Etapa 1 configurar a infraestrutura de acesso remoto

Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016

Observação: o Windows Server 2012 reúne o DirectAccess e o RRAS (Serviço de Roteamento e Acesso Remoto) em uma única função de Acesso Remoto.

Este tópico descreve como configurar a infraestrutura necessária para uma implantação de acesso remoto avançada usando um único servidor de acesso remoto em um ambiente misto de IPv4 e IPv6. Antes de iniciar as etapas de implantação, verifique se você concluiu as etapas de planejamento descritas na etapa 1: planejar a infraestrutura de acesso remoto.

Tarefa Descrição
Definir configurações de rede do servidor Definir as configurações de rede do servidor no servidor de Acesso Remoto.
Configurar o roteamento da rede corporativa Configurar o roteamento da rede corporativa para verificar se o tráfego está devidamente roteado.
Configurar firewalls Configurar firewalls adicionais, se necessário.
Configurar autoridades de certificação (CAs) e certificados Configure uma autoridade de certificação (CA), se necessário, e quaisquer outros modelos de certificado necessários na implantação.
Configurar o servidor DNS Definir as configurações de DNS para o servidor de Acesso Remoto.
Configurar o Active Directory Ingresse computadores cliente e o servidor de acesso remoto para o domínio Active Directory.
Configurar GPOs Configure objetos de Política de Grupo (GPOs) para a implantação, se necessário.
Configurar os grupos de segurança Configurar os grupos de segurança que conterão os computadores cliente do DirectAccess, além de qualquer outro grupo de segurança pedido pela implantação.
Configurar o servidor de local de rede Configurar o servidor de local de rede, inclusive instalar o certificado do site desse servidor.

Observação

Este tópico inclui cmdlets do Windows PowerShell de exemplo que podem ser usados para automatizar alguns dos procedimentos descritos. Para obter mais informações, confira Usando os Cmdlets.

Definir configurações de rede do servidor

Dependendo de se você decidir posicionar o servidor de acesso remoto na borda ou atrás de um dispositivo NAT (conversão de endereços de rede), as seguintes configurações de endereço de interface de rede são necessárias para uma implantação de servidor único em um ambiente com IPv4 e IPv6. Todos os endereços IP são configurados usando Alterar configurações do adaptador na Central de Rede e Compartilhamento do Windows.

Topologia de borda:

Requer o seguinte:

  • Dois endereços IPv4 ou IPv6 estáticos públicos consecutivos voltados para a Internet.

    Observação

    Dois endereços IPv4 públicos consecutivos são necessários para o Teredo. Se não estiver usando o Teredo, você poderá configurar um endereço IPv4 estático público individual.

  • Um único endereço estático interno IPv4 ou IPv6.

Por trás do dispositivo NAT (dois adaptadores de rede):

Requer um único endereço IPv4 ou IPv6 estático voltado para a rede interna.

Por trás do dispositivo NAT (um adaptador de rede):

Requer um único endereço IPv4 ou IPv6 estático.

Se o servidor de acesso remoto tiver dois adaptadores de rede (um para o perfil de domínio e outro para um perfil público ou privado), mas você estiver usando uma única topologia de adaptador de rede, a recomendação será a seguinte:

  1. Verifique se o segundo adaptador de rede também está classificado no perfil de domínio.

  2. se o segundo adaptador de rede não puder ser configurado para o perfil de domínio por qualquer motivo, a política IPsec do directaccess deverá ser manualmente definida como escopo para todos os perfis usando o seguinte comando de Windows PowerShell:

    $gposession = Open-NetGPO -PolicyStore <Name of the server GPO>
    Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any
    Save-NetGPO -GPOSession $gposession
    

    Os nomes das diretivas IPsec a serem usadas neste comando são DirectAccess-DaServerToInfra e DirectAccess-DaServerToCorp.

Configurar o roteamento da rede corporativa

Configure o roteamento na rede corporativa da seguinte forma:

  • Quando o IPv6 nativo for implantado na organização, adicione uma rota para que os roteadores no tráfego IPv6 da rota de rede interna retorne pelo servidor de Acesso Remoto.

