Configurar o DirectAccess no Windows Server Essentials
Aplica-se a: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials
Este tópico fornece instruções passo a passo para configurar o DirectAccess no Windows Server Essentials para habilitar sua força de trabalho móvel para se conectar diretamente com a rede de sua organização de qualquer local remoto equipado com Internet sem estabelecer uma conexão de rede privada virtual (VPN). O DirectAccess pode oferecer aos trabalhadores móveis a mesma experiência de conectividade dentro e fora do escritório, com seus computadores Windows 8.1, Windows 8 e Windows 7.
No Windows Server Essentials, se o domínio contiver mais de um servidor do Windows Server Essentials, o DirectAccess deverá ser configurado no controlador de domínio.
Observação
Este tópico fornece instruções para configurar o DirectAccess quando seu servidor Windows Server Essentials for o controlador de domínio. Se o servidor Windows Server Essentials for um membro do domínio, siga as instruções para, em vez de configurar o DirectAccess nesse servidor, configurá-lo em um membro do domínio em Adicionar o DirectAccess a uma implantação de acesso remoto (VPN) existente.
Visão geral do processo
Para configurar o DirectAccess no Windows Server Essentials, execute as etapas a seguir.
Importante
Antes de usar os procedimentos neste guia para configurar o DirectAccess no Windows Server Essentials, você deve habilitar o VPN no servidor. Para obter instruções, consulte Gerenciar VPN.
Etapa 1: Adicionar Ferramentas de Gerenciamento de Acesso Remoto ao servidor
Etapa 2: Alterar o endereço do adaptador de rede do servidor para um endereço IP estático
Etapa 3: Preparar um certificado e um registro de DNS para o servidor de local de rede
Etapa 4: Criar um grupo de segurança para os computadores cliente DirectAccess
Etapa 7: Configurar regras de firewall TCP e UDP para os GPOs do servidor do DirectAccess
Etapa 8: Alterar a configuração de DNS64 para escutar a interface IP-HTTPS
Observação
Apêndice: Configurar o DirectAccess usando o Windows PowerShell fornece um script do Windows PowerShell que você pode usar para executar o programa de instalação do DirectAccess.
Etapa 1: Adicionar Ferramentas de Gerenciamento de Acesso Remoto ao servidor
Para adicionar as Ferramentas de Gerenciamento de Acesso Remoto ®
No servidor, no canto inferior esquerdo da tela Inicial, clique no ícone do Gerenciador do Servidor.
No Windows Server Essentials, será necessário procurar o Gerenciador do Servidor para abri-lo. Na página Inicial, digite Server Manager e clique em Gerenciador do Servidor nos resultados da pesquisa. Para fixar o Gerenciador do Servidor para a página Inicial, clique com o botão direito do mouse em Gerenciador do Servidor nos resultados da pesquisa e clique em Fixar na tela inicial.
Caso a mensagem de aviso de Controle de Conta do Usuário seja exibida, clique em Sim.
No painel do Gerenciador do Servidor, clique em Gerenciar e depois em Adicionar Funções e Recursos.
No Assistente de Adição de Funções e Recursos, faça o seguinte:
Na página Tipo de Instalação, clique em Instalação baseada em função ou recurso.
Na página Seleção de Servidores (ou na página Selecionar servidor de destino no Windows Server Essentials), clique emSelecionar um servidor no pool de servidores.
Na página Recursos, expanda Ferramentas de Administração de Servidor Remoto (instalado), expanda Ferramentas de gerenciamento de acesso remoto (instalado), expanda Ferramentas de administração de função (instalado), expanda Ferramentas de gerenciamento de acesso remoto e, em seguida, selecione GUI de acesso remoto e ferramentas de linha de comando.
Siga as instruções para concluir o assistente.
Etapa 2: Alterar o endereço do adaptador de rede do servidor para um endereço IP estático
O DirectAccess requer um adaptador com endereço IP estático. Você deve alterar o endereço IP do adaptador de rede local no servidor.
Para adicionar um endereço IP estático
Na página Inicial, abra Painel de controle.
Clique em Rede e Internet e em Exibir o status e as tarefas da rede.
No painel de tarefas da Central de Rede e Compartilhamento, clique em Alterar as configurações do adaptador.
Clique com o botão direito no adaptador de rede local e clique em Propriedades.
Na guia Rede, clique em Protocolo IP Versão 4 (TCP/IPv4) e em Propriedades.
Na guia Geral, clique em Usar o seguinte endereço IP e digite o endereço IP que deseja usar.
Um valor padrão para a máscara de sub-rede aparece automaticamente na caixa Máscara de sub-rede. Aceite o valor padrão ou digite o valor da máscara de sub-rede que deseja usar.
Na caixa Gateway padrão, digite o endereço IP do seu gateway padrão.
Na caixa Servidor DNS preferencial, digite o endereço IP do seu servidor DNS.
Observação
Use o endereço IP atribuído ao seu adaptador por DHCP (por exemplo, 192.168.X.X) em vez de uma rede de loopback (por exemplo, 127.0.0.1). Para descobrir o endereço IP atribuído, execute ipconfig no prompt de comando.
Na caixa Servidor DNS alternativo, digite o endereço IP do seu servidor DNS alternativo, se houver.
Clique em OKe então clique em Fechar.
Importante
Certifique-se de configurar o roteador de modo a encaminhar as portas 80 e 443 para o novo endereço IP estático do servidor.
Etapa 3: Preparar um certificado e um registro de DNS para o servidor de local de rede
Para preparar um certificado e um registro de DNS para o servidor de local de rede, execute as tarefas a seguir:
Etapa 3a: Conceder permissões completas para Usuários Autenticados para o modelo de certificado do servidor Web
Sua primeira tarefa é conceder permissões completas de autenticação de usuários para o modelo de certificado do servidor Web na autoridade de certificação.
Para conceder permissões completas para Usuários Autenticados para o modelo de certificado do servidor Web
Na página Iniciar, abra Autoridade de Certificação.
Na árvore de console, em Autoridade de Certificação (Local), expanda <servername>-CA, clique com o botão direito do mouse em Modelos de Certificado e clique em Gerenciar.
Em Autoridade de certificação (Local), clique com botão direito do mouse em Servidor Web e clique em Propriedades.
Nas propriedades do servidor Web, na guia Segurança , clique em Usuários autenticados, selecione Controle Total e clique em OK.
Reinicie Serviços de certificados do Active Directory. No painel de controle, abra Exibir serviços locais. Na lista de serviços, clique com botão direito do mouse em Serviços de certificados do Active Directory e, em seguida, clique em Reiniciar.
Etapa 3b: Inscrever um certificado para o servidor de local de rede com um nome comum, que não pode ser resolvido a partir da rede externa.
A seguir, inscrever um certificado para o servidor de local de rede com um nome comum, que não pode ser resolvido a partir da rede externa.
Para inscrever um certificado para o servidor de local de rede
Na página Iniciar, abra mmc (Console de Gerenciamento Microsoft).
Caso a mensagem de aviso de Controle de Conta do Usuário seja exibida, clique em Sim.
O Console de Gerenciamento Microsoft (MMC) é aberto.
No menu Arquivo, clique em Adicionar/Remover Snap-ins.
Na caixa Adicionar ou remover snap-ins, clique em Certificados e clique em Adicionar.
Na página Snap-in de certificados, clique em Conta de computador e em Avançar.
Na página Selecionar Computador, clique em Computador local, em Concluir e em OK.
Na árvore de console, expanda Certificados (Computador Local), expanda Pessoal, clique com botão direito do mouse em Certificados e, em seguida, em Todas as tarefas, clique em Solicitar novo certificado.
Quando o Assistente de registro de certificado for exibido, clique em Avançar.
Na página Selecionar política de registro de certificado, clique em Avançar.
Na página Solicitar certificados, marque a caixa de seleção Servidor Web e clique em Mais informações são necessárias para inscrever esse certificado.
Na caixa Propriedades do certificado, digite as seguintes configurações para Nome de assunto:
Para o Tipo, selecione Nome comum.
Em Valor, digite o nome do servidor de local de rede (por exemplo, DirectAccess-NLS.contoso.local) e clique em Adicionar.
Clique em OK e, em seguida, clique em Registrar.
Quando terminar de registrar o certificado, clique em Concluir.
Etapa 3c: Adicionar um novo host ao servidor DNS e mapeá-o para o endereço do servidor Windows Server Essentials.
Para concluir a configuração do DNS, adicione um novo host ao servidor DNS e mapeie-o para o endereço do servidor Windows Server Essentials.
Para mapear um novo host para o endereço do servidor do Windows Server Essentials
Na página Inicial, abra o Gerenciador de DNS. Para abrir o Gerenciador de DNS, pesquise dnsmgmt.msce clique em dnsmgmt.msc nos resultados.
Na árvore de console do Gerenciador de DNS, expanda o servidor local, expanda Zonas de Pesquisa Direta, clique com botão direito do mouse na zona com o sufixo do domínio do servidor e, em seguida, clique em Novo Host (A ou AAAA).
Digite o nome e o endereço IP do servidor (por exemplo, DirectAccess-NLS.contoso.local) e o endereço do servidor correspondente (por exemplo, 192.168.x.x).
Clique em Adicionar Host, clique em OK e, em seguida, clique em Concluído.
Etapa 4: Criar um grupo de segurança para os computadores cliente DirectAccess
Em seguida, criar um grupo de segurança a ser usado para os computadores cliente DirectAccess e, em seguida, adicionar as contas de computador ao grupo.
Para adicionar um grupo de segurança para computadores cliente que usam o DirectAccess
No painel do Gerenciador do Servidor, clique em Ferramentas e clique em Computadores e Usuários do Active Directory.
Observação
Se você não vir Computadores e Usuários do Active Directory no menu Ferramentas, você precisa instalar o recurso. Para instalar os Grupos e Usuários do Active Directory, execute o seguinte cmdlet do Windows PowerShell como um administrador:
Install-WindowsFeature RSAT-ADDS-Tools. Para obter mais informações, consulte Instalando ou removendo o Pacote de Ferramentas de Administração de Servidor Remoto.Na árvore de console, expanda o servidor, clique com o botão direito do mouse em Usuários, clique em Novo e, em seguida, clique em Grupo.
Digite um nome de grupo, escopo de grupo e o tipo de grupo (criar um grupo de segurança) e, em seguida, clique em OK.
O novo grupo de segurança é adicionado para a pasta Usuários.
Para adicionar contas de computador ao grupo de segurança
No painel do Gerenciador do Servidor, clique em Ferramentas e clique em Computadores e Usuários do Active Directory.
Na árvore de console, expanda o servidor e, em seguida, clique em Usuários.
Na lista de contas de usuário e grupos de segurança no servidor, clique com o botão direito do mouse no grupo de segurança que você criou para o DirectAccess e, em seguida, clique em Propriedades.
Na guia Membros, clique em Adicionar.
Na caixa de diálogo, digite os nomes das contas de computador que você deseja adicionar ao grupo, separando os nomes com um ponto e vírgula (;). Em seguida, clique em Verificar nomes.
Depois que as contas de computador forem validadas, clique em OK. Em seguida, clique em OK.
Observação
Você também pode usar a guia Membro de nas propriedades de conta de computador para adicionar a conta ao grupo de segurança.
Etapa 5: Habilitar e configurar o DirectAccess
Para habilitar e configurar o DirectAccess no Windows Server Essentials, você deve executar as seguintes etapas:
Etapa 5a: Habilitar o DirectAccess usando o console de Gerenciamento de Acesso Remoto
Etapa 5b: Remover o IPv6Prefix inválido em GPO RRAS (somente Windows Server Essentials)
Etapa 5a: Habilitar o DirectAccess usando o console de Gerenciamento de Acesso Remoto
Esta seção fornece instruções passo a passo para habilitar o DirectAccess no Windows Server Essentials. Se você ainda não tiver configurado o VPN no servidor, você deverá fazer isso antes de iniciar este procedimento. Para obter instruções, consulte Gerenciar VPN.
Para habilitar o DirectAccess usando o console de Gerenciamento de Acesso Remoto
Na página Inicial, abra Gerenciamento de acesso remoto.
No assistente para habilitar o DirectAccess, faça o seguinte:
Revise os Pré-requisitos do DirectAccess e clique em Avançar.
Na guia Selecionar Grupos, adicione o grupo de segurança que você criou anteriormente para clientes do DirectAccess. (Se você não tiver criado um grupo de segurança, consulte Etapa 4: Criar um grupo de segurança para computadores cliente do DirectAccess para obter instruções.)
Na guia Selecionar Grupos, clique em Habilitar o DirectAccess apenas para computadores móveis caso deseje permitir que computadores móveis usem o DirectAccess para acessar o servidor remotamente e clique em Avançar.
