Etapa 1: Configurar a infraestrutura de acesso remoto
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Observação: o Windows Server 2012 reúne o DirectAccess e o RRAS (Serviço de Roteamento e Acesso Remoto) em uma única função de Acesso Remoto.
Este tópico descreve como configurar a infraestrutura necessária para uma implantação avançada do Acesso Remoto usando um servidor individual de Acesso Remoto em um ambiente misto de IPv4 e IPv6. Antes de começar as etapas de implantação, verifique se você concluiu as etapas de planejamento descritas na Etapa 1: Planejar a infraestrutura do Acesso Remoto.
| Tarefa | Descrição |
|---|---|
| Definir configurações de rede do servidor | Definir as configurações de rede do servidor no servidor de Acesso Remoto. |
| Configurar o roteamento da rede corporativa | Configurar o roteamento da rede corporativa para verificar se o tráfego está devidamente roteado. |
| Configurar firewalls | Configurar firewalls adicionais, se necessário. |
| Configurar autoridades de certificação (CAs) e certificados | Configurar uma AC (autoridade de certificação), se necessário, e qualquer outro modelo de certificado necessário na implantação. |
| Configurar o servidor DNS | Definir as configurações de DNS para o servidor de Acesso Remoto. |
| Configurar o Active Directory | Ingressar os computadores cliente e o servidor de Acesso Remoto no domínio do Active Directory. |
| Configurar GPOs | Configurar GPOs (Objetos de Política de Grupo) para a implantação, se necessário. |
| Configurar os grupos de segurança | Configurar os grupos de segurança que conterão os computadores cliente do DirectAccess, além de qualquer outro grupo de segurança pedido pela implantação. |
| Configurar o servidor de local de rede | Configurar o servidor de local de rede, inclusive instalar o certificado do site desse servidor. |
Observação
Este tópico inclui cmdlets do Windows PowerShell de exemplo que podem ser usados para automatizar alguns dos procedimentos descritos. Para obter mais informações, confira Usando os Cmdlets.
Definir configurações de rede do servidor
Dependendo se você decidir colocar o servidor de Acesso Remoto na borda ou protegido por um dispositivo NAT (conversão de endereços de rede), as configurações de endereço de adaptador de rede a seguir serão necessárias para uma implantação de servidor único em um ambiente com o IPv4 e o IPv6. Todos os endereços IP são configurados usando Alterar configurações do adaptador na Central de Rede e Compartilhamento do Windows.
Topologia de borda:
Requer o seguinte:
Dois endereços IPv4 ou IPv6 estáticos, públicos e consecutivos para a Internet.
Observação
Dois endereços IPv4 públicos consecutivos são necessários para o Teredo. Se não estiver usando o Teredo, você poderá configurar um endereço IPv4 estático público individual.
Um único endereço estático interno IPv4 ou IPv6.
Protegido por um dispositivo NAT (dois adaptadores de rede):
Exige um endereço IPv4 ou IPv6 individual, estático e interno voltado à rede.
Protegido por um dispositivo NAT (um adaptador de rede):
Exige um endereço IPv4 ou IPv6 individual estático.
Se o servidor de Acesso Remoto tiver dois adaptadores de rede (um para o perfil de domínio e outro para um perfil público ou privado), mas você estiver usando uma só topologia de adaptador de rede, a recomendação será a seguinte:
Verifique se o segundo adaptador de rede também está classificado no perfil do domínio.
Se o segundo adaptador de rede não puder ser configurado para o perfil do domínio por alguma razão, a política de IPsec do DirectAccess precisará ser manualmente estendida para todos os perfis com o seguinte comando do Windows PowerShell:
$gposession = Open-NetGPO -PolicyStore <Name of the server GPO> Set-NetIPsecRule -DisplayName <Name of the IPsec policy> -GPOSession $gposession -Profile Any Save-NetGPO -GPOSession $gposessionOs nomes das políticas IPsec a serem usadas neste comando são DirectAccess-DaServerToInfra e DirectAccess-DaServerToCorp.
Configurar o roteamento da rede corporativa
Configure o roteamento na rede corporativa da seguinte forma:
Quando o IPv6 nativo for implantado na organização, adicione uma rota para que os roteadores no tráfego IPv6 da rota de rede interna retorne pelo servidor de Acesso Remoto.