  • Configure manualmente as rotas IPv4 e IPv6 da organização nos servidores de Acesso Remoto. Adicione uma rota publicada para que todo o tráfego com um prefixo (/48) IPv6 seja encaminhado para a rede interna. Além disso, para tráfego IPv4, adicione rotas explícitas para que o tráfego IPv4 seja encaminhado para a rede interna.

Configurar firewalls

Dependendo das configurações de rede escolhidas, quando você usar firewalls adicionais em sua implantação, aplique as seguintes exceções de firewall para o tráfego de acesso remoto:

Servidor de acesso remoto na Internet IPv4

Aplique as seguintes exceções de firewall voltadas para a Internet para tráfego de acesso remoto quando o servidor de acesso remoto estiver na Internet IPv4:

  • Tráfego Teredo

    Porta de destino UDP (User Datagram Protocol) 3544 de entrada e porta de origem UDP 3544 de saída. Aplique essa isenção para os endereços IPv4 públicos consecutivos voltados para a Internet no servidor de acesso remoto.

  • tráfego de 6to4

    Protocolo IP 41 de entrada e saída. Aplique essa isenção para os endereços IPv4 públicos consecutivos voltados para a Internet no servidor de acesso remoto.

  • Tráfego IP-HTTPS

    Porta de destino TCP (Transmission Control Protocol) 443 e saída da porta de origem TCP 443. Quando o servidor de Acesso Remoto tem um único adaptador de rede e o servidor de local de rede está no servidor de acesso remoto, a porta TCP 62000 também é necessária. Aplique essas isenções apenas para o endereço para o qual o nome externo do servidor é resolvido.

    Observação

    Essa isenção está configurada no servidor de acesso remoto. Todas as outras isenções são configuradas no firewall do Edge.

Servidor de acesso remoto na Internet IPv6

Aplique as seguintes exceções de firewall voltadas para a Internet para tráfego de acesso remoto quando o servidor de acesso remoto estiver na Internet IPv6:

  • Protocolo IP 50

  • Entrada da porta de destino UDP 500 e saída da porta de origem UDP 500.

  • Entrada e saída de tráfego do protocolo de mensagens de controle da Internet para IPv6 (ICMPv6) – somente para implementações de Teredo.

Tráfego de acesso remoto

Aplique as seguintes exceções de firewall de rede interna para o tráfego de acesso remoto:

  • ISATAP: protocolo 41 de entrada e saída

  • TCP/UDP para todo o tráfego IPv4 ou IPv6

  • ICMP para todo o tráfego IPv4 ou IPv6

Configurar autoridades de certificação (CAs) e certificados

com o acesso remoto no Windows Server 2012, você deve escolher entre usar certificados para autenticação do computador ou usar uma autenticação Kerberos interna que usa nomes de usuário e senhas. Você também deve configurar um certificado IP-HTTPS no servidor de acesso remoto. Esta seção explica como configurar esses certificados.

Para obter informações sobre como configurar uma PKI (infraestrutura de chave pública), consulte Active Directory serviços de certificados.

Configurar a autenticação IPsec

Um certificado é necessário no servidor de acesso remoto e em todos os clientes DirectAccess para que eles possam usar a autenticação IPsec. O certificado deve ser emitido por uma autoridade de certificação interna (CA). Os servidores de acesso remoto e os clientes do DirectAccess devem confiar na AC que emite os certificados raiz e intermediário.

Para configurar a autenticação IPsec
  1. Na AC interna, decida se você usará o modelo de certificado do computador padrão ou se criará um novo modelo de certificado, conforme descrito em criando modelos de certificado.

    Observação

    Se você criar um novo modelo, ele deverá ser configurado para autenticação de cliente.

  2. Implante o modelo de certificado, se necessário. Para obter mais informações, consulte Deploying Certificate Templates (Implantando modelos de certificado).

  3. Configure o modelo para registro automático, se necessário.

  4. Configure o registro automático de certificado, se necessário. Para obter mais informações, consulte Configurar o registro automático de certificado.

Configurar modelos de certificado

Ao usar uma AC interna para emitir certificados, você deve configurar modelos de certificado para o certificado IP-HTTPS e o certificado do site do servidor de local de rede.

Para configurar um modelo de certificado
  1. Na AC interna, crie um modelo de certificado conforme descrito em Criando modelos de certificado.

  2. Implante o modelo de certificado conforme descrito em Deploying Certificate Templates (Implantando modelos de certificado).

