Distribuire un server DirectAccess singolo usando Attività iniziali guidate

Articolo
06/11/2016

Si applica a: Windows Server 2012 R2, Windows Server 2012

Questo argomento fornisce un'introduzione allo scenario DirectAccess in cui viene usato un server DirectAccess singolo e consente di distribuire DirectAccess in pochi, semplici passaggi.

Per informazioni sui percorsi di distribuzione alternativi, vedere Percorsi di distribuzione di DirectAccess in Windows Server.

Importante

Per distribuire DirectAccess usando questa guida, è necessario usare un server DirectAccess che esegue Windows Server® 2012 R2 o Windows Server® 2012.

Prima di iniziare la distribuzione vedere l'elenco di configurazioni non supportate, problemi noti e prerequisiti

È possibile usare gli argomenti seguenti per rivedere i prerequisiti e altre informazioni prima di distribuire DirectAccess con Windows Server® 2012 R2 e Windows Server® 2012.

Descrizione dello scenario

In questo scenario un computer singolo che esegue Windows Server 2012 R2 o Windows Server 2012 viene configurato come server DirectAccess in pochi, semplici passaggi.

Nello scenario semplice, DirectAccess viene configurato con le impostazioni predefinite in pochi, semplici passaggi della procedura guidata, senza dover configurare impostazioni dell'infrastruttura come l'autorità di certificazione (CA) o i gruppi di sicurezza Active Directory.
Per configurare una distribuzione avanzata con impostazioni personalizzate, vedere Distribuire un server DirectAccess singolo con impostazioni avanzate
Per configurare DirectAccess con le funzionalità di rete per le grandi imprese, ad esempio cluster con bilanciamento di carico, distribuzione multisito o autenticazione client a due fattori, completare lo scenario descritto nell'argomento per configurare un solo server e quindi configurare lo scenario Enterprise richiesto usando Distribuire Accesso remoto in una grande impresa.

In questo scenario

Per configurare un server DirectAccess semplice, sono necessari diversi passaggi di pianificazione e distribuzione.

Prerequisiti

Prima di affrontare la distribuzione di questo scenario, esaminare l'elenco dei requisiti importanti:

Windows Firewall deve essere abilitato in tutti i profili

Questo scenario è supportato solo se i computer client eseguono Windows® 8.1 e Windows® 8.

La tecnologia ISATAP non è supportata nella rete aziendale. Se si usa la tecnologia ISATAP, rimuoverla e usare la connettività IPv6 nativa.

Non è necessaria un'infrastruttura a chiave pubblica (PKI).

Non supportato per la distribuzione dell'autenticazione a due fattori. Le credenziali di dominio sono necessarie per l'autenticazione.

Distribuisce automaticamente DirectAccess a tutti i computer portatili nel dominio corrente.

Il traffico a Internet non viene trasmesso nel tunnel DirectAccess. La configurazione del tunneling forzato non è supportata.

Il server DirectAccess è il server dei percorsi di rete.

La Protezione accesso alla rete (NAP) non è supportata.

La modifica dei criteri all'esterno della console di gestione DirectAccess o con cmdlet di PowerShell non è supportata.

Per la distribuzione multisito, ora o in futuro, vedere Distribuire un server DirectAccess singolo con impostazioni avanzate.

Passaggi di pianificazione

La pianificazione è suddivisa in due fasi:

Pianificazione per l'infrastruttura di DirectAccess: questa fase descrive la pianificazione richiesta per configurare l'infrastruttura di rete prima di iniziare la distribuzione di DirectAccess. Include la pianificazione della rete e della topologia del server e del server dei percorsi di rete di DirectAccess.
Pianificazione per la distribuzione di DirectAccess: questa fase descrive i passaggi di pianificazione necessari per preparare la distribuzione di DirectAccess. Include la pianificazione per i computer client DirectAccess, i requisiti per l'autenticazione client e server, le impostazioni VPN, i server dell'infrastruttura e i server applicazioni e di gestione.

Per informazioni dettagliate sui passaggi per la pianificazione, vedere Pianificare una distribuzione avanzata DirectAccess.

Fasi di distribuzione

La distribuzione è suddivisa in tre fasi:

Configurazione dell'infrastruttura di DirectAccess: questa fase include la configurazione della rete e del routing, delle impostazioni del firewall (se richiesta), dei certificati, dei server DNS, delle impostazioni di Active Directory e dell'oggetto Criteri di gruppo e del server dei percorsi di rete DirectAccess.
Configurazione delle impostazioni del server DirectAccess: questa fase include i passaggi per la configurazione dei computer client di DirectAccess, del server DirectAccess, dei server dell'infrastruttura e dei server applicazioni e di gestione.
Verifica della distribuzione: questa fase include i passaggi per verificare il corretto funzionamento della distribuzione.

