Esporta (0) Stampa
Espandi tutto

Panoramica di Accesso remoto (DirectAccess, Routing e Accesso remoto)

Pubblicato: febbraio 2012

Aggiornamento: marzo 2012

Si applica a: Windows Server 2012

Panoramica della tecnologia Accesso remoto in Windows Server 2012 e delle relative funzionalità nuove e modificate, con collegamenti a risorse aggiuntive.

La funzionalità Accesso remoto riunisce due servizi di rete in un unico ruolo server unificato di Windows Server 2012.

In Windows Server 2008 R2 è stato introdotto DirectAccess, una nuova funzionalità di accesso remoto che consente la connettività alle risorse di rete aziendali senza la necessità di connessioni VPN (Virtual Private Network) tradizionali. DirectAccess supporta solo client Windows 7 Enterprise Edition e Ultimate Edition aggiunti a dominio. il server di Routing e Accesso remoto (RRAS) di Windows offre connettività VPN tradizionale per i client legacy, i client non aggiunti a dominio e i client VPN di terze parti. RRAS supporta inoltre le connessioni da sito a sito tra server. RRAS in Windows Server 2008 R2 non può coesistere nello stesso server perimetrale di DirectAccess e deve essere distribuito e gestito separatamente da DirectAccess.

In Windows Server 2012, la funzionalità DirectAccess e il servizio ruolo RRAS sono combinati in un nuovo ruolo server unificato. Questo nuovo ruolo server Accesso remoto consente l'amministrazione, la configurazione e il monitoraggio centralizzati dei servizi di accesso remoto basati sia su DirectAccess che su VPN. Windows Server 2012 DirectAccess offre inoltre vari aggiornamenti e miglioramenti per risolvere i blocchi della distribuzione e semplificare la gestione.

DirectAccess è disponibile anche in Windows Server 2012 Essentials e supporta analogamente una connettività semplice alla rete dell'organizzazione da qualsiasi posizione remota dotata di connessione Internet senza la necessità di stabilire una connessione VPN (Virtual Private Network.

Per ulteriori informazioni su DirectAccess in Windows Server 2012 Essentials, vedere la pagina relativa alla configurazione di DirectAccess in Windows Server 2012 Essentials.

Il nuovo ruolo server unificato per DirectAccess e RRAS offre un singolo punto di configurazione e gestione per la distribuzione di server di accesso remoto. Rispetto a DirectAccess e RRAS di Windows 7, in Windows Server 2012 sono inclusi i miglioramenti seguenti:

  • Coesistenza di DirectAccess e RRAS

  • Distribuzione semplificata di DirectAccess

  • Rimozione della distribuzione di un'infrastruttura a chiave pubblica (PKI) come prerequisito per DirectAccess

  • Supporto di NAT64 e DNS64 incorporato per l'accesso a risorse solo IPv4

  • Supporto per server DirectAccess dietro un dispositivo NAT

  • Criteri di sicurezza di rete semplificati

  • Supporto del bilanciamento del carico

  • Supporto di più domini

  • Integrazione di Protezione accesso alla rete

  • Supporto di OTP (autenticazione basata su token)

  • Supporto automatizzato dell'imposizione del tunneling

  • Interoperabilità IP-HTTPS e miglioramenti delle prestazioni

  • Supporto della modalità di gestione di DirectAccess per i client

  • Supporto multisito

  • Supporto dei componenti di base del server

  • Supporto di Windows PowerShell

  • Monitoraggio degli utenti

  • Stato operativo del server

  • Diagnostica

  • Accounting e gestione rapporti

  • VPN in modalità tunnel IPsec IKEv2 da sito a sito

Sia DirectAccess che RRAS implementano funzionalità di sicurezza per proteggere il server da traffico in entrata ostile. In precedenza, in caso di tentata esecuzione di entrambi i servizi sullo stesso server le impostazioni di queste funzionalità di sicurezza entravano in conflitto, impedendo a DirectAccess o RRAS di funzionare nel modo previsto.

Per stabilire connessioni client, DirectAccess utilizza tecnologie di transizione del protocollo IP versione 6 (IPv6). RRAS implementa IPsec (Internet Protocol Security) IKEv2 (Internet Key Exchange versione 2) e configura filtri pacchetti in ingresso e in uscita per ignorare tutti i pacchetti con tecnologie di transizione. Se RRAS è installato e l'accesso VPN è distribuito con IKEv2, pertanto, il traffico DirectAccess viene bloccato.

DirectAccess implementa la protezione IPsec da attacchi Denial of Service (DoSP) per proteggere le risorse sulla rete aziendale. DoSP ignora tutto il traffico IPv4, nonché tutto il traffico IPv6 non protetto da IPsec, ad eccezione dei pacchetti ICMPv6. Se è installato DirectAccess, pertanto, tutti i pacchetti IPv4 e i pacchetti IPv6 non protetti da IPsec inoltrati da RRAS vengono bloccati.

Il ruolo server unificato DirectAccess e RRAS di Windows Server 2012 risolve tali problemi modificando i criteri IKEv2 in modo da consentire il traffico delle tecnologie di transizione IPv6 e modificando la protezione IPsec da attacchi Denial of Service in modo da consentire il traffico VPN. Queste modifiche consentono a DirectAccess e RRAS di coesistere sullo stesso server.

