Distribuire un server DirectAccess singolo usando Attività iniziali guidate
Si applica a: Windows Server 2012 R2, Windows Server 2012
Questo argomento fornisce un'introduzione allo scenario DirectAccess in cui viene usato un server DirectAccess singolo e consente di distribuire DirectAccess in pochi, semplici passaggi.
Per informazioni sui percorsi di distribuzione alternativi, vedere Percorsi di distribuzione di DirectAccess in Windows Server.
Importante
Per distribuire DirectAccess usando questa guida, è necessario usare un server DirectAccess che esegue Windows Server® 2012 R2 o Windows Server® 2012.
Prima di iniziare la distribuzione vedere l'elenco di configurazioni non supportate, problemi noti e prerequisiti
È possibile usare gli argomenti seguenti per rivedere i prerequisiti e altre informazioni prima di distribuire DirectAccess con Windows Server® 2012 R2 e Windows Server® 2012.
Descrizione dello scenario
In questo scenario un computer singolo che esegue Windows Server 2012 R2 o Windows Server 2012 viene configurato come server DirectAccess in pochi, semplici passaggi.
Nello scenario semplice, DirectAccess viene configurato con le impostazioni predefinite in pochi, semplici passaggi della procedura guidata, senza dover configurare impostazioni dell'infrastruttura come l'autorità di certificazione (CA) o i gruppi di sicurezza Active Directory.
Per configurare una distribuzione avanzata con impostazioni personalizzate, vedere Distribuire un server DirectAccess singolo con impostazioni avanzate
Per configurare DirectAccess con le funzionalità di rete per le grandi imprese, ad esempio cluster con bilanciamento di carico, distribuzione multisito o autenticazione client a due fattori, completare lo scenario descritto nell'argomento per configurare un solo server e quindi configurare lo scenario Enterprise richiesto usando Distribuire Accesso remoto in una grande impresa.
In questo scenario
Per configurare un server DirectAccess semplice, sono necessari diversi passaggi di pianificazione e distribuzione.
Prerequisiti
Prima di affrontare la distribuzione di questo scenario, esaminare l'elenco dei requisiti importanti:
- Windows Firewall deve essere abilitato in tutti i profili
- Questo scenario è supportato solo se i computer client eseguono Windows® 8.1 e Windows® 8.
- La tecnologia ISATAP non è supportata nella rete aziendale. Se si usa la tecnologia ISATAP, rimuoverla e usare la connettività IPv6 nativa.
- Non è necessaria un'infrastruttura a chiave pubblica (PKI).
- Non supportato per la distribuzione dell'autenticazione a due fattori. Le credenziali di dominio sono necessarie per l'autenticazione.
- Distribuisce automaticamente DirectAccess a tutti i computer portatili nel dominio corrente.
- Il traffico a Internet non viene trasmesso nel tunnel DirectAccess. La configurazione del tunneling forzato non è supportata.
- Il server DirectAccess è il server dei percorsi di rete.
- La Protezione accesso alla rete (NAP) non è supportata.
- La modifica dei criteri all'esterno della console di gestione DirectAccess o con cmdlet di PowerShell non è supportata.
- Per la distribuzione multisito, ora o in futuro, vedere Distribuire un server DirectAccess singolo con impostazioni avanzate.
Passaggi di pianificazione
La pianificazione è suddivisa in due fasi:
Pianificazione per l'infrastruttura di DirectAccess: questa fase descrive la pianificazione richiesta per configurare l'infrastruttura di rete prima di iniziare la distribuzione di DirectAccess. Include la pianificazione della rete e della topologia del server e del server dei percorsi di rete di DirectAccess.
Pianificazione per la distribuzione di DirectAccess: questa fase descrive i passaggi di pianificazione necessari per preparare la distribuzione di DirectAccess. Include la pianificazione per i computer client DirectAccess, i requisiti per l'autenticazione client e server, le impostazioni VPN, i server dell'infrastruttura e i server applicazioni e di gestione.
Per informazioni dettagliate sui passaggi per la pianificazione, vedere Pianificare una distribuzione avanzata DirectAccess.
Fasi di distribuzione
La distribuzione è suddivisa in tre fasi:
Configurazione dell'infrastruttura di DirectAccess: questa fase include la configurazione della rete e del routing, delle impostazioni del firewall (se richiesta), dei certificati, dei server DNS, delle impostazioni di Active Directory e dell'oggetto Criteri di gruppo e del server dei percorsi di rete DirectAccess.
Configurazione delle impostazioni del server DirectAccess: questa fase include i passaggi per la configurazione dei computer client di DirectAccess, del server DirectAccess, dei server dell'infrastruttura e dei server applicazioni e di gestione.
Verifica della distribuzione: questa fase include i passaggi per verificare il corretto funzionamento della distribuzione.
Per informazioni dettagliate sui passaggi per la distribuzione, vedere Installare e configurare DirectAccess di base.
Applicazioni pratiche
La distribuzione di un singolo server di Accesso remoto offre:
Facilità di accesso: i computer client gestiti che eseguono Windows 8.1, Windows 8 e Windows® 7 possono essere configurati come client DirectAccess. Questi client possono accedere alle risorse di rete interne tramite DirectAccess ogni volta che sono connessi a Internet, senza dover accedere a una connessione VPN I computer client che non eseguono uno di questi sistemi operativi possono connettersi alla rete interna usando le tradizionali connessioni VPN.
