Etapa 1 Configurar a infraestrutura básica do DirectAccess
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Este tópico descreve como configurar a infraestrutura necessária a uma implantação básica do DirectAccess que utiliza um servidor individual do DirectAccess em um ambiente misto de IPv4 e IPv6. Antes de começar as etapas de implantação, verifique se você concluiu as etapas de planejamento descritas em Planejar a implantação do DirectAccess.
| Tarefa | Descrição |
|---|---|
| Definir configurações de rede do servidor | Definir as configurações de rede do servidor do DirectAccess. |
| Configurar o roteamento da rede corporativa | Configurar o roteamento da rede corporativa para verificar se o tráfego está devidamente roteado. |
| Configurar firewalls | Configurar firewalls adicionais, se necessário. |
| Configurar o servidor DNS | Configurar as definições de DNS do servidor do DirectAccess |
| Configurar o Active Directory | Unir computadores cliente e o servidor do DirectAccess no domínio do Active Directory. |
| Configurar GPOs | Configurar os GPOs para implantação, se necessário. |
| Configurar os grupos de segurança | Configurar os grupos de segurança que conterão os computadores cliente do DirectAccess e quaisquer outros grupos de segurança requeridos na implantação. |
Observação
Este tópico inclui cmdlets do Windows PowerShell de exemplo que podem ser usados para automatizar alguns dos procedimentos descritos. Para obter mais informações, confira Usando os Cmdlets.
Definir configurações de rede do servidor
As configurações de interface de rede a seguir são requeridas para uma implantação de servidor único em um ambiente com IPv4 e IPv6. Todos os endereços IP são configurados usando Alterar configurações do adaptador na Central de Rede e Compartilhamento do Windows.
Topologia de borda
Um endereço público estático IPv4 ou IPv6 voltado para a Internet.
Observação
Dois endereços IPv4 públicos consecutivos são necessários para o Teredo. Se não estiver usando o Teredo, você poderá configurar um endereço IPv4 estático público individual.
Um único endereço estático interno IPv4 ou IPv6.
Atrás do dispositivo NAT (dois adaptadores de rede)
Um único endereço estático interno IPv4 ou IPv6 voltado para a rede.
Um único endereço estático de perímetro IPv4 ou IPv6 voltado para a rede.
Atrás do dispositivo NAT (um adaptador de rede)
- Um único endereço estático IPv4 ou IPv6.
Observação
Se o servidor do DirectAccess tiver dois adaptadores de rede (um classificado no perfil do domínio e outro em um perfil público/privado), porém uma topologia de NIC único for usada, veja as recomendações a seguir:
Assegure que o segundo NIC e todos os outros NICs adicionais estejam classificados no perfil de domínio.
Se o segundo NIC não puder ser configurado para o perfil do domínio por alguma razão, a política de IPsec do DirectAccess deve ser manualmente estendida a todos os perfis usando os seguintes comandos do Windows PowerShell:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionOs nomes das políticas IPsec são DirectAccess-DaServerToInfra e DirectAccess-DaServerToCorp.
Configurar o roteamento da rede corporativa
Configure o roteamento na rede corporativa da seguinte forma:
Quando o IPv6 nativo for implantado na organização, adicione uma rota para que os roteadores no tráfego IPv6 da rota de rede interna retorne pelo servidor de Acesso Remoto.
Configure manualmente as rotas IPv4 e IPv6 da organização nos servidores de Acesso Remoto. Adicione uma rota publicada para que todo o tráfego com um prefixo IPv6 (/48) da organização seja encaminhado à rede interna. Além disso, para tráfego IPv4, adicione rotas explícitas para que o tráfego IPv4 seja encaminhado para a rede interna.
Configurar firewalls
Ao usar firewalls adicionais na sua implantação, aplique as seguintes exceções de firewall voltado para a Internet do tráfego de Acesso Remoto quando o servidor de Acesso Remoto está na Internet IPv4:
Tráfego 6to4 – Protocolo IP 41 de entrada e de saída.
IP-HTTPS – Entrada da porta de destino 443 do protocolo TCP e saída da porta de origem 443 de TCP. Quando o servidor de Acesso Remoto tem um único adaptador de rede e o servidor de local de rede está no servidor de acesso remoto, a porta TCP 62000 também é necessária.
Observação
Essa isenção deve ser configurada no servidor de acesso remoto. Todas as outras isenções devem ser configuradas no firewall de borda.
