Gestire i client DirectAccess in remoto

  • Articolo

 

Si applica a: Windows Server 2012 R2, Windows Server 2012

Nota: Windows Server 2012 riunisce DirectAccess e il servizio Routing e Accesso remoto (RRAS) in un singolo ruolo Accesso remoto.

In questo argomento viene presentato uno scenario avanzato da usare per configurare un unico server di Accesso remoto per la gestione remota dei client DirectAccess.

Descrizione dello scenario

In questo scenario viene configurato un unico computer che esegue Windows Server 2012 come server di Accesso remoto con il solo scopo di gestire i client DirectAccess in remoto. Le operazioni illustrate nello scenario consentono la gestione remota dei client, ma comportano la disabilitazione di altri componenti che è possibile usare selezionando una distribuzione DirectAccess completa, incluso l'accesso client alle reti interne, il tunneling forzato, l'autenticazione avanzata e la conformità NAP.

Nota

Per configurare una distribuzione di base solo con impostazioni semplici, vedere Distribuire un server DirectAccess singolo usando Attività iniziali guidate. In questo semplice scenario è possibile configurare Accesso remoto con le impostazioni predefinite usando una procedura guidata. Non verranno configurate le impostazioni di infrastruttura, ad esempio l'Autorità di certificazione (CA) o i gruppi di sicurezza di Active Directory.

In questo scenario

Per configurare un unico server di Accesso remoto per la gestione dei client è necessaria una serie di passaggi di pianificazione e distribuzione.

Passaggi di pianificazione

La pianificazione per questo scenario è suddivisa in due fasi:

  1. Pianificare l'infrastruttura di Accesso remoto: in questa fase si pianifica l'infrastruttura di rete prima di iniziare la distribuzione di Accesso remoto. È inclusa la pianificazione di rete e topologia del server, certificati, Domain Name System (DNS), Active Directory, oggetti Criteri di gruppo e il server del percorso di rete DirectAccess.

  2. Pianificare la distribuzione di Accesso remoto: in questa fase ci si prepara alla distribuzione di Accesso remoto. È inclusa la pianificazione dei computer client di Accesso remoto, dei requisiti di autenticazione server e client, delle impostazioni VPN, dell'infrastruttura e dei server di gestione.

Per informazioni dettagliate sui passaggi per la pianificazione, vedere Piano di distribuzione per la gestione remota dei client DirectAccess.

Prerequisiti

Prima di affrontare questo scenario, esaminare l'elenco dei requisiti importanti:

  • Windows Firewall deve essere abilitato in tutti i profili.
  • DirectAccess supporta solo i client che eseguono Windows 8.1, Windows 8 e Windows 7.
  • La modifica dei criteri all'esterno della console di gestione DirectAccess o tramite l'uso dei cmdlet di Windows PowerShell non è supportata.

Fasi di distribuzione

La distribuzione per questo scenario è suddivisa in due fasi:

  1. Configurare l'infrastruttura di Accesso remoto: in questa fase verranno configurati rete e routing, le impostazioni del firewall (se necessario), certificati, server DNS, le impostazioni di Active Directory e dell'oggetto Criteri di gruppo e il server dei percorsi di rete di DirectAccess.

  2. Configurare le impostazioni del server di Accesso remoto: in questa fase si configureranno i computer client di Accesso remoto, il server di Accesso remoto, i server di infrastruttura e i server applicazioni e di gestione.

  3. Verificare la distribuzione: in questa fase verrà verificato il corretto funzionamento della distribuzione.

Per informazioni dettagliate sui passaggi per la distribuzione, vedere Installare e configurare la distribuzione per la gestione remota dei client DirectAccess.

Applicazioni pratiche

La distribuzione di un singolo server di Accesso remoto per la gestione dei client DirectAccess offre i vantaggi seguenti:

  • Accessibilità: i computer client gestiti che eseguono Windows 8.1, Windows 8 o Windows 7 possono essere configurati come computer client DirectAccess. Questi client possono accedere alle risorse di rete interne con DirectAccess ogni volta che sono connessi a Internet, senza dover accedere a una connessione VPN. I computer client che non eseguono uno di questi sistemi operativi possono connettersi alla rete interna con una VPN. DirectAccess e VPN sono gestiti nella stessa console e con lo stesso gruppo di procedure guidate.

