local do servidor de local de rede na sua implantação. Se o servidor de local de rede estiver em um servidor da web remoto, digite a URL e clique em Validar antes de continuar. Se o servidor de local de rede estiver no servidor de Acesso Remoto, clique em Navegar para localizar o certificado apropriado e depois em Avançar.
Na página DNS, especifique na tabela os sufixos de nome adicionais que serão aplicados como exceções da NRPT (Tabela de Políticas de Resolução de Nomes). Selecione a opção de resolução de nome local e clique em Avançar.
Na página Lista de pesquisa de sufixo de DNS, o servidor de Acesso Remoto detectará automaticamente qualquer sufixo de domínio na implantação. Use os botões Adicionar e Remover para adicionar e remover os sufixos de domínio da lista de sufixos de domínio a serem usados. Para adicionar um novo sufixo de domínio, em Novo sufixo, digite o sufixo e clique em Adicionar. Clique em Próximo.
Na página Gerenciamento, adicione quaisquer servidores de gerenciamento não detectados automaticamente e clique em Avançar. O Acesso Remoto adiciona automaticamente controladores de domínio e os servidores do Configuration Manager.
Observação
Embora os servidores sejam adicionados automaticamente, eles não aparecem na lista. Após você aplicar a configuração pela primeira vez, os servidores do Configuration Manager aparecerão na lista.
Clique em Concluir.
2.6. Configurar os servidores de aplicativos
Em uma implantação de Acesso Remoto, configurar os servidores de aplicativos é uma tarefa opcional. O Acesso Remoto permite exigir autenticação para os servidores de aplicativos selecionados, o que é determinado por sua inclusão em um grupo de segurança de servidores de aplicativos. Por padrão, o tráfego para os servidores de aplicativos também é criptografado, porém você pode escolher não criptografar o tráfego para os servidores de aplicativos e usar somente autenticação.
Observação
A autenticação sem criptografia tem suporte apenas em servidores de aplicativos que executam o Windows Server 2012 R2 , o Windows Server 2012 ou o Windows Server 2008 R2 .
Para configurar os servidores de aplicativos
No painel central do Console de Gerenciamento de Acesso Remoto, na área Etapa 4: Servidores de Aplicativos, clique em Configurar.
No Assistente de configuração do servidor de aplicativos do DirectAccess, para exigir a autenticação a servidores de aplicativos selecionados, clique em Estender autenticação a servidores de aplicativos selecionados. Clique em Adicionar para selecionar o grupo de segurança de servidores de aplicativos.
Para limitar o acesso a somente os servidores do grupo de segurança de servidores de aplicativos, marque a caixa de seleção Permitir acesso somente aos servidores incluídos nos grupos de segurança.
Para usar a autenticação sem criptografia, marque a caixa de seleção Não criptografar tráfego. usar somente criptografia.
Clique em Concluir.
2.7. Resumo de configuração e GPOs alternativos
Uma vez concluída a configuração do Acesso Remoto, a Revisão de Acesso Remoto será exibida. Aqui, você pode revisar todas as configurações previamente selecionadas, incluindo:
Configurações de GPO: o nome do GPO do servidor DirectAccess e o nome de GPO do cliente estão listados. Além disso, você pode clicar no link Alterar ao lado do cabeçalho Configurações de GPO para modificar as configurações de GPO.
Clientes Remotos: a configuração do cliente do DirectAccess é exibida, incluindo o grupo de segurança, o status de criação de túneis à força, os verificadores de conectividade e o nome da conexão do DirectAccess.
Servidor de Acesso Remoto: a configuração do DirectAccess é exibida, incluindo endereço/nome público, configuração do adaptador de rede, as informações do certificado e informações de OTP, se configurado.
Servidores de Infraestrutura: esta lista inclui a URL do servidor de local de rede, os sufixos de DNS usados pelos clientes do DirectAccess e as informações do servidor de gerenciamento.
Servidores de Aplicativo: é exibido o status de gerenciamento remoto do DirectAccess, além do status da autenticação completa de servidores de aplicativos específicos.
2.8. Como configurar o servidor de Acesso Remoto usando o Windows PowerShell
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Para executar uma instalação completa em uma topologia de borda de Acesso Remoto para o DirectAccess apenas em um domínio com a raiz corp.contoso.com e utilizando os seguintes parâmetros: GPO do servidor: configurações de servidor do DirectAccess, GPO do cliente: configurações do cliente do DirectAccess, adaptador de rede interna: Corpnet, adaptador de rede externa: Internet, endereço ConnectTto: edge1.contoso.com e servidor local de rede: nls.corp.contoso.com:
Install-RemoteAccess -Force -PassThru -ServerGpoName 'corp.contoso.com\DirectAccess Server Settings' -ClientGpoName 'corp.contoso.com\DirectAccess Client Settings' -DAInstallType 'FullInstall' -InternetInterface 'Internet' -InternalInterface 'Corpnet' -ConnectToAddress 'edge1.contoso.com' -NlsUrl 'https://nls.corp.contoso.com/'
Para configurar o servidor de Acesso Remoto para usar autenticação de certificado de computador, com um certificado raiz IPsec emitido pela autoridade de certificação chamada CORP-APP1-CA:
$certs = Get-ChildItem Cert:\LocalMachine\Root
$IPsecRootCert = $certs | Where-Object {$_.Subject -Match "corp-APP1-CA"}
Set-DAServer -IPsecRootCertificate $IPsecRootCert
Para adicionar o grupo de segurança que contém os clientes do DirectAccess chamados DirectAccessClients e para remover o grupo de segurança Computadores do Domínio:
Add-DAClient -SecurityGroupNameList @('corp.contoso.com\DirectAccessClients')
Remove-DAClient -SecurityGroupNameList @('corp.contoso.com\Domain Computers')
Para habilitar o Acesso Remoto para todos os computadores (não somente notebooks e laptops) e também para clientes Windows 7:
Set-DAClient -OnlyRemoteComputers 'Disabled' -Downlevel 'Enabled'
Para configurar a experiência do cliente do DirectAccess, incluindo o nome de conexão amigável e a URL da sonda da web:
Set-DAClientExperienceConfiguration -FriendlyName 'Contoso DirectAccess Connection' -PreferLocalNamesAllowed $False -PolicyStore 'corp.contoso.com\DirectAccess Client Settings' -CorporateResources @('HTTP:https://directaccess-WebProbeHost.corp.contoso.com')