Windows Server 2012 include funzionalità per facilitare la distribuzione, soprattutto per organizzazioni di piccole e medie dimensioni. Queste nuove funzionalità includono un elenco semplificato dei prerequisiti, la rimozione dell'esigenza della distribuzione di un'infrastruttura a chiave pubblica completa, il provisioning dei certificati integrato e la rimozione del requisito di due indirizzi IPv4 pubblici consecutivi. Ognuna di queste funzionalità viene illustrata in modo più dettagliato nelle sezioni seguenti.

Gli amministratori possono ora distribuire DirectAccess mediante una nuova procedura guidata Attività iniziali guidate, che semplifica notevolmente l'esperienza di configurazione. Attività iniziali guidate maschera la complessità di DirectAccess e supporta una configurazione automatizzata in pochi semplici passaggi. Per l'amministratore non è più necessario comprendere i dettagli tecnici delle tecnologie di transizione IPv6 e della distribuzione del server dei percorsi di rete.

Uno dei principali blocchi della distribuzione per DirectAccess di Windows 7 è il requisito di un'infrastruttura a chiave pubblica per l'autenticazione basata su certificati di server e client. DirectAccess utilizza criteri IPsec AuthIP per l'autenticazione e la protezione del traffico da client connessi a Internet. Per eseguire l'autenticazione per risorse di dominio con Kerberos, il client deve innanzitutto stabilire la connettività a controller di dominio e server DNS.

DirectAccess di Windows 7 supporta tale connettività implementando due metodi di autenticazione nei criteri AuthIP. Il tunnel IPsec dell'infrastruttura viene stabilito utilizzando il certificato computer come primo metodo di autenticazione e il protocollo NTLM dell'utente come secondo metodo. Dopo che il tunnel è stato stabilito ed è disponibile un controller di dominio, il client può ottenere un token Kerberos e stabilire il tunnel IPsec della Intranet utilizzando certificato computer e Kerberos utente come primo e secondo metodo di autenticazione.

Per questa implementazione è necessario il provisioning del server e di tutti i client DirectAccess con certificati computer per l'autenticazione reciproca. La gestione di un'infrastruttura a chiave pubblica è considerata difficoltosa da molte organizzazioni di piccole e medi dimensioni. DirectAccess di Windows Server 2012 rende facoltativa la distribuzione di un'infrastruttura a chiave pubblica in modo da semplificare la configurazione e la gestione.

Questa funzionalità è disponibile grazie all'implementazione di un proxy Kerberos basato su HTTPS. Le richieste di autenticazione dei client vengono inviate a un servizio proxy Kerberos in esecuzione sul server DirectAccess. Il proxy Kerberos invia quindi richieste Kerberos ai controller di dominio per conto del client.

La nuova procedura guidata Attività iniziali guidate facilita l'amministrazione configurando automaticamente la soluzione. In questa distribuzione semplificata di DirectAccess, le opzioni di configurazione a livello utente, come l'imposizione del tunneling, l'integrazione di Protezione accesso alla rete e l'autenticazione a due fattori, non sono disponibili. Per questa distribuzione è necessario stabilire un solo tunnel IPsec e i requisiti sono i seguenti:

  • Il server DirectAccess deve disporre della porta TCP 443 aperta nel firewall.

  • Il server DirectAccess dovrà disporre di un certificato di autenticazione server per TLS emesso da un'autorità di certificazione (CA) considerata attendibile dai client DirectAccess. Può trattarsi di una CA pubblica e non richiede la distribuzione di un'infrastruttura a chiave pubblica interna. Se non è disponibile alcun certificato, il processo di configurazione del server DirectAccess configura automaticamente il certificato proxy KDC e IP-HTTPS necessario come certificato autofirmato.

Per consentire l'accesso a risorse solo IPv4 interne, DirectAccess di Windows Server 2012 include il supporto nativo per un gateway di conversione di protocollo (NAT64) e risoluzione dei nomi (DNS64) per convertire la comunicazione IPv6 proveniente da un client DirectAccess in IPv4 per i server interni. I computer Intranet solo IPv4 non possono avviare connessioni ai client DirectAccess per la gestione remota poiché la conversione eseguita con NAT64 è unidirezionale (per il traffico avviato dal client DirectAccess).

Esistono tre casi principali in cui DirectAccess solo IPv6 non consente l'accesso completo alle risorse Intranet aziendali.

  • Server Intranet che non sono in grado di supportare completamente IPv6 e supportano solo IPv4, come i file server Windows Server 2003

  • Ambienti in cui IPv6 è stato disabilitato nella rete a livello amministrativo

  • Applicazioni in esecuzione su server in grado di supportare IPv6 (ad esempio Windows Server 2008) che non supportano IPv6 (ad esempio applicazioni che non sono in grado di ascoltare il traffico sull'interfaccia IPv6 e rispondere)

Per accedere a queste risorse tramite DirectAccess, è necessario eseguire la conversione di protocollo tra il server DirectAccess e le risorse solo IPv4 interne, con successiva riconversione in IPv6 delle risposte inviate ai client DirectAccess. NAT64 riceve il traffico IPv6 dal client e lo converte in traffico IPv4 per la Intranet. NAT64 viene utilizzato in combinazione con DNS64. DNS64 intercetta le query DNS dei client e invia le risposte dopo la conversione delle risposte IPv4 nei mapping IPv6 associati in NAT64.

noteNota
Nelle versioni precedenti a DirectAccess di Windows Server 2012, l'unico metodo disponibile per fornire la conversione di protocollo per DirectAccess è tramite la distribuzione di Microsoft Forefront Unified Access Gateway DirectAccess.

