Boletim

Mantenha-se informado com os nossos boletins



        apenas na Riocamp

Função DirectAccess no Acesso Remoto

Fonte: Microsoft

15 de outubro de 2018

Ao longo dos tempos tivemos várias ferramentas que proporcionavam o acesso remoto à rede empresarial, como a popular VPN. O objetivo sempre foi o de trazer a melhor experiência de acesso para o usuário e, visando isso, a Microsoft lançou a função DirectAccess para facilitar o acesso remoto. Não é necessário interação do usuário. Não precisa discar conexão alguma. Saiu da rede empresarial e pronto! Continuo conectado, porém utilizando o DirectAccess.

Para que o serviço seja implantado em sua rede é necessário que você disponibilize de um Servidor, que irá gerenciar e terá o serviço do DirectAccess instalado. É necessário que este servidor faça o uso do IPv6 e IPSec, unido a uma infra-estrutura de chave publica (PKI). Isto irá garantir que seus dados trafegados pela internet estejam criptografados e não estejam desprotegidos, o que proporcionaria a interceptação e leitura dos dados através de softwares maliciosos. Os computadores que forem utilizar a estrutura do DirectAccess, precisarão se conectar através do endereço IPv6 de sua corporação, sendo necessário passar pela criptografia do IPSec e autenticado pelos certificados obtidos junto a Autoridade Certificadora de seu domínio.

É necessário possuir um servidor com Windows Server 2008 R2 ou versões superiores, e os computadores clientes deverão utilizar o sistema operacional Windows 7 ou superior, para a implantação do DirectAccess. Além disto, será necessário possuir em sua estrutura de rede lógica, um controlador de domínio Active Directory (AD), o IPv6 habilitado e uma PKI.

A ideia do DirectAccess é que os usuários flexíveis consigam acessar os recursos da rede de forma transparente, proporcionando uma experiência agradável e simples para os usuários. Além disto, através deste ambiente o seu colaborador não sentirá diferença do ambiente de trabalho, estando localmente na empresa ou em qualquer outro lugar do mundo (desde que tenha disponível o acesso à internet).

Vamos lá:

Requisitos para o Direct Access:



  • IPv6 ativado
  • Servidores: Windows Server 2012 Standard ou Datacenter
  • Clientes: Windows 7 Ultimate, Enterprise e Windows 8 Enterprise ou Windows Server 2012 Standard ou Datacenter
  • O host que utilizará Direct Access precisará ser membro do Domínio
  • Ter um PDC instalado
  • Um RRAS com o a Função do Direct Access instalado
  • Pelo menos um IP Público válido

Cumpridos todos os requisitos vamos ao trabalho:



  • Prepararemos o PDC (Server1) da seguinte maneira:
  • Crie um Grupo chamando DA_Clientes e adicione o(s) usuário(s) que terá(ão) permissão de acesso pelo Direct Access (em nosso post colocaremos o User1), bem como o(s) Host(s) (em nosso post utilizaremos o Server3 com o Windows Server 2012 Datacenter).

Desbloqueie as tecnologias de transição sobre TCP/IP com o comando:



  • dnscmd / config / globalqueryblocklist wpad
  • Preparemos o Servidor RRAS (Server2) da seguinte maneira:
  • Coloque duas interfaces de Rede, uma com IP Privado e outra como Público no Servidor RRAS (identifique-as da forma que mais achar adequada), e ingresse no domínio.
  • Logue como Administrador do Domínio e instale a função de Acesso Remoto com os Serviços de Direct Access e Roteamento.

Configuração do Direct Access

Devemos agora abrir o Assistente do Direct Access em Gerenciamento de Acesso Remoto e realizar as configurações como abaixo:

No Painel clicar em Executar o Assistente para Configuração de Acesso Remoto e escolher a opção de Implantar o Direct Access e o VPN (Recomendado):


Serão verificados os pré-requisitos e em seguida será mostrada a tela com 4 etapas para a configuração, de acordo com a implantação escolhida na etapa anterior.

Na 1ª etapa iremos configurar as informações do lado do cliente que consistem em definir o Cenário de implantação (Acesso remoto e gerenciamento ou somente acesso remoto), os grupos que terão acesso via Direct Access e, por último, informações de Conexão e email de manutenção.

Definiremos o Direct Access para Acesso e Gerenciamento Remoto


Definiremos o grupo DA_Clientes para ter direito de acesso


Definiremos o nome da Conexão Remota como DA_ControlTI


Na 2ª etapa iremos configurar as informações do Servidor de Acesso remoto que consistem em definir o tipo de conexão (que pode ser de Borda ou Dispositivo de Borda), criação do certificado IP-HTTPS auto assinado (novidade no 2012), definição do método de autenticação e Configuração da VPN.

Escolheremos a conexão de Borda (um adaptador interno e outro externo) e preencheremos com o IP externo.


Verificação das interfaces de Rede e Criação de Certificado auto assinado IP-HTTPS.


Definiremos a Autenticação para usar as credenciais do Active Directory.


Configuração dos IP’s a serem utilizados para a conexão VPN.


Na 3ª etapa configuraremos o Servidor de Infra-estrutura, a saber, o servidor responsável em atender os pedidos de acesso remoto, que consiste em definir o Servidor Local de Rede, o DNS, a lista de Sufixos de DNS e o Gerenciamento (caso exista System Center).

Definiremos o Servidor Local de Rede, utilizando o Server2 e criando um certificado auto assinado para autenticar as conexões.


Configuração do DNS para acesso aos Servidores Internos pelos clientes externos.


Configuração da lista de Sufixos.


Apontamento dos Servidores de Gerenciamento, caso existam.


Na 4ª etapa pode se estender a autenticação aos servidores de aplicativos usando o IPSec e a autenticação fornecida pelo Direct Access. Em nosso post não mexeremos nesta etapa.

Após configurar todas as etapas, clicaremos em concluir; será mostrado um resumo das configurações.


Aplicaremos.


Aguardaremos a aplicação das configurações realizadas.


Agora que realizamos as configurações necessárias, vamos conferir se tudo está funcionando corretamente no Server2. Para isso, acessaremos o Console do Gerenciamento Remoto e clicaremos em Status das Operações, e veremos o status como “Funcionando Corretamente”.


O último passo do nosso post é ingressar o Cliente, fazendo uso da rede interna (em nosso caso o Server3) e depois colocá-lo na rede externa, e testar o acesso Direct Access, utilizando por exemplo, o acesso unc ao Servidor de Arquivos.



Voltar     Home     Boletim