  • Facilità di gestione: i computer client DirectAccess connessi a Internet possono essere gestiti in modalità remota dagli amministratori di Accesso remoto con DirectAccess, anche quando i computer client non si trovano nella rete aziendale interna. Per i computer client che non soddisfano i requisiti aziendali vengono eseguiti il monitoraggio e l'aggiornamento automatici con i server di gestione.

Ruoli e funzionalità inclusi nello scenario

Nella tabella seguente sono elencati i ruoli e le funzionalità richiesti per pianificare e distribuire questo scenario.

Ruolo/funzionalità

Modalità di supporto dello scenario

Ruolo Accesso remoto

Il ruolo viene installato e disinstallato tramite la console di Server Manager o Windows PowerShell. Questo ruolo comprende DirectAccess, una funzionalità precedentemente inclusa in Windows Server 2008 R2, e il servizio Routing e Accesso remoto che in precedenza era un servizio ruolo nel ruolo server Servizi di accesso e criteri di rete (NPAS). Il ruolo Accesso remoto è costituito da due componenti:

  1. DirectAccess e VPN Servizio Routing e Accesso remoto (RRAS). DirectAccess e VPN vengono gestiti insieme nella console Gestione Accesso remoto.

  2. Routing RRAS. Le funzionalità di routing RRAS sono gestite tramite la console di routing e Accesso remoto legacy.

Il ruolo server Accesso remoto dipende dai ruoli e/o dalle funzionalità server seguenti:

  • Server Web Internet Information Services (IIS): questa funzionalità è richiesta per configurare il server dei percorsi di rete sul server di Accesso remoto e un probe Web predefinito.

  • Database interno di Windows. Utilizzato per l'accounting locale sul server di Accesso remoto.

Funzionalità Strumenti di Gestione Accesso remoto

Questa funzionalità viene installata come segue:

  • Viene installata per impostazione predefinita su un server di Accesso remoto all'installazione del ruolo Accesso remoto e supporta l'interfaccia utente della console di gestione remota e i cmdlet di Windows Powershell.

  • Può essere installata facoltativamente su un server che non esegue il ruolo server Accesso remoto. In questo caso viene utilizzata per la gestione remota di un computer di Accesso remoto che esegue DirectAccess e VPN.

La funzionalità Strumenti di Gestione Accesso remoto è costituita dai seguenti elementi:

  • GUI di Accesso remoto

  • Modulo Accesso remoto per Windows PowerShell

Le dipendenze includono:

  • Console Gestione Criteri di gruppo

  • Connection Manager Administration Kit (CMAK) RAS

  • Windows PowerShell 3.0

  • Strumenti di gestione e infrastruttura grafica

Requisiti hardware

I requisiti hardware per questo scenario includono i seguenti.

  • Requisiti del server:

    • Un computer che soddisfi i requisiti hardware per Windows Server 2012.

    • Il server deve avere almeno una scheda di rete installata e abilitata. Quando si usano due schede di rete, una di esse deve essere connessa alla rete aziendale interna e l'altra alla rete esterna (Internet).

    • Se è richiesto Teredo come protocollo di transizione da IPv4 a IPv6, la scheda esterna del server richiede due indirizzi IPv4 pubblici consecutivi. Se è disponibile un solo indirizzo IP, può essere usato solo IP-HTTPS come protocollo di transizione.

    • Almeno un controller di dominio. Il server di Accesso remoto e il client DirectAccess devono essere membri di un dominio.

    • È richiesto un server CA se non si desidera utilizzare certificati autofirmati per IP-HTTPS o per il server di percorso di rete oppure se si desidera utilizzare certificati client per l'autenticazione IPsec dei client. In alternativa, è possibile richiedere i certificati da una CA pubblica.