Configure manualmente as rotas IPv4 e IPv6 da organização nos servidores de Acesso Remoto. Adicione uma rota publicada para que todo o tráfego com um prefixo IPv6 (/48) seja encaminhado à rede interna. Além disso, para tráfego IPv4, adicione rotas explícitas para que o tráfego IPv4 seja encaminhado para a rede interna.
Configurar firewalls
Dependendo das configurações de rede escolhidas, ao usar firewalls adicionais na sua implantação, aplique as seguintes exceções de firewall para o tráfego do Acesso Remoto:
Servidor de Acesso Remoto na Internet IPv4
Aplique as seguintes exceções do firewall voltado para a Internet do tráfego do Acesso Remoto quando o servidor de Acesso Remoto estiver na Internet IPv4:
Tráfego do Teredo
Entrada da porta UDP 3544 de destino e saída da porta do protocolo UDP 3544 de origem. Aplique essa exceção aos endereços IPv4 públicos consecutivos para a Internet no servidor de acesso remoto.
Tráfego 6to4
Protocolo IP 41 de entrada e de saída. Aplique essa exceção aos endereços IPv4 públicos consecutivos para a Internet no servidor de acesso remoto.
Tráfego IP-HTTPS
Porta 443 de destino do protocolo TCP e saída da porta 443 de origem do TCP. Quando o servidor de Acesso Remoto tem um único adaptador de rede e o servidor de local de rede está no servidor de acesso remoto, a porta TCP 62000 também é necessária. Aplique essas isenções apenas ao endereço no qual o nome externo do servidor é resolvido.
Observação
Essa isenção é configurada no servidor de Acesso Remoto. Todas as outras isenções são configuradas no firewall de borda.
Servidor de Acesso Remoto na Internet IPv6
Aplique as seguintes exceções do firewall voltado para a Internet do tráfego do Acesso Remoto quando o servidor de Acesso Remoto estiver na Internet IPv6:
Protocolo IP 50
Entrada da porta de destino UDP 500 e saída da porta de origem UDP 500.
Tráfego de entrada e saída do protocolo ICMPv6 (ICMP para IPv6) — Somente para implementações do Teredo.
Tráfego do Acesso Remoto
Aplique as seguintes exceções do firewall de rede interna ao tráfego do Acesso Remoto:
ISATAP: protocolo 41 de entrada e saída
TCP/UDP para todo o tráfego IPv4 ou IPv6
ICMP para todo o tráfego IPv4 ou IPv6
Configurar autoridades de certificação (CAs) e certificados
Com o Acesso Remoto no Windows Server 2012, você pode escolher entre usar certificados para autenticação de computadores ou usar uma autenticação Kerberos interna que usa nomes de usuário e senhas. Você também precisa configurar um certificado IP-HTTPS no servidor de Acesso Remoto. Esta seção explica como configurar esses certificados.
Para obter informações sobre como configurar uma PKI (infraestrutura de chave pública), confira Serviços de Certificados do Active Directory.
Configurar a autenticação IPsec
Um certificado é necessário no servidor de Acesso Remoto e em todos os clientes do DirectAccess para que eles possam usar a autenticação IPsec. O certificado precisa ser emitido por uma AC (autoridade de certificação) interna. Os servidores de Acesso Remoto e os clientes do DirectAccess precisam confiar na AC que emite os certificados raiz e intermediários.
Para configurar a autenticação IPsec
Na AC interna, decida se usará o modelo de certificado do computador padrão ou se criará um modelo de certificado, conforme descrito em Como criar modelos de certificado.
Observação
Se você criar um modelo, ele precisará ser configurado para a autenticação do cliente.
Implante o modelo de certificado, se necessário. Para obter mais informações, consulte Deploying Certificate Templates (Implantando modelos de certificado).
Configure o modelo de certificado para o registro automático, se necessário.
Configure o registro automático de certificado, se necessário. Para obter mais informações, consulte Configurar o registro automático de certificado.
Configurar modelos de certificado
Ao usar uma AC interna para emitir certificados, configure um modelo de certificado para o certificado IP-HTTPS e o certificado de site do servidor de local de rede.
Para configurar um modelo de certificado
Na AC interna, crie um modelo de certificado conforme descrito em Criando modelos de certificado.
