Etapa 1: Configurar a infraestrutura avançada do DirectAccess
Este tópico descreve como configurar a infraestrutura necessária para uma implantação avançada de Acesso Remoto que usa um único servidor DirectAccess em um ambiente misto de IPv4 e IPv6. Antes de iniciar as etapas de implantação, verifique se concluiu as etapas de planeamento descritas em Planeamento de uma Implementação Avançada do DirectAccess.
| Tarefa | Descrição |
|---|---|
| 1.1 Definir configurações de rede do servidor | Configure as configurações de rede do servidor no servidor DirectAccess. |
| 1.2 Configurar o túnel de força | Configure o túnel de força. |
| 1.3 Configurar o roteamento na rede corporativa | Configure o roteamento na rede corporativa. |
| 1.4 Configurar firewall de segurança | Configure firewalls adicionais, caso seja necessário. |
| 1.5 Configurar CAs e certificados | Configure uma autoridade de certificação (CA), se necessário, e quaisquer outros modelos de certificado necessários na implantação. |
| 1.6 Configurar o servidor DNS | Configure as configurações de DNS (Sistema de Nomes de Domínio) para o servidor DirectAccess. |
| 1.7 Configurar o Active Directory | Junte computadores cliente e o servidor DirectAccess ao domínio do Ative Directory. |
| 1.8 Configurar GPOs | Configurar GPOs para implantação, se necessário. |
| 1.9 Configurar grupos de segurança | Configure grupos de segurança que conterão computadores cliente DirectAccess e quaisquer outros grupos de segurança necessários na implantação. |
| 1.10 Configurar o servidor de localização de rede | Configure o servidor de local de rede, incluindo a instalação do certificado de site do servidor de local de rede. |
Observação
Este tópico inclui exemplos de cmdlets do Windows PowerShell que você pode usar para automatizar alguns dos procedimentos descritos. Para obter mais informações, consulte Usando Cmdlets.
1.1 Definir configurações de rede do servidor
As seguintes configurações de interface de rede são necessárias para uma implantação de servidor único em um ambiente que esteja usando IPv4 e IPv6. Todos os endereços IP são configurados usando Alterar configurações do adaptador no Centro de Rede e Compartilhamento do Windows.
Topologia de periferia
Dois endereços IPv4 ou IPv6 públicos estáticos consecutivos voltados para a Internet
Observação
Dois endereços públicos são necessários para Teredo. Se você não estiver usando Teredo, poderá configurar um único endereço IPv4 estático público.
Um único endereço IPv4 ou IPv6 estático interno
Atrás do dispositivo NAT (com dois adaptadores de rede)
Um único endereço IPv4 ou IPv6 estático voltado para a Internet
Um único endereço IPv4 ou IPv6 estático voltado para a rede interna
Atrás do dispositivo NAT (com um adaptador de rede)
- Um único endereço IPv4 ou IPv6 estático voltado para a rede interna
Observação
Se um servidor DirectAccess com dois ou mais adaptadores de rede (um classificado no perfil de domínio e outro em um perfil público ou privado) estiver configurado com uma única topologia de adaptador de rede, recomendamos o seguinte:
Certifique-se de que o segundo adaptador de rede e quaisquer adaptadores de rede adicionais estão classificados no perfil de domínio.
Se o segundo adaptador de rede não puder ser configurado para o perfil de domínio, a diretiva IPsec do DirectAccess deverá ter escopo manual para todos os perfis usando o seguinte comando do Windows PowerShell após a configuração do DirectAccess:
$gposession = Open-NetGPO "PolicyStore <Name of the server GPO> Set-NetIPsecRule "DisplayName <Name of the IPsec policy> "GPOSession $gposession "Profile Any Save-NetGPO "GPOSession $gposession
1.2 Configurar o túnel de força
O túnel de força pode ser configurado através do Assistente de Configuração de Acesso Remoto. Ele é apresentado como uma caixa de seleção no Assistente para Configurar Clientes Remotos. Essa configuração afeta apenas os clientes DirectAccess. Se a VPN estiver habilitada, os clientes VPN usarão por padrão o túnel de força. Os administradores podem alterar a configuração para clientes VPN a partir do perfil do cliente.