La Configurazione guidata DirectAccess consente di configurare facilmente i componenti per la conversione di protocollo come operazione in background, senza che sia necessaria alcuna interazione amministrativa. All'amministratore non viene esposta alcuna opzione di configurazione. La configurazione guidata abilita automaticamente NAT64 e DNS64 se all'interfaccia interna del server DirectAccess è assegnato un indirizzo IPv4. Per supportare tale funzionalità, la configurazione guidata configura un prefisso di rete IPv6 per NAT64. Il prefisso NAT64 viene assegnato automaticamente e viene applicato a tutti gli intervalli IPv4 dell'organizzazione.

Un server DirectAccess di Windows Server 2008 R2 richiede due interfacce di rete con due indirizzi IPv4 pubblici consecutivi assegnati all'interfaccia esterna. Ciò è necessario affinché possa fungere da server Teredo. Affinché i client dietro un NAT determinino il server Teredo e il tipo di dispositivo NAT, il server Teredo necessita di due indirizzi IPv4 consecutivi.

Tale requisito presenta difficoltà per le organizzazioni di piccole e medie dimensioni che non hanno accesso a indirizzi IPv4 pubblici consecutivi. In futuro ciò potrebbe rappresentare un blocco della distribuzione, poiché lo spazio di indirizzi IPv4 disponibile è esaurito. DirectAccess di Windows Server 2012 offre la possibilità di distribuire il server DirectAccess dietro un dispositivo NAT, con supporto per una singola interfaccia di rete o più interfacce, e rimuove il prerequisito degli indirizzi IPv4 pubblici.

Quando viene eseguita la procedura guidata Attività iniziali guidate per la configurazione dei servizi di Accesso remoto oppure la Configurazione guidata Accesso remoto, viene controllato lo stato delle interfacce di rete nel server per determinare se il server DirectAccess si trova dietro un dispositivo NAT. In questa configurazione, viene distribuito soltanto IP-HTTPS. Il protocollo IP-HTTPS è una tecnologia di transizione IPv6 che consente di stabilire un tunnel IP sicuro con una connessione HTTP sicura.

DirectAccess di Windows Server 2008 R2 utilizza due tunnel IPsec per stabilire la connettività alla rete aziendale. Il client DirectAccess necessita del tunnel dell'infrastruttura per accedere a risorse dell'infrastruttura come server di gestione, DNS e controller di dominio. Questi server di infrastruttura sono tutti elencati come endpoint nei criteri IPsec del tunnel dell'infrastruttura. Il tunnel della Intranet fornisce quindi l'accesso a tutte le altre risorse Intranet aziendali.

Per gli endpoint elencati nei criteri del tunnel dell'infrastruttura sono necessari aggiornamenti periodici, poiché l'infrastruttura cambia, ad esempio in caso di aggiunta o rimozione di server DNS o controller di dominio nella rete di produzione. Se i criteri IPsec non vengono aggiornati in modo da riflettere gli endpoint server dell'infrastruttura corrente, i client possono perdere la connettività al dominio e tale perdita di connettività impedirà ai client di ricevere aggiornamenti di Criteri di gruppo per correggere l'errore.

In Windows Server 2012, il modello semplificato di DirectAccess consente di distribuire DirectAccess su un singolo tunnel IPsec, eliminando così il problema. Tale modello non supporta tuttavia alcune funzionalità che utilizzano l'autenticazione basata su certificati, ad esempio l'autenticazione a due fattori con smart card, la distribuzione multisito e l'integrazione di Protezione accesso alla rete. Le organizzazioni che necessitano di un'esperienza DirectAccess completa dovranno comunque distribuire il modello a due tunnel.

Se è necessario il modello a due tunnel per funzionalità complete, sono disponibili funzionalità aggiuntive per consentire agli amministratori di aggiornare l'elenco dei server resi accessibili tramite il tunnel dell'infrastruttura. I nuovi controller di dominio e i nuovi server System Center Configuration Manager vengono individuati e aggiunti all'elenco. I server non più esistenti vengono rimossi dall'elenco e le voci relative ai server i cui indirizzi IP sono stati modificati vengono aggiornate.

DirectAccess di Windows Server 2008 R2 non offre una soluzione a disponibilità elevata completa ed è limitato a distribuzioni con un singolo server. Per fornire una limitata ridondanza dell'hardware, è possibile configurare DirectAccess in un cluster di failover di Hyper-V configurato per la migrazione in tempo reale di Hyper-V. Può tuttavia essere online un solo nodo server alla volta.

Le distribuzioni di DirectAccess hanno rapidamente superato il punto in cui un singolo server può fornire potenza di elaborazione adeguata. Le organizzazioni devono disporre della flessibilità necessaria per distribuire server aggiuntivi in modo rapido e trasparente per soddisfare requisiti di carico mutevoli. Il server dei percorsi di rete utilizzato per il rilevamento interno/esterno, inoltre, deve essere a disponibilità elevata per prevenire interruzioni significative per i client DirectAccess connessi alla Intranet.

DirectAccess di Windows Server 2012 risolve tali problemi tramite il supporto incorporato di Bilanciamento carico di rete di Windows per ottenere disponibilità elevata e scalabilità per VPN RRAS e DirectAccess. La configurazione di Bilanciamento carico di rete è semplice da impostare e automatizzare tramite l'interfaccia della nuova distribuzione guidata. Il processo di configurazione offre inoltre supporto integrato per soluzioni di bilanciamento del carico basate su hardware esterne di terze parti.

