Esporta (0) Stampa
Espandi tutto

Novità relative alla connessione in rete

Aggiornamento: giugno 2009

Si applica a: Windows Server 2008 R2

Modifiche principali

I sistemi operativi Windows Server® 2008 R2 e Windows® 7 includono miglioramenti della connettività di rete che rendono più facile per gli utenti stabilire e mantenere una connessione, indipendentemente dalla loro ubicazione o dal tipo di rete. Tali miglioramenti consentono inoltre ai professionisti IT di soddisfare le esigenze della propria azienda in modo sicuro, affidabile e flessibile.

Le nuove funzionalità di rete trattate in questo argomento includono:

  • DirectAccess, che consente agli utenti di accedere a una rete aziendale senza l'ulteriore passaggio rappresentato dall'avvio di una connessione a una rete privata virtuale (VPN).

  • Riconnessione VPN, che ristabilisce automaticamente la connessione VPN al ripristino della connettività Internet, consentendo agli utenti di evitare di ripetere l'immissione delle credenziali e la creazione della connessione VPN.

  • BranchCache™, che memorizza nella cache dei computer delle succursali locali il contenuto aggiornato dei file server e dei server Web presenti in una WAN (Wide Area Network), migliorando i tempi di risposta delle applicazioni e riducendo il traffico WAN.

  • Qualità del servizio (QoS) basata su URL, che consente di assegnare al traffico un livello di priorità in base all'URL di provenienza del traffico.

  • Supporto dispositivi Mobile Broadband, che implementa un modello basato su driver per i dispositivi utilizzati per l'accesso alle reti Mobile Broadband.

  • Profili firewall attivi multipli, che consentono l'attivazione delle regole firewall più idonee a ogni scheda di rete in base alla rete a cui è connessa.

  • Framework di diagnostica di rete, Network Trace e Netsh trace, la cui integrazione semplifica e consolida i processi di risoluzione dei problemi di connettività di rete.

Utenti interessati a queste funzionalità

Queste funzionalità possono interessare i gruppi di utenti seguenti:

  • Manager IT

  • Architetti e amministratori di sistema

  • Architetti e amministratori di rete

  • Architetti e amministratori della sicurezza

  • Architetti e amministratori delle applicazioni

  • Architetti e amministratori Web

Funzionalità di DirectAccess

DirectAccess consente ai computer appartenenti a un dominio che eseguono Windows 7 Enterprise, Windows 7 Ultimate o Windows Server 2008 R2 di connettersi a risorse di rete aziendali ogni volta che si connettono a Internet. Un utente di un computer client DirectAccess connesso a Internet può contare sulla stessa esperienza utente di un utente connesso direttamente alla rete privata di un'organizzazione. DirectAccess consente inoltre ai professionisti IT di gestire i computer portatili esternamente all'ufficio. Ogni volta che un computer client DirectAccess si connette a Internet, prima dell'accesso dell'utente, DirectAccess stabilisce una connessione bidirezionale alla rete aziendale che consente al computer client di ricevere gli aggiornamenti dei criteri aziendali e gli aggiornamenti software.

Le funzionalità di DirectAccess relative alla sicurezza e alle prestazioni includono autenticazione, crittografia e controllo di accesso. I professionisti IT possono configurare le risorse di rete alle quali ogni utente può connettersi, concedendo accesso illimitato oppure solo a server specifici. Per impostazione predefinita, DirectAccess invia attraverso il server DirectAccess solo il traffico destinato alla rete aziendale. I client DirectAccess indirizzano il traffico Internet direttamente alla risorsa Internet. DirectAccess può essere configurato per l'invio di tutto il traffico attraverso la rete aziendale.

Note speciali

Il server DirectAccess deve eseguire Windows Server 2008 R2, essere membro di un dominio, disporre di due schede di rete fisiche ed essere configurato con due indirizzi IPv4 pubblici consecutivi. I client DirectAccess devono essere membri di un dominio. Utilizzare l'Aggiunta guidata funzionalità di Server Manager per installare la console Gestione DirectAccess. Dopo l'installazione, utilizzare la console Gestione DirectAccess in Strumenti di amministrazione per configurare il server DirectAccess e monitorare le operazioni di DirectAccess.