A seleção da caixa de verificação para forçar o tunelamento faz o seguinte:
Ativa o túnel forçado nos clientes DirectAccess
Adiciona uma entrada Any na Tabela de Políticas de Resolução de Nomes (NRPT) para clientes DirectAccess, o que significa que todo o tráfego DNS irá para os servidores DNS da rede interna
Configura os clientes DirectAccess para sempre usarem a tecnologia de transição IP-HTTPS
Para disponibilizar recursos da Internet para clientes DirectAccess que usam túnel de força, você pode usar um servidor proxy, que pode receber solicitações baseadas em IPv6 para recursos da Internet e convertê-las em solicitações de recursos da Internet baseados em IPv4. Para configurar um servidor proxy para recursos da Internet, você precisa modificar a entrada padrão no NRPT para adicionar o servidor proxy. Você pode fazer isso usando os cmdlets do PowerShell de Acesso Remoto ou os cmdlets do DNS PowerShell. Por exemplo, use o cmdlet PowerShell de Acesso Remoto da seguinte maneira:
Set-DAClientDNSConfiguration "DNSSuffix "." "ProxyServer <Name of the proxy server:port>
Observação
Se o DirectAccess e a VPN estiverem habilitados no mesmo servidor e a VPN estiver no modo de túnel de força e o servidor for implantado em uma topologia de borda ou em uma topologia NAT por trás (com dois adaptadores de rede, um conectado ao domínio e outro a uma rede privada), o tráfego da Internet VPN não poderá ser encaminhado pela interface externa do servidor DirectAccess. Para habilitar esse cenário, as organizações devem implantar o Acesso Remoto no servidor atrás de um firewall em topologia de adaptador de rede único. Como alternativa, as organizações podem usar um servidor proxy separado na rede interna para encaminhar o tráfego da Internet de clientes VPN.
Observação
Se uma organização estiver usando um proxy da Web para clientes DirectAccess acessarem recursos da Internet e o proxy corporativo não for capaz de lidar com recursos de rede interna, os clientes DirectAccess não poderão acessar recursos internos se estiverem fora da intranet. Nesse cenário, para permitir que os clientes DirectAccess acessem recursos internos, crie manualmente entradas NRPT para os sufixos de rede interna usando a página DNS do assistente de infraestrutura. Não aplique configurações de proxy nesses sufixos NRPT. Os sufixos devem ser preenchidos com entradas de servidor DNS padrão.
1.3 Configurar o roteamento na rede corporativa
Configure o roteamento na rede corporativa da seguinte maneira:
Quando o IPv6 nativo é implantado na organização, adicione uma rota para que os roteadores na rede interna roteiem o tráfego IPv6 de volta através do servidor DirectAccess.
Configure manualmente as rotas IPv4 e IPv6 da organização nos servidores DirectAccess. Adicione uma rota publicada para que todo o tráfego com um prefixo IPv6 da organização (/48) seja encaminhado para a rede interna. Para tráfego IPv4, adicione rotas explícitas para que o tráfego IPv4 seja encaminhado para a rede interna.
1.4 Configurar firewalls
Ao usar firewalls adicionais em sua implantação, aplique as seguintes exceções de firewall voltadas para a Internet para o tráfego de Acesso Remoto quando o servidor DirectAccess estiver na Internet IPv4:
Tráfego Teredo utiliza o User Datagram Protocol (UDP) porta de destino 3544 para entrada e porta de origem 3544 para saída.
Tráfego 6to4"Protocolo IP 41 entrada e saída.
IP-HTTPS"Porta de destino TCP (Transmission Control Protocol) 443 e porta de origem TCP 443 de saída. Quando o servidor DirectAccess tem um único adaptador de rede e o servidor de local de rede está no servidor DirectAccess, a porta TCP 62000 também é necessária.
Observação
Essa isenção deve ser configurada no servidor DirectAccess, enquanto todas as outras isenções devem ser configuradas no firewall de borda.
Observação
Para o tráfego Teredo e 6to4, essas exceções devem ser aplicadas para ambos os endereços IPv4 públicos consecutivos voltados para a Internet no servidor DirectAccess. Para IP-HTTPS, as exceções só precisam ser aplicadas ao endereço onde se resolve o nome público do servidor.
Ao usar firewalls adicionais, aplique as seguintes exceções de firewall voltadas para a Internet para o tráfego de Acesso Remoto quando o servidor DirectAccess estiver na Internet IPv6:
Protocolo IP 50
Porta de destino UDP 500 de entrada e porta de origem UDP 500 de saída.