Depois de preparar seus modelos, você pode usá-los para configurar os certificados. Consulte os procedimentos a seguir para obter detalhes:

Configurar o certificado IP-HTTPS

O Acesso Remoto requer um certificado IP-HTTPS para autenticar conexões IP-HTTPS para o servidor de Acesso Remoto. Existem três opções de certificado para o certificado IP-HTTPS:

  • Público

    Fornecido por terceiros.

  • Privado

    O certificado é baseado no modelo de certificado que você criou em Configurando modelos de certificado. Ele requer um ponto de distribuição de CRL (lista de certificados revogados) acessível de um FQDN publicamente resolvível.

  • Auto-assinado

    Esse certificado requer um ponto de distribuição de CRL acessível de um FQDN publicamente resolvível.

    Observação

    Certificados autoassinados não podem ser usados em implantações multissite.

Verifique se o certificado do site usado para autenticação IP-HTTPS atende aos seguintes requisitos:

  • O nome da assunto do certificado deve ser o FQDN (nome de domínio totalmente qualificado) que pode ser resolvido externamente da URL IP-HTTPS (o endereço ConnectTo) usado somente para as conexões IP-HTTPS do servidor de Acesso Remoto.

  • O nome comum do certificado deverá ser corresponder ao nome do site IP-HTTPS.

  • No campo assunto, especifique o endereço IPv4 do adaptador voltado para o externo do servidor de Acesso Remoto ou o FQDN da URL IP-HTTPS.

  • Para o campo Uso Aprimorado de Chave, use o OID (Identificador de objeto de Autenticação de Servidor).

  • No campo Pontos de Distribuição da Lista de Certificados Revogados, especifique um ponto de distribuição da CRL que seja acessível aos clientes do DirectAccess conectados à Internet.

  • O certificado IP-HTTPS deve ter uma chave privada.

  • O certificado IP-HTTPS deve ser importado diretamente para o repositório pessoal.

  • Os certificados IP-HTTPS podem ter curingas no nome.

Para instalar o certificado IP-HTTPS de uma AC interna
  1. No servidor de Acesso Remoto: na tela Iniciar, digitemmc.exee pressione ENTER.

  2. No console do MMC, no menu Arquivo , clique em Adicionar/Remover Snap-in.

  3. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Certificados, Adicionar e Conta de computador. Em seguida, clique em Avançar, Computador Local, Concluir e OK.

  4. Na árvore de console do snap-in Certificados, abra Certificados (Computador Local)\Pessoal\Certificados.

  5. Clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas, clique em Solicitar Novo Certificadoe clique em Próximo duas vezes..

  6. Na página Solicitar Certificados, marque a caixa de seleção do modelo de certificado que você criou em Configurando modelos de certificado e, se necessário, clique em Mais informações são necessárias para se registrar nesse certificado.

  7. Na caixa de diálogo Propriedades do Certificado, na guia Assunto, na área Nome do requerente, em Tipo, selecione Nome Comum.

  8. Em Valor, especifique o endereço IPv4 do adaptador voltado para o externo do servidor de Acesso Remoto ou o FQDN da URL IP-HTTPS e clique em Adicionar.

  9. Na área Nome alternativo, em Tipo, selecione DNS.

  10. Em Valor, especifique o endereço IPv4 do adaptador voltado para o externo do servidor de Acesso Remoto ou o FQDN da URL IP-HTTPS e clique em Adicionar.

  11. Na guia Geral, em Nome amigável, você pode digitar um nome que ajudará a identificar o certificado.

  12. Na guia Extensões, ao lado de Uso de Chave Estendida, clique na seta e verifique se a Autenticação do Servidor está na lista Opções selecionadas.

  13. Clique em OK, Registrar e em Concluir.

  14. No painel de detalhes do snap-in Certificados, verifique se o novo certificado foi inscrito com a finalidade pretendida de autenticação do servidor.

Configurar o servidor DNS

Você deve configurar manualmente uma entrada DNS para o site do servidor de local da rede interna da sua implantação.