Observação
Para tráfego Teredo e 6to4, essas exceções devem ser aplicadas para os endereços IPv4 públicos consecutivos voltados para a Internet no servidor de Acesso Remoto. Para IP-HTTPS, as exceções precisam ser aplicadas apenas para o endereço no qual o nome externo do servidor é resolvido.
Ao usar firewalls adicionais, aplique as seguintes exceções de firewall voltado para a Internet do tráfego de Acesso Remoto quando o servidor de Acesso Remoto está na Internet IPv6:
Protocolo IP 50
Entrada da porta de destino UDP 500 e saída da porta de origem UDP 500.
Ao usar firewalls adicionais, aplique as seguintes exceções do firewall de rede interna no tráfego de Acesso Remoto:
ISATAP – Protocolo 41 de entrada e de saída
TCP/UDP para todo o tráfego IPv4/IPv6
Configurar o servidor DNS
Você deve configurar manualmente uma entrada DNS para o site do servidor de local da rede interna da sua implantação.
Para criar os registros do servidor de local de rede e do DNS da sonda NCSI
No servidor DNS da rede interna, execute o dnsmgmt.msc e pressione ENTER.
No painel esquerdo do console Gerenciador DNS, expanda a zona de pesquisa direta para o seu domínio. Clique com o botão direito no domínio e clique em Novo Host (A ou AAAA).
Na caixa de diálogo Novo Host, na caixa Nome (usa o nome de domínio pai se deixado em branco), digite o nome de DNS para o site do servidor de local de rede (este é o nome que os clientes do DirectAccess usam para conectar ao servidor de local de rede). Na caixa Endereço IP, digite o endereço IPv4 no servidor de local de rede e clique em Adicionar Host. Na caixa de diálogo DNS, clique em OK.
Na caixa de diálogo Novo Host, na caixa Nome (usa o nome de domínio pai se deixado em branco), digite o nome do DNS para a sonda da web (o nome para a sonda da web é directaccess-webprobehost). Na caixa Endereço IP, digite o endereço IPv4 da sonda da web e clique em Adicionar Host. Repita esse processo para o directaccess-corpconnectivityhost e quaisquer verificadores de conectividade criados manualmente. Na caixa de diálogo DNS, clique em OK.
Clique em Concluído.
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Você também deve configurar entradas DNS para o seguinte:
O servidor IP-HTTPS – Os clientes do DirectAccess devem poder resolver o nome de DNS do servidor de Acesso Remoto pela Internet.
Verificação de revogação de CRL – O DirectAccess usa a verificação de revogação de certificados para a conexão IP-HTTPS entre os clientes DirectAccess e o servidor de Acesso Remoto, e também para a conexão baseada em HTPPS entre o cliente do DirectAccess e o servidor de local de rede. Em ambos os casos, os clientes do DirectAccess devem poder resolver e acessar o local do ponto de distribuição da CRL.
Configurar o Active Directory
O servidor de Acesso Remoto e todos os computadores cliente do DirectAccess devem ser ingressados em um domínio do Active Directory. Os computadores cliente do DirectAccess devem ser membros de um dos seguintes tipos de domínio:
Domínios pertencentes à mesma floresta que o servidor de Acesso Remoto.
Domínios pertencentes a florestas com relações de confiança bidirecional com a floresta do servidor de Acesso Remoto.
Domínios com relação de confiança bidirecional com o domínio do servidor de Acesso Remoto.
Para ingressar o servidor do DirectAccess em um domínio
No Gerenciador do Servidor, clique em Servidor Local. No painel de detalhes, clique no link ao lado do Nome do computador.
Na caixa de diálogo Propriedades do Sistema, clique na guia Nome do Computador. Na guia Nome do Computador, clique em Alterar.
Em Nome do Computador, digite o nome do computador se você também estiver alterando o nome do computador ao ingressar o servidor no domínio. Em Membro de, clique em Domínio e digite o nome do domínio em que você deseja ingressar o servidor; por exemplo, corp.contoso.com, e clique em OK.
Quando você for solicitado a informar um nome de usuário e uma senha, digite o nome de usuário e a senha de um usuário com direitos de ingressar computadores no domínio e clique em OK.
Quando você vir uma caixa de diálogo de boas-vindas ao domínio, clique em OK.
Quando você for solicitado a reiniciar o computador, clique em OK.
Na caixa de diálogo Propriedades do Sistema, clique em Fechar.
Quando for solicitado a reiniciar o computador, clique em Reiniciar Agora.
Para ingressar computadores cliente no domínio
Execute o explorer.exe.
Clique com o botão direito do mouse no ícone Computador e em Propriedades.
Na página Sistema, clique em Configurações avançadas do sistema.