Protocolo de Mensagens de Controlo da Internet para IPv6 (ICMPv6) para tráfego de entrada e saída apenas em implementações Teredo.
Ao usar firewalls adicionais, aplique as seguintes exceções de firewall de rede interna para o tráfego de Acesso Remoto:
ISATAP"Protocolo 41 de entrada e saída
TCP/UDP para todo o tráfego IPv4/IPv6
ICMP para todo o tráfego IPv4/IPv6
1.5 Configurar CAs e certificados
O Acesso Remoto no Windows Server 2012 permite que você escolha entre usar certificados para autenticação de computador ou usar um proxy Kerberos interno que autentica usando nomes de usuário e senhas. Você também deve configurar um certificado IP-HTTPS no servidor DirectAccess.
Para obter mais informações, consulte Serviços de Certificados do Ative Directory.
1.5.1 Configurar autenticação IPsec
Um certificado de computador é necessário no servidor DirectAccess e em todos os clientes DirectAccess para usar a autenticação IPsec. O certificado deve ser emitido por uma autoridade de certificação (CA) interna, e os servidores DirectAccess e clientes DirectAccess devem confiar na cadeia de CA que emite certificados raiz e intermediários.
Para configurar a autenticação IPsec
Na autoridade de certificação interna, decida se usará o modelo de certificado de computador ou se criará um novo modelo de certificado conforme descrito em Criando modelos de certificado.
Observação
Se você criar um novo modelo, ele deverá ser configurado para Autenticação de Cliente.
Implante o modelo de certificado, se necessário. Para obter mais informações, consulte Implantando modelos de certificado.
Configure o modelo de certificado para registro automático, se necessário. Para obter mais informações, consulte Configurar o registo automático de certificados.
1.5.2 Configurar modelos de certificado
Ao usar uma autoridade de certificação interna para emitir certificados, você deve configurar um modelo de certificado para o certificado IP-HTTPS e o certificado do site do servidor de local de rede.
Para configurar um modelo de certificado
Na autoridade de certificação interna, crie um modelo de certificado conforme descrito em Criando modelos de certificado.
Implante o modelo de certificado conforme descrito em Implantando modelos de certificado.
1.5.3 Configurar o certificado IP-HTTPS
O Acesso Remoto requer um certificado IP-HTTPS para autenticar IP-HTTPS conexões com o servidor DirectAccess. Há três opções de certificado disponíveis para autenticação IP-HTTPS:
Certidão pública
Um certificado público é fornecido por terceiros. Se o nome da entidade do certificado não contiver caracteres curinga, ele deverá ser a URL com o nome de domínio totalmente qualificado (FQDN) resolvável externamente, usada apenas para conexões do servidor DirectAccess IP-HTTPS.
Certidão privada
Se você usar um certificado privado, o seguinte será necessário, se eles ainda não existirem:
Um certificado de site que é usado para autenticação IP-HTTPS. O assunto do certificado deve ser um FQDN resolúvel externamente que possa ser acessado pela Internet. O certificado é baseado no modelo de certificado que você criou seguindo as instruções em 1.5.2 Configurar modelos de certificado.
Um ponto de distribuição de lista de revogação de certificados (CRL) acessível a partir de um FQDN resolúvel publicamente.
Certificado auto-assinado
Se você usar um certificado autoassinado, o seguinte será necessário, se ainda não existirem:
Um certificado de site usado para a autenticação do tipo IP-HTTPS. O assunto do certificado deve ser um FQDN resolúvel externamente que possa ser acessado pela Internet.
Um ponto de distribuição de CRL que pode ser acessado a partir de um FQDN resolúvel publicamente.
Observação
Os certificados autoassinados não podem ser usados em implantações multissite.
Verifique se o certificado do site usado para autenticação IP-HTTPS atende aos seguintes requisitos:
O nome comum do certificado deve corresponder ao nome do site IP-HTTPS.
No campo Assunto , especifique o FQDN do URL IP-HTTPS.
Para o campo Uso Avançado de Chaves, use o identificador de objeto de autenticação do servidor (OID).
Para o campo Pontos de Distribuição de CRL, especifique um ponto de distribuição de CRL que seja acessível por clientes DirectAccess que estão conectados à Internet.
O certificado IP-HTTPS deve ter uma chave privada.
O certificado IP-HTTPS deve ser importado diretamente para o repositório pessoal.