Facilità di gestione: i computer client DirectAccess su Internet possono essere gestiti in remoto dagli amministratori di Accesso remoto tramite DirectAccess, anche quando i computer client non si trovano nella rete aziendale interna. Per i computer client che non soddisfano i requisiti aziendali vengono eseguiti il monitoraggio e l'aggiornamento automatici tramite i server di gestione. Sia DirectAccess che la VPN sono gestiti nella stessa console e con lo stesso gruppo di procedure guidate. Inoltre, è possibile gestire uno o più server di Accesso remoto da una singola console di gestione di Accesso remoto
Ruoli e funzionalità inclusi nello scenario
Nella tabella seguente sono elencati i ruoli e le funzionalità richiesti per lo scenario.
Ruolo/funzionalità |
Modalità di supporto dello scenario |
---|---|
Ruolo Accesso remoto |
Il ruolo viene installato e disinstallato tramite la console di Server Manager o Windows PowerShell. Questo ruolo comprende DirectAccess, una funzionalità precedentemente inclusa in Windows Server 2008 R2, e il servizio Routing e Accesso remoto che in precedenza era un servizio ruolo nel ruolo server Servizi di accesso e criteri di rete (NPAS). Il ruolo Accesso remoto è costituito da due componenti:
Il ruolo del server di Accesso remoto dipende dai ruoli/funzionalità del server seguenti:
|
Funzionalità Strumenti di Gestione Accesso remoto |
Questa funzionalità viene installata come segue:
La funzionalità Strumenti di Gestione Accesso remoto è costituita dai seguenti elementi:
Le dipendenze includono:
|
Requisiti hardware
I requisiti hardware per questo scenario includono i seguenti.
Requisiti del server:
Un computer che soddisfa i requisiti hardware per Windows Server 2012 R2 o Windows Server 2012.
Il server deve avere almeno una scheda di rete installata, abilitata e connessa alla rete interna. Quando si usano due schede, una di esse deve essere connessa alla rete aziendale interna e l'altra alla rete esterna (Internet o rete privata).
Almeno un controller di dominio. Il server di Accesso remoto e il client DirectAccess devono essere membri di un dominio.
Requisiti client
Un computer client deve eseguire Windows 8.1 o Windows 8.
Importante
Se alcuni o tutti i computer client eseguono Windows 7, è necessario usare la configurazione guidata avanzata. La procedura di configurazione Attività iniziali guidate descritta in questo documento non supporta i computer client che eseguono Windows 7. Vedere Distribuire un server DirectAccess singolo con impostazioni avanzate per istruzioni su come usare i client Windows 7 con DirectAccess.
Nota
Solo i sistemi operativi seguenti possono essere usati come client DirectAccess: Windows® 8.1 Enterprise, Windows Server 2012 R2, Windows Server 2012, Windows® 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise e Windows 7 Ultimate.
Requisii del server di gestione e infrastruttura:
- Se si abilita VPN e non è configurato un pool di indirizzi IP statico, è necessario distribuire un server DHCP per allocare automaticamente gli indirizzi IP ai client VPN.
È richiesto un server DNS che esegue Windows Server 2008 SP2, Windows Server 2008 R2 o Windows Server 2012.
Requisiti software
Per questo scenario sono presenti numerosi requisiti.
Requisiti del server:
Il server di Accesso remoto deve essere membro di un dominio. Il server può essere distribuito alla periferia della rete interna o dietro un firewall o un altro dispositivo periferico.
Se il server di Accesso remoto di trova dietro un firewall periferico o un dispositivo NAT, il dispositivo deve essere configurato in modo da consentire il traffico da e verso il server di Accesso remoto.
La persona che distribuisce Accesso remoto sul server deve disporre di autorizzazioni di amministratore locale sul server e di autorizzazioni a livello utente di dominio. L'amministratore deve inoltre disporre di autorizzazioni per gli oggetti Criteri di gruppo utilizzati nella distribuzione di DirectAccess. Per sfruttare le funzionalità che limitano la distribuzione di DirectAccess solo ai computer portatili, sono richieste autorizzazioni per creare un filtro WMI nel controller di dominio.
Requisiti dei client di Accesso remoto:
I client DirectAccess devono essere membri di un dominio. I domini che contengono client possono appartenere alla stessa foresta del server di Accesso remoto oppure avere un trust bidirezionale con la foresta di server di Accesso remoto.
È richiesto un gruppo di sicurezza di Active Directory per contenere i computer che saranno configurati come client DirectAccess. Se un gruppo di sicurezza non è specificato durante la configurazione delle impostazioni del client DirectAccess, per impostazione predefinita l'oggetto Criteri di gruppo del client viene applicato su tutti i computer portatili nel gruppo di sicurezza Computer del dominio. Solo i sistemi operativi seguenti possono essere usati come client DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate.
Vedere anche
Nella tabella seguente vengono forniti i collegamenti a risorse aggiuntive.
Tipo di contenuto |
Riferimenti |
---|---|
Accesso remoto su TechNet |
|
Valutazione del prodotto |
Guida dell'ambiente di prova: Dimostrazione di una distribuzione di DirectAccess multisito Guida dell'ambiente di prova: Dimostrazione di DirectAccess con autenticazione OTP e SecurID RSA |
Strumenti e impostazioni |
|
Risorse della community |
|
Tecnologie correlate |