Di seguito vengono riportate alcune considerazioni relative all'infrastruttura:

  • Servizi di dominio Active Directory. Deve essere distribuito almeno un dominio Active Directory®. I gruppi di lavoro non sono supportati.

  • Criteri di gruppo. È consigliabile utilizzare i Criteri di gruppo per la distribuzione del client e del server DirectAccess e delle impostazioni server selezionate.

  • Controller di dominio. È necessario che almeno un controller di dominio esegua Windows Server 2008 o versioni successive.

  • Server DNS (Domain Name System). Windows Server 2008 R2, Windows Server 2008 con hotfix Q958194 (http://go.microsoft.com/fwlink/?LinkID=159951), Windows Server 2008 SP2 o versioni successive o server DNS di terze parti che supporti lo scambio di messaggi DNS su ISATAP (Intra-Site Automatic Tunnel Addressing Protocol).

  • Infrastruttura a chiave pubblica (PKI). È necessaria una PKI per il rilascio di certificati per l'autenticazione peer tramite IPsec (Internet Protocol security) tra client e server DirectAccess. A tale scopo vengono in genere distribuiti certificati computer a client e server DirectAccess. Non sono necessari certificati esterni. Il server DirectAccess richiede inoltre un ulteriore certificato SSL, che deve disporre di un punto di distribuzione dell'elenco di revoche di certificati (CRL) raggiungibile tramite un nome di dominio completo (FQDN) risolvibile pubblicamente.

  • IPsec. DirectAccess utilizza il protocollo IPSec per implementare l'autenticazione peer e la crittografia delle comunicazioni in Internet. È consigliabile che gli amministratori abbiano familiarità con IPSec.

  • IPv6. Il protocollo IP versione 6 (IPv6) fornisce l'indirizzamento end-to-end necessario per la connettività alla rete aziendale. Le organizzazioni non ancora pronte per la distribuzione completa di IPv6 nativo possono utilizzare la tecnologia di transizione a IPv6 ISATAP per accedere alle risorse IPv4 sulla rete aziendale. I client DirectAccess possono utilizzare le tecnologie di transizione a IPv6 Teredo e 6to4 per la connettività su Internet IPv4. Il protocollo IPv6 o le tecnologie di transizione devono essere disponibili nel server DirectAccess e il relativo traffico deve poter attraversare il firewall della rete perimetrale.

Funzionalità di Riconnessione VPN

Riconnessione VPN è una nuova funzionalità di Servizio Routing e Accesso remoto (RRAS), che assicura in modo semplice una connettività VPN costante, ristabilendo automaticamente la connessione VPN in caso di interruzione temporanea della connessione Internet. Gli utenti che utilizzano connessioni Mobile Broadband wireless troveranno questa funzionalità particolarmente utile. Con Riconnessione VPN, Windows 7 ristabilisce automaticamente le connessioni VPN attive al ripristino della connettività Internet. Anche se la riconnessione può richiedere diversi secondi, avviene in modo trasparente per gli utenti.

Riconnessione VPN utilizza la modalità tunnel IPSec con Internet Key Exchange versione 2 (IKEv2), descritta in RFC 4306, sfruttando in particolare l'estensione di mobilità e multihoming (MOBIKE) di IKEv2, descritta in RFC 4555.

Note speciali

Riconnessione VPN è implementata nel servizio ruolo RRAS del ruolo Servizi di accesso e criteri di rete (NPAS) di un computer che esegue Windows Server 2008 R2. Le considerazioni sull'infrastruttura sono le stesse valide per NPAS e RRAS. I computer client devono eseguire Windows 7 per poter utilizzare Riconnessione VPN.