Certificados IP-HTTPS podem ter caracteres curinga no nome.
Para instalar o certificado IP-HTTPS de uma autoridade de certificação interna
No servidor DirectAccess: no ecrã Iniciar , escrevammc.exee, em seguida, prima ENTER.
No console do MMC, no menu Arquivo, clique em Adicionar/Remover Snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Certificados, clique Adicionar, clique em Conta de computador, clique em Seguinte, clique em computador local, clique em Concluire, em seguida, clique em OK.
Na árvore de consolas do complemento Certificados, abra Certificados (Computador Local)\Pessoal\Certificados.
Clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas e clique em Solicitar Novo Certificado.
Clique duas vezes em Avançar .
Na página Solicitar Certificados , marque a caixa de seleção do modelo de certificado criado anteriormente (para obter mais informações, consulte 1.5.2 Configurar modelos de certificado). Se necessário, clique em Mais informações são necessárias para se inscrever para este certificado.
Na caixa de diálogo Propriedades do Certificado, no separador Assunto, na área Nome do Sujeito, em Tipo, selecione Nome Comum.
Em Valor, especifique o endereço IPv4 do adaptador externo do servidor DirectAccess ou o FQDN da URL IP-HTTPS e clique em Adicionar.
Na área Nome alternativo, em Tipo, selecione DNS.
Em Valor, especifique o endereço IPv4 do adaptador externo do servidor DirectAccess ou o FQDN da URL IP-HTTPS e clique em Adicionar.
Na guia Geral, em Nome amigável, você pode inserir um nome que o ajudará a identificar o certificado.
Na guia Extensões , clique na seta ao lado de Uso Estendido de Chave e verifique se Autenticação do Servidor aparece na lista Opções selecionadas .
Clique OK, clique em Inscrevere, em seguida, clique em Concluir.
No painel de detalhes do snap-in Certificados, verifique se o novo certificado foi emitido com Fins Destinados de Autenticação do Servidor.
1.6 Configurar o servidor DNS
Você deve configurar manualmente uma entrada DNS para o website do servidor de localização de rede na rede interna na sua implementação.
Para criar o servidor de localização de rede
No servidor DNS da rede interna: no ecrã Iniciar, escrevadnsmgmt.msce, em seguida, prima ENTER.
No painel esquerdo da consola Gestor de DNS, expanda a zona de pesquisa direta do seu domínio. Clique com o botão direito do mouse no domínio e clique em Novo Host (A ou AAAA).
Na caixa de diálogo Novo Host , na caixa Endereço IP :
Na caixa Nome (usa nome de domínio pai se estiver em branco), digite o nome DNS para o site do servidor de local de rede (esse é o nome que os clientes DirectAccess usam para se conectar ao servidor de local de rede).
Introduza o endereço IPv4 ou IPv6 do servidor de localização de rede e, em seguida, clique em Adicionar anfitrião e, em seguida, clique em OK.
Na caixa de diálogo Novo Host :
Na caixa Nome (usa o nome de domínio pai se estiver em branco), digite o nome DNS para a sonda da Web (o nome da sonda da Web padrão é directaccess-webprobehost).
Na caixa Endereço IP , digite o endereço IPv4 ou IPv6 da sonda da Web e clique em Adicionar Host.
Repita esse processo para directaccess-corpconnectivityhost e qualquer verificador de conectividade criado manualmente.
Na caixa de diálogo DNS , clique em OK e, em seguida, clique em Concluído .
comandos equivalentes do Windows PowerShell
O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Você também deve configurar entradas DNS para o seguinte:
O servidor IP-HTTPS
Os clientes DirectAccess devem ser capazes de resolver o nome DNS do servidor DirectAccess a partir da Internet.
Verificação da revogação de CRL
O DirectAccess usa a verificação de revogação de certificados para a conexão IP-HTTPS entre clientes DirectAccess e o servidor DirectAccess e para a conexão baseada em HTTPS entre o cliente DirectAccess e o servidor de local de rede. Em ambos os casos, os clientes DirectAccess devem ser capazes de resolver e acessar o local do ponto de distribuição da CRL.
