Compartilhar via

Configurações sem suporte do DirectAccess

  • Artigo

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Examine a lista a seguir de configurações do DirectAccess sem suporte antes de iniciar a implantação para evitar a necessidade de iniciar a implantação novamente.

Distribuição do FRS (Serviço de Replicação de Arquivos) de objetos de Política de Grupo (replicações SYSVOL)

Não implante o DirectAccess em ambientes em que os controladores de domínio estejam executando o FRS (Serviço de Replicação de Arquivos) para distribuição de objetos de Política de Grupo (replicações SYSVOL). Não há suporte para a implantação do DirectAccess quando você usa o FRS.

Você estará usando o FRS se tiver controladores de domínio que executam o Windows Server 2003 ou o Windows Server 2003 R2. Além disso, você poderá estar usando o FRS se tiver usado controladores de domínio do Windows 2000 Server ou do Windows Server 2003 e nunca tiver migrado a replicação de SYSVOL do FRS para o DFS-R (Replicação do Sistema de Arquivos Distribuído).

Se você implantar o DirectAccess com a replicação de SYSVOL do FRS, correrá o risco da exclusão não intencional de objetos de Política de Grupo do DirectAccess que contêm as informações de configuração do servidor e do cliente do DirectAccess. Se esses objetos forem excluídos, a implantação do DirectAccess sofrerá uma interrupção e os computadores cliente que usam o DirectAccess não poderão se conectar à sua rede.

Se você estiver planejando implantar o DirectAccess, deverá usar controladores de domínio que executam sistemas operacionais posteriores ao Windows Server 2003 R2 e usar o DFS-R.

Para obter informações sobre como migrar do FRS para o DFS-R, consulte o Guia de Migração de Replicação do SYSVOL: Replicação de FRS para DFS.

Proteção de Acesso à Rede para clientes DirectAccess

A NAP (Proteção de Acesso à Rede) é usada para determinar se os computadores cliente remotos atendem às políticas de TI antes de receberem acesso à rede corporativa. A NAP foi preterida no Windows Server 2012 R2 e não está incluída no Windows Server 2016. Por esse motivo, não é recomendável iniciar uma nova implantação do DirectAccess com a NAP. É recomendável um método diferente de controle de ponto de extremidade para a segurança de clientes DirectAccess.

Suporte a vários sites para clientes do Windows 7

Quando o DirectAccess é configurado em uma implantação de vários sites, clientes do Windows 10 ®, Windows® 8.1 e Windows® 8 têm podem se conectar ao site mais próximo. Computadores cliente do Windows 7® não têm a mesma funcionalidade. A seleção de site para clientes do Windows 7 é definida como um site específico no momento da configuração da política, e esses clientes sempre se conectarão a esse site designado, independentemente de sua localização.

Controle de acesso baseado em usuário

As políticas do DirectAccess são baseadas no computador, não no usuário. Não há suporte para a especificação de políticas de usuário do DirectAccess para controlar o acesso à rede corporativa.

Personalizando a política do DirectAccess

O DirectAccess pode ser configurado usando o Assistente de Instalação do DirectAccess, o console de Gerenciamento de Acesso Remoto ou os cmdlets do Windows PowerShell de Acesso Remoto. Não há suporte para o uso de outros meios além do Assistente de Instalação do DirectAccess para configurar o DirectAccess, como modificar os Objetos de Política de Grupo do DirectAccess ou modificar manualmente as configurações de política padrão no servidor ou no cliente. Essas modificações podem resultar em uma configuração inutilizável.

Autenticação KerbProxy

Quando você configura um servidor do DirectAccess com o Assistente de Introdução, esse servidor é configurado automaticamente para usar a autenticação KerbProxy para autenticação de computador e usuário. Por isso, você só deve usar o Assistente de Introdução para implantações de site único em que apenas clientes do Windows 10 ®, Windows 8.1 ou Windows 8 são implantados.

Além disso, os seguintes recursos não devem ser usados com a autenticação KerbProxy:

  • Balanceamento de carga usando um balanceador de carga externo ou o Windows Load Balancer

  • Autenticação de dois fatores em que cartões inteligentes ou uma OTO (senha única) são necessários

Não há suporte para os seguintes planos de implantação quando você habilita a autenticação KerbProxy:

  • Vários sites.

  • Suporte do DirectAccess para clientes do Windows 7.

  • Túnel forçado. Para garantir que a autenticação KerbProxy não esteja habilitada quando você usar um túnel forçado, configure os seguintes itens durante a execução do assistente:

    • Habilitar a criação de túneis à força

    • Habilitar o DirectAccess para clientes do Windows 7

Observação

Para as implantações anteriores, use o Assistente de Configuração Avançada, que usa uma configuração de dois túneis com um computador baseado em certificado e a autenticação de usuário. Para obter mais informações, consulte Implantar um único servidor do DirectAccess com configurações avançadas.

Usando o ISATAP

O ISATAP é uma tecnologia de transição que fornece conectividade IPv6 em redes corporativas somente IPv4. Ele é limitado a organizações de pequeno e médio porte com uma só implantação de servidor do DirectAccess e permite o gerenciamento remoto de clientes do DirectAccess. Se o ISATAP for implantado em um ambiente de vários sites, balanceamento de carga ou de vários domínios, você precisará removê-lo ou movê-lo para uma implantação IPv6 nativa antes de configurar o DirectAccess.

Configuração de ponto de extremidade com OTP (senha única) e IPHTTPS

Quando você usa IPHTTPS, a conexão IPHTTPS precisa terminar no servidor DirectAccess, e não em nenhum outro dispositivo, como um balanceador de carga. De maneira semelhante, a conexão SSL (Secure Sockets Layer) fora de banda criada durante a autenticação com OTP (senha única) precisa terminar no servidor DirectAccess. Todos os dispositivos entre os pontos de extremidade dessas conexões precisam ser configurados no modo de passagem.

Forçar túnel com autenticação OTP

Não implante um servidor DirectAccess com autenticação de dois fatores com OTP e Túnel Forçado, ou a autenticação OTP falhará. Uma conexão SSL (Secure Sockets Layer) fora de banda é necessária entre o servidor DirectAccess e o cliente do DirectAccess. Essa conexão exige uma isenção para enviar o tráfego para fora do túnel DirectAccess. Em uma configuração do Túnel Forçado, todo o tráfego precisa fluir por um túnel DirectAccess e nenhuma isenção é permitida depois que o túnel é estabelecido. Por isso, não há suporte para ter autenticação OTP em uma configuração de Túnel Forçado.

Implantando o DirectAccess com um controlador de domínio somente leitura

Servidores DirectAccess precisam ter acesso a um controlador de domínio de leitura/gravação e não funcionam corretamente com um RODC (controlador de domínio somente leitura).

Um controlador de domínio de leitura/gravação é necessário por vários motivos, incluindo o seguinte:

  • No servidor do DirectAccess, um controlador de domínio de leitura/gravação é necessário para abrir o MMC (Console de Gerenciamento Microsoft) do Acesso Remoto.

  • O servidor DirectAccess precisa ler e gravar nos GPOs (Objetos de Política de Grupo) do cliente DirectAccess e do servidor do DirectAccess.

  • O servidor do DirectAccess lê e grava no GPO do cliente especificamente do PDCe (emulador do Controlador de Domínio Primário).

Devido a esses requisitos, não implante o DirectAccess com um RODC.