Para adicionar o servidor de local de rede e a investigação da Web

  1. No servidor DNS de rede interna: na tela Iniciar, digitednsmgmt.msce pressione ENTER.

  2. No painel esquerdo do console Gerenciador DNS, expanda a zona de pesquisa direta para o seu domínio. Clique com o botão direito do mouse no domínio e clique em Novo Host (A ou AAAA).

  3. Na caixa de diálogo Novo Host, na caixa Nome (usa o nome de domínio pai se estiver em branco), insira o nome DNS para o site do servidor de local de rede (esse é o nome que os clientes do DirectAccess usam para se conectar ao servidor de local de rede). Na caixa Endereço IP, insira o endereço IPv4 do servidor de local de rede, clique em Adicionar Hoste clique em OK.

  4. Na caixa de diálogo Novo Host, na caixa Nome (usa o nome de domínio pai se estiver em branco), insira o nome DNS para a investigação da Web (o nome da investigação da Web padrão é directaccess-webprobehost). Na caixa Endereço IP, digite o endereço IPv4 da sonda da web e clique em Adicionar Host.

  5. Repita esse processo para o directaccess-corpconnectivityhost e quaisquer verificadores de conectividade criados manualmente. Na caixa de diálogo DNS, clique em OK.

  6. Clique em Concluído.

Windows PowerShellWindows PowerShell comandos equivalentes

O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.

Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>

Você também deve configurar entradas DNS para o seguinte:

  • O servidor IP-HTTPS

    Os clientes do DirectAccess devem ser capazes de resolver o nome DNS do servidor de Acesso Remoto da Internet.

  • Verificação de revogação de CRL

    O DirectAccess usa a verificação de revogação de certificado para a conexão IP-HTTPS entre clientes do DirectAccess e o servidor de Acesso Remoto e para a conexão baseada em HTTPS entre o cliente directAccess e o servidor de local de rede. Em ambos os casos, os clientes do DirectAccess devem poder resolver e acessar o local do ponto de distribuição da CRL.

  • ISATAP

    O PROTOCOLO ISATAP (Protocolo de Endereçamento Automático de Tunnel) intrasite usa túneis para permitir que os clientes do DirectAccess se conectem ao servidor de Acesso Remoto pela Internet IPv4, encapsulando pacotes IPv6 em um header IPv4. Ele é usado pelo Acesso Remoto para fornecer conectividade IPv6 aos hosts ISATAP na intranet. Em um ambiente de rede IPv6 não nativo, o servidor de Acesso Remoto configura-se automaticamente como um roteador ISATAP. É necessário suporte à resolução para o nome ISTAPA.

Configurar o Active Directory

O servidor de Acesso Remoto e todos os computadores cliente do DirectAccess devem ser ingressados em um domínio do Active Directory. Os computadores cliente do DirectAccess devem ser membros de um dos seguintes tipos de domínio:

  • Domínios pertencentes à mesma floresta que o servidor de Acesso Remoto.

  • Domínios pertencentes a florestas com relações de confiança bidirecional com a floresta do servidor de Acesso Remoto.

  • Domínios com relação de confiança bidirecional com o domínio do servidor de Acesso Remoto.

Para ingressar o servidor do DirectAccess em um domínio

  1. No Gerenciador do Servidor, clique em Servidor Local. No painel de detalhes, clique no link ao lado do Nome do computador.

  2. No propriedades do sistema caixa de diálogo, clique em nome do computador guia e, em seguida, clique em alteração.

  3. Na caixa Nome do Computador, digite o nome do computador se você também estiver alterando o nome do computador ao ingressar o servidor no domínio. Em Membro do, clique em Domínio e digite o nome do domínio ao qual você deseja ingressar no servidor , (por exemplo, corp.contoso.com) e clique em OK.

  4. Quando for solicitado que você insira um nome de usuário e uma senha, insira o nome de usuário e a senha de um usuário com permissões para ingressar computadores no domínio e clique em OK.