ISATAP
O ISATAP (Intrasite Automatic Tunnel Addressing Protocol) usa o encapsulamento para permitir que os clientes DirectAccess se conectem ao servidor DirectAccess pela Internet IPv4, encapsulando pacotes IPv6 em um cabeçalho IPv4. Ele é usado pelo Acesso Remoto para fornecer conectividade IPv6 para hosts ISATAP através de uma intranet. Em um ambiente de rede IPv6 não nativo, o servidor DirectAccess se configura automaticamente como um roteador ISATAP. É necessário suporte de resolução para o nome ISATAP.
1.7 Configurar o Active Directory
O servidor DirectAccess e todos os computadores cliente DirectAccess devem estar associados a um domínio do Ative Directory. Os computadores cliente DirectAccess devem ser membros de um dos seguintes tipos de domínio:
Domínios que pertencem à mesma floresta que o servidor DirectAccess.
Domínios que pertencem a florestas com uma relação de confiança bidirecional com a floresta do servidor DirectAccess.
Domínios que têm uma confiança de domínio bidirecional para o domínio do servidor DirectAccess.
Para associar o servidor DirectAccess a um domínio
No Gerenciador do Servidor, clique em Servidor Local. No painel de detalhes, clique no link ao lado de Nome do computador.
Na caixa de diálogo Propriedades do Sistema, clique no separador Nome do Computador e, em seguida, clique em Alterar.
Em Nome do Computador, digita o nome do computador se também estiveres a alterar o nome do computador ao associar o servidor ao domínio. Em Membro da, clique em Domínioe, em seguida, escreva o nome do domínio ao qual pretende aderir o servidor (por exemplo, corp.contoso.com) e clique em OK.
Quando lhe for pedido um nome de utilizador e uma palavra-passe, introduza o nome de utilizador e a palavra-passe de um utilizador com direitos para associar computadores ao domínio e, em seguida, clique em OK.
Quando vir uma caixa de diálogo que lhe dá as boas-vindas ao domínio, clique em OK.
Quando lhe for pedido que tem de reiniciar o computador, clique em OK.
Na caixa de diálogo Propriedades do Sistema, clique em Fechar.
Quando lhe for pedido para reiniciar o computador, clique em Reiniciar Agora.
Para associar computadores clientes ao domínio
No ecrã Iniciar, escrevaexplorer.exee, em seguida, prima ENTER.
Clique com o botão direito do rato no ícone Computador e, em seguida, clique em Propriedades.
Na página do Sistema , clique em Configurações avançadas do sistema.
Na caixa de diálogo Propriedades do Sistema, no separador Nome do Computador, clique em Alterar.
Em Nome do computador, digite o nome do computador se também estiver a alterar o nome do computador ao adicionar o servidor ao domínio. Em Membro da, clique em Domínioe, em seguida, escreva o nome do domínio ao qual pretende aderir o servidor (por exemplo, corp.contoso.com) e clique em OK.
Quando lhe for pedido um nome de utilizador e uma palavra-passe, introduza o nome de utilizador e a palavra-passe de um utilizador com direitos para associar computadores ao domínio e, em seguida, clique em OK.
Quando vir uma caixa de diálogo que lhe dá as boas-vindas ao domínio, clique em OK.
Quando lhe for pedido que tem de reiniciar o computador, clique em OK.
Na caixa de diálogo Propriedades do Sistema, clique em Fechar.
Quando lhe for pedido para reiniciar o computador, clique em Reiniciar Agora.
comandos equivalentes do Windows PowerShell
O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.
Observação
Você deve fornecer credenciais de domínio ao inserir o seguinte comando Add-Computer .
Add-Computer -DomainName <domain_name>
Restart-Computer
1.8 Configurar GPOs
Um mínimo de dois Objetos de Diretiva de Grupo são necessários para implantar o Acesso Remoto:
Um contém configurações para o servidor DirectAccess
Um contém configurações para computadores cliente DirectAccess
Quando você configura o Acesso Remoto, o assistente cria automaticamente os Objetos de Diretiva de Grupo necessários. No entanto, se sua organização impor uma convenção de nomenclatura, você poderá digitar um nome na caixa de diálogo GPO no console de Gerenciamento de Acesso Remoto. Para mais informações, ver 2.7. Resumo da configuração e GPOs alternativos. Se você tiver criado permissões, o GPO será criado. Se você não tiver as permissões necessárias para criar GPOs, eles deverão ser criados antes de configurar o Acesso Remoto.
Para criar Objetos de Diretiva de Grupo, consulte Criar e editar um objeto de Diretiva de Grupo.