Implante o modelo de certificado conforme descrito em Deploying Certificate Templates (Implantando modelos de certificado).
Depois de preparar os modelos, você poderá usá-los para configurar os certificados. Confira os seguintes procedimentos para obter mais detalhes:
Configurar o certificado IP-HTTPS
O Acesso Remoto requer um certificado IP-HTTPS para autenticar conexões IP-HTTPS para o servidor de Acesso Remoto. Existem três opções de certificado para o certificado IP-HTTPS:
Público
Fornecido por terceiros.
Privado
O certificado é baseado no modelo de certificado criado em Como configurar modelos de certificado. Ele exige um ponto de distribuição da CRL (lista de certificados revogados) que esteja acessível em um FQDN que possa ser resolvido publicamente.
Autoassinado
Esse certificado exige um ponto de distribuição da CRL que esteja acessível em um FQDN que possa ser resolvido publicamente.
Observação
Certificados autoassinados não podem ser usados em implantações multissite.
Verifique se o certificado do site usado para autenticação IP-HTTPS atende aos seguintes requisitos:
O nome da entidade do certificado deve ser o FQDN (nome de domínio totalmente qualificado) que possa ser resolvido externamente da URL IP-HTTPS (o endereço ConnectTo) que é usado apenas para as conexões IP-HTTPS do servidor de Acesso Remoto.
O nome comum do certificado deverá ser corresponder ao nome do site IP-HTTPS.
No campo Entidade, especifique o endereço IPv4 do adaptador externo do servidor de Acesso Remoto ou o FQDN da URL IP-HTTPS.
No campo Uso Avançado de Chave, use o OID (identificador de objeto) da autenticação de servidor.
No campo Pontos de Distribuição da Lista de Certificados Revogados, especifique um ponto de distribuição da CRL que seja acessível aos clientes do DirectAccess conectados à Internet.
O certificado IP-HTTPS deve ter uma chave privada.
O certificado IP-HTTPS deve ser importado diretamente para o repositório pessoal.
Os certificados IP-HTTPS podem ter curingas no nome.
Para instalar o certificado IP-HTTPS de uma AC interna
No servidor de Acesso Remoto: na tela Iniciar, digite mmc.exe e pressione ENTER.
No console do MMC, no menu Arquivo , clique em Adicionar/Remover Snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Certificados, Adicionar e Conta de computador. Em seguida, clique em Avançar, Computador Local, Concluir e OK.
Na árvore de console do snap-in Certificados, abra Certificados (Computador Local)\Pessoal\Certificados.
Clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas, clique em Solicitar Novo Certificado e clique em Avançar duas vezes.
Na página Solicitar Certificados, marque a caixa de seleção do modelo de certificado criado em Como configurar modelos de certificado e, se necessário, clique em Mais informações são necessárias para se registrar neste certificado.
Na caixa de diálogo Propriedades do Certificado, na guia Assunto, na área Nome do requerente, em Tipo, selecione Nome Comum.
Em Valor, especifique o endereço IPv4 no adaptador externo do servidor de acesso remoto ou o FQDN da URL IP-HTTPS e clique em Adicionar.
Na área Nome alternativo, em Tipo, selecione DNS.
Em Valor, especifique o endereço IPv4 no adaptador externo do servidor de acesso remoto ou o FQDN da URL IP-HTTPS e clique em Adicionar.
Na guia Geral, em Nome amigável, você pode digitar um nome que ajudará a identificar o certificado.
Na guia Extensões, ao lado de Uso de Chave Estendida, clique na seta e verifique se a Autenticação do Servidor está na lista Opções selecionadas.
Clique em OK, Registrar e em Concluir.
No painel de detalhes do snap-in Certificados, verifique se o novo certificado foi registrado com a finalidade pretendida de autenticação de servidor.
Configurar o servidor DNS
Você deve configurar manualmente uma entrada DNS para o site do servidor de local da rede interna da sua implantação.
Para adicionar a investigação da Web e de servidor de local de rede
No servidor DNS de rede interna: na tela Iniciar, digite dnsmgmt.msc e pressione ENTER.
No painel esquerdo do console Gerenciador DNS, expanda a zona de pesquisa direta para o seu domínio. Clique com o botão direito do mouse no domínio e clique em Novo Host (A ou AAAA).
