Este tópico fornece informações sobre os componentes de uma implementação do DirectAccess, métodos de conectividade do cliente DirectAccess, configuração da firewall para o tráfego do DirectAccess e integração com smart cards.

Componentes do DirectAccess

A implementação do DirectAccess consiste nos seguintes componentes:

  • Clientes DirectAccess

  • Pelo menos um servidor DirectAccess

  • Um domínio dos Serviços de Domínio do Active Directory® (AD DS)

  • Uma infra-estrutura de chaves públicas (PKI)

  • Servidor de localização de rede

  • Uma rede interna e aplicações com suporte de protocolo IP versão 6 (IPv6) ou dispositivos NAT-PT (Tradução de Endereços de Rede-Tradução de Portas)

Clientes DirectAccess

Um cliente DirectAccess é um computador com Windows 7 ou Windows Server 2008 R2 membro de um domínio AD DS e utiliza IPv6 e a segurança IPsec para iniciar automaticamente e manter a conectividade remota com uma rede interna a partir da Internet.

Os computadores que não são membros de um domínio AD DS ou os computadores com Windows Vista ou versões anteriores do Windows não suportam o DirectAccess.

Pelo menos um servidor DirectAccess

Um servidor DirectAccess é um computador com Windows Server 2008 R2 membro de um domínio AD DS e utiliza IPv6 e IPsec para responder a clientes DirectAccess na Internet e ligá-los, de forma transparente, a uma rede interna.

Os computadores que não são membros de um domínio do Active Directory ou os computadores com Windows Server 2008 ou versões anteriores do Windows Server não suportam a funcionalidade de servidor DirectAccess.

Para instalar o DirectAccess, consulte Instalar o DirectAccess.

Não aloje outras funções principais em servidores DirectAccess. Os servidores DirectAccess devem estar dedicados ao DirectAccess. Dependendo dos requisitos de implementação e escalabilidade, poderá precisar de mais do que um servidor DirectAccess ou de utilizar a configuração manual para dividir funções do DirectAccess por vários servidores. Para mais informações sobre implementações de vários servidores, consulte a home page do DirectAccess no Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598 (pode estar em inglês)).

Para mais informações sobre os requisitos do servidor DirectAccess, consulte Lista de Verificação: Antes de Configurar o DirectAccess.

Um domínio AD DS

O DirectAccess depende do AD DS para credenciais de autenticação, para a inscrição automática de certificados de computador e para a configuração centralizada, baseada na Política de Grupo, de IPsec, IPv6 e outras definições. Os clientes e servidores DirectAccess têm de ser membros de um domínio AD DS.

PKI

O DirectAccess depende dos certificados de computador emitidos por uma autoridade de certificação dos Serviços de Certificados do Active Directory (AD CS) para autenticação de sessões IPsec e ligações baseadas em IP-HTTPS.

Servidor de localização de rede

Um servidor de localização de rede é um servidor de rede interna que aloja um URL (Uniform Resource Locator) baseado em HTTPS. Os clientes DirectAccess acedem ao URL para determinar se estão localizados na rede interna. O servidor DirectAccess pode ser o servidor de localização de rede mas é recomendado um servidor Web de elevada disponibilidade. O servidor Web não tem de estar dedicado como um servidor de localização de rede.

Rede interna e aplicações com suporte de IPv6 ou um dispositivo NAT-PT

Os clientes DirectAccess utilizam exclusivamente o IPv6 para aceder a recursos de rede interna. Por conseguinte, os clientes DirectAccess só podem comunicar com servidores de rede interna acessíveis utilizando IPv6. Existem três formas de obter conectividade IPv6 para uma rede interna:

  • Configure a infra-estrutura de encaminhamento de rede interna de modo a suportar o IPv6 nativo. Os servidores e aplicações de rede interna com suporte de IPv6 passam a ser acessíveis. Os computadores com Windows 7, Windows Server 2008 R2, Windows Vista ou Windows Server 2008 são configurados para utilizar IPv6 por predefinição.

  • Implemente o protocolo ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) na rede interna. Ao utilizarem o protocolo ISATAP, os servidores e aplicações de rede interna com suporte de IPv6 poderão enviar tráfego IPv6 pela rede interna com apenas IPv4. Os computadores com Windows 7, Windows Server 2008 R2, Windows Vista ou Windows Server 2008 suportam a funcionalidade de anfitrião ISATAP. O protocolo ISATAP permite que estes computadores utilizem IPv6 sem requerer encaminhamento IPv6 nativo. O servidor DirectAccess configura-se automaticamente como um router ISATAP na ausência de conectividade IPv6 na rede interna.

  • Utilize um dispositivo NAT-PT para traduzir tráfego entre os clientes DirectAccess que utilizam IPv6 e os servidores e aplicações que só podem utilizar IPv4. O Windows Server 2008 R2 não fornece a funcionalidade NAT-PT. Os dispositivos NAT-PT são normalmente disponibilizados por fornecedores de routers e comutadores de Camada 2 e Camada 3. Consulte a documentação sobre comutadores e routers para obter informações sobre as capacidades e a configuração de NAT-PT.

Métodos de conectividade do cliente DirectAccess

A tabela seguinte lista as possíveis configurações de cliente DirectAccess e o método correspondente de envio de tráfego IPv6 para o servidor DirectAccess.