Importante
Os administradores podem vincular manualmente os Objetos de Diretiva de Grupo do DirectAccess a uma unidade organizacional (UO) seguindo estas etapas:
- Antes de configurar o DirectAccess, vincule os GPOs criados às respetivas UOs.
- Ao configurar o DirectAccess, especifique um grupo de segurança para os computadores cliente.
- O administrador de Acesso Remoto pode ou não ter permissões para vincular os Objetos de Diretiva de Grupo ao domínio. Em ambos os casos, os Objetos de Diretiva de Grupo serão configurados automaticamente. Se os GPOs já estiverem vinculados a uma UO, os links não serão removidos e os GPOs não serão vinculados ao domínio. Para um GPO de servidor, a UO deve conter o objeto de computador do servidor, ou o GPO será associado à raiz do domínio.
- Se você não vinculou à UO antes de executar o Assistente do DirectAccess, depois que a configuração for concluída, o administrador do domínio poderá vincular os Objetos de Diretiva de Grupo do DirectAccess às UOs necessárias. O link para o domínio pode ser removido. Para obter mais informações, consulte vincular um objeto de diretiva de grupo.
Observação
Se um Objeto de Diretiva de Grupo tiver sido criado manualmente, é possível que o Objeto de Diretiva de Grupo não esteja disponível durante a configuração do DirectAccess. O Objeto de Diretiva de Grupo pode não ter sido replicado para o controlador de domínio mais próximo do computador de gerenciamento. Nesse caso, o administrador pode aguardar a conclusão da replicação ou forçar a replicação.
1.8.1 Configurar GPOs de Acesso Remoto com permissões limitadas
Em uma implantação que usa GPOs de preparação e produção, o administrador de domínio deve fazer o seguinte:
Obtenha a lista de GPOs necessários para a implantação do Acesso Remoto do administrador de Acesso Remoto. Para obter mais informações, consulte 1.8 Planejar objetos de diretiva de grupo.
Para cada GPO solicitado pelo administrador de Acesso Remoto, crie um par de GPOs com nomes diferentes. O primeiro será usado como o GPO de preparação e o segundo como o GPO de produção.
Para criar Objetos de Diretiva de Grupo, consulte Criar e editar um objeto de Diretiva de Grupo.
Para vincular os GPOs de produção, consulte Vincular um objeto de diretiva de grupo.
Conceda ao administrador de Acesso Remoto Editar configurações, excluir e modificar permissões de segurança em todos os GPOs de preparação. Para obter mais informações, consulte Delegar permissões para um grupo ou usuário em um objeto de diretiva de grupo.
Negar permissões ao administrador de Acesso Remoto para vincular GPOs em todos os domínios (ou verifique se o administrador de Acesso Remoto não tem essas permissões). Para obter mais informações, consulte Delegar permissões para vincular objetos de diretiva de grupo.
Quando os administradores de Acesso Remoto configuram o Acesso Remoto, eles sempre devem especificar apenas os GPOs de preparo (não os GPOs de produção). Isso é verdadeiro na configuração inicial do Acesso Remoto e ao executar operações de configuração adicionais onde GPOs adicionais são necessários; por exemplo, ao adicionar pontos de entrada em uma implantação multissite ou habilitar computadores clientes em domínios adicionais.
Depois que o administrador de Acesso Remoto concluir quaisquer alterações na configuração de Acesso Remoto, o administrador de domínio deverá revisar as configurações nos GPOs de preparo e usar o procedimento a seguir para copiar as configurações para os GPOs de produção.
Sugestão
Execute o procedimento a seguir após cada alteração da configuração de Acesso Remoto.
Para copiar configurações para os GPOs de produção
Verifique se todos os GPOs de estágio na implementação de Acesso Remoto foram replicados para todos os controladores de domínio no domínio. Isso é necessário para garantir que a configuração de data mais up-toseja importada para os GPOs de produção. Para obter mais informações, consulte "Check Group Policy Infrastructure Status" (Verificar o estado da infraestrutura da Política de Grupo).
Exporte as configurações fazendo backup de todos os GPOs de teste na implementação do Acesso Remoto. Para obter mais informações, consulte Fazer backup de um objeto de diretiva de grupo.
Para cada GPO de produção, altere os filtros de segurança para que correspondam aos filtros de segurança do GPO de teste correspondente. Para obter mais informações, consulte Filtrar usando grupos de segurança.
