Implantar um único servidor DirectAccess usando o Assistente de Introdução

Artigo
2025-03-27
Aplica-se a: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

Importante

A Microsoft recomenda vivamente que utilize VPN Always On em vez do DirectAccess para novas implementações. Para obter mais informações, consulte Always on VPN.

Este tópico fornece uma introdução ao cenário do DirectAccess que usa um único servidor DirectAccess e permite implantar o DirectAccess em algumas etapas fáceis.

Antes de começar a implantar, consulte a lista de configurações sem suporte, problemas conhecidos e pré-requisitos

Você pode usar os tópicos a seguir para revisar pré-requisitos e outras informações antes de implantar o DirectAccess.

Descrição do cenário

Nesse cenário, um computador Windows Server é configurado como um servidor DirectAccess com configurações padrão. A configuração requer apenas algumas etapas fáceis do assistente, sem a necessidade de definir configurações de infraestrutura, como uma autoridade de certificação (CA) ou grupos de segurança do Ative Directory.

Observação

Se você quiser configurar uma implantação avançada com configurações personalizadas, consulte implantar um único servidor DirectAccess com configurações avançadas

Neste cenário

Para configurar um servidor DirectAccess básico, várias etapas de planejamento e implantação são necessárias.

Pré-requisitos

Antes de começar a implantar esse cenário, revise esta lista para obter requisitos importantes:

O firewall do Windows deve estar habilitado em todos os perfis
Este cenário só é suportado quando os computadores cliente estão a executar o Windows 10, Windows 8.1 ou Windows 8.
ISATAP na rede corporativa não é suportada. Se você estiver usando ISATAP, deverá removê-lo e usar IPv6 nativo.
Uma infraestrutura de chave pública não é necessária.
Não há suporte para a implantação da autenticação de dois fatores. As credenciais de domínio são necessárias para autenticação.
Implanta automaticamente o DirectAccess em todos os computadores móveis no domínio atual.
O tráfego para a Internet não passa pelo túnel do DirectAccess. Não há suporte para a configuração de túnel de força.
O servidor DirectAccess é o Servidor de Localização de Rede.
A NAP (Proteção de Acesso à Rede) não é suportada.
Não há suporte para a alteração de políticas fora do console de gerenciamento do DirectAccess ou dos cmdlets do PowerShell.
Para implantar multissite, agora ou no futuro, primeiro Implantar um único servidor DirectAccess com configurações avançadas.

Etapas de planejamento

O planeamento divide-se em duas fases:

Planejamento da infraestrutura do DirectAccess. Esta fase descreve o planejamento necessário para configurar a infraestrutura de rede antes de iniciar a implantação do DirectAccess. O planejamento inclui o design da topologia de rede e servidor e o servidor de local de rede DirectAccess.
Planejando a implantação do DirectAccess. Esta fase descreve as etapas de planejamento necessárias para preparar a implantação do DirectAccess. Ele inclui planejamento para computadores cliente DirectAccess, requisitos de autenticação de servidor e cliente, configurações de VPN, servidores de infraestrutura e servidores de gerenciamento e aplicativos.

Para obter as etapas detalhadas de planejamento, consulte Planeamento de uma Implementação Avançada do DirectAccess.

Etapas de implantação

A implantação está dividida em três fases:

Configurando a infraestrutura do DirectAccess. Esta fase inclui a configuração dos seguintes componentes:

Rede e roteamento
Configurações de firewall (se necessário)
Certificados
Servidores DNS
Configurações do Ative Directory e GPO
Servidor de localização de rede DirectAccess

Definindo as configurações do servidor DirectAccess. Esta fase inclui etapas para configurar computadores cliente DirectAccess, o servidor DirectAccess, servidores de infraestrutura, servidores de gerenciamento e servidores de aplicativos.
Verificando a implantação. Esta fase inclui etapas para verificar se a implantação está funcionando conforme necessário.

Para obter etapas detalhadas de implantação, consulte Instalar e configurar o DirectAccess básico.

