Etapa 2: planejar a implantação básica do DirectAccess
Depois de planejar a infraestrutura do DirectAccess, a próxima etapa da implantação do DirectAccess em um único servidor com configurações básicas é planejar as configurações do Assistente de introdução.
| Tarefa | Descrição |
|---|---|
| Planejando a implantação do cliente | Por padrão, o Assistente do Guia de Introdução implanta o DirectAccess em todos os laptops e notebooks no domínio por meio da aplicação de um filtro WMI ao GPO de configurações do cliente |
| Planejando a implantação do servidor do DirectAccess | Planeje como implantar o servidor do DirectAccess. |
Planejando a implantação do cliente
Há duas decisões a serem tomadas ao planejar a implantação do cliente:
O DirectAccess estará disponível somente para computadores móveis, ou para qualquer computador?
Ao configurar clientes do DirectAccess no Assistente de introdução, você pode escolher permitir que somente computadores móveis nos grupos de segurança especificados sejam conectados usando DirectAccess. Se você restringir o acesso a computadores móveis, o DirectAccess configurará automaticamente um filtro WMI para garantir que o GPO do cliente do DirectAccess seja aplicado apenas a computadores móveis nos grupos de segurança especificados. O administrador do DirectAccess requer permissões para criar ou modificar os filtros WMI da política de grupo para habilitar essa configuração.
Quais grupos de segurança conterão os computadores cliente DirectAccess?
As configurações do DirectAccess estão contidas no GPO do cliente do DirectAccess. O GPO é aplicado a computadores que fazem parte dos grupos de segurança especificados no Assistente de introdução. Você pode especificar grupos de segurança contidos em qualquer domínio com suporte. Antes de configurar o DirectAccess, os grupos de segurança devem ser criados. Você pode adicionar computadores ao grupo de segurança depois de concluir a implantação do DirectAccess, mas observe que, se adicionar computadores cliente que residem em um domínio diferente ao grupo de segurança, o GPO do cliente não será aplicado a esses clientes. Por exemplo, se você criou SG1 no domínio A para clientes do DirectAccess, e posteriormente adicionou clientes do domínio B a esse grupo, o GPO do cliente não será aplicado a clientes no domínio B. Para evitar esse problema, crie um novo grupo de segurança de cliente para cada domínio que contém computadores cliente. Também, se você não deseja criar um novo grupo de segurança, execute o cmdlet Add-DAClient com o nome do novo GPO do novo domínio.
Planejando a implantação do servidor do DirectAccess
Há diversas decisões a serem tomadas ao se planejar a implantação de seu servidor de DirectAccess:
Topologia de rede – Há duas topologias disponíveis ao se implantar um servidor de DirectAccess:
Dois adaptadores – Com dois adaptadores de rede, o DirectAccess pode ser configurado com um adaptador de rede conectado diretamente à Internet, e o outro é conectado à rede interna. Outra alternativa é o servidor ser instalado por trás de um dispositivo de borda, como um firewall ou um roteador. Nessa configuração, um adaptador de rede é conectado à rede de perímetro e o outro é conectado à rede interna.
Adaptador de rede único – Nessa configuração, o servidor de DirectAccess é instalado por trás de um dispositivo de borda, como um firewall ou um roteador. O adaptador de rede é conectado à rede interna.
Adaptadores de rede – O Assistente de DirectAccess detecta automaticamente os adaptadores de rede configurados no servidor do DirectAccess. Você pode verificar se os adaptadores corretos estão selecionados na página Revisão.
Certificado IP-HTTPS – Como não há a necessidade de PKI nesta implantação, o assistente provisiona automaticamente certificados autoassinados para IP-HTTPS, e o Servidor de Localização de Rede (se nenhum certificado estiver presente) e habilita automaticamente o proxy Kerberos. O assistente também habilita NAT64 e DNS64 para conversão de protocolos no ambiente exclusivo ao IPv4. Depois que o assistente concluir a aplicação da configuração com êxito, clique em Fechar.
Clientes do Windows 7 – Você não pode habilitar o suporte para clientes do Windows 7 do Assistente de introdução. Isso pode ser habilitado no Assistente avançado de instalação. Para obter mais detalhes, confira Implantar um único servidor do DirectAccess com configurações avançadas.
Configuração de VPN – Antes de configurar o DirectAccess, decida se você fornecerá acesso por VPN a clientes remotos. Você deverá fornecer acesso por VPN se tiver computadores cliente na organização que não deem suporte à conectividade do DirectAccess (pois não são gerenciados ou por não executarem um sistema operacional que dê suporte ao DirectAccess). O Assistente de introdução configura a atribuição de endereço IP da VPN usando DHCP e configura clientes VPN a serem autenticados usando o Active Directory.
Forçar Túnel - se você planeja usar Forçar Túnel, ou se pretende adicioná-lo futuramente, use Implantar um servidor DirectAccess único com configurações avançadas para implantar uma configuração de dois túneis. Por questões de segurança, não há suporte para a criação de túneis à força na configuração de um único túnel.