Aggiungere DirectAccess a una distribuzione di Accesso remoto esistente (VPN)

 

Si applica a: Windows Server 2012 R2, Windows Server 2012

Nota: Windows Server 2012 riunisce DirectAccess e il servizio Routing e Accesso remoto (RRAS) in un singolo ruolo Accesso remoto. 

In questo argomento viene presentata l'Abilitazione guidata DirectAccess di Accesso remoto, usata per configurare un singolo server di Accesso remoto con le impostazioni consigliate dopo aver già configurato una rete privata virtuale (VPN).

Documentazione per la distribuzione di Accesso remoto di Windows Server 2012 (DirectAccess)

Di seguito è riportato un elenco di argomenti che è possibile usare per distribuire Accesso remoto attraverso tre percorsi principali:

• Basic

• Avanzate

• Enterprise

Sono elencati anche gli argomenti relativi alla gestione e alla migrazione per questa versione di Accesso remoto.

Prima di iniziare la distribuzione vedere l'elenco seguente di configurazioni non supportate, problemi noti e prerequisiti:

• Configurazioni non supportate di DirectAccess

• Problemi noti di DirectAccess

• Prerequisiti per la distribuzