Add DirectAccess to an Existing Remote Access (VPN) Deployment
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Importante
A Microsoft recomenda que você use Always On VPN, em vez do DirectAccess, para novas implantações. Para mais informações, confira VPN Always On.
Descrição do cenário
Neste cenário, um único computador que executa o Windows Server 2016, Windows Server 2012 R2 ou Windows Server 2012 é configurado como um servidor do DirectAccess com as configurações recomendadas depois que a VPN já ter sido instalada e configurada. Se você deseja configurar o DirectAccess com recursos corporativos como um cluster com carga balanceada, implantação multissite ou com autenticação de cliente de dois fatores, conclua o cenário descrito neste tópico para configurar um único servidor e configure o cenário corporativo conforme descrito em Implantar acesso remoto em uma corporação.
Neste cenário
Para configurar um único servidor de Acesso Remoto, várias etapas de planejamento e implantação são necessárias.
Etapas de planejamento
O planejamento está dividido em duas fases:
planejar a infraestrutura do Acesso Remoto
Nesta fase, você descreve o planejamento necessário para configurar a infraestrutura de rede antes de começar a implantação do Acesso Remoto. Isso inclui planejar a rede e a topologia do servidor, certificados, DNS (Sistema de Nomes de Domínio), configuração do Active Directory e do GPO (Objeto de Política de Grupo) e o servidor de local de rede do DirectAccess.
Planejar a implantação do Acesso Remoto
Nesta fase, você descreve as etapas de planejamento necessárias para preparar a implantação do Acesso Remoto. Ela inclui o planejamento para computadores cliente de Acesso Remoto, requisitos de autenticação de servidor e cliente e servidores de infraestrutura.
Etapas de implantação
A implantação está dividida em três fases:
Configurar a infraestrutura do Acesso Remoto
Nesta fase, você configura rede e roteamento, configurações de firewall (se necessário), certificados, servidores DNS, configurações do Active Directory e do GPO e o servidor de local de rede do DirectAccess.
Definir as configurações do servidor de Acesso Remoto
Nesta fase, você configura os computadores cliente de Acesso Remoto, o servidor de Acesso Remoto e os servidores de infraestrutura.
Verificar a implantação
Nesta fase, verifique se a implantação está funcionando conforme o necessário.
Aplicações práticas
A implantação de um só servidor de Acesso Remoto oferece:
Facilidade de acesso
Os computadores cliente gerenciados que executam o Windows 8 e o Windows 7 podem ser configurados como computadores cliente do DirectAccess. Esses clientes podem acessar os recursos da rede interna por meio do DirectAccess sempre que estiverem localizados na Internet, sem precisar entrar em uma conexão VPN. Computadores cliente que não executam um desses sistemas operacionais podem se conectar à rede interna por meio de uma VPN. O DirectAccess e a VPN são gerenciados no mesmo console e com o mesmo conjunto de assistentes.
Facilidade de gerenciamento
Computadores cliente DirectAccess com acesso à Internet podem ser gerenciados remotamente por administradores de acesso remoto usando o DirectAccess, mesmo quando os computadores cliente não estiverem localizados na rede corporativa interna. Os computadores cliente que não atendem aos requisitos corporativos podem ser corrigidos automaticamente por servidores de gerenciamento.
Funções e recursos requeridos para este cenário
A tabela a seguir lista funções e recursos necessários para este cenário:
| Função/recurso | Como este cenário tem suporte |
|---|---|
| Função Acesso Remoto | A função é instalada e desinstalada usando o console de Gerenciador do Servidor ou o Windows PowerShell. Essa função engloba o DirectAccess, que era anteriormente um recurso no Windows Server 2008 R2 e os Serviços de Roteamento e Acesso Remoto que eram anteriormente um serviço de função na função de servidor NPAS (Serviços de Acesso e Política de Rede). A função Acesso Remoto consiste em dois componentes: 1. DirectAccess e VPN dos Serviços de acesso remoto e roteamento (RRAS): gerenciados no console do Gerenciamento de acesso remoto. A função Servidor de Acesso Remoto depende dos seguintes recursos de servidor: – Servidor Web de IIS (Serviços de Informações da Internet): necessário para configurar o servidor de local da rede no servidor de acesso remoto, além da investigação Web padrão. |
| Recurso Ferramentas de Gerenciamento de Acesso Remoto | Este recurso é instalado da seguinte maneira: – Por padrão, em um servidor de acesso remoto quando a função de acesso remoto é instalada. Dá suporte à interface de usuário do console de Gerenciamento Remoto e os cmdlets do Windows PowerShell. O recurso de Ferramentas de Gerenciamento de Acesso Remoto consiste em: – Interface do usuário de acesso remoto As dependências incluem: – Console de Gerenciamento de Política de Grupo |
Requisitos de hardware
Os requisitos de hardware para este cenário incluem o seguinte:
Requisitos do servidor
Um computador que atende aos requisitos de hardware para o Windows Server 2012.
O servidor deve ter pelo menos um adaptador de rede instalado, habilitado e associado à rede interna. Quando são usados dois adaptadores, um deles deve estar conectado à rede corporativa interna e o outro, à rede externa (Internet).
Se for necessário Teredo como um protocolo de transição de IPv4 para IPv6, o adaptador externo do servidor exigirá dois endereços IPv4 públicos consecutivos. O Assistente para Habilitar o DirectAccess não permite Teredo, mesmo que dois endereços IP consecutivos estejam presentes. Se um único endereço IP estiver disponível, apenas IP-HTTPS poderá ser usado como protocolo de transição.
Pelo menos um controlador de domínio. O servidor de Acesso Remoto e os clientes do DirectAccess devem ser membros do domínio.
O Assistente para Habilitar o DirectAccess requer certificados para IP-HTTPS e o servidor local de rede. Se a VPN SSTP já estiver usando um certificado, ele será reutilizado para IP-HTTPS. Se a VPN SSTP não estiver configurada, você poderá configurar um certificado para IP-HTTPS ou usar um certificado autoassinado criado automaticamente. Para o servidor de local de rede, você pode configurar um certificado ou usar um certificado autoassinado criado automaticamente.
Requisitos do cliente
Um computador cliente deve estar executando o Windows 7 ou Windows 8.
Observação
Somente os seguintes sistemas operacionais podem ser usados como clientes do DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise, Windows 7 Ultimate.
Requisitos do servidor de infraestrutura e gerenciamento
Durante o gerenciamento remoto de computadores cliente DirectAccess, os clientes iniciam a comunicação com servidores de gerenciamento, como controladores de domínio, servidores de configuração do System Center e servidores de HRA (Autoridade de Registro de Integridade) para serviços que incluem atualizações do Windows e antivírus e conformidade do cliente com a NAP (Proteção de Acesso à Rede). Os servidores necessários devem ser implantados antes de iniciar a implantação do Acesso Remoto.
Se o acesso remoto exigir conformidade NAP do cliente, o NPS (Servidor de Políticas de Rede) e HRA deverão ser implantados antes do início da implantação do Acesso Remoto.
É necessário um servidor DNS executando o Windows Server 2012, Windows Server 2008 R2 ou Windows Server 2008 com SP2.
Requisitos de software
Os requisitos de software para este cenário incluem:
Requisitos do servidor
O servidor de Acesso Remoto deve ser um membro do domínio. O servidor pode ser implantado na borda da rede interna, ou atrás de um firewall de borda ou outro dispositivo.
Se o servidor de Acesso Remoto estiver localizado atrás de um firewall de borda ou dispositivo NAT (Conversão de Endereços de Rede), o dispositivo deverá ser configurado para permitir o tráfego de e para o servidor de Acesso Remoto.
A pessoa que implanta o acesso remoto no servidor precisa de permissões do administrador local no servidor e permissões de usuário de domínio. Além disso, o administrador precisa de permissões para os GPOs utilizados na implantação do DirectAccess. Para aproveitar os recursos que restringem uma implantação do DirectAccess somente a computadores móveis, são necessárias permissões para criar um filtro WMI no controlador de domínio.
Requisitos de cliente de acesso remoto
Os clientes do DirectAccess devem ser membros do domínio. Os domínios que contêm clientes podem pertencer à mesma floresta do servidor de Acesso Remoto, ou ter uma relação de confiança bidirecional com a floresta ou o domínio do servidor de Acesso Remoto.
Um grupo de segurança do Active Directory é necessário para conter os computadores que serão configurados como clientes do DirectAccess. Se um grupo de segurança não for especificado quando você definir as configurações de cliente do DirectAccess, por padrão, o GPO do cliente será aplicado a todos os computadores laptop (compatíveis com o DirectAccess) no grupo de segurança de Computadores de Domínio. Somente os seguintes sistemas operacionais podem ser usados como clientes do DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise, Windows 7 Ultimate.
Observação
Recomendamos que você crie um grupo de segurança para cada domínio que contém os computadores que serão configurados como clientes do DirectAccess.