ImportantImportante
DirectAccess di Windows Server 2012 fornisce una soluzione di failover di base che utilizza Bilanciamento carico di rete per un massimo di otto nodi. Nonostante il carico del server venga condiviso tra tutti i nodi di bilanciamento del carico di rete, le connessioni esistenti non vengono automaticamente trasferite agli altri server quando un server non è più disponibile.

La Configurazione guidata DirectAccess di Windows Server 2008 R2 consente di configurare DirectAccess soltanto per un singolo dominio. Di conseguenza, i client remoti di un dominio diverso rispetto al server DirectAccess non potranno utilizzare DirectAccess. Se i server applicazioni si trovano in un diverso dominio, inoltre, i client remoti non potranno accedervi in remoto tramite DirectAccess.

Nonostante gli amministratori possano configurare manualmente il supporto di più domini in Windows Server 2008 R2, per la distribuzione è necessaria la modifica manuale dei criteri DirectAccess al termine della configurazione. DirectAccess di Windows Server 2012 offre il supporto integrato di più domini per consentire l'accesso di client remoti alle risorse dell'organizzazione che si trovano in domini diversi.

DirectAccess di Windows Server 2008 R2 supporta l'integrazione di Protezione accesso alla rete richiedendo un certificato di integrità per l'autenticazione peer IPsec del tunnel della Intranet. Un certificato di integrità è un certificato con ID oggetto Integrità sistema. Un client di Protezione accesso alla rete può ottenere un certificato di integrità da una Autorità registrazione integrità solo se è conforme ai requisiti di integrità di sistema configurati in un server criteri di integrità Protezione accesso alla rete.

Per integrare Protezione accesso alla rete con DirectAccess di Windows Server 2008 R2, è necessario che l'amministratore modifichi manualmente i criteri e gli oggetti Criteri di gruppo creati mediante la Configurazione guidata DirectAccess dopo la distribuzione di DirectAccess. DirectAccess di Windows Server 2012 offre la possibilità di configurare un controllo di integrità di Protezione accesso alla rete direttamente tramite l'interfaccia utente di configurazione. Tale funzionalità automatizza le modifiche di criteri e oggetti Criteri di gruppo necessarie per l'integrazione di Protezione accesso alla rete. L'imposizione del controllo di integrità di Protezione accesso alla rete può essere abilitata dalla Configurazione guidata Accesso remoto.

noteNota
Nonostante semplifichi l'integrazione di Protezione accesso alla rete con DirectAccess, la nuova configurazione guidata non automatizza l'effettiva distribuzione di Protezione accesso alla rete. È necessario che un amministratore configuri l'imposizione IPsec di Protezione accesso alla rete e l'infrastruttura dell'Autorità registrazione integrità in modo indipendente.

Per una maggiore sicurezza di accesso, molte organizzazioni hanno distribuito l'autenticazione a due fattori One-Time Password (OTP) e ne hanno imposto l'utilizzo per le connessioni di accesso remoto. DirectAccess di Windows Server 2008 R2 offre il supporto per l'autenticazione a due fattori con smart card, ma non è integrabile con soluzioni di fornitori di OTP, come RSA SecurID. Ciò ha impedito la distribuzione di DirectAccess nelle organizzazioni che necessitano di tale livello di sicurezza.

DirectAccess di Windows Server 2012 supporta l'autenticazione a due fattori con smart card o soluzioni basate su token OTP. Per questa funzionalità è necessaria la distribuzione di un'infrastruttura a chiave pubblica, pertanto se l'opzione viene selezionata nella Configurazione guidata DirectAccess viene automaticamente selezionata e applicata l'opzione Usa certificati computer.

In aggiunta al supporto dell'autenticazione con smart card standard, DirectAccess può utilizzare le funzionalità per smart card virtuali basate su Trusted Platform Module (TPM) disponibili in Windows Server 2012. Il TPM dei computer client può fungere da smart card virtuale per l'autenticazione a due fattori, rimuovendo così il sovraccarico e i costi associati alla distribuzione di smart card.

Per impostazione predefinita, i client DirectAccess sono in grado di accedere contemporaneamente a Internet, alla Intranet aziendale e alle risorse locali della LAN. Poiché soltanto le connessioni alla Intranet aziendale vengono inviate sui tunnel IPsec di DirectAccess, tale configurazione è denominata split tunneling. Lo split tunneling garantisce un'esperienza utente ottimale in caso di accesso a risorse in Internet, offrendo al tempo stesso una sicurezza affidabile per il traffico destinato alla Intranet.

Nonostante lo split tunneling non costituisca un rischio per la sicurezza, in alcune organizzazioni è necessario forzare tutto il traffico attraverso un proxy aziendale affinché possa essere ispezionato dal sistema IDS. Con connessioni VPN legacy, esiste la possibilità per gli utenti di eseguire in modo efficiente il bridging del traffico tra le reti, ad esempio una rete domestica e la rete aziendale, utilizzando efficacemente il client come router. Per tale motivo, gli amministratori solitamente disabilitano lo split tunneling per le connessioni VPN, imponendo il routing di tutto il traffico di rete attraverso la connessione VPN. Ne consegue un calo delle prestazioni in caso di accesso a risorse Internet, poiché tutto il traffico deve attraversare il tunnel VPN e quindi essere inviato tramite proxy in Internet. Viene inoltre utilizzata considerevole larghezza di banda aggiuntiva sulla rete aziendale.