Na caixa de diálogo Novo Host, na caixa Nome (usa o nome de domínio pai se deixado em branco), insira o nome de DNS do site do servidor de local de rede (este é o nome que os clientes do DirectAccess usam para se conectarem ao servidor de local de rede). Na caixa Endereço IP, insira o endereço IPv4 no servidor de local de rede, clique em Adicionar Host e em OK.
Na caixa de diálogo Novo Host, na caixa Nome (usa o nome de domínio pai se deixado em branco), insira o nome do DNS da investigação da Web (o nome da investigação da Web é directaccess-webprobehost). Na caixa Endereço IP, digite o endereço IPv4 da sonda da web e clique em Adicionar Host.
Repita esse processo para o directaccess-corpconnectivityhost e quaisquer verificadores de conectividade criados manualmente. Na caixa de diálogo DNS, clique em OK.
Clique em Concluído.
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Add-DnsServerResourceRecordA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv4Address <network_location_server_IPv4_address>
Add-DnsServerResourceRecordAAAA -Name <network_location_server_name> -ZoneName <DNS_zone_name> -IPv6Address <network_location_server_IPv6_address>
Você também deve configurar entradas DNS para o seguinte:
O servidor IP-HTTPS
Os clientes do DirectAccess precisam conseguir resolver o nome DNS do servidor de Acesso Remoto pela Internet.
Verificação de revogação de CRL
O DirectAccess usa a verificação de revogação de certificados para a conexão IP-HTTPS entre os clientes do DirectAccess e o servidor de Acesso Remoto e para a conexão baseada em HTPPS entre o cliente do DirectAccess e o servidor de local de rede. Em ambos os casos, os clientes do DirectAccess devem poder resolver e acessar o local do ponto de distribuição da CRL.
ISATAP
O protocolo ISATAP usa túneis para permitir que os clientes do DirectAccess estabeleçam conexão com o servidor de Acesso Remoto pela Internet IPv4, encapsulando pacotes IPv6 em um cabeçalho IPv4. Ele é usado pelo Acesso Remoto para fornecer conectividade IPv6 aos hosts ISATAP na intranet. Em um ambiente de rede IPv6 não nativo, o servidor de Acesso Remoto configura a si mesmo automaticamente como um roteador ISATAP. É necessário suporte à resolução para o nome ISTAPA.
Configurar o Active Directory
O servidor de Acesso Remoto e todos os computadores cliente do DirectAccess devem ser ingressados em um domínio do Active Directory. Os computadores cliente do DirectAccess devem ser membros de um dos seguintes tipos de domínio:
Domínios pertencentes à mesma floresta que o servidor de Acesso Remoto.
Domínios pertencentes a florestas com relações de confiança bidirecional com a floresta do servidor de Acesso Remoto.
Domínios com relação de confiança bidirecional com o domínio do servidor de Acesso Remoto.
Para ingressar o servidor do DirectAccess em um domínio
No Gerenciador do Servidor, clique em Servidor Local. No painel de detalhes, clique no link ao lado do Nome do computador.
No propriedades do sistema caixa de diálogo, clique em nome do computador guia e, em seguida, clique em alteração.
Na caixa Nome do Computador, digite o nome do computador se você também estiver alterando o nome dele ao ingressar o servidor no domínio. Em Membro de, clique em Domínio e digite o nome do domínio em que deseja ingressar o servidor (por exemplo, corp.contoso.com) e clique em OK.
Quando precisar informar um nome de usuário e uma senha, insira o nome de usuário e a senha de um usuário com permissões de ingressar computadores no domínio e clique em OK.
Quando você vir uma caixa de diálogo de boas-vindas ao domínio, clique em OK.
Quando você for solicitado a reiniciar o computador, clique em OK.
Na caixa de diálogo Propriedades do Sistema, clique em Fechar.
Quando for solicitado a reiniciar o computador, clique em Reiniciar Agora.
Para ingressar computadores cliente no domínio
Na tela Iniciar, digite explorer.exe e pressione ENTER.
Clique com o botão direito do mouse no ícone Computador e em Propriedades.
Na página Sistema, clique em Configurações avançadas do sistema.
Na caixa de diálogo Propriedades do Sistema, na guia Nome do Computador, clique em Alterar.
