Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Important
Microsoft consiglia vivamente di usare VPN Always On anziché DirectAccess per le nuove distribuzioni. Per altre informazioni, vedere VPN Always On.
Questo argomento fornisce un'introduzione allo scenario DirectAccess in cui viene usato un server DirectAccess singolo e consente di distribuire DirectAccess in pochi, semplici passaggi.
Prima di iniziare la distribuzione vedere l'elenco di configurazioni non supportate, problemi noti e prerequisiti
È possibile usare gli argomenti seguenti per rivedere i prerequisiti e altre informazioni prima di distribuire DirectAccess.
Descrizione dello scenario
In questo scenario un computer Windows Server è configurato come server DirectAccess con impostazioni predefinite. La configurazione richiede solo alcuni semplici passaggi della procedura guidata, senza dover configurare le impostazioni dell'infrastruttura, ad esempio un'autorità di certificazione (CA) o gruppi di sicurezza di Active Directory.
Note
Per configurare una distribuzione avanzata con impostazioni personalizzate, vedere Deploy a Single DirectAccess Server with Advanced Settings
In questo scenario
Per configurare un server DirectAccess di base, sono necessari diversi passaggi di pianificazione e distribuzione.
Prerequisites
Prima di affrontare la distribuzione di questo scenario, esaminare l'elenco dei requisiti importanti:
Windows Firewall deve essere abilitato in tutti i profili
Questo scenario è supportato solo quando i computer client eseguono Windows 10, Windows 8.1 o Windows 8.
La tecnologia ISATAP non è supportata nella rete aziendale. Se si usa la tecnologia ISATAP, rimuoverla e usare la connettività IPv6 nativa.
Non è necessaria un'infrastruttura a chiave pubblica (PKI).
Non supportato per l'implementazione dell'autenticazione a due fattori. Le credenziali di dominio sono necessarie per l'autenticazione.
Distribuisce automaticamente DirectAccess a tutti i computer portatili nel dominio corrente.
Il traffico a Internet non viene trasmesso nel tunnel DirectAccess. La configurazione del tunneling forzato non è supportata.
Il server DirectAccess è il Server di Posizione di Rete.
La Protezione accesso alla rete (NAP) non è supportata.
La modifica dei criteri all'esterno della console di gestione di DirectAccess o con cmdlet di PowerShell non è supportata.
Per distribuire più siti, ora o in futuro, prima di tutto Distribuire un singolo server DirectAccess con impostazioni avanzate.
Passaggi di pianificazione
La pianificazione è suddivisa in due fasi:
Pianificazione dell'infrastruttura DirectAccess. In questa fase viene descritta la pianificazione necessaria per impostare l'infrastruttura di rete prima di iniziare la distribuzione DirectAccess. La pianificazione include la progettazione della rete e della topologia del server e del server di posizione di rete di DirectAccess.
Pianificazione della distribuzione DirectAccess. In questa fase vengono descritti i passaggi di pianificazione necessari per la preparazione della distribuzione di DirectAccess. Include la pianificazione per i computer client DirectAccess, i requisiti di autenticazione per client e server, le impostazioni VPN, i server dell'infrastruttura, e i server di gestione e applicazioni.
Per informazioni dettagliate sulle fasi di pianificazione, vedere Pianificare la distribuzione avanzata di DirectAccess.
Passaggi per la distribuzione
La distribuzione è suddivisa in tre fasi:
- Configurazione dell'infrastruttura DirectAccess. Questa fase include la configurazione dei componenti seguenti:
- Rete e routing
- Impostazioni del firewall (se necessario)
- Certificates
- Server DNS
- Impostazioni di Active Directory e delle impostazioni dei Criteri di gruppo
- Server di posizione di rete DirectAccess
Configurazione delle impostazioni del server DirectAccess. Questa fase include i passaggi per la configurazione dei computer client DirectAccess, del server DirectAccess, dei server dell'infrastruttura e dei server applicazioni e di gestione.
Verifica della distribuzione. Questa fase include i passaggi per verificare il corretto funzionamento della distribuzione.
Per informazioni dettagliate sui passaggi per la distribuzione, vedere Install and Configure Basic DirectAccess.
Applicazioni pratiche
La distribuzione di un singolo server di Accesso remoto offre i vantaggi seguenti:
Ease-of-access. È possibile configurare computer client gestiti che eseguono Windows 10, Windows 8.1, Windows 8 o Windows 7 come client DirectAccess. Questi client possono accedere alle risorse di rete interne tramite DirectAccess ogni volta che sono connessi a Internet, senza dover accedere a una connessione VPN. I computer client che non eseguono uno di questi sistemi operativi possono connettersi alla rete interna usando le tradizionali connessioni VPN.