Aplicações práticas

A implantação de um único servidor de Acesso Remoto oferece os seguintes benefícios:

Facilidade de acesso. Você pode configurar computadores cliente gerenciados que executam o Windows 10, Windows 8.1, Windows 8 ou Windows 7 como clientes DirectAccess. Esses clientes podem acessar recursos de rede interna via DirectAccess sempre que estiverem localizados na Internet sem a necessidade de fazer login em uma conexão VPN. Os computadores clientes que não executam um desses sistemas operacionais podem se conectar à rede interna usando conexões VPN tradicionais.
Facilidade de gestão. Os computadores cliente DirectAccess localizados na Internet podem ser gerenciados remotamente por administradores de Acesso Remoto pelo DirectAccess, mesmo quando os computadores cliente não estão localizados na rede corporativa interna. Os computadores clientes que não atendem aos requisitos corporativos podem ser corrigidos automaticamente pelos servidores de gerenciamento. O DirectAccess e a VPN são gerenciados no mesmo console e com o mesmo conjunto de assistentes. Além disso, um ou mais servidores de Acesso Remoto podem ser gerenciados a partir de um único console de Gerenciamento de Acesso Remoto

Funções e recursos incluídos neste cenário

A tabela a seguir lista as funções e os recursos necessários para o cenário:

Função/funcionalidade	Como ele suporta esse cenário
Função Acesso Remoto	A função é instalada e desinstalada usando o console do Gerenciador do Servidor ou o Windows PowerShell. Essa função engloba o DirectAccess, o Roteamento e os Serviços de Acesso Remoto. A função Acesso Remoto consiste em dois componentes: 1. DirectAccess e VPN de Serviços de Roteamento e Acesso Remoto (RRAS). O DirectAccess e a VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto. 2. Roteamento RRAS. Os recursos de roteamento RRAS são gerenciados no console de Roteamento e Acesso Remoto herdado. A Função de Servidor de Acesso Remoto depende das seguintes funções/recursos de servidor: - Servidor Web dos Serviços de Informação Internet (IIS) - Esta funcionalidade é necessária para configurar o servidor de localização de rede no servidor de Acesso Remoto e a sonda Web predefinida. - Base de Dados Interna Windows. Usado para contabilidade local no servidor de Acesso Remoto.
Funcionalidade de Ferramentas de Gestão de Acesso Remoto	Este recurso é instalado da seguinte maneira: - É instalado por padrão em um servidor de Acesso Remoto quando a função Acesso Remoto é instalada e suporta a interface do usuário do console de Gerenciamento Remoto e cmdlets do Windows PowerShell. - Pode ser instalado opcionalmente em um servidor que não esteja executando a função de servidor Acesso Remoto. Nesse caso, ele é usado para gerenciamento remoto de um computador de Acesso Remoto que executa DirectAccess e VPN. O recurso Ferramentas de Gerenciamento de Acesso Remoto consiste nos seguintes componentes: - GUI de Acesso Remoto - Módulo de Acesso Remoto para Windows PowerShell As dependências incluem: - Consola de Gestão de Políticas de Grupo - Kit de Administração do Gestor de Ligações RAS (CMAK) - Windows PowerShell 3.0 - Ferramentas de Gestão Gráfica e Infraestrutura

Função/funcionalidade

Como ele suporta esse cenário

Função Acesso Remoto

A função é instalada e desinstalada usando o console do Gerenciador do Servidor ou o Windows PowerShell. Essa função engloba o DirectAccess, o Roteamento e os Serviços de Acesso Remoto. A função Acesso Remoto consiste em dois componentes:

1. DirectAccess e VPN de Serviços de Roteamento e Acesso Remoto (RRAS). O DirectAccess e a VPN são gerenciados juntos no console de Gerenciamento de Acesso Remoto.
2. Roteamento RRAS. Os recursos de roteamento RRAS são gerenciados no console de Roteamento e Acesso Remoto herdado.

A Função de Servidor de Acesso Remoto depende das seguintes funções/recursos de servidor:

- Servidor Web dos Serviços de Informação Internet (IIS) - Esta funcionalidade é necessária para configurar o servidor de localização de rede no servidor de Acesso Remoto e a sonda Web predefinida.
- Base de Dados Interna Windows. Usado para contabilidade local no servidor de Acesso Remoto.

Funcionalidade de Ferramentas de Gestão de Acesso Remoto

Este recurso é instalado da seguinte maneira:

- É instalado por padrão em um servidor de Acesso Remoto quando a função Acesso Remoto é instalada e suporta a interface do usuário do console de Gerenciamento Remoto e cmdlets do Windows PowerShell.
- Pode ser instalado opcionalmente em um servidor que não esteja executando a função de servidor Acesso Remoto. Nesse caso, ele é usado para gerenciamento remoto de um computador de Acesso Remoto que executa DirectAccess e VPN.

