Etapa 2 Planejar a implantação do acesso remoto
Aplica-se a: Windows Server 2022, Windows Server 2019 e Windows Server 2016
Depois de planejar a infraestrutura que pretende usar para configurar seu único servidor de Acesso Remoto para gerenciamento remoto de clientes DirectAccess, você estará pronto para planejar as configurações que o Assistente de Instalação de Acesso Remoto usará.
Observação
Antes de continuar com essas tarefas, consulte Etapa 1: planejar a infraestrutura de acesso remoto.
| Tarefa | Descrição |
|---|---|
| Planejar uma estratégia de implantação de cliente | Decida quais computadores gerenciados serão configurados como clientes do DirectAccess. |
| Planejar uma estratégia de implantação do servidor de Acesso Remoto | Planeje como implantar o servidor de Acesso Remoto. |
| Planejar as configurações dos servidores de infraestrutura | Planeje os servidores de infraestrutura na implantação do Acesso Remoto, incluindo o servidor do local da rede do DirectAccess, os servidores DNS e os servidores de gerenciamento do DirectAccess. |
Planejar uma estratégia de implantação de cliente
Existem três decisões que precisam ser tomadas ao planejar a implantação do cliente:
O DirectAccess estará disponível somente para computadores móveis ou para todos os computadores em um grupo de segurança especificado?
Ao configurar os clientes do DirectAccess no Assistente de Instalação de Cliente do DirectAccess, você pode optar por permitir que somente computadores móveis nos grupos de segurança especificados se conectem ao servidor usando o DirectAccess. Se você restringir o acesso a computadores móveis, o Acesso Remoto configurará automaticamente um filtro WMI para garantir que o GPO do cliente do DirectAccess seja aplicado apenas a computadores móveis nos grupos de segurança especificados. O administrador do Acesso Remoto requer permissões para criar ou modificar os filtros WMI da política de grupo para habilitar essa configuração.
Quais grupos de segurança conterão os computadores cliente DirectAccess?
As configurações do DirectAccess estão contidas no GPO (Objeto de Política de Grupo) do cliente do DirectAccess. O GPO é aplicado a computadores que fazem parte dos grupos de segurança que você especificou no Assistente de configuração do cliente do DirectAccess. Você pode especificar grupos de segurança contidos em qualquer domínio compatível.
Para configurar o Acesso Remoto, crie os grupos de segurança. Você pode adicionar computadores ao grupo de segurança depois de concluir a implantação do Acesso Remoto. No entanto, se você adicionar computadores cliente que residem em um domínio diferente do grupo de segurança, o GPO do cliente não será aplicado a esses clientes. Por exemplo, se você criar SG1 no domínio A para clientes do DirectAccess e, posteriormente, adicionar clientes do domínio B a esse grupo, o GPO do cliente não será aplicado a clientes no domínio B.
Para evitar esse problema, crie um novo grupo de segurança do cliente para cada domínio que contenha computadores cliente. Como alternativa, se você não desejar criar um novo grupo de segurança, execute o cmdlet do Windows PowerShell Add-DAClient com o nome do novo GPO para o novo domínio.
Quais configurações serão definidas para o Assistente de Conectividade de Rede do DirectAccess?
O Assistente de Conectividade de Rede do DirectAccess é executado nos computadores cliente e fornece informações adicionais sobre a conexão do DirectAccess com os usuários finais. No Assistente de configuração do cliente do DirectAccess, você pode configurar o seguinte:
Verificadores de conectividade
Uma sonda de web padrão é criada para os clientes validarem a conectividade com a rede interna. O nome padrão é
https://directaccess-WebProbeHost.<domain_name>. O nome deverá ser registrado manualmente no DNS. Você pode criar outros verificadores de conectividade que usam outros endereços da Web em HTTP ou PING. Uma entrada de DNS deverá existir para cada verificador de conectividade.Endereço de email do suporte técnico
Se os usuários finais enfrentarem problemas de conectividade com o DirectAccess, eles poderão enviar um email com informações de diagnóstico para que o administrador do Acesso Remoto possa solucionar o problema.
Nome da conexão do DirectAccess
É possível especificar um nome de conexão do DirectAccess para ajudar os usuários finais a identificarem a conexão do DirectAccess no computador.