Per informazioni dettagliate sui passaggi per la distribuzione, vedere Installare e configurare DirectAccess di base.

Applicazioni pratiche

La distribuzione di un singolo server di Accesso remoto offre:

Facilità di accesso: i computer client gestiti che eseguono Windows 8.1, Windows 8 e Windows® 7 possono essere configurati come client DirectAccess. Questi client possono accedere alle risorse di rete interne tramite DirectAccess ogni volta che sono connessi a Internet, senza dover accedere a una connessione VPN I computer client che non eseguono uno di questi sistemi operativi possono connettersi alla rete interna usando le tradizionali connessioni VPN.
Facilità di gestione: i computer client DirectAccess su Internet possono essere gestiti in remoto dagli amministratori di Accesso remoto tramite DirectAccess, anche quando i computer client non si trovano nella rete aziendale interna. Per i computer client che non soddisfano i requisiti aziendali vengono eseguiti il monitoraggio e l'aggiornamento automatici tramite i server di gestione. Sia DirectAccess che la VPN sono gestiti nella stessa console e con lo stesso gruppo di procedure guidate. Inoltre, è possibile gestire uno o più server di Accesso remoto da una singola console di gestione di Accesso remoto

Ruoli e funzionalità inclusi nello scenario

Nella tabella seguente sono elencati i ruoli e le funzionalità richiesti per lo scenario.

Ruolo/funzionalità	Modalità di supporto dello scenario
Ruolo Accesso remoto	Il ruolo viene installato e disinstallato tramite la console di Server Manager o Windows PowerShell. Questo ruolo comprende DirectAccess, una funzionalità precedentemente inclusa in Windows Server 2008 R2, e il servizio Routing e Accesso remoto che in precedenza era un servizio ruolo nel ruolo server Servizi di accesso e criteri di rete (NPAS). Il ruolo Accesso remoto è costituito da due componenti: DirectAccess e VPN Servizio Routing e Accesso remoto (RRAS). DirectAccess e VPN vengono gestiti insieme nella console Gestione Accesso remoto. Routing RRAS. Le funzionalità di routing RRAS sono gestite tramite la console di routing e Accesso remoto legacy. Il ruolo del server di Accesso remoto dipende dai ruoli/funzionalità del server seguenti: Server Web Internet Information Services (IIS): questa funzionalità è richiesta per configurare il server dei percorsi di rete sul server di Accesso remoto e un probe Web predefinito. Database interno di Windows. Utilizzato per l'accounting locale sul server di Accesso remoto.
Funzionalità Strumenti di Gestione Accesso remoto	Questa funzionalità viene installata come segue: Viene installata per impostazione predefinita in un server di Accesso remoto quando viene installato il ruolo Accesso remoto e supporta l'interfaccia utente della console di gestione remota e i cmdlet di Windows PowerShell. Può essere installata facoltativamente su un server che non esegue il ruolo server Accesso remoto. In questo caso viene utilizzata per la gestione remota di un computer di Accesso remoto che esegue DirectAccess e VPN. La funzionalità Strumenti di Gestione Accesso remoto è costituita dai seguenti elementi: GUI di Accesso remoto Modulo Accesso remoto per Windows PowerShell Le dipendenze includono: Console Gestione Criteri di gruppo Connection Manager Administration Kit (CMAK) RAS Windows PowerShell 3.0 Strumenti di gestione e infrastruttura grafica

Ruolo Accesso remoto

Il ruolo viene installato e disinstallato tramite la console di Server Manager o Windows PowerShell. Questo ruolo comprende DirectAccess, una funzionalità precedentemente inclusa in Windows Server 2008 R2, e il servizio Routing e Accesso remoto che in precedenza era un servizio ruolo nel ruolo server Servizi di accesso e criteri di rete (NPAS). Il ruolo Accesso remoto è costituito da due componenti:

DirectAccess e VPN Servizio Routing e Accesso remoto (RRAS). DirectAccess e VPN vengono gestiti insieme nella console Gestione Accesso remoto.
Routing RRAS. Le funzionalità di routing RRAS sono gestite tramite la console di routing e Accesso remoto legacy.

Il ruolo del server di Accesso remoto dipende dai ruoli/funzionalità del server seguenti:

Server Web Internet Information Services (IIS): questa funzionalità è richiesta per configurare il server dei percorsi di rete sul server di Accesso remoto e un probe Web predefinito.
Database interno di Windows. Utilizzato per l'accounting locale sul server di Accesso remoto.