O recurso Ferramentas de Gerenciamento de Acesso Remoto consiste nos seguintes componentes:

- GUI de Acesso Remoto
- Módulo de Acesso Remoto para Windows PowerShell

As dependências incluem:

- Consola de Gestão de Políticas de Grupo
- Kit de Administração do Gestor de Ligações RAS (CMAK)
- Windows PowerShell 3.0
- Ferramentas de Gestão Gráfica e Infraestrutura

Requisitos de hardware

Os requisitos de hardware para este cenário incluem o seguinte:

Requisitos do servidor:
- Um computador que atenda aos requisitos de hardware do Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012.
- O servidor deve ter pelo menos um adaptador de rede instalado, habilitado e conectado à rede interna. Quando dois adaptadores são usados, deve haver um adaptador conectado à rede corporativa interna e um conectado à rede externa (Internet ou rede privada).
- Pelo menos um controlador de domínio. O servidor de Acesso Remoto e os clientes DirectAccess devem ser membros do domínio.
Requisitos do cliente:
- Um computador cliente deve estar executando o Windows 10, Windows 8.1 ou Windows 8.
  
  Importante
  
  Se alguns ou todos os computadores cliente estiverem executando o Windows 7, você deverá usar o Assistente de Configuração Avançada. O Assistente de Configuração de Introdução descrito neste documento não suporta computadores cliente que estejam a executar o Windows 7. Consulte Implantar um único servidor DirectAccess com configurações avançadas para obter instruções sobre como usar clientes Windows 7 com o DirectAccess.
  
  Observação
  
  Somente os seguintes sistemas operacionais podem ser usados como clientes DirectAccess: Windows 10 Enterprise, Windows 8.1 Enterprise, Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise e Windows 7 Ultimate.
Requisitos de infraestrutura e servidor de gerenciamento:
- Se a VPN estiver habilitada e um pool de endereços IP estáticos não estiver configurado, você deverá implantar um servidor DHCP para alocar endereços IP automaticamente para clientes VPN.
É necessário um servidor DNS com Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 SP2 ou Windows Server 2008 R2.

Requisitos de software

Abaixo estão os requisitos para este cenário:

Requisitos do servidor:
- O servidor de Acesso Remoto deve ser um membro do domínio. O servidor pode ser implantado na borda da rede interna ou atrás de um firewall de borda ou outro dispositivo.
- Se o servidor de Acesso Remoto estiver localizado atrás de um firewall de borda ou dispositivo NAT, o dispositivo deverá ser configurado para permitir o tráfego de e para o servidor de Acesso Remoto.
- A pessoa que implanta o acesso remoto no servidor requer permissões de administrador local no servidor e permissões de usuário de domínio. Além disso, o administrador requer permissões para os GPOs usados na implantação do DirectAccess. Para aproveitar os recursos que restringem a implantação do DirectAccess apenas a computadores móveis, são necessárias permissões para criar um filtro WMI no controlador de domínio.
Requisitos do cliente de Acesso Remoto:
- Os clientes DirectAccess devem ser membros do domínio. Os domínios que contêm clientes podem pertencer à mesma floresta que o servidor de Acesso Remoto ou ter uma relação de confiança bidirecional com a floresta do servidor de Acesso Remoto.
- Um grupo de segurança do Ative Directory é necessário para conter os computadores que serão configurados como clientes DirectAccess. Se um grupo de segurança não for especificado ao definir as configurações do cliente DirectAccess, por padrão, o GPO cliente será aplicado em todos os laptops do grupo de segurança Computadores do Domínio. Somente os seguintes sistemas operacionais podem ser usados como clientes DirectAccess: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate.

Ver também

A tabela a seguir fornece links para recursos adicionais.

Tipo de conteúdo	Referências
Acesso Remoto no TechNet	Centro Tecnológico de Acesso Remoto
Ferramentas e configurações	cmdlets de Acesso Remoto do PowerShell
Recursos comunitários	entradas Wiki do DirectAccess
Tecnologias relacionadas	Como funciona o IPv6

Partilhar via