Em Topologia de Rede, selecione a topologia do servidor e clique em Avançar.
Em Lista de Pesquisa de Sufixos DNS, adicione outro sufixo DNS para computadores clientes, se necessário, e clique em Avançar.
Observação
Por padrão, o assistente Habilitar DirectAccess adiciona automaticamente o sufixo DNS para o domínio atual. Porém, você pode adicionar mais se necessário.
Examine os GPOs (objetos de política de grupo) que serão aplicados e modifique-os se necessário.
Clique em Avançare em Concluir.
Reinicie o serviço de Gerenciamento de acesso remoto executando o seguinte comando do Windows PowerShell no modo elevado:
Restart-Service RaMgmtSvc
Etapa 5b: Remover o IPv6Prefix inválido em GPO RRAS (somente Windows Server Essentials)
Esta seção aplica-se a um servidor com o Windows Server Essentials.
Abra o Windows PowerShell como administrador e execute os seguintes comandos:
gpupdate
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate
Etapa 5c: Habilitar os computadores cliente que executam o Windows 7 Enterprise para que usem o DirectAccess
Se você tiver computadores cliente executando o Windows 7 Enterprise, conclua o seguinte procedimento para habilitar o DirectAccess nesses computadores.
Para permitir que computadores Windows 7 Enterprise usem o DirectAccess
Na página Inicial do servidor, abra Gerenciamento de acesso remoto.
No Console de gerenciamento de acesso remoto, clique em Configuração. Em seguida, no painel Detalhes da configuração, na Etapa 2, clique em Editar.
O Assistente de instalação de servidor de acesso remoto é aberto.
Na guia Autenticação, escolha o certificado de autoridade de autenticação (AC) que será o certificado raiz confiável (você pode escolher o certificado AC do servidor Windows Server Essentials). Clique em Habilitar que os computadores cliente do Windows 7 se conectem via DirectAccess e clique em Avançar.
Siga as instruções para concluir o assistente.
Importante
Há um problema conhecido para computadores Windows 7 Enterprise que se conectam por meio do DirectAccess, quando o servidor Windows Server Essentials não tem um UR1 pré-instalado. Para habilitar conexões do DirectAccess nesse ambiente, você deve executar estas etapas adicionais:
Instale o hotfix descrito no artigo 2796394 da Base de Dados de Conhecimento Microsoft (KB) no servidor Windows Server Essentials. Em seguida, reinicie o servidor. 2. Depois, instale o hotfix descrito no artigo 2615847 da Base de Dados de Conhecimento Microsoft (KB) em cada computador Windows 7.
Esse problema foi resolvido no Windows Server Essentials.
Etapa 5d: Configurar o servidor de local de rede
Esta seção fornece instruções passo a passo para definir as configurações do servidor de local de rede.
Observação
Antes de começar, copie o conteúdo da pasta <SystemDrive>\inetpub\wwwroot para a pasta <SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site\insideoutside. Copie também o arquivo default.aspx da pasta <SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site para a pasta <SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site\insideoutside.
Para configurar o servidor de local de rede
Na página Inicial, abra Gerenciamento de acesso remoto.
No console Gerenciamento de Acesso Remoto, clique em Configuração e, no painel de detalhes Configuração de Acesso Remoto, na Etapa 3, clique em Editar.
No Assistente para Configuração do Servidor de Acesso Remoto, na guia Servidor de Local de Rede , selecione O servidor do local de rede é implantado no servidor de Acesso Remotoe, em seguida, selecione o certificado emitido anteriormente (na Step 3: Prepare a certificate and DNS record for the network location server).
Siga as instruções para concluir o assistente e clique em Concluir.
Etapa 5e: Adicione uma chave do Registro para ignorar a certificação de autoridade de certificação ao estabelecer um canal IPsec
A próxima etapa é configurar o servidor para ignorar a certificação de autoridade de certificação quando um canal IPsec é estabelecido.
Para adicionar uma chave do Registro para ignorar a autoridade de certificação
Na página Inicial, abra regedit (o Editor do Registro).
No Editor do Registro, expanda HKEY_LOCAL_MACHINE, expanda Sistema, expanda CurrentControlSet, expanda Serviços e expanda IKEEXT.
Em IKEEXT, clique com botão direito do mouse em Parâmetros, clique em Novo e, em seguida, clique em Valor DWORD (32 bits).