    • Se il server del percorso di rete non si trova nel server di Accesso remoto, per eseguirlo è richiesto un server Web distinto.

  • Requisiti client

    • Un computer client deve eseguire Windows 8 o Windows 7.

      Nota

      Solo i sistemi operativi seguenti possono essere usati come client DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate.

  • Requisii del server di gestione e infrastruttura:

    • Durante la gestione remota dei computer client DirectAccess, i client avviano le comunicazioni con i server di gestione quali controller di dominio e server System Center Configuration per i servizi che includono aggiornamenti di Windows e antivirus e conformità dei client di Protezione accesso alla rete. I server necessari devono essere distribuiti prima dell'inizio della distribuzione di Accesso remoto.

    • Se Accesso remoto richiede la conformità NAP del client, i server NPS e HRS devono essere distribuiti prima dell'inizio della distribuzione di Accesso remoto.

    • Se si abilita VPN, è necessario un server DHCP per allocare automaticamente gli indirizzi IP ai client VPN, se non si usa un pool di indirizzi statici.

    • È richiesto un server DNS che esegue Windows Server 2008 SP2, Windows Server 2008 R2 o Windows Server 2012.

Requisiti software

Per questo scenario sono presenti numerosi requisiti.

  • Requisiti del server:

    • Il server di Accesso remoto deve essere membro di un dominio. Il server può essere distribuito alla periferia della rete interna o dietro un firewall o un altro dispositivo periferico.

    • Se il server di Accesso remoto di trova dietro un firewall periferico o un dispositivo NAT, il dispositivo deve essere configurato in modo da consentire il traffico da e verso il server di Accesso remoto.

    • La persona che distribuisce Accesso remoto sul server deve disporre di autorizzazioni di amministratore locale sul server e di autorizzazioni a livello utente di dominio. L'amministratore deve inoltre disporre di autorizzazioni per gli oggetti Criteri di gruppo utilizzati nella distribuzione di DirectAccess. Per sfruttare le funzionalità che limitano la distribuzione di DirectAccess solo ai computer portatili, sono richieste autorizzazioni per creare un filtro WMI nel controller di dominio.

  • Requisiti dei client di Accesso remoto:

    • I client DirectAccess devono essere membri di un dominio. I domini contenenti client possono appartenere alla stessa foresta del server di Accesso remoto oppure disporre di un trust bidirezionale con la foresta o il dominio di Accesso remoto.

    • È richiesto un gruppo di sicurezza di Active Directory per contenere i computer che saranno configurati come client DirectAccess. Se un gruppo di sicurezza non è specificato durante la configurazione delle impostazioni del client DirectAccess, per impostazione predefinita l'oggetto Criteri di gruppo del client viene applicato su tutti i computer portatili nel gruppo di sicurezza Computer del dominio. Tenere presente quanto segue:

      Si consiglia di creare un gruppo di sicurezza per ogni dominio che contiene computer che saranno configurati come client DirectAccess.

Vedere anche

Nella tabella seguente vengono forniti i collegamenti a risorse aggiuntive.

Tipo di contenuto

Riferimenti

Accesso remoto su TechNet

TechCenter di Accesso remoto

Valutazione del prodotto

Guida al lab di test: Dimostrazione di DirectAccess in un cluster con Bilanciamento carico di rete di Windows

Guida dell'ambiente di prova: Dimostrazione di una distribuzione di DirectAccess multisito

Guida dell'ambiente di prova: Dimostrazione di DirectAccess con autenticazione OTP e SecurID RSA

Risoluzione dei problemi

Documentazione sulla risoluzione dei problemi relativi ad Accesso remoto, quando disponibile

Strumenti e impostazioni

Cmdlet di PowerShell per Accesso remoto 

Risorse della community

Blog del team di prodotto Routing e Accesso remoto | Forum di Technet per Accesso remoto

Wiki su DirectAccess

Tecnologie correlate

Funzionamento di IPv6