Na caixa Nome do computador, digite o nome do computador se você também estiver alterando o nome dele ao ingressar o servidor no domínio. Em Membro de, clique em Domínio, digite o nome do domínio no qual deseja ingressar o servidor (por exemplo, corp.contoso.com) e clique em OK.
Quando precisar informar um nome de usuário e uma senha, insira o nome de usuário e a senha de um usuário com permissões de ingressar computadores no domínio e clique em OK.
Quando você vir uma caixa de diálogo de boas-vindas ao domínio, clique em OK.
Quando você for solicitado a reiniciar o computador, clique em OK.
Na caixa de diálogo Propriedades do Sistema, clique em Fechar.
Clique em Reiniciar Agora quando solicitado.
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
Observação
Você precisa fornecer as credenciais do domínio depois de inserir o comando a seguir.
Add-Computer -DomainName <domain_name>
Restart-Computer
Configurar GPOs
Para implantar o Acesso Remoto, você precisa ter, no mínimo, dois Objetos de Política de Grupo. Um Objeto de Política de Grupo contém as configurações do servidor de Acesso Remoto e outro contém as configurações dos computadores cliente do DirectAccess. Quando você configurar o Acesso Remoto, o assistente criará automaticamente os Objetos de Política de Grupo necessários. Contudo, se a sua organização impor uma convenção de nomenclatura ou se você não tem as permissões necessárias para criar ou editar Objetos de Política de Grupo, eles precisam ser criados antes da configuração do Acesso Remoto.
Para criar Objetos de Política de Grupo, confira Criar e editar um Objeto de Política de Grupo.
Um administrador pode vincular manualmente os Objetos de Política de Grupo do DirectAccess a uma UO (unidade organizacional). Considere o seguinte:
Vincule os GPOs criados às respectivas UOs antes de configurar o DirectAccess.
Ao configurar o DirectAccess, especifique um grupo de segurança para os computadores cliente.
Os GPOs são configurados de modo automático, independentemente de o administrador ter permissões para vincular os GPOs ao domínio.
Se os GPOs já estiverem vinculados a uma UO, os links não serão removidos, mais eles não serão vinculados ao domínio.
Para GPOs de servidor, a UO precisará conter o objeto de computador do servidor, caso contrário, o GPO será vinculado à raiz do domínio.
Se a UO não tiver sido vinculada anteriormente pela execução do Assistente para Instalação do DirectAccess, depois que a configuração for concluída, o administrador poderá vincular os GPOs do DirectAccess às UOs necessárias e remover o link para o domínio.
Para obter mais informações, consulte Estabelecer um vínculo de um objeto de política de grupo.
Observação
Se um Objeto de Política de Grupo tiver sido criado manualmente, será possível que ele não esteja disponível durante a configuração do DirectAccess. Talvez o Objeto de Política de Grupo não tenha sido replicado no controlador de domínio mais próximo ao computador de gerenciamento. O administrador poderá aguardar a replicação ser concluída ou forçá-la.
Configurar os grupos de segurança
As configurações do DirectAccess contidas no Objeto de Política de Grupo do computador cliente só serão aplicadas aos computadores membros dos grupos de segurança que você especificar ao configurar o Acesso Remoto.
Para criar um grupo de segurança para os clientes do DirectAccess
Na tela Iniciar, digite dsa.msc e pressione ENTER.
No console Usuários e Computadores do Active Directory, no painel esquerdo, expanda o domínio que conterá o grupo de segurança, clique com o botão direito do mouse em Usuários, aponte para Novo e clique em Grupo.
Na caixa de diálogo Novo Objeto – Grupo, em Nome do grupo, digite o nome do grupo de segurança.
Em Escopo do grupo, clique em Global e, em Tipo de grupo, clique em Segurança e em OK.
Clique duas vezes no grupo de segurança dos computadores cliente do DirectAccess e, na caixa de diálogo Propriedades, clique na guia Membros.
Na guia Membros, clique em Adicionar.
Na caixa de diálogo Selecionar Usuários, Contatos, Computadores ou Contas de Serviço, escolha os computadores cliente que desejar habilitar para o DirectAccess e clique em OK.
Comandos equivalentes do Windows PowerShell
O seguinte cmdlet ou cmdlets do Windows PowerShell executam a mesma função que o procedimento anterior. Insira cada cmdlet em uma única linha, mesmo que possa aparecer quebra em várias linhas aqui devido a restrições de formatação.
New-ADGroup -GroupScope global -Name <DirectAccess_clients_group_name>
Add-ADGroupMember -Identity DirectAccess_clients_group_name -Members <computer_name>
Configurar o servidor de local de rede
O servidor de local de rede deve estar em um servidor com alta disponibilidade e precisa ter um certificado SSL válido e confiável para os clientes do DirectAccess.
Observação
Se o site do servidor de local de rede se encontrar no servidor de Acesso Remoto, um site será criado automaticamente quando você configurar o Acesso Remoto e ele for vinculado ao certificado de servidor fornecido.
Existem duas opções de certificado para o certificado do servidor de local de rede:
Privado
Observação
O certificado é baseado no modelo de certificado criado em Como configurar modelos de certificado.
Autoassinado
Observação
Certificados autoassinados não podem ser usados em implantações multissite.
Se você usa um certificado privado ou um certificado autoassinado, eles exigem o seguinte:
Um certificado do site usado para o servidor de local de rede. A entidade do certificado deve ser a URL do servidor de local de rede.
Um ponto de distribuição da CRL que tenha alta disponibilidade na rede interna.
Para instalar o certificado de servidor de local de rede de uma AC interna
No servidor que hospedará o site do servidor de local de rede: na tela Iniciar, digite mmc.exe e pressione ENTER.
No console do MMC, no menu Arquivo , clique em Adicionar/Remover Snap-in.
Na caixa de diálogo Adicionar ou Remover Snap-ins, clique em Certificados, Adicionar e Conta de computador. Em seguida, clique em Avançar, Computador Local, Concluir e OK.
Na árvore de console do snap-in Certificados, abra Certificados (Computador Local)\Pessoal\Certificados.
Clique com o botão direito do mouse em Certificados, aponte para Todas as Tarefas, clique em Solicitar Novo Certificado e clique em Avançar duas vezes.
Na página Solicitar Certificados, marque a caixa de seleção do modelo de certificado criado em Como configurar modelos de certificado e, se necessário, clique em Mais informações são necessárias para se registrar neste certificado.
Na caixa de diálogo Propriedades do Certificado, na guia Assunto, na área Nome do requerente, em Tipo, selecione Nome Comum.
Em Valor, insira o FQDN do site do servidor de local de rede e clique em Adicionar.
Na área Nome alternativo, em Tipo, selecione DNS.
Em Valor, insira o FQDN do site do servidor de local de rede e clique em Adicionar.
Na guia Geral, em Nome amigável, você pode digitar um nome que ajudará a identificar o certificado.
Clique em OK, Registrar e em Concluir.
No painel de detalhes do snap-in Certificados, verifique se o novo certificado foi registrado com a finalidade pretendida de autenticação de servidor.
Para configurar o servidor de local de rede
Configure um site em um servidor de alta disponibilidade. O site não precisa de nenhum conteúdo, mas ao testá-lo, você poderá definir uma página padrão que apresente uma mensagem quando o cliente se conectar.
Essa etapa não será necessária se o site do servidor de local de rede estiver hospedado no servidor de acesso remoto.
Associar um certificado de servidor HTTPS ao site. O nome comum do certificado deve corresponder ao nome do site do servidor de local de rede. Assegure-se de que os clientes do DirectAccess confiem na AC emissora.
Essa etapa não será necessária se o site do servidor de local de rede estiver hospedado no servidor de acesso remoto.
Configure um site de CRL que tenha alta disponibilidade na rede interna.
Os pontos de distribuição da CRL podem ser acessados por meio de:
Servidores Web que usam uma URL baseada em HTTP, como: https://crl.corp.contoso.com/crld/corp-APP1-CA.crl
Servidores de arquivos acessados por meio de um caminho UNC, como \\crl.corp.contoso.com\crld\corp-APP1-CA.crl
Se o ponto de distribuição interno da CRL só estiver acessível via IPv6, você precisará configurar uma regra de segurança de conexão do Firewall do Windows com Segurança Avançada. Isso isenta a proteção IPsec do espaço de endereço IPv6 da intranet para os endereços IPv6 dos pontos de distribuição da CRL.
Verifique se os clientes do DirectAccess na rede interna podem resolver o nome do servidor de local de rede e se os clientes do DirectAccess na Internet não podem resolver o nome.