  5. Quando você vir uma caixa de diálogo de boas-vindas ao domínio, clique em OK.

  6. Quando você for solicitado a reiniciar o computador, clique em OK.

  7. Na caixa de diálogo Propriedades do Sistema, clique em Fechar.

  8. Quando for solicitado a reiniciar o computador, clique em Reiniciar Agora.

Para ingressar computadores cliente no domínio

  1. Na tela Iniciar, digiteexplorer.exee pressione ENTER.

  2. Clique com o botão direito do mouse no ícone Computador e em Propriedades.

  3. Na página Sistema, clique em Configurações avançadas do sistema.

  4. Na caixa de diálogo Propriedades do Sistema, na guia Nome do Computador, clique em Alterar.

  5. Na caixa Nome do computador, digite o nome do computador se você também estiver alterando o nome do computador ao ingressar o servidor no domínio. Em Membro de, clique em Domínio, digite o nome do domínio no qual deseja ingressar o servidor (por exemplo, corp.contoso.com) e clique em OK.

  6. Quando for solicitado que você insira um nome de usuário e uma senha, insira o nome de usuário e a senha de um usuário com permissões para ingressar computadores no domínio e clique em OK.

  7. Quando você vir uma caixa de diálogo de boas-vindas ao domínio, clique em OK.

  8. Quando você for solicitado a reiniciar o computador, clique em OK.

  9. Na caixa de diálogo Propriedades do Sistema , clique em Fechar.

  10. Clique em Reiniciar Agora quando solicitado.

Windows PowerShellWindows PowerShell comandos equivalentes

O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.

Observação

Você deve fornecer credenciais de domínio depois de inserir o comando a seguir.

Add-Computer -DomainName <domain_name>
Restart-Computer

Configurar GPOs

Para implantar o Acesso Remoto, você precisa de no mínimo dois Política de Grupo Objetos. Um Política de Grupo Objeto contém configurações para o servidor de Acesso Remoto e outra contém configurações para computadores cliente do DirectAccess. Quando você configura o Acesso Remoto, o assistente cria automaticamente os objetos Política de Grupo necessários. No entanto, se sua organização impor uma convenção de nomen entre si ou se você não tiver as permissões necessárias para criar ou editar objetos Política de Grupo, eles deverão ser criados antes da configuração do Acesso Remoto.

Para criar Política de Grupo objetos, consulte Criar e editar um objeto Política de Grupo .

Um administrador pode vincular manualmente o DirectAccess Política de Grupo Objects a uma UO (unidade organizacional). Considere o seguinte:

  1. Vincule os GPOs criados às respectivas OUs antes de configurar o DirectAccess.

  2. Ao configurar o DirectAccess, especifique um grupo de segurança para os computadores cliente.

  3. Os GPOs são configurados automaticamente, independentemente de o administrador ter permissões para vincular os GPOs ao domínio.

  4. Se os GPOs já estão vinculados a uma UO, os links não serão removidos, mas não estão vinculados ao domínio.

  5. Para GPOs de servidor, a UO deve conter o objeto do computador do servidor; caso contrário, o GPO será vinculado à raiz do domínio.

  6. Se a UO não tiver sido vinculada anteriormente executando o directAccess Assistente de Instalação, depois que a configuração for concluída, o administrador poderá vincular os GPOs do DirectAccess às UOs necessárias e remover o link para o domínio.

    Para obter mais informações, consulte Estabelecer um vínculo de um objeto de política de grupo.

Observação

Se um objeto Política de Grupo foi criado manualmente, é possível que o objeto Política de Grupo não estará disponível durante a configuração do DirectAccess. O Política de Grupo objeto pode não ter sido replicado para o controlador de domínio mais próximo do computador de gerenciamento. O administrador pode aguardar a replicação ser concluída ou forçar a replicação.

Configurar os grupos de segurança

As configurações do DirectAccess contidas no objeto Política de Grupo computador cliente são aplicadas somente a computadores que são membros dos grupos de segurança especificados ao configurar o Acesso Remoto.

Para criar um grupo de segurança para os clientes do DirectAccess

  1. Na tela Iniciar, digitedsa.msce pressione ENTER.

  2. No console Usuários e Computadores do Active Directory, no painel esquerdo, expanda o domínio que conterá o grupo de segurança, clique com o botão direito do mouse em Usuários, aponte para Novo e clique em Grupo.

  3. Na caixa de diálogo Novo Objeto – Grupo, em Nome do grupo, digite o nome do grupo de segurança.

  4. Em Escopo do grupo, clique em Global e, em Tipo de grupo, clique em Segurança e em OK.

  5. Clique duas vezes no grupo de segurança computadores cliente do DirectAccess e, na caixa de diálogo Propriedades, clique na guia Membros.