Observação
Isso é necessário porque as Configurações de Importação não copiam o filtro de segurança do GPO de origem.
Para cada GPO de produção, importe as configurações do backup do GPO de preparo correspondente da seguinte maneira:
No GPMC (Console de Gerenciamento de Diretiva de Grupo), expanda o nó Objetos de Diretiva de Grupo na floresta e no domínio que contém o Objeto de Diretiva de Grupo de produção para o qual as configurações serão importadas.
Clique com o botão direito do mouse no GPO e clique em Importar Configurações.
No Assistente de Importação de Configurações, na página Bem-vindo , clique em Avançar.
Na página GPO de backup , clique em Backup.
Na Caixa de diálogo Fazer Backup de Objeto de Diretiva de Grupo, na Localização, digite o caminho para o local onde deseja armazenar os backups de GPO ou clique em Procurar para localizar a pasta.
Na caixa Descrição , digite uma descrição para o GPO de produção e clique em Backup.
Quando o backup for concluído, clique em OK e, na página GPO de backup, clique em Avançar.
Na página Local do backup , na caixa Pasta de backup , digite o caminho para o local no qual o backup do GPO de preparo correspondente foi armazenado na Etapa 2 ou clique em Procurar para localizar a pasta e clique em Avançar.
Na página GPO de origem, marque a caixa de seleção Mostrar somente a versão mais recente de cada GPO para ocultar cópias de segurança mais antigas e selecione o GPO de estágio correspondente. Clique em Exibir Configurações para revisar as configurações de Acesso Remoto antes de aplicá-las ao GPO de produção e clique em Avançar.
Na página Backup de varredura , clique em Avançar e, em seguida, clique em Concluir.
comandos equivalentes do Windows PowerShell
O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.
Para efetuar o backup do GPO do cliente de teste "Configurações do Cliente DirectAccess - Preparo" no domínio "corp.contoso.com" para o diretório de backup "C:\Backups":
$backup = Backup-GPO "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "Path 'C:\Backups\'Para ver a filtragem de segurança do GPO do cliente de preparo "Configurações do Cliente DirectAccess - Preparo" no domínio "corp.contoso.com":
Get-GPPermission "Name 'DirectAccess Client Settings - Staging' "Domain 'corp.contoso.com' "All | ?{ $_.Permission "eq 'GpoApply'}Para adicionar o grupo de segurança "corp.contoso.com\DirectAccess clients" ao filtro de segurança do GPO do cliente de produção "DirectAccess Client Settings " Production" no domínio "corp.contoso.com":
Set-GPPermission "Name 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com' "PermissionLevel GpoApply "TargetName 'corp.contoso.com\DirectAccess clients' "TargetType GroupPara importar configurações do backup para o GPO do cliente de produção "Configurações do Cliente DirectAccess " Produção" no domínio "corp.contoso.com":
Import-GPO "BackupId $backup.Id "Path $backup.BackupDirectory "TargetName 'DirectAccess Client Settings - Production' "Domain 'corp.contoso.com'
1.9 Configurar grupos de segurança
As configurações do DirectAccess contidas no Objeto de Diretiva de Grupo do computador cliente são aplicadas somente a computadores que são membros dos grupos de segurança especificados ao configurar o Acesso Remoto. Além disso, se você estiver usando grupos de segurança para gerenciar seus servidores de aplicativos, crie um grupo de segurança para esses servidores.
Para criar um grupo de segurança para clientes DirectAccess
No ecrã Iniciar, escrevadsa.msce, em seguida, pressione ENTER. Na consola de Utilizadores e Computadores do Active Directory, no painel esquerdo, expanda o domínio que conterá o grupo de segurança, clique com o botão direito do rato em Utilizadores, aponte para Novoe clique em Grupo.
Na caixa de diálogo Novo Objeto - Grupo, em Nome do grupo, insira o nome do grupo de segurança.
Em âmbito do Grupo, clique em Globale, em Tipo de Grupo, clique em Segurançae, em seguida, clique em OK.
Clique duas vezes no grupo de segurança de computadores cliente DirectAccess e, na caixa de diálogo de propriedades, clique na aba Membros.
Na guia Membros, clique em Adicionar.