Renomeie o valor recém-adicionado como ikeflags.
Clique duas vezes em ikeflags, configure o Tipo como Hexadecimal, configure o valor como 8000 e clique em OK.
Observação
Você pode usar o seguinte comando do Windows PowerShell no modo elevado para adicionar essa chave do Registro:
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000
Etapa 6: Configurar as definições da Tabela de Políticas de Resolução de Nomes para o servidor DirectAccess
Esta seção fornece instruções para edição de entradas da Tabela de Políticas de Resolução de Nomes (NPRT) para endereços internos (por exemplo, aqueles com um sufixo contoso.local) para GPOs de cliente do DirectAccess e definição do endereço da interface IPHTTPS.
Para configurar as entradas da Tabela de Políticas de Resolução de Nomes
Na página Inicial, abra Gerenciamento de Política de Grupo.
No console Gerenciamento de Política de Grupo, clique na floresta e domínio padrão, clique com o botão direito em Configurações do Cliente do DirectAccess e clique em Editar.
Clique em Configurações do Computador, em Políticas, em Configurações do Windows e, em seguida, clique em Política de Resolução de Nome. Selecione a entrada cujo namespace é idêntico ao sufixo DNS e clique em Editar Regra.
Clique na guia Configurações de DNS para DirectAccess e selecione Habilitar configurações de DNS para DirectAccess nesta regra. Adicione o endereço IPv6 para a interface IP-HTTPS na lista de servidores DNS.
Observação
Você pode usar o seguinte comando do Windows PowerShell para obter o endereço IPv6:
(Get-NetIPInterface -InterfaceAlias IPHTTPSInterface | Get-NetIPAddress -PrefixLength 128)[1].IPAddress
Etapa 7: Configurar regras de firewall TCP e UDP para os GPOs do servidor do DirectAccess
Esta seção inclui instruções passo a passo para configurar regras de firewall TCP e UDP para os GPOs do servidor do DirectAccess
Para configurar regras de firewall
Na página Inicial, abra Gerenciamento de Política de Grupo.
No console Gerenciamento de Política de Grupo, clique na floresta e domínio padrão, clique com o botão direito em Configurações do Servidor do DirectAccess e clique em Editar.
Clique em Configuração do computador, em Políticas, em Configurações do Windows, em Configurações de segurança, em Firewall do Windows com segurança avançada, clique próximo nível Firewall do Windows com segurança avançada e, em seguida, clique em Regras de entrada. Clique com o botão direito do mouse em Servidor de Nomes de Domínio (TCP-Entrada) e clique em Propriedades.
Clique na guia Escopo e, na lista Endereço IP Local, adicione o endereço IPv6 da interface IP-HTTPS.
Repita o mesmo procedimento para Servidor de Nomes de Domínio (UDP-Entrada).
Etapa 8: Alterar a configuração de DNS64 para escutar a interface IP-HTTPS
Você deve alterar a configuração DNS64 para escutar a interface IP-HTTPS usando o comando de Windows PowerShell a seguir.
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface
Etapa 9: Reservar portas para o serviço WinNat
Usar o seguinte comando do Windows PowerShell para reservar portas para o serviço WinNat. Substitua “192.168.1.100” pelo endereço IPv4 real do servidor Windows Server Essentials.
Set-NetNatTransitionConfiguration -IPv4AddressPortPool @("192.168.1.100, 10000-47000")
Importante
Para evitar conflitos de porta com aplicativos, certifique-se de que o intervalo de portas reservado para o serviço WinNat não inclui a porta 6602.
Etapa 10: Reiniciar o serviço WinNat
Reinicie o serviço Driver NAT do Windows (WinNat) executando o seguinte comando do Windows PowerShell.
Restart-Service winnat
Apêndice: Configurar o DirectAccess usando o Windows PowerShell
Esta seção descreve como instalar e configurar o DirectAccess usando o Windows PowerShell.
Preparação
Antes de começar a configuração do servidor para o DirectAccess, você deve:
Siga o procedimento em Etapa 3: Preparar um certificado e um registro de DNS para o servidor de local de rede para inscrever um certificado chamado DirectAccess-NLS.contoso.com (em que contoso.com é substituído pelo nome real do domínio interno) e adicionar um registro DNS para o NLS (servidor de local de rede).