  6. Na guia Membros, clique em Adicionar.

  7. Na caixa de diálogo Selecionar Usuários, Contatos, Computadores ou Contas de Serviço, escolha os computadores cliente que desejar habilitar para o DirectAccess e clique em OK.

Windows PowerShellWindows PowerShell comandos equivalentes

O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.

New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>

Configurar o servidor de local de rede

O servidor de local de rede deve estar em um servidor com alta disponibilidade e precisa de um certificado SSL (protocolo SSL) válido que seja confiável para os clientes do DirectAccess.

Observação

Se o site do servidor de local de rede estiver localizado no servidor de Acesso Remoto, um site será criado automaticamente quando você configurar o Acesso Remoto e ele será vinculado ao certificado do servidor que você fornecer.

Existem duas opções de certificado para o certificado do servidor de local de rede:

  • Privado

    Observação

    O certificado é baseado no modelo de certificado que você criou em Configurando modelos de certificado.

  • Auto-assinado

    Observação

    Certificados autoassinados não podem ser usados em implantações multissite.

Se você usar um certificado privado ou um certificado auto-assinado, eles exigirão o seguinte:

  • Um certificado do site usado para o servidor de local de rede. A entidade do certificado deve ser a URL do servidor de local de rede.

  • Um ponto de distribuição de CRL que tem alta disponibilidade na rede interna.

Para instalar o certificado de servidor de local de rede de uma AC interna

  1. No servidor que hospedará o site do servidor de local de rede: na tela Iniciar, digitemmc.exee pressione ENTER.

  2. No console do MMC, no menu Arquivo , clique em Adicionar/Remover Snap-in.

  3. Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Certificados, Adicionar e Conta de computador. Em seguida, clique em Avançar, Computador Local, Concluir e OK.

  4. Na árvore de console do snap-in Certificados, abra Certificados (Computador Local)\Pessoal\Certificados.

  5. Clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas, clique em Solicitar Novo Certificadoeclique em Próximo duas vezes.

  6. Na página Solicitar Certificados, marque a caixa de seleção do modelo de certificado que você criou em Configurando modelos de certificado e, se necessário, clique em Mais informações são necessárias para se registrar nesse certificado.

  7. Na caixa de diálogo Propriedades do Certificado, na guia Assunto, na área Nome do requerente, em Tipo, selecione Nome Comum.

  8. Em Valor, insira o FQDN do site do servidor de local de rede e clique em Adicionar.

  9. Na área Nome alternativo, em Tipo, selecione DNS.

  10. Em Valor, insira o FQDN do site do servidor de local de rede e clique em Adicionar.

  11. Na guia Geral, em Nome amigável, você pode digitar um nome que ajudará a identificar o certificado.

  12. Clique em OK, Registrar e em Concluir.

  13. No painel de detalhes do snap-in Certificados, verifique se o novo certificado foi inscrito com a finalidade pretendida de autenticação do servidor.

Para configurar o servidor de local de rede

  1. Configure um site em um servidor de alta disponibilidade. O site não precisa de nenhum conteúdo, mas ao testá-lo, você poderá definir uma página padrão que apresente uma mensagem quando o cliente se conectar.

    Esta etapa não será necessária se o site do servidor de local de rede estiver hospedado no servidor de Acesso Remoto.

  2. Associar um certificado de servidor HTTPS ao site. O nome comum do certificado deve corresponder ao nome do site do servidor de local de rede. Assegure-se de que os clientes do DirectAccess confiem na AC emissora.

    Esta etapa não será necessária se o site do servidor de local de rede estiver hospedado no servidor de Acesso Remoto.

  3. Configurar um site de CRL que tenha alta disponibilidade na rede interna.

    Os pontos de distribuição da CRL podem ser acessados por meio de:

    Se o ponto de distribuição de CRL interno estiver acessível somente por IPv6, você deverá configurar uma regra de segurança de conexão Windows Firewall com Segurança Avançada. Isso isenta a proteção IPsec do espaço de endereço IPv6 da intranet para os endereços IPv6 de seus pontos de distribuição de CRL.

  4. Verifique se os clientes do DirectAccess na rede interna podem resolver o nome do servidor de local de rede e se os clientes do DirectAccess na Internet não podem resolver o nome.