Gestire i client DirectAccess in remoto
Si applica a: Windows Server 2012 R2, Windows Server 2012
Nota: Windows Server 2012 riunisce DirectAccess e il servizio Routing e Accesso remoto (RRAS) in un singolo ruolo Accesso remoto.
In questo argomento viene presentato uno scenario avanzato da usare per configurare un unico server di Accesso remoto per la gestione remota dei client DirectAccess.
Descrizione dello scenario
In questo scenario viene configurato un unico computer che esegue Windows Server 2012 come server di Accesso remoto con il solo scopo di gestire i client DirectAccess in remoto. Le operazioni illustrate nello scenario consentono la gestione remota dei client, ma comportano la disabilitazione di altri componenti che è possibile usare selezionando una distribuzione DirectAccess completa, incluso l'accesso client alle reti interne, il tunneling forzato, l'autenticazione avanzata e la conformità NAP.
Nota
Per configurare una distribuzione di base solo con impostazioni semplici, vedere Distribuire un server DirectAccess singolo usando Attività iniziali guidate. In questo semplice scenario è possibile configurare Accesso remoto con le impostazioni predefinite usando una procedura guidata. Non verranno configurate le impostazioni di infrastruttura, ad esempio l'Autorità di certificazione (CA) o i gruppi di sicurezza di Active Directory.
In questo scenario
Per configurare un unico server di Accesso remoto per la gestione dei client è necessaria una serie di passaggi di pianificazione e distribuzione.
Passaggi di pianificazione
La pianificazione per questo scenario è suddivisa in due fasi:
Pianificare l'infrastruttura di Accesso remoto: in questa fase si pianifica l'infrastruttura di rete prima di iniziare la distribuzione di Accesso remoto. È inclusa la pianificazione di rete e topologia del server, certificati, Domain Name System (DNS), Active Directory, oggetti Criteri di gruppo e il server del percorso di rete DirectAccess.
Pianificare la distribuzione di Accesso remoto: in questa fase ci si prepara alla distribuzione di Accesso remoto. È inclusa la pianificazione dei computer client di Accesso remoto, dei requisiti di autenticazione server e client, delle impostazioni VPN, dell'infrastruttura e dei server di gestione.
Per informazioni dettagliate sui passaggi per la pianificazione, vedere Piano di distribuzione per la gestione remota dei client DirectAccess.
Prerequisiti
Prima di affrontare questo scenario, esaminare l'elenco dei requisiti importanti:
- Windows Firewall deve essere abilitato in tutti i profili.
- DirectAccess supporta solo i client che eseguono Windows 8.1, Windows 8 e Windows 7.
- La modifica dei criteri all'esterno della console di gestione DirectAccess o tramite l'uso dei cmdlet di Windows PowerShell non è supportata.
Fasi di distribuzione
La distribuzione per questo scenario è suddivisa in due fasi:
Configurare l'infrastruttura di Accesso remoto: in questa fase verranno configurati rete e routing, le impostazioni del firewall (se necessario), certificati, server DNS, le impostazioni di Active Directory e dell'oggetto Criteri di gruppo e il server dei percorsi di rete di DirectAccess.
Configurare le impostazioni del server di Accesso remoto: in questa fase si configureranno i computer client di Accesso remoto, il server di Accesso remoto, i server di infrastruttura e i server applicazioni e di gestione.
Verificare la distribuzione: in questa fase verrà verificato il corretto funzionamento della distribuzione.
Per informazioni dettagliate sui passaggi per la distribuzione, vedere Installare e configurare la distribuzione per la gestione remota dei client DirectAccess.
Applicazioni pratiche
La distribuzione di un singolo server di Accesso remoto per la gestione dei client DirectAccess offre i vantaggi seguenti:
Accessibilità: i computer client gestiti che eseguono Windows 8.1, Windows 8 o Windows 7 possono essere configurati come computer client DirectAccess. Questi client possono accedere alle risorse di rete interne con DirectAccess ogni volta che sono connessi a Internet, senza dover accedere a una connessione VPN. I computer client che non eseguono uno di questi sistemi operativi possono connettersi alla rete interna con una VPN. DirectAccess e VPN sono gestiti nella stessa console e con lo stesso gruppo di procedure guidate.
Facilità di gestione: i computer client DirectAccess connessi a Internet possono essere gestiti in modalità remota dagli amministratori di Accesso remoto con DirectAccess, anche quando i computer client non si trovano nella rete aziendale interna. Per i computer client che non soddisfano i requisiti aziendali vengono eseguiti il monitoraggio e l'aggiornamento automatici con i server di gestione.
Ruoli e funzionalità inclusi nello scenario
Nella tabella seguente sono elencati i ruoli e le funzionalità richiesti per pianificare e distribuire questo scenario.