Adicionar um grupo de segurança chamado DirectAccessClients ao Active Directory e adicionar os computadores clientes para os quais deseja fornecer a funcionalidade do DirectAccess. Para obter mais informações, consulte Etapa 4: Adicionar um grupo de segurança para computadores cliente do DirectAccess.
Comandos
Importante
No Windows Server Essentials, não é necessário remover o GPO de prefixo IPv6 desnecessário. Exclua a seção de código com o seguinte rótulo: # [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO.
# Add Remote Access role if not installed yet
$ra = Get-WindowsFeature RemoteAccess
If ($ra.Installed -eq $FALSE) { Add-WindowsFeature RemoteAccess }
# Server may need to restart if you installed RemoteAccess role in the above step
# Set the internet domain name to access server, replace contoso.com below with your own domain name
$InternetDomain = "www.contoso.com"
#Set the SG name which you create for DA clients
$DaSecurityGroup = "DirectAccessClients"
#Set the internal domain name
$InternalDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().Name
# Set static IP and DNS settings
$NetConfig = Get-WmiObject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=$true"
$CurrentIP = $NetConfig.IPAddress[0]
$SubnetMask = $NetConfig.IPSubnet | Where-Object{$_ -like "*.*.*.*"}
$NetConfig.EnableStatic($CurrentIP, $SubnetMask)
$NetConfig.SetGateways($NetConfig.DefaultIPGateway)
$NetConfig.SetDNSServerSearchOrder($CurrentIP)
# Get physical adapter name and the certificate for NLS server
$Adapter = (Get-WmiObject -Class Win32_NetworkAdapter -Filter "NetEnabled=$true").NetConnectionId
$Certs = dir cert:\LocalMachine\My
$nlscert = $certs | Where-Object{$_.Subject -like "*CN=DirectAccess-NLS*"}
# Add regkey to bypass CA cert for IPsec authentication
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000
# Install DirectAccess.
Install-RemoteAccess -NoPrerequisite -DAInstallType FullInstall -InternetInterface $Adapter -InternalInterface $Adapter -ConnectToAddress $InternetDomain -nlscertificate $nlscert -force
#Restart Remote Access Management service
Restart-Service RaMgmtSvc
# [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO
gpupdate
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix
gpupdate
# Enable client computers running Windows 7 to use DirectAccess
$allcertsinroot = dir cert:\LocalMachine\root
$rootcert = $allcertsinroot | Where-Object{$_.Subject -like "*-CAA*"}
Set-DAServer -IPSecRootCertificate $rootcert[0]
Set -DAClient -OnlyRemoteComputers Disabled -Downlevel Enabled
#Set the appropriate security group used for DA client computers. Replace the group name below with the one you created for DA clients
Add-DAClient -SecurityGroupNameList $DaSecurityGroup
Remove-DAClient -SecurityGroupNameList "Domain Computers"
# Gather DNS64 IP address information
$Remoteaccess = get-remoteaccess
$IPinterface = get-netipinterface -InterfaceAlias IPHTTPSInterface | get-netipaddress -PrefixLength 128
$DNS64IP=$IPInterface[1].IPaddress
$Natconfig = Get-NetNatTransitionConfiguration
# Configure TCP and UDP firewall rules for the DirectAccess server GPO
$GpoName = 'GPO:'+$InternalDomain+'\DirectAccess Server Settings'
Get-NetFirewallRule -PolicyStore $GpoName -Displayname "Domain Name Server (TCP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP
Get-NetFirewallrule -PolicyStore $GpoName -Displayname "Domain Name Server (UDP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP
# Configure the name resolution policy settings for the DirectAccess server, replace the DNS suffix below with the one in your domain
$Suffix = '.' + $InternalDomain
set-daclientdnsconfiguration -DNSsuffix $Suffix -DNSIPAddress $DNS64IP
# Change the DNS64 configuration to listen to IP-HTTPS interface
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface
# Copy the necessary files to NLS site folder
XCOPY 'C:\inetpub\wwwroot' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /E /Y
XCOPY 'C:\Program Files\Windows Server\Bin\WebApps\Site\Default.aspx' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /Y
# Reserve ports for the WinNat service
Set-NetNatTransitionConfiguration -IPv4AddressPortPool @("192.168.1.100, 10000-47000")
# Restart the WinNat service
Restart-Service winnat