Il rischio di sicurezza percepito dello split tunneling non è valido in uno scenario DirectAccess, poiché le regole IPsec che abilitano DirectAccess richiedono l'autenticazione da parte dell'endpoint client. Se un altro endpoint tenta il routing attraverso il client DirectAccess, non corrisponderà a un'origine autenticata e IPsec impedirà la connessione. Poiché in alcune organizzazioni è necessario forzare tutto il traffico attraverso il server proxy aziendale affinché possa essere ispezionato, tuttavia, l'opzione Imponi tunneling di DirectAccess offre questa possibilità.

L'opzione Imponi tunneling è disponibile in DirectAccess di Windows Server 2008 R2, ma per attivarla tramite l'impostazione di Criteri di gruppo sono necessarie operazioni manuali. DirectAccess di Windows Server 2012 integra l'opzione Imponi tunneling con la configurazione guidata e l'interfaccia utente di gestione in modo da automatizzare le impostazioni necessarie. L'attivazione dell'opzione Imponi tunneling limita il client DirectAccess all'utilizzo del solo protocollo IP-HTTPS per la connettività. Per impostazione predefinita, inoltre, il server DirectAccess viene utilizzato come server NAT64/DNS64 per convertire le risorse IPv6 da inviare al server proxy IPv4.

In alcune reti, le impostazioni del firewall Internet possono impedire la riuscita delle connessioni client con le tecnologie di transizione IPv6 6to4 o Teredo. IP-HTTPS è una tecnologia di transizione IPv6 introdotta in Windows 7 per garantire ai client DirectAccess la possibilità di connettersi alla rete aziendale anche quando tutte le altre tecnologie di transizione IPv6 hanno esito negativo. IP-HTTPS assegna un indirizzo IPv6 univoco instradabile su scala globale a un host IPv4, incapsula i pacchetti IPv6 in IPv4 per la trasmissione su un tunnel HTTPS e instrada il traffico IPv6 tra l'host e altri nodi IPv6 instradabili su scala globale.

Windows Server 2012 offre diversi miglioramenti dell'implementazione di IP-HTTPS. Le modifiche alla tecnologia consentono ai client IP-HTTPS di ottenere informazioni sulla configurazione proxy e di effettuare l'autenticazione a un proxy HTTP, se necessaria. Il requisito di Windows 7 di distribuire certificati client a ogni client IP-HTTPS è stato rimosso.

IP-HTTPS prevede la creazione di una connessione SSL/TLS tra il client e il server e quindi il passaggio del traffico IP sulla connessione. I dati vengono crittografati tramite IPsec, pertanto vengono crittografati due volte, prima tramite IPsec e quindi nuovamente mediante SSL. Di conseguenza, le prestazioni sono scarse e l'esperienza utente risulta negativa rispetto alle altre tecnologie di transizione IPv6 6to4 e Teredo. La scalabilità del server DirectAccess, inoltre, è limitata.

DirectAccess di Windows Server 2012 include diversi miglioramenti delle prestazioni per IP-HTTPS allo scopo di incrementare la scalabilità e ridurre il sovraccarico associato a questo metodo di connettività. Le ottimizzazioni includono modifiche al comportamento di invio in batch e ai buffer di ricezione, la riduzione del conflitto di blocco e la possibilità di implementare SSL con crittografia NULL.

IP-HTTPS viene eseguito in un contesto di sistema anziché in un contesto utente. Tale contesto può causare problemi di connessione. Se un computer client DirectAccess si trova nella rete di un'azienda partner che utilizza un proxy per l'accesso a Internet e non viene utilizzato il rilevamento automatico WPAD, ad esempio, per accedere a Internet l'utente deve configurare manualmente le impostazioni del proxy. Tali impostazioni vengono configurate in Internet Explorer per ogni singolo utente e non possono essere recuperate in modo intuitivo per conto di IP-HTTPS. Se il proxy richiede l'autenticazione, inoltre, il client fornisce le credenziali per l'accesso a Internet, ma IP-HTTPS non fornisce le credenziali necessarie per l'autenticazione a DirectAccess. In Windows Server 2012, una nuova funzionalità risolve questi problemi. In particolare, l'utente può configurare IP-HTTPS per il funzionamento dietro un proxy non configurato con WPAD e IP-HTTPS richiede e fornisce le credenziali proxy necessarie per la richiesta IP-HTTPS autenticata e ne esegue l'inoltro al server DirectAccess.

Quando si configura IP-HTTPS in DirectAccess sul server, è possibile utilizzare un certificato emesso da un'autorità di certificazione (CA) oppure specificare che DirectAccess dovrà generare automaticamente un certificato autofirmato.

I client DirectAccess stabiliscono la connettività alla Intranet aziendale ogni volta che è disponibile una connessione Internet, anche in assenza di utenti connessi. Ciò consente agli amministratori IT di gestire i computer remoti per l'applicazione di patch e l'imposizione della conformità anche quando non si trovano in ufficio. Alcuni clienti ritengono questo aspetto il principale vantaggio di DirectAccess e scelgono di mantenere la soluzione di accesso remoto esistente per la connettività degli utenti e utilizzare DirectAccess solo per la gestione remota.