Funzionalità Strumenti di Gestione Accesso remoto

Questa funzionalità viene installata come segue:

Viene installata per impostazione predefinita in un server di Accesso remoto quando viene installato il ruolo Accesso remoto e supporta l'interfaccia utente della console di gestione remota e i cmdlet di Windows PowerShell.
Può essere installata facoltativamente su un server che non esegue il ruolo server Accesso remoto. In questo caso viene utilizzata per la gestione remota di un computer di Accesso remoto che esegue DirectAccess e VPN.

La funzionalità Strumenti di Gestione Accesso remoto è costituita dai seguenti elementi:

GUI di Accesso remoto
Modulo Accesso remoto per Windows PowerShell

Le dipendenze includono:

Console Gestione Criteri di gruppo
Connection Manager Administration Kit (CMAK) RAS
Windows PowerShell 3.0
Strumenti di gestione e infrastruttura grafica

Requisiti hardware

I requisiti hardware per questo scenario includono i seguenti.

Requisiti del server:
- Un computer che soddisfa i requisiti hardware per Windows Server 2012 R2 o Windows Server 2012.
- Il server deve avere almeno una scheda di rete installata, abilitata e connessa alla rete interna. Quando si usano due schede, una di esse deve essere connessa alla rete aziendale interna e l'altra alla rete esterna (Internet o rete privata).
- Almeno un controller di dominio. Il server di Accesso remoto e il client DirectAccess devono essere membri di un dominio.
Requisiti client
- Un computer client deve eseguire Windows 8.1 o Windows 8.
  
  Importante
  
  Se alcuni o tutti i computer client eseguono Windows 7, è necessario usare la configurazione guidata avanzata. La procedura di configurazione Attività iniziali guidate descritta in questo documento non supporta i computer client che eseguono Windows 7. Vedere Distribuire un server DirectAccess singolo con impostazioni avanzate per istruzioni su come usare i client Windows 7 con DirectAccess.
  
  Nota
  
  Solo i sistemi operativi seguenti possono essere usati come client DirectAccess: Windows® 8.1 Enterprise, Windows Server 2012 R2, Windows Server 2012, Windows® 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise e Windows 7 Ultimate.
Requisii del server di gestione e infrastruttura:
- Se si abilita VPN e non è configurato un pool di indirizzi IP statico, è necessario distribuire un server DHCP per allocare automaticamente gli indirizzi IP ai client VPN.
È richiesto un server DNS che esegue Windows Server 2008 SP2, Windows Server 2008 R2 o Windows Server 2012.

Requisiti software

Per questo scenario sono presenti numerosi requisiti.

Requisiti del server:
- Il server di Accesso remoto deve essere membro di un dominio. Il server può essere distribuito alla periferia della rete interna o dietro un firewall o un altro dispositivo periferico.
- Se il server di Accesso remoto di trova dietro un firewall periferico o un dispositivo NAT, il dispositivo deve essere configurato in modo da consentire il traffico da e verso il server di Accesso remoto.
- La persona che distribuisce Accesso remoto sul server deve disporre di autorizzazioni di amministratore locale sul server e di autorizzazioni a livello utente di dominio. L'amministratore deve inoltre disporre di autorizzazioni per gli oggetti Criteri di gruppo utilizzati nella distribuzione di DirectAccess. Per sfruttare le funzionalità che limitano la distribuzione di DirectAccess solo ai computer portatili, sono richieste autorizzazioni per creare un filtro WMI nel controller di dominio.
Requisiti dei client di Accesso remoto:
- I client DirectAccess devono essere membri di un dominio. I domini che contengono client possono appartenere alla stessa foresta del server di Accesso remoto oppure avere un trust bidirezionale con la foresta di server di Accesso remoto.
- È richiesto un gruppo di sicurezza di Active Directory per contenere i computer che saranno configurati come client DirectAccess. Se un gruppo di sicurezza non è specificato durante la configurazione delle impostazioni del client DirectAccess, per impostazione predefinita l'oggetto Criteri di gruppo del client viene applicato su tutti i computer portatili nel gruppo di sicurezza Computer del dominio. Solo i sistemi operativi seguenti possono essere usati come client DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate.

Vedere anche

Nella tabella seguente vengono forniti i collegamenti a risorse aggiuntive.

Tipo di contenuto	Riferimenti
Accesso remoto su TechNet	TechCenter di Accesso remoto
Valutazione del prodotto	Guida al lab di test: Dimostrazione di DirectAccess in un cluster con Bilanciamento carico di rete di Windows Guida dell'ambiente di prova: Dimostrazione di una distribuzione di DirectAccess multisito Guida dell'ambiente di prova: Dimostrazione di DirectAccess con autenticazione OTP e SecurID RSA
Strumenti e impostazioni	Cmdlet di PowerShell per Accesso remoto
Risorse della community	Wiki su DirectAccess
Tecnologie correlate	Funzionamento di IPv6