Na caixa de diálogo Propriedades do Sistema, na guia Nome do Computador, clique em Alterar.
Em Nome do computador, digite o nome do computador se você também estiver alterando o nome do computador ao ingressar o servidor no domínio. Em Membro de, clique em Domínio e digite o nome do domínio em que você deseja ingressar o servidor; por exemplo, corp.contoso.com, e clique em OK.
Quando você for solicitado a informar um nome de usuário e uma senha, digite o nome de usuário e a senha de um usuário com direitos de ingressar computadores no domínio e clique em OK.
Quando você vir uma caixa de diálogo de boas-vindas ao domínio, clique em OK.
Quando você for solicitado a reiniciar o computador, clique em OK.
Na caixa de diálogo Propriedades do Sistema, clique em Fechar. Clique em Reiniciar Agora quando solicitado.
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Observe que você deve fornecer as credenciais do domínio depois de inserir o comando Add-Computer abaixo.
Add-Computer -DomainName <domain_name>
Restart-Computer
Configurar GPOs
Para implantar o Acesso Remoto, você precisará de pelo menos dois Objetos de Política de Grupo: um Objeto de Política de Grupo contém as configurações do servidor de Acesso Remoto e o outro contém as configurações dos computadores cliente do DirectAccess. Quando você configurar o Acesso Remoto, o assistente criará automaticamente os Objetos de Política de Grupo necessários. Contudo, se a sua organização impor uma convenção de nomenclatura ou se você não tem as permissões necessárias para criar ou editar Objetos de Política de Grupo, eles precisam ser criados antes da configuração do Acesso Remoto.
Para criar um Objeto de Política de Grupo, confira Criar e editar um Objeto de Política de Grupo.
Importante
O administrador pode vincular manualmente o Objeto de Política de Grupo do DirectAccess a uma Unidade Organizacional usando estas etapas:
- Antes de configurar o DirectAccess, vincule os GPOs criados às respectivas Unidades Organizacionais.
- Configure o DirectAccess, especificando um grupo de segurança para computadores cliente.
- O administrador pode ou não ter permissões para vincular os Objetos de Política de Grupo ao domínio. De qualquer maneira, os Objetos de Política de Grupo serão configurados automaticamente. Se os GPOs já estiverem vinculados a uma OU, os links não serão removidos. E os GPOs não serão vinculados ao domínio. Para um GPO de servidor, a OU deverá conter o objeto de computador do servidor, ou o GPO será vinculado à raiz do domínio.
- Se a vinculação à OU não foi feita antes de executar o Assistente do DirectAccess, depois de concluir a configuração, o administrador poderá vincular os Objetos de Política de Grupo do DirectAccess às Unidades Organizacionais requeridas. O link para o domínio pode ser removido. As etapas para vincular um Objeto de Política de Grupo a uma Unidade Organizacional podem ser encontradas aqui
Observação
Se um Objeto de Política de Grupo tiver sido criado manualmente, será possível que ele não esteja disponível, durante a configuração do DirectAccess. Talvez o Objeto de Política de Grupo não tenha sido replicado no controlador de domínio mais próximo ao computador de gerenciamento. Neste caso, o administrador pode aguardar a replicação ser concluída, ou forçá-la.
Aviso
Não há suporte para o uso de outros meios além do Assistente de Instalação do DirectAccess para configurar o DirectAccess, como modificar os Objetos de Política de Grupo do DirectAccess ou modificar manualmente as configurações de política padrão no servidor ou no cliente.
Configurar os grupos de segurança
As configurações do DirectAccess contidas no Objeto de Política de Grupo do computador cliente só serão aplicadas aos computadores membros dos grupos de segurança que você especificar ao configurar o Acesso Remoto.
Para criar um grupo de segurança para os clientes do DirectAccess
Execute o dsa.msc. No console Usuários e Computadores do Active Directory, no painel esquerdo, expanda o domínio que conterá o grupo de segurança, clique com o botão direito do mouse em Usuários, aponte para Novo e clique em Grupo.
Na caixa de diálogo Novo Objeto - Grupo, em Nome do grupo, digite o nome do grupo de segurança.
Em Escopo do grupo, clique em Global, em Tipo de grupo, escolha Segurança e clique em OK.
Clique no grupo de segurança dos computadores cliente do DirectAccess e, na caixa de diálogo de propriedades, clique na guia Membros.
Na guia Membros, clique em Adicionar.
Na caixa de diálogo Selecionar Usuários, Contatos, Computadores ou Contas de Serviço, selecione os computadores cliente que você deseja habilitar para o DirectAccess e clique em OK.
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>