DirectAccess di Windows Server 2008 R2 non offre un metodo automatizzato per limitare la distribuzione alla sola gestione e gli amministratori devono modificare manualmente i criteri creati dalla configurazione guidata. DirectAccess di Windows Server 2012 fornisce il supporto per una configurazione di sola gestione tramite un'opzione di distribuzione guidata che limita la creazione dei criteri solo a quelli necessari per la gestione remota dei computer client. In questa distribuzione le opzioni di configurazione a livello utente, ad esempio il tunneling forzato, l'integrazione di Protezione accesso alla rete e l'autenticazione a due fattori non sono disponibili.

noteNota
Il supporto della modalità di gestione richiede la distribuzione di ISATAP o server di gestione con indirizzi v6.

I server DirectAccess possono essere distribuiti in più siti per incrementare la capacità e garantire un accesso più efficiente al punto di ingresso più vicino per le risorse Intranet. Ciò funziona perfettamente se i client restano nei rispetti siti e non devono spostarsi in siti diversi all'interno dell'organizzazione. La configurazione multisito di DirectAccess richiede tuttavia una progettazione e una pianificazione accurate in caso di roaming dei client tra i siti, per garantire che si connettano mediante i server DirectAccess tramite la route più efficiente.

In un ambiente multisito è necessario considerare numerose problematiche, ad esempio assicurarsi che il client individui il server IP-HTTPS, il server Teredo, il server DNS e il controller di dominio più vicini. DirectAccess di Windows Server 2012 offre una soluzione che supporta la distribuzione di punti di ingresso DirectAccess in diverse posizioni geografiche e consente ai client, indipendentemente dalla relativa ubicazione fisica, di accedere alle risorse della rete aziendale in modo efficiente.

È possibile configurare i server DirectAccess di Windows Server 2012 in una distribuzione multisito che consente agli utenti remoti in sedi geografiche disperse di connettersi al punto di ingresso multisito più vicino. Per i computer client che eseguono Windows 8, i punti di ingresso possono essere assegnati automaticamente oppure selezionati manualmente dal client. Per i computer client Windows 7, i punti di ingresso possono essere allocati staticamente. Se l'organizzazione distribuisce una soluzione Global Server Load Balancing (GSLB), i client Windows 7 possono inoltre usufruire del vantaggio della selezione automatica dei punti di ingresso. Il traffico attraverso la distribuzione multisito può essere distribuito e bilanciato con un servizio di bilanciamento del carico globale esterno.

I componenti di base del server costituiscono un'opzione di installazione server minima progettata per ridurre i requisiti di spazio su disco, manutenzione e gestione, nonché la superficie di attacco del sistema operativo. Il sistema basato sui componenti di base del server non supporta un'interfaccia utente grafica, pertanto gli amministratori devono utilizzare strumenti da riga di comando o di gestione remota per eseguire tutte le attività di configurazione necessarie.

Un'installazione di componenti di base del server supporta soltanto un sottoinsieme limitato delle funzionalità disponibili in un'installazione completa di Windows Server e attualmente non include il supporto della funzionalità DirectAccess o del ruolo server Accesso remoto. Un'installazione dei componenti di base del server di Windows Server 2012 include il supporto del ruolo server unificato per DirectAccess e RRAS.

Il nuovo ruolo server Accesso remoto dispone in Windows Server 2012 del supporto completo di Windows PowerShell, utilizzabile per l'installazione, la configurazione e il monitoraggio. Il ruolo server Accesso remoto può inoltre essere configurato tramite gestione remota del server.

In Windows Server 2008 R2, DirectAccess non dispone di un'interfaccia della riga di comando e di script completa per le opzioni di configurazione. Windows Server 2012 offre il supporto completo di Windows PowerShell per l'installazione, la configurazione, la gestione, il monitoraggio e la risoluzione dei problemi del ruolo server Accesso remoto.

In Windows Server 2008 R2, le funzionalità di monitoraggio e diagnostica per il server RRAS e DirectAccess sono limitate. Per DirectAccess, le funzionalità di monitoraggio includono soltanto il monitoraggio dello stato di base di DirectAccess e dei relativi componenti. I dati di monitoraggio e le statistiche disponibili sono di scarso significato o rilevanza limitata per gli amministratori.

Il monitoraggio dello stato del server e degli utenti introdotto in Windows Server 2012 consente agli amministratori di conoscere il comportamento delle connessioni e dei client DirectAccess. La console di monitoraggio viene utilizzata per tenere traccia del carico sul server DirectAccess, dell'attività degli utenti e dell'attuale utilizzo delle risorse. L'amministratore utilizza queste informazioni per identificare le attività di utilizzo potenzialmente inappropriate o indesiderate. Dalla console di monitoraggio può inoltre essere attivata la traccia di diagnostica.

Monitoraggio degli utenti

Gli amministratori di soluzioni di accesso remoto devono essere in grado di monitorare non solo gli utenti connessi, ma anche le risorse a cui accedono. Se gli utenti reclamano che un determinato server o una specifica condivisione file è inaccessibile in remoto, l'amministratore non è attualmente in grado di determinare se altri utenti riescono ad accedere alla risorsa dalla console di accesso remoto. Per risolvere problemi come l'utilizzo di eccessiva larghezza di banda da parte di determinati utenti sono in genere necessari più strumenti e applicazioni.

Il dashboard è accessibile dalla nuova console di gestione server di Accesso remoto selezionando la scheda Dashboard nel riquadro di spostamento. Nel dashboard vengono visualizzati lo stato operativo generale e l'attività e lo stato dei client remoti. L'amministratore può inoltre visualizzare rapporti rapidi direttamente dal dashboard.

Dashboard Monitoraggio contiene un riepilogo dello stato di connettività dei client remoti per gli elementi riportati di seguito. Le informazioni vengono generate dai dati di accounting e dai contatori di Performance Monitor rilevanti.