Configuração de clienteMétodo de conectividade preferencial

Atribuição de um endereço global IPv6

Endereço IPv6 global

Atribuição de um endereço IPv4 público (endereços fora dos intervalos 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16)

6to4, uma tecnologia de transição de IPv6 que fornece conectividade IPv6 pela Internet IPv4 aos anfitriões ou sites com um endereço IPv4 público.

Atribuição de um endereço IPv4 privado (endereços nos intervalos 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16)

Teredo, uma tecnologia de transição de IPv6 que fornece conectividade IPv6 pela Internet IPv4 aos anfitriões com um endereço IPv4 privado e localizados por trás de um dispositivo de tradução de endereços de rede (NAT) IPv4 que não suporta a funcionalidade de router 6to4.

O cliente não consegue ligar utilizando 6to4 ou Teredo

IP-HTTPS, um novo protocolo para Windows 7 e Windows Server 2008 R2 que permite aos anfitriões por trás de um servidor proxy Web ou firewall estabelecer conectividade enviando pacotes IPv6 numa sessão segura de protocolo HTTP (Hypertext Transfer Protocol) baseada em IPv4. O protocolo IP-HTTPS normalmente só é utilizado quando o cliente não consegue ligar ao servidor DirectAccess utilizando os outros métodos de conectividade IPv6.

Configuração da firewall para tráfego do DirectAccess

As firewalls externas entre a Internet e a rede de perímetro têm de conseguir transmitir os seguintes tipos de tráfego de saída e entrada do servidor DirectAccess:

  • Para o tráfego IPv6 nativo, o protocolo ICMP (Internet Control Message Protocol) para o tráfego (ICMPv6) IPv6 (protocolo IPv6 58) e tráfego ESP (Encapsulating Security Payload) de IPsec (protocolo IPv6 50).

  • Para o tráfego 6to4, tráfego IPv4 que encapsula o tráfego IPv6 (protocolo IPv4 41).

  • Para o tráfego Teredo, tráfego IPv4 com o protocolo UDP (User Datagram Protocol), porta 3544.

  • Para o tráfego HTTPS, tráfego IPv4 com o Protocolo de Controlo de Transmissão (TCP), porta 443.

Por exemplo, as excepções na interface da Internet da firewall externa terão o seguinte formato:

  • Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
  • Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]

As firewalls internas entre a rede de perímetro e a rede interna têm de conseguir transmitir os seguintes tipos de tráfego de saída e entrada do servidor DirectAccess:

  • Para o tráfego IPv6 nativo, todos os tipos de tráfego IPv6.

  • Para o tráfego ISATAP, tráfego IPv4 que encapsula o tráfego IPv6 (protocolo IPv4 41).

  • Para o tráfego IPv4 e NAT-PT, todo o tráfego TCP, UDP e UDP 500 Internet Key Exchange (IKE)/AuthIP.

Para permitir a conectividade baseada em Teredo, tem de configurar e implementar as seguintes regras adicionais da Firewall do Windows com Segurança Avançada para todos os computadores membros de domínio na organização:

  • Mensagens de Pedido de Eco ICMPv6 de entrada (obrigatório)

  • Mensagens de Pedido de Eco ICMPv6 de saída (recomendado)

Não utilize a regra de entrada Partilha de Ficheiros e Impressoras (Pedido de Eco - Entrada de ICMPv6) predefinida nem a regra de saída Partilha de Ficheiros e Impressoras (Pedido de Eco - Saída de ICMPv6) para este fim. Se utiliza estas regras predefinidas, estas poderão ser removidas desactivando a partilha de ficheiros e impressoras na organização, o que resultará numa ausência de conectividade baseada em Teredo.

A forma mais fácil de implementar estas definições da Firewall do Windows em todos os computadores membros na organização é através do objecto de Política de Grupo (GPO) Predefinido. Para mais informações, consulte Lista de Verificação: Implementar uma Estrutura de Política de Firewall Básica (https://go.microsoft.com/fwlink/?LinkId=147688 (pode estar em inglês)).

Regra 1: Mensagens de Pedido de Eco ICMPv6 de entrada

Crie e active uma regra de entrada personalizada com as seguintes definições:

  • Todos os programas

  • Tipo de protocolo ICMPv6 com a mensagem de Pedido de Eco

  • Qualquer endereço IP local e remoto

  • Acção Permitir

  • Todos os perfis (domínio, trabalho, público)

Esta regra é obrigatória.

Regra 2: Mensagens de Pedido de Eco ICMPv6 de saída

Crie e active uma regra de saída personalizada com as seguintes definições:

  • Todos os programas

  • Tipo de protocolo ICMPv6 com a mensagem de Pedido de Eco

  • Qualquer endereço IP local e remoto

  • Acção Permitir

  • Todos os perfis (domínio, trabalho, público)

Esta regra é recomendada como melhor prática, a não ser que utilize a Firewall do Windows para bloquear todo o tráfego de saída, caso em que terá de utilizar esta regra.

Integração com smart cards

Pode exigir a utilização de smart cards quando os clientes DirectAccess estabelecem uma ligação com o servidor DirectAccess. Os utilizadores podem iniciar sessão nos computadores deles e aceder à Internet sem um smart card, mas precisam da autenticação de smart cards para aceder a qualquer recurso de rede interna.

Recursos adicionais

Para obter informações sobre a integração do DirectAccess com o isolamento de domínio e servidor e a Protecção de Acesso à Rede (NAP), consulte a home page do DirectAccess no Microsoft Technet (https://go.microsoft.com/fwlink/?LinkId=142598 (pode estar em inglês)).