Na caixa de diálogo Selecionar Usuários, Contatos, Computadores ou Contas de Serviço, selecione os computadores clientes que deseja habilitar para o DirectAccess e clique em OK.
comandos equivalentes do Windows PowerShell
O cmdlet ou cmdlets do Windows PowerShell a seguir executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que os cmdlets possam aparecer divididos em várias linhas aqui por restrições de formatação.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>
1.10 Configurar o servidor de local de rede
O servidor de local de rede deve ser um servidor com alta disponibilidade e deve ter um certificado SSL válido confiável pelos clientes DirectAccess. Há duas opções de certificado para o certificado do servidor de local de rede:
Certidão privada
Este certificado é baseado no modelo de certificado que você criou seguindo as instruções em 1.5.2 Configurar modelos de certificado.
Certificado auto-assinado
Observação
Os certificados autoassinados não podem ser usados em implantações multissite.
O seguinte é necessário para qualquer tipo de certificado, caso ainda não existam:
Um certificado de website que é usado para o servidor de localização de rede. O assunto do certificado deve ser a URL do servidor de local de rede.
Um ponto de distribuição de CRL que tem alta disponibilidade na rede interna.
Observação
Se o site do servidor de local de rede estiver localizado no servidor DirectAccess, um site será criado automaticamente quando você configurar o Acesso Remoto. Este site está vinculado ao certificado do servidor fornecido.
Para instalar o certificado do servidor de localização de rede de uma CA interna
No servidor que hospedará o site do servidor de local de rede: na tela Iniciar, digitemmc.exee pressione ENTER.
No console do MMC, no menu Arquivo, clique em Adicionar/Remover Snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Certificados, clique Adicionar, clique em Conta de computador, clique em Seguinte, clique em computador local, clique em Concluire, em seguida, clique em OK.
Na árvore de consolas do complemento Certificados, abra Certificados (Computador Local)\Pessoal\Certificados.
Clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas e clique em Solicitar Novo Certificado.
Clique duas vezes em Avançar .
Na página Solicitar Certificados , marque a caixa de seleção do modelo de certificado que você criou seguindo as instruções em 1.5.2 Configurar modelos de certificado. Se necessário, clique em Mais informações são necessárias para se inscrever para este certificado.
Na caixa de diálogo Propriedades do Certificado, no separador Assunto, na área Nome do Sujeito, em Tipo, selecione Nome Comum.
Em Valor, insira o FQDN do site do servidor de local de rede e clique em Adicionar.
Na área Nome alternativo, em Tipo, selecione DNS.
Em Valor, insira o FQDN do site do servidor de local de rede e clique em Adicionar.
Na guia Geral, em Nome amigável, você pode inserir um nome que o ajudará a identificar o certificado.
Clique OK, clique em Inscrevere, em seguida, clique em Concluir.
No painel de detalhes do snap-in Certificados, verifique se o novo certificado foi registado com Propósitos Pretendidos de Autenticação de Servidor.
Para configurar o servidor de localização de rede
Configure um site em um servidor de alta disponibilidade. O site não requer nenhum conteúdo, mas ao testá-lo, você pode definir uma página padrão que fornece uma mensagem quando os clientes se conectam.
Observação
Esta etapa não será necessária se o site do servidor de local de rede estiver hospedado no servidor DirectAccess.
Vincule um certificado de servidor HTTPS ao site. O nome comum do certificado deve corresponder ao nome do site do servidor de local de rede. Verifique se os clientes DirectAccess confiam na autoridade de certificação emissora.
Observação
Esta etapa não será necessária se o site do servidor de local de rede estiver hospedado no servidor DirectAccess.
Configure um site de CRL que tenha alta disponibilidade da rede interna.
Os pontos de distribuição de CRL podem ser acessados através de:
Servidores Web usando uma URL baseada em HTTP, como: https://crl.corp.contoso.com/crld/corp-APP1-CA.crl
Servidores de arquivos que são acessados por meio de um caminho UNC (convenção universal de nomenclatura), como \\crl.corp.contoso.com\crld\corp-APP1-CA.crl
Se o ponto de distribuição de CRL interno estiver acessível somente por IPv6, você deverá configurar uma regra de segurança de conexão do Firewall do Windows com Segurança Avançada para isentar a proteção IPsec do endereço IPv6 da intranet para os endereços IPv6 dos pontos de distribuição da CRL.
Assegure-se de que os clientes DirectAccess na rede interna possam resolver o nome do servidor de localização de rede. Verifique se o nome não pode ser resolvido por clientes DirectAccess na Internet.