Ruolo/funzionalità |
Modalità di supporto dello scenario |
---|---|
Ruolo Accesso remoto |
Il ruolo viene installato e disinstallato tramite la console di Server Manager o Windows PowerShell. Questo ruolo comprende DirectAccess, una funzionalità precedentemente inclusa in Windows Server 2008 R2, e il servizio Routing e Accesso remoto che in precedenza era un servizio ruolo nel ruolo server Servizi di accesso e criteri di rete (NPAS). Il ruolo Accesso remoto è costituito da due componenti:
Il ruolo server Accesso remoto dipende dai ruoli e/o dalle funzionalità server seguenti:
|
Funzionalità Strumenti di Gestione Accesso remoto |
Questa funzionalità viene installata come segue:
La funzionalità Strumenti di Gestione Accesso remoto è costituita dai seguenti elementi:
Le dipendenze includono:
|
Requisiti hardware
I requisiti hardware per questo scenario includono i seguenti.
Requisiti del server:
Un computer che soddisfi i requisiti hardware per Windows Server 2012.
Il server deve avere almeno una scheda di rete installata e abilitata. Quando si usano due schede di rete, una di esse deve essere connessa alla rete aziendale interna e l'altra alla rete esterna (Internet).
Se è richiesto Teredo come protocollo di transizione da IPv4 a IPv6, la scheda esterna del server richiede due indirizzi IPv4 pubblici consecutivi. Se è disponibile un solo indirizzo IP, può essere usato solo IP-HTTPS come protocollo di transizione.
Almeno un controller di dominio. Il server di Accesso remoto e il client DirectAccess devono essere membri di un dominio.
È richiesto un server CA se non si desidera utilizzare certificati autofirmati per IP-HTTPS o per il server di percorso di rete oppure se si desidera utilizzare certificati client per l'autenticazione IPsec dei client. In alternativa, è possibile richiedere i certificati da una CA pubblica.
Se il server del percorso di rete non si trova nel server di Accesso remoto, per eseguirlo è richiesto un server Web distinto.
Requisiti client
Un computer client deve eseguire Windows 8 o Windows 7.
Nota
Solo i sistemi operativi seguenti possono essere usati come client DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate.
Requisii del server di gestione e infrastruttura:
Durante la gestione remota dei computer client DirectAccess, i client avviano le comunicazioni con i server di gestione quali controller di dominio e server System Center Configuration per i servizi che includono aggiornamenti di Windows e antivirus e conformità dei client di Protezione accesso alla rete. I server necessari devono essere distribuiti prima dell'inizio della distribuzione di Accesso remoto.
Se Accesso remoto richiede la conformità NAP del client, i server NPS e HRS devono essere distribuiti prima dell'inizio della distribuzione di Accesso remoto.
Se si abilita VPN, è necessario un server DHCP per allocare automaticamente gli indirizzi IP ai client VPN, se non si usa un pool di indirizzi statici.
È richiesto un server DNS che esegue Windows Server 2008 SP2, Windows Server 2008 R2 o Windows Server 2012.
Requisiti software
Per questo scenario sono presenti numerosi requisiti.
Requisiti del server:
Il server di Accesso remoto deve essere membro di un dominio. Il server può essere distribuito alla periferia della rete interna o dietro un firewall o un altro dispositivo periferico.
Se il server di Accesso remoto di trova dietro un firewall periferico o un dispositivo NAT, il dispositivo deve essere configurato in modo da consentire il traffico da e verso il server di Accesso remoto.
La persona che distribuisce Accesso remoto sul server deve disporre di autorizzazioni di amministratore locale sul server e di autorizzazioni a livello utente di dominio. L'amministratore deve inoltre disporre di autorizzazioni per gli oggetti Criteri di gruppo utilizzati nella distribuzione di DirectAccess. Per sfruttare le funzionalità che limitano la distribuzione di DirectAccess solo ai computer portatili, sono richieste autorizzazioni per creare un filtro WMI nel controller di dominio.
Requisiti dei client di Accesso remoto:
I client DirectAccess devono essere membri di un dominio. I domini contenenti client possono appartenere alla stessa foresta del server di Accesso remoto oppure disporre di un trust bidirezionale con la foresta o il dominio di Accesso remoto.
È richiesto un gruppo di sicurezza di Active Directory per contenere i computer che saranno configurati come client DirectAccess. Se un gruppo di sicurezza non è specificato durante la configurazione delle impostazioni del client DirectAccess, per impostazione predefinita l'oggetto Criteri di gruppo del client viene applicato su tutti i computer portatili nel gruppo di sicurezza Computer del dominio. Tenere presente quanto segue:
Si consiglia di creare un gruppo di sicurezza per ogni dominio che contiene computer che saranno configurati come client DirectAccess.
Vedere anche
Nella tabella seguente vengono forniti i collegamenti a risorse aggiuntive.
Tipo di contenuto |
Riferimenti |
---|---|
Accesso remoto su TechNet |
|
Valutazione del prodotto |
Guida dell'ambiente di prova: Dimostrazione di una distribuzione di DirectAccess multisito Guida dell'ambiente di prova: Dimostrazione di DirectAccess con autenticazione OTP e SecurID RSA |
Risoluzione dei problemi |
Documentazione sulla risoluzione dei problemi relativi ad Accesso remoto, quando disponibile |
Strumenti e impostazioni |
|
Risorse della community |
Blog del team di prodotto Routing e Accesso remoto | Forum di Technet per Accesso remoto |
Tecnologie correlate |