Ease-of-management. I computer client DirectAccess che si trovano su Internet possono essere gestiti in modalità remota dagli amministratori di Accesso remoto tramite DirectAccess, anche quando i computer client non si trovano nella rete aziendale interna. I computer client che non soddisfano i requisiti aziendali possono essere corretti automaticamente dai server di gestione. Sia DirectAccess che la VPN sono gestiti nella stessa console e con lo stesso gruppo di procedure guidate. Inoltre, è possibile gestire uno o più server di Accesso remoto da una singola console di gestione di Accesso remoto
Ruoli e funzionalità inclusi nello scenario
Nella tabella seguente sono elencati i ruoli e le funzionalità richiesti per lo scenario.
| Role/feature | Come supporta questo scenario |
|---|---|
| Ruolo Accesso remoto | Il ruolo viene installato e disinstallato tramite la console di Server Manager o Windows PowerShell. Questo ruolo comprende sia DirectAccess, sia Servizi di Routing e Accesso Remoto. Il ruolo Accesso remoto è costituito da due componenti: 1. VPN per DirectAccess e Servizi di Routing e Accesso remoto (RRAS) DirectAccess e VPN vengono gestiti nella console di Gestione dell'accesso remoto. Il ruolo del server di Accesso remoto dipende dai ruoli/funzionalità del server seguenti: - Server Web di Internet Information Services (IIS): questa funzionalità è necessaria per configurare il server della posizione di rete sul server di accesso remoto e la sonda web predefinita. |
| Funzionalità di Strumenti di Gestione dell'Accesso Remoto | Questa funzionalità viene installata come segue: - Viene installato per impostazione predefinita in un server di Accesso remoto quando viene installato il ruolo Accesso remoto e supporta l'interfaccia utente della console di gestione remota e i cmdlet di Windows PowerShell. La funzionalità Strumenti di Gestione Accesso remoto è costituita dai seguenti componenti: - Interfaccia utente grafica di Accesso remoto Le dipendenze includono: -Console Gestione criteri di gruppo |
Requisiti hardware
I requisiti hardware per questo scenario includono i seguenti.
Requisiti del server:
Un computer che soddisfa i requisiti hardware per Windows Server 2016, Windows Server 2012 R2 o Windows Server 2012.
Il server deve avere almeno una scheda di rete installata, abilitata e connessa alla rete interna. Quando si usano due schede, una di esse deve essere connessa alla rete aziendale interna e l'altra alla rete esterna (Internet o rete privata).
Almeno un controller di dominio. Il server di Accesso remoto e il client DirectAccess devono essere membri di un dominio.
Requisiti client:
Un computer client deve eseguire Windows 10, Windows 8.1 o Windows 8.
Important
Se alcuni o tutti i computer client eseguono Windows 7, è necessario usare la configurazione guidata avanzata. La configurazione guidata delle attività iniziali descritta in questo documento non supporta i computer client che eseguono Windows 7. Vedere Distribuire un singolo server DirectAccess con impostazioni avanzate per istruzioni su come usare i client di Windows 7 con DirectAccess.
Note
Solo i sistemi operativi seguenti possono essere usati come client DirectAccess: Windows 10 Enterprise, Windows 8.1 Enterprise, Windows Server 2016, Windows Server 2012 R2 , Windows Server 2012 , Windows 8 Enterprise, Windows Server 2008 R2, Windows 7 Enterprise e Windows 7 Ultimate.
Requisii del server di gestione e infrastruttura:
- Se si abilita la VPN e non è configurato un pool di indirizzi IP statici, è necessario distribuire un server DHCP per allocare automaticamente gli indirizzi IP ai client VPN.
È richiesto un server DNS che esegua Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 SP2 o Windows Server 2008 R2.
Requisiti software
Di seguito sono riportati i requisiti per questo scenario:
Requisiti del server:
Il server di Accesso remoto deve essere membro di un dominio. Il server può essere distribuito alla periferia della rete interna o dietro un firewall o un altro dispositivo periferico.
Se il server di Accesso remoto di trova dietro un firewall periferico o un dispositivo NAT, il dispositivo deve essere configurato in modo da consentire il traffico da e verso il server di Accesso remoto.
La persona che distribuisce Accesso remoto sul server deve disporre di autorizzazioni di amministratore locale sul server e di autorizzazioni a livello utente di dominio. L'amministratore deve inoltre disporre di autorizzazioni per i GPO utilizzati nella distribuzione di DirectAccess. Per sfruttare le funzionalità che limitano la distribuzione di DirectAccess solo ai computer portatili, sono richieste autorizzazioni per creare un filtro WMI nel controller di dominio.
Requisiti dei client di Accesso remoto:
I client DirectAccess devono essere membri di un dominio. I domini che contengono client possono appartenere alla stessa foresta del server di Accesso remoto oppure avere un trust bidirezionale con la foresta di server di Accesso remoto.
È richiesto un gruppo di sicurezza di Active Directory per contenere i computer che saranno configurati come client DirectAccess. Se non viene specificato un gruppo di sicurezza durante la configurazione delle impostazioni del client DirectAccess, per impostazione predefinita l'oggetto Criteri di gruppo del client viene applicato a tutti i computer portatili nel gruppo di sicurezza del computer del dominio. Solo i sistemi operativi seguenti possono essere usati come client DirectAccess: Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate.
Vedere anche
Nella tabella seguente vengono forniti i collegamenti a risorse aggiuntive.
| Tipo di contenuto | References |
|---|---|
| Accesso remoto su TechNet | TechCenter di accesso remoto |
| Strumenti e impostazioni | Cmdlet di PowerShell per Accesso remoto |
| Risorse della community | Voci del Wiki su DirectAccess |
| Tecnologie correlate | Funzionamento di IPv6 |