  • Numero totale di client remoti attivi connessi (include client remoti sia DirectAccess sia VPN)

  • Numero totale di client DirectAccess attivi connessi (solo il numero totale dei client connessi mediante DirectAccess)

  • Numero totale di client VPN attivi connessi (solo il numero totale dei client connessi mediante VPN)

  • Totale di utenti univoci connessi (include utenti sia di DirectAccess sia di VPN, in base alle connessioni attive)

  • Numero totale di connessioni cumulative (numero totale delle connessioni servite dal server di Accesso remoto dall'ultimo riavvio del server)

  • Numero massimo di client remoti connessi (numero massimo degli utenti remoti simultanei connessi al server di Accesso remoto dall'ultimo riavvio del server)

  • Dati totali trasferiti (traffico in entrata e in uscita totale dal server di Accesso remoto per DirectAccess e VPN dall'ultimo riavvio del server)

    1. Traffico in entrata (traffico/byte totali verso il gateway/server di accesso remoto)

    2. Traffico in uscita (traffico/byte totali dal gateway/server di accesso remoto)

In una distribuzione cluster, il riepilogo dello stato e dell'attività dei client remoti in Dashboard di Accesso remoto riporta i valori totali per tutti i nodi del cluster.

Gli amministratori possono osservare un elenco di tutti gli utenti remoti attualmente connessi e visualizzare un elenco di tutte le risorse a cui è stato effettuato l'accesso facendo clic su un determinato utente remoto. Gli amministratori possono visualizzare le statistiche relative agli utenti remoti selezionando il collegamento Stato client remoto nella console di gestione di Accesso remoto. Le statistiche relative agli utenti possono essere filtrate in base a criteri selezionati utilizzando i campi seguenti.

 

Nome campo

Valore

Nome utente

Nome utente o alias dell'utente remoto. È possibile utilizzare caratteri jolly per selezionare un gruppo di utenti, ad esempio contoso\* o *\administrator. Se non è specificato alcun dominio, viene utilizzato *\username.

Nome host

Nome dell'account computer del computer remoto. È possibile specificare anche un indirizzo IPv4 o IPv6.

Tipo

DirectAccess o VPN. Se si seleziona DirectAccess, vengono elencati tutti gli utenti remoti che si connettono tramite DirectAccess. Se si seleziona VPN, vengono elencati tutti gli utenti remoti che si connettono tramite VPN.

Indirizzo ISP

Indirizzo IPv4 o IPv6 dell'utente remoto

Indirizzo IPv4

Indirizzo IPv4 interno del tunnel che connette l'utente remoto alla rete aziendale

Indirizzo IPv6

Indirizzo IPv6 interno del tunnel che connette l'utente remoto alla rete aziendale

Protocollo/Tunnel

Tecnologia di transizione utilizzata dal client remoto: Teredo, 6to4 o IP-HTTPS in caso di utenti di DirectAccess e PPTP, L2TP, SSTP o IKEv2 in caso di utenti di VPN

Risorsa a cui si effettua l'accesso

Tutti gli utenti accedono a una determinata risorsa aziendale o a un endpoint. Il valore corrispondente a questo campo è il nome host/indirizzo IP del server/endpoint.

Server

Server di Accesso remoto a cui sono connessi i client. È rilevante soltanto per distribuzioni cluster e multisito.

Questa funzionalità consente agli amministratori di gestire e monitorare lo stato delle distribuzioni di accesso remoto da una console di monitoraggio centralizzata. La funzionalità visualizza avvisi agli amministratori ogni volta che viene rilevato un problema che richiede attenzione. Nell'interfaccia vengono visualizzate informazioni dettagliate di diagnostica con i passaggi per la risoluzione.

Il nodo Dashboard dell'albero della console mostra lo stato del server di accesso remoto, includendo lo stato dell'infrastruttura di accesso remoto e dei componenti correlati, nonché se la configurazione è distribuita correttamente tra i punti di ingresso.

Il nodo Stato operazioni relativo al server nell'albero della console mostra lo stato del server di accesso remoto, includendo lo stato dell'infrastruttura di accesso remoto e dei componenti correlati. Facendo clic su un determinato componente, gli amministratori possono visualizzarne lo stato, la cronologia delle modifiche e i dettagli di monitoraggio.

Se i server di accesso remoto vengono distribuiti in un cluster o una distribuzione multisito, tutti i server del cluster o della distribuzione multisito vengono valutati in modo asincrono e vengono elencati con il relativo stato generale. Gli amministratori possono scorrere l'elenco dei server ed espandere o comprimere la visualizzazione per osservare i componenti server DirectAccess e VPN.

Di seguito sono elencati i componenti di Accesso remoto con monitoraggio dello stato visualizzati nel riquadro Stato operazioni relativo al server.

  • 6to4

  • DNS

  • DNS64

  • Controller di dominio

  • IP-HTTPS

  • IPsec

  • ISATAP

  • Kerberos

  • Server di gestione

  • NAT64

  • Schede di rete

  • Server dei percorsi di rete

  • Sicurezza di rete (IPsec DoSP)

  • Servizi

  • Teredo

  • Bilanciamento del carico

  • Indirizzi VPN

  • Connettività VPN

La risoluzione degli errori di connettività di accesso remoto per RRAS e DirectAccess può essere estremamente complessa a causa delle limitate funzionalità di registrazione attualmente disponibili. Gli amministratori necessitano in genere di acquisizioni di Network Monitor e della traccia di RRAS per la risoluzione dei problemi, poiché i registri del Visualizzatore eventi non sono molto utili o ricchi di indicazioni.