Permitir que os clientes do DirectAccess usem resolução de nome local
Os clientes exigem um meio de resolver nomes localmente. Se você permitir que os clientes do DirectAccess usem a resolução de nome local, os usuários finais poderão usar os servidores de DNS local para resolver os nomes. Quando os usuários finais usarem os servidores DNS locais para resolução de nome, o DirectAccess não enviará solicitações de resolução de nomes de rótulo único para o servidor DNS corporativo interno. Ele usa a resolução de nomes local com os protocolos LLMNR (Link-Local Multicast Name Resolution) e NetBios sobre TCP/IP.
Planejar uma estratégia de implantação do servidor de Acesso Remoto
Estas são as decisões que você precisa tomar ao planejar implantar o servidor de Acesso Remoto:
Topologia de rede
Há duas topologias disponíveis ao se implantar um servidor de Acesso Remoto:
Dois adaptadores: com dois adaptadores de rede, o Acesso Remoto pode ser configurado com um adaptador de rede conectado diretamente à Internet e o outro conectado à rede interna. Outra alternativa é o servidor ser instalado por trás de um dispositivo de borda, como um firewall ou um roteador. Nesta configuração, um adaptador de rede está conectado à rede de perímetro e o outro à rede interna.
Adaptador de rede único: nessa configuração, o servidor de Acesso Remoto é instalado por trás de um dispositivo de borda, como um firewall ou um roteador. O adaptador de rede é conectado à rede interna.
Adaptadores de rede
O Assistente de Instalação de Servidor de Acesso Remoto detecta automaticamente os adaptadores de rede configurados no servidor do Acesso Remoto. Verifique se os adaptadores corretos foram selecionados.
Certificado IP-HTTPS
O Assistente de configuração de servidor de acesso remoto detecta automaticamente um certificado adequado para a conexão IP-HTTPS. O nome da entidade do certificado selecionado deve corresponder ao endereço ConnectTo. Se você usar certificados autoassinados, poderá selecionar um certificado criado automaticamente pelo servidor do Acesso Remoto.
Prefixos do IPv6
Se o Assistente de configuração do servidor de acesso remoto detectar que o IPv6 foi implantado nos adaptadores de rede, ele preencherá automaticamente os prefixos de IPv6 para a rede interna, outro para a atribuição dos computadores cliente do DirectAccess e outro para a atribuição aos computadores cliente do VPN. Se os prefixos gerados automaticamente não estiverem corretos para sua infraestrutura IPv6 ou ISATAP nativa, altere-os manualmente.
Autenticação
Você pode escolher um dos seguintes métodos para autenticar clientes do DirectAccess no servidor do Acesso Remoto:
Autenticação de usuário: você pode habilitar os usuários para autenticação com credenciais do Active Directory ou com autenticação em dois fatores.
Autenticação de computador: você pode configurar a autenticação do computador para usar certificados. Ou o servidor do Acesso Remoto pode atuar como um proxy para autenticação Kerberos sem exigir certificados.
Clientes do Windows 7 Por padrão, os computadores cliente que executam o Windows 7 não podem se conectar a uma implantação do Acesso Remoto executando o Windows Server 2012. Se você tiver clientes executando o Windows 7 na sua organização que exigem o acesso remoto a recursos internos, poderá permitir que eles se conectem. Qualquer computador cliente que poderá receber acesso aos recursos internos deverá ser membro de um grupo de segurança especificado no Assistente de configuração do cliente do DirectAccess.
Observação
Permitir que clientes executando o Windows 7 se conectem usando o DirectAccess requer a autenticação de certificado do computador.
Configuração de VPN
Para configurar o Acesso Remoto, decida se você fornecerá acesso por VPN a clientes remotos. Você deverá fornecer acesso por VPN se tiver computadores cliente na organização que não dão suporte à conectividade do DirectAccess (por exemplo, eles não são gerenciados ou executam um sistema operacional para o qual o DirectAccess não é compatível). O Assistente de Instalação de Servidor de Acesso Remoto permite configurar como os endereços IP são atribuídos (usando DHCP ou em um pool de endereços estáticos) e como os clientes VPN são autenticados (usando o Active Directory ou um servidor RADIUS).
Planejar as configurações dos servidores de infraestrutura
O Acesso Remoto requer três tipos de servidores de infraestrutura:
Servidor de local da rede
Servidores DNS
Servidores de gerenciamento