Windows Server: la potenza dell'integrazione
Windows offre ulteriori vantaggi quando è possibile integrare funzionalità tra piattaforme client e server per formare una soluzione completa.
Joshua Hoffman
Windows in quanto sistema operativo per il desktop rappresenta la base dei nostri computer e ci consente di sfruttare al massimo le moderne tecnologie. Le funzionalità integrate in Windows 7 supportano attività quale la connettività di rete che fornisce al desktop la connessione a Internet nonché l'esecuzione di applicazioni che consentono agli Information Worker di acquisire e condividere conoscenze, di analizzare i dati aziendali e di comunicare con partner, clienti e colleghi in tempo reale.
Windows è inoltre un sistema operativo server solido che costituisce la struttura portante di numerosi datacenter. Windows Server consente di effettuare qualsiasi attività, da servizi di gestione file e processi di stampa fino ad arrivare ad attività di virtualizzazione con Hyper-V e alla gestione di siti Web mediante IIS.
Windows, tuttavia, offre il meglio di sé quando vengono integrare le funzionalità delle piattaforme client e server per formare una soluzione completa per un problema aziendale. Esistono diverse soluzioni complete che è possibile creare con i componenti integrati nelle piattaforme client e server di Windows. Sono inoltre disponibili risorse preziose che offrono supporto nella procedura di creazione delle soluzioni stesse.
Connettività perfetta
La soluzione DirectAccess con Protezione accesso alla rete offre una soluzione solida e pratica basata sull'integrazione di vari componenti di Windows. La funzionalità DirectAccess consente di connettere i computer client alle risorse di una rete intranet senza la complessità di una rete VPN (Virtual Private Network) in modo perfetto e offre una connettività in remoto semplice e ottimizzata, pur mantenendo il livello di sicurezza necessario per proteggere le risorse interne.
La soluzione DirectAccess con Protezione accesso alla rete inoltre offre controlli continui dell'integrità dei computer remoti (non solo del computer remoto con cui tenta di stabilire una connessione, come invece accade in una soluzione VPN) e garantisce i livelli di integrità necessari per consentire la connettività dell'utente remoto.
Per impostazione predefinita, nei client DirectAccess viene utilizzato un certificato computer per l'autenticazione peer basata su IPsec (Internet Protocol security). Con DirectAccess e Protezione accesso alla rete, il certificato di autenticazione per l'accesso alla rete intranet è un certificato di integrità che consente di convalidare l'identità del computer client DirectAccess e di certificare che quest'ultimo sia conforme ai requisiti di integrità di sistema.
La soluzione DirectAccess con Protezione accesso alla rete sfrutta una serie di componenti infrastrutturali di Windows per offrire tale funzionalità (vedere la Figura 1), tra cui:
- Servizi di dominio Active Directory: fornisce le funzionalità di appartenenza al dominio ai client e ai server DirectAccess, l'autenticazione delle credenziali del computer e degli utenti e distribuisce le impostazioni di Criteri di gruppo ai client DirectAccess
- Infrastruttura a chiave pubblica (PKI): distribuisce certificati digitali ai client, ai server DirectAccess e ai server Web per la soluzione DirectAccess con Protezione accesso alla rete; un'Autorità di certificazione emette i certificati dei computer mentre un'Autorità di certificazione separata basata su Windows, nota come Autorità di certificazione di Protezione accesso alla rete, emette i certificati di integrità
- Server DirectAccess: computer su cui è in esecuzione Windows Server 2008 R2 che ospita le connessioni DirectAccess
- Server dei percorsi di rete: computer su cui solitamente è in esecuzione Windows Server 2008 o versione successiva e IIS per poter ospitare un sito Web protetto per consentire ai client DirectAccess di stabilire se sono connessi alla rete intranet
- Server criteri di integrità Protezione accesso alla rete: computer su cui è in esecuzione Windows Server 2008 o versione successiva e un Server dei criteri di rete che esegue la convalida e la registrazione dell'integrità di sistema
- Autorità registrazione integrità: computer su cui è in esecuzione Windows Server 2008 o versione successiva e IIS che ottiene i certificati digitali da un'Autorità di certificazione di Protezione accesso alla rete per i client DirectAccess conformi
- Server di monitoraggio e aggiornamento: computer che forniscono gli aggiornamenti o le risorse richieste dai client DirectAccess non conformi per poter soddisfare i requisiti di integrità di sistema, tra cui server WSUS (Windows Software Update Services) e server di distribuzione definizioni anti-malware
.jpg)
Figura 1 Componenti infrastrutturali della soluzione DirectAccess con Protezione accesso alla rete.
Basandoci su tali componenti infrastrutturali, analizziamo brevemente il funzionamento della soluzione DirectAccess con Protezione accesso alla rete. All'avvio, il client DirectAccess accede al dominio Servizi di dominio Active Directory e invia le informazioni relative al proprio stato attuale di integrità all'Autorità registrazione integrità. L'Autorità registrazione integrata a propria volta invia le informazioni sullo stato di integrità del client DirectAccess al server criteri di integrità Protezione accesso alla rete.
Il server criteri di integrità Protezione accesso alla rete valuta lo stato di integrità del client DirectAccess, determina se è conforme e invia i risultati all'Autorità registrazione integrata. In caso contrario, nei risultati saranno incluse le istruzioni sul monitoraggio e sull'aggiornamento dell'integrità.
Supponendo uno stato di integrità conforme, l'autorità ottiene un certificato dall'infrastruttura a chiave pubblica e lo invia al client DirectAccess, il quale potrà a questo punto creare il tunnel intranet con il server DirectAccess.