Per la risoluzione dei problemi di accesso remoto, Windows Server 2012 offre i miglioramenti delle funzionalità di diagnostica riportati di seguito.

  • Registrazione dettagliata degli eventi per DirectAccess

    Gli amministratori possono utilizzare la registrazione migliorata degli eventi per identificare i problemi ed eseguire analisi della capacità e delle prestazioni. I registri eventi sono standardizzati per garantire un'esperienza coerente con altri componenti di rete.

  • Traccia e acquisizione pacchetti

    La traccia integrata consente agli amministratori di raccogliere facilmente registri di traccia e acquisizioni di pacchetti di rete con un solo clic. Sia la traccia con acquisizione pacchetti che la correlazione dei registri vengono eseguite nell'ambito di un singolo processo quando l'amministratore fa clic sull'attività Avvia traccia nel riquadro Attività.

  • Correlazione dei registri

    Questa funzionalità supporta la raccolta e la correlazione automatizzate dei registri per i diversi componenti di DirectAccess con un solo clic, sfruttando la funzionalità di traccia unificata di Windows. Gli eventi raccolti dai diversi componenti vengono consolidati in un singolo file tramite la correlazione degli ID attività. Gli ID attività sono GUID che identificano una determinata attività o azione. Quando un componente registra un evento, associa all'evento un ID attività. Il componente passa quindi questo ID o un evento di trasferimento mappato all'ID al componente che esegue l'attività successiva nello scenario, che associa il proprio ID attività agli eventi di registro. Nel corso dell'analisi del file di traccia risultante, è possibile ricostruire la relazione tra i vari componenti rilevanti per uno scenario.

  • Attivazione/visualizzazione dei registri

    La traccia può essere attivata dal riquadro Attività di Dashboard Monitoraggio oppure dalla riga di comando, che controlla anche livelli di registrazione, parole chiave e filtri. I risultanti file ETL di traccia unificata generati possono essere letti e visualizzati mediante Network Monitor.

Un server di accesso remoto Windows Server 2012 può sfruttare una distribuzione server RADIUS esistente o il Database interno di Windows ai fini dell'accounting. Le informazioni e i dati cronologici per lo stato di server e carico sono disponibili tramite contatori di Performance Monitor del sistema e vengono archiviati nell'archivio di accounting del Database interno di Windows. Ogni volta che nel server di accesso remoto viene ricevuta o interrotta una connessione, tutte le statistiche relative agli utenti remoti (inclusi gli endpoint a cui è stato effettuato l'accesso) vengono salvate nell'archivio di accounting come una sessione. Ciò consente di accedere in un secondo momento ai dettagli della sessione a scopo di controllo o gestione rapporti.

Le funzionalità di accounting e gestione rapporti fornite nel ruolo server Accesso remoto includono la possibilità di misurare metriche specifiche. Le metriche disponibili includono il numero di utenti connessi a un determinato server DirectAccess e i byte totali trasferiti. Gli amministratori possono creare rapporti personalizzati per identificare modelli di traffico e di utilizzo, nonché una cronologia di tali modelli.

Le funzionalità di gestione rapporti di DirectAccess e RRAS consentono agli amministratori di generare avanzati rapporti sull'utilizzo in relazione a varie statistiche, ad esempio disponibilità del server, carico e statistiche relative agli utenti remoti. Per generare il rapporto sull'utilizzo viene sfruttato l'archivio di accounting della posta in arrivo. Per generare rapporti sull'utilizzo è necessario che sia abilitato l'accounting della posta in arrivo in un Database interno di Windows locale. Non è possibile utilizzare l'accounting NPS/RADIUS per generare rapporti.

Il rapporto sull'utilizzo visualizza la cronologia di utilizzo includendo gli utenti che hanno stabilito connessioni remote, le risorse a cui hanno effettuato l'accesso, il numero totale di utenti univoci e il carico massimo del server generato. L'amministratore può selezionare un periodo di tempo specifico per la generazione dei dati.

La connettività cross-premise è una funzionalità di Windows Server 2012 che offre la connettività di rete per consentire ai provider di hosting di servizi di eseguire la migrazione delle applicazioni e dell'infrastruttura al cloud. Questa funzionalità include un'interfaccia di gestione e una soluzione di connettività VPN in modalità tunnel IKEv2 (Internet Key Exchange versione 2) da sito a sito. In Windows Server 2008 R2 è stato introdotto il supporto di IKEv2 in RRAS per le connessioni VPN. Una VPN IKEv2 garantisce resilienza al client VPN quando il client passa da una rete a un'altra oppure da una connessione wireless a una cablata. L'utilizzo di IKEv2 e IPsec consente di supportare metodi di crittografia e autenticazione avanzata. RRAS di Windows Server 2012 offre ulteriori miglioramenti della funzionalità per abilitare IKEv2 per connessioni VPN da sito a sito.

Il documento è risultato utile?
(1500 caratteri rimanenti)
Grazie per i commenti inviati.

Aggiunte alla community

AGGIUNGI
Microsoft sta conducendo un sondaggio in linea per comprendere l'opinione degli utenti in merito al sito Web di MSDN. Se si sceglie di partecipare, quando si lascia il sito Web di MSDN verrà visualizzato il sondaggio in linea.

Si desidera partecipare?
Mostra:
© 2014 Microsoft