Table of contents
TOC
Comprimi il sommario
Espandi il sommario

Passaggio 2 pianificare la distribuzione di DirectAccess

James McIllece|Ultimo aggiornamento: 10/03/2017
|
1 Collaboratore

Si applica a: Windows Server 2016

Dopo aver pianificato l'infrastruttura di accesso remoto, l'abilitazione di DirectAccess il passaggio successivo consiste nel pianificare le impostazioni per l'abilitazione guidata DirectAccess.

AttivitàDescrizione
Pianificazione della distribuzione clientPianificare la modalità consentire ai computer di connettersi usando DirectAccess client. Stabilire quali computer gestiti saranno configurati come client DirectAccess.
Pianificazione della distribuzione di server di accesso remotoPianificare la modalità di distribuzione del server di accesso remoto.

Pianificazione della distribuzione client

Esistono due decisioni da prendere quando la pianificazione della distribuzione client:

  • DirectAccess sarà disponibile solo ai computer portatili o a qualsiasi computer?

    Quando si configurano i client DirectAccess nell'abilitazione guidata DirectAccess, è possibile scegliere di consentire solo ai computer portatili nei gruppi di sicurezza specificati di connettersi usando DirectAccess. Se si limita l'accesso ai computer portatili, accesso remoto configura automaticamente un filtro WMI per assicurarsi che il client DirectAccess che oggetto Criteri di gruppo viene applicato solo ai computer portatili nei gruppi di sicurezza specificato. L'amministratore di accesso remoto richiede le autorizzazioni per creare o modificare i filtri WMI di criteri di gruppo per abilitare questa impostazione.

  • Quali gruppi di sicurezza contengono i computer client DirectAccess?

    Le impostazioni di DirectAccess sono contenute nell'oggetto Criteri di gruppo client DirectAccess. Oggetto Criteri di gruppo viene applicato ai computer che fanno parte dei gruppi di sicurezza specificati nell'abilitazione guidata DirectAccess. È possibile specificare i gruppi di sicurezza contenuti in qualsiasi dominio supportato. Prima di configurare accesso remoto, i gruppi di sicurezza devono essere creati. È possibile aggiungere computer al gruppo di sicurezza dopo aver completato la distribuzione di accesso remoto, ma Tieni presente che, se si aggiungono computer client che si trovano in un dominio diverso per il gruppo di sicurezza, oggetto Criteri di gruppo client verrà non applicato a questi client. Ad esempio, se è stato creato SG1 nel dominio A per i client DirectAccess e in seguito si aggiungono i client dal dominio B a questo gruppo, oggetto Criteri di gruppo client non essere applicate ai client nel dominio B. Per evitare questo problema, creare un nuovo gruppo di sicurezza client per ogni dominio contenente i computer client. In alternativa, se non si desidera creare un nuovo gruppo di sicurezza, eseguire il cmdlet Add-DAClient con il nome del nuovo oggetto Criteri di gruppo per il nuovo dominio.

Pianificazione della distribuzione di server di accesso remoto

Esistono una serie di decisioni da prendere quando pianificazione della distribuzione di server di accesso remoto:

  • Topologia di rete-sono disponibili due topologie quando si distribuisce un server di accesso remoto:

    • Due schede-con due schede di rete, accesso remoto può essere configurato con una scheda di rete connessa direttamente a Internet e l'altra è connessa alla rete interna. Oppure, in alternativa, il server viene installato dietro un dispositivo periferico, come un firewall o router. In questa rete di una configurazione scheda è connessa alla rete perimetrale e l'altra è connessa alla rete interna.

    • Singola scheda di rete-In questa configurazione accesso remoto server viene installato dietro un dispositivo periferico, come un firewall o router. La scheda di rete è connesso alla rete interna.

  • Schede di rete-l'abilitazione guidata DirectAccess rileva automaticamente le schede di rete configurate nel server di accesso remoto, in base alle interfacce usate da VPN. È necessario assicurarsi che siano selezionate le schede corrette.

  • Indirizzo ConnectTo-computer Client usano l'indirizzo ConnectTo per connettersi al server di accesso remoto. L'indirizzo scelto dall'utente deve corrispondere al nome soggetto del certificato IP-HTTPS è distribuito per la connessione IP-HTTPS e deve essere disponibile nel DNS pubblico. Vedere pianificare i certificati per IP-HTTPS.

  • Certificato IP-HTTPS-connessione VPN SSTP se è configurata, l'abilitazione guidata DirectAccess preleva il certificato utilizzato da SSTP per IP-HTTPS. Se VPN SSTP non è configurato, la procedura guidata tenterà di vedere se è stato configurato un certificato per IP-HTTPS. In caso contrario, verrà automaticamente il provisioning di certificati autofirmati per IP-HTTPS IP-HTTPS.The abilita automaticamente l'autenticazione Kerberos. La procedura guidata consentirà inoltre NAT64 e DNS64 per la conversione di protocollo nell'ambiente solo IPv4.

  • Prefissi IPv6-se la procedura guidata rileva che IPv6 è stato distribuito sulle schede di rete, viene creato automaticamente prefissi IPv6 per la rete interna, un prefisso IPv6 da assegnare ai computer client DirectAccess e un prefisso IPv6 da assegnare ai computer client VPN. Se i prefissi generati automaticamente non sono corretti per l'infrastruttura IPv6 o ISATAP nativa, è necessario modificarli manualmente. Vedere 1.1 pianificazione della topologia di rete e server e le impostazioni.

  • I client Windows 7-per impostazione predefinita, i computer client Windows 7 non può connettersi a una distribuzione di accesso remoto di Windows Server 2012. Se si dispone di computer client Windows 7 all'interno dell'organizzazione che richiedono l'accesso remoto alle risorse interne, è possibile consentire loro di connettersi. Tutti i computer client che si desidera consentire l'accesso alle risorse interne devono essere un membro di un gruppo di sicurezza specificati nell'abilitazione guidata DirectAccess.

    Nota

    Consentendo ai computer di connettersi usando DirectAccess client Windows 7 è necessario utilizzare l'autenticazione del certificato computer.

  • Autenticazione-l'abilitazione guidata DirectAccess Usa Active Directory per autenticare le credenziali dell'utente. Per distribuire l'autenticazione a due fattori, vedere distribuire accesso remoto con autenticazione OTP.

© 2017 Microsoft