Nel caso di uno stato di integrità non conforme, l'Autorità di registrazione integrità non emetterà alcun certificato e il client DirectAccess non potrà creare il tunnel intranet con il server DirectAccess e l'accesso verrà in pratica bloccato. Tuttavia, il client DirectAccess può accedere ai server di monitoraggio e aggiornamento per correggere il proprio stato di integrità.
Il client DirectAccess contatta i server di monitoraggio e aggiornamento per ricevere gli aggiornamenti richiesti per la conformità, se necessario. Al termine del processo, il client DirectAccess aggiorna le proprie informazioni sullo stato di integrità e le invia all'Autorità registrazione integrata, A questo punto, l'autorità invia le informazioni aggiornate sullo stato di integrità al server criteri di integrità Protezione accesso alla rete. Supponendo che siano stati effettuati tutti gli aggiornamenti necessari, il server criteri di integrità Protezione accesso alla rete stabilisce che il client DirectAccess è conforme e invia i risultati all'Autorità registrazione integrata,
la quale ottiene un certificato di integrità dall'Autorità di certificazione di Protezione accesso alla rete e lo invia al client DirectAccess. A questo punto il client DirectAccess potrà utilizzare il certificato di integrità per l'autenticazione dell'accesso alla rete intranet tramite il server DirectAccess.
Il risultato della combinazione dei componenti di Windows è la mobilità dei dipendenti, i quali potranno adesso accedere alle risorse interne garantendo contemporaneamente la sicurezza e l'integrità della rete interna.
Per ulteriori informazioni sulla soluzione DirectAccess con Protezione accesso alla rete, vedere la Guida alla soluzione disponibile nella Libreria TechNet. Sono inoltre disponibili guide per i test della soluzione DirectAccess con Protezione accesso alla rete, in cui sono contenute informazioni dettagliate sui passaggi richiesti per creare un ambiente di laboratorio funzionante per poter esercitarsi e sperimentare la soluzione.
Creazione di soluzioni integrate
Sono inoltre disponibili guide per i test per una vasta gamma di altre soluzioni infrastrutturali di Windows. Ad esempio, sono disponibili guide per i test relative a configurazioni alternative della soluzione DirectAccess con Protezione accesso alla rete, tra cui Forefront Unified Access Gateway with DirectAccess and NAP (in lingua inglese).
È consigliabile iniziare con il test della configurazione di base, che consente di impostare una configurazione di base su cui è possibile sperimentare nuove soluzioni in un ambiente controllato. Sono disponibili altre guide per i laboratori di test basate su questa configurazione di base.
Con la configurazione di base, è possibile esplorare altre soluzioni integrate. In altre guide per i laboratori di test vengono esaminati i nuovi protocolli di rete IPv6 e DHCPv6. IPv6 è progettato per risolvere molti dei problemi riscontrati nella versione corrente del protocollo IP (noto come IPv4), quale la mancanza di indirizzi, la sicurezza, la configurazione automatica e l'estendibilità.
Nella guida per i laboratori di test del protocollo IPv6 vengono illustrati i seguenti scenari:
- Il comportamento predefinito del protocollo IPv6 e della connettività in una rete intranet basata esclusivamente sul protocollo IPv4
- Connettività intranet basata su protocollo IPv6 nativa mediante protocollo Intra-Site Automatic Tunnel Addressing Protocol (ISATAP).
- Connettività intranet basata su protocollo IPv6 mediante indirizzamento IPv6 nativo
- Connettività IPv6 tramite una rete Internet simulata basata esclusivamente su protocollo IPv4 mediante interfaccia 6to4
Una volta acquisita familiarità con il protocollo IPv6, nella guida relativa all'estensione di un laboratorio basato sul protocollo DHCPv6 verranno fornite informazioni dettagliate relative all'emissione e alla gestione dinamica degli indirizzi IPv6.
Le guide per i laboratori di test sono pubblicate nella piattaforma di social networking di TechNet e sono pertanto aperte a eventuali modifiche e ampliamenti da parte della community. Per un esempio, vedere l'articoloVPN Remote Access Test Lab for Windows Server 2008 R2 (in lingua inglese). Non tutte le organizzazioni si trovano nella posizione di poter distribuire la soluzione DirectAccess illustrata in precedenza. In questa guida per i laboratori di test vengono fornite informazioni dettagliate sulla distribuzione di una rete VPN più tradizionale per consentire agli utenti remoti di stabilire connessioni protette e su richiesta alla rete interna.
Questa guida per i laboratori di test è stata ampliata dai collaboratori della community per illustrare l'utilizzo del Connection Manager Administration Kit (CMAK) con la soluzione VPN, l'utilizzo di Riconnessione VPN e altro. Infine, andando oltre l'ambito delle soluzioni basate esclusivamente su componenti infrastrutturali di Windows, sono disponibili guide per i laboratori di test per una vasta gamma di altri prodotti infrastrutturali tra cui System Center Service Manager 2010, Forefront Identity Manager 2010, SQL Server 2008 R2 e altro.
La creazione di soluzioni integrate mediante la combinazione di piattaforme client e server di Windows consente di svelare il potenziale nascosto dell'investimento tecnologico esistente. Per ulteriori istruzioni sulla creazione di soluzioni Windows integrate, visitare il blog relativo alle guide per i laboratori di test all'indirizzo blogs.technet.com/b/tlgs.
.jpg)
Joshua Hoffman è l'ex caporedattore di TechNet Magazine*. Oggi è un autore e consulente indipendente che offre i suoi servizi ai clienti in merito a tecnologie e marketing rivolto a destinatari specifici. Hoffman è inoltre caporedattore di ResearchAccess.com, un sito dedicato alla crescita e all'arricchimento della community coinvolta nella ricerca di mercato. Vive a New York City.*