Funzionalità di BranchCache

Con BranchCache, il contenuto presente nei server Web e nei file server della WAN aziendale viene archiviato nella rete locale della succursale per migliorare i tempi di risposta e ridurre il traffico WAN. Quando un altro client della stessa succursale richiede il medesimo contenuto, il client può accedervi direttamente dalla rete locale, senza richiedere la trasmissione dell'intero file attraverso la WAN. BranchCache può essere configurato per il funzionamento in modalità cache distribuita o cache ospitata. La modalità cache distribuita utilizza un'architettura peer-to-peer. Il contenuto viene memorizzato presso la succursale nella cache del computer client che ne fa richiesta per primo. Il computer client rende in seguito disponibile il contenuto nella cache agli altri client locali. La modalità cache ospitata utilizza un'architettura client/server. Il contenuto richiesto da un client della succursale viene in seguito memorizzato nella cache di un server locale, denominato server cache ospitata, dove è reso disponibile agli altri client locali. In entrambe le modalità, prima che un client recuperi il contenuto, il server di origine del contenuto autorizza l'accesso al contenuto, la cui attualità e correttezza sono verificate tramite un meccanismo hash.

Note speciali

BranchCache supporta HTTP, incluso HTTPS, e Server Message Block (SMB), incluso SMB firmato. I server di contenuti e il server cache ospitata devono eseguire Windows Server 2008 R2, mentre i computer client devono eseguire Windows 7.

Funzionalità di QoS basata su URL

QoS contrassegna i pacchetti IP con un numero DSCP (Differentiated Services Code Point) che i router quindi esaminano per determinare la priorità del pacchetto. Se i pacchetti sono messi in coda nel router, i pacchetti con priorità superiore vengono inviati prima di quelli con priorità inferiore. QoS basata su URL consente ai professionisti IT di classificare il traffico di rete in ordine di priorità in base all'URL di origine, oltre che in base all'indirizzo IP e alle porte. I professionisti IT possono così avere un controllo maggiore sul traffico di rete, assicurando che l'elaborazione del traffico Web più importante avvenga prima di quello meno importante, anche quando il traffico ha origine dallo stesso server. In questo modo è possibile migliorare le prestazioni di reti a traffico elevato. È possibile, ad esempio, assegnare al traffico Web dei siti Web interni critici una priorità superiore rispetto a quella dei siti Web esterni. Analogamente, è possibile assegnare una priorità inferiore ai siti Web non attinenti l'attività lavorativa che possono occupare larghezza di banda di rete, in modo che non influiscano negativamente sul traffico degli altri siti.

Funzionalità del supporto dispositivi Mobile Broadband

Il sistema operativo Windows 7 implementa un modello basato su driver per i dispositivi Mobile Broadband. Nelle versioni precedenti di Windows gli utenti di dispositivi Mobile Broadband devono installare software di terze parti e questa condizione determina una situazione difficile da gestire per i professionisti IT, in quanto ogni dispositivo e provider Mobile Broadband prevede software diverso. È inoltre necessario formare gli utenti per l'utilizzo di questi programmi e fornire loro un accesso amministrativo per l'installazione. Tali requisiti impediscono agli utenti standard di aggiungere facilmente un dispositivo Mobile Broadband. Nella nuova versione di Windows gli utenti non devono fare altro che collegare un dispositivo Mobile Broadband per cominciare subito a utilizzarlo. L'interfaccia in Windows 7 è la stessa indipendentemente dal provider Mobile Broadband, pertanto le esigenze di formazione e l'attività di gestione risultano ridotte.

Funzionalità dei profili firewall attivi multipli

Le impostazioni di Windows Firewall sono determinate dal profilo utilizzato. In Microsoft Windows Vista e Windows Server 2008 può essere attivo un solo profilo firewall alla volta. Se si hanno più schede di rete connesse a diversi tipi di rete, pertanto, si avrà comunque un solo profilo attivo, ovvero quello che implementa le regole più restrittive. In Windows Server 2008 R2 e Windows 7 ogni scheda di rete applica il profilo firewall più indicato per il tipo di rete alla quale è connessa: privato, pubblico o dominio. Se pertanto ci si trova in un Internet café con un hotspot wireless e ci si connette alla rete del dominio aziendale tramite una connessione VPN, il profilo pubblico continuerà a proteggere il traffico di rete che non passa attraverso il tunnel, mentre il profilo di dominio proteggerà il traffico di rete che passa attraverso il tunnel. In questo modo si risolve anche il problema delle schede di rete non connesse a una rete. In Windows 7 e Windows Server 2008 R2 a queste reti non identificate viene assegnato il profilo pubblico, mentre le altre schede di rete del computer continueranno a utilizzare il profilo adatto alla rete alla quale sono connesse.

Funzione di Framework di diagnostica di rete, Network Trace e Netsh trace

Framework di diagnostica di rete consente a utenti finali, responsabili del supporto tecnico e sviluppatori di componenti o applicazioni di semplificare la risoluzione dei problemi di rete automatizzandone i passaggi e le soluzioni comuni. In In Windows® 7, Framework di diagnostica di rete e Traccia eventi per Windows sono maggiormente integrati per consentire la registrazione degli eventi e dei pacchetti di rete in un unico file. La possibilità di raccogliere tutte le informazioni in un unico passaggio costituisce un metodo efficiente per la risoluzione dei problemi di connettività di rete. Quando un utente esegue Diagnostica di rete Windows, un registro di sessione di diagnostica viene automaticamente creato e archiviato in Centro operativo/Risoluzione dei problemi/Visualizza cronologia. Ogni sessione di diagnostica genera un report con risultati di diagnostica.

In Framework di diagnostica di rete e in Network Trace di Windows 7 gli eventi correlati a un problema specifico vengono classificati tramite la correlazione basata sull'ID attività, nota come raggruppamento, e quindi inseriti nell'output di un file di registro traccia eventi (ETL). Il raggruppamento acquisisce tutti gli eventi correlati al problema nello stack. Tutti gli eventi correlati vengono raggruppati. Il vantaggio che ne risulta è la possibilità di esaminare l'intera transazione come un'unica raccolta di eventi. È possibile analizzare i dati del file ETL utilizzando diversi strumenti, quali Network Monitor 3.3, Visualizzatore eventi, il comando di conversione Netsh trace o Tracerpt.exe.

Windows 7 include un nuovo contesto Netsh, Netsh trace. Integrato con Framework di diagnostica di rete e Network Trace, Netsh trace consente di eseguire operazioni complete di traccia, acquisizione di pacchetti di rete e filtro. Due concetti chiave relativi a Netsh trace sono gli scenari e i provider. Uno scenario di traccia è una raccolta di provider di eventi selezionati. I provider sono i singoli componenti dello stack di protocolli di rete, ad esempio WinSock, TCP/IP, Piattaforma filtro Windows e Windows Firewall, Servizio LAN wireless (WLAN) o NDIS. È possibile utilizzare i comandi del contesto Netsh trace per abilitare scenari predefiniti per la risoluzione di problemi specifici e per configurare parametri specifici per una sessione di traccia. Per ogni scenario è possibile visualizzare l'elenco dei provider associati che segnaleranno eventi durante l'esecuzione di una sessione di traccia, nonché visualizzare i dettagli relativi a provider specifici. È inoltre possibile specificare provider aggiuntivi non inclusi in uno scenario abilitato. Poiché inoltre risulta spesso utile ridurre al minimo i risultati di traccia limitando i dettagli irrilevanti, è possibile applicare una varietà di filtri Netsh per ridurre le dimensioni del file di traccia ETL.

Infine, un ulteriore vantaggio offerto da Framework di diagnostica di rete e Network Trace in Windows 7 è la possibilità di utilizzare Netsh trace per raccogliere sia le acquisizioni di pacchetti che gli eventi di traccia nel client, senza che sia necessario installare Network Monitor nel computer in cui si sta eseguendo la risoluzione dei problemi. L'esecuzione di una sessione di traccia tramite Netsh trace consente di correlare e raggruppare pacchetti con eventi di traccia correlati. Poiché Network Monitor è necessario solo nel computer utilizzato per esaminare i pacchetti, l'utente dovrà semplicemente copiare il file raccolto in Centro operativo e quindi inviarlo all'indirizzo di posta elettronica dell'amministratore o fornirlo su un supporto rimovibile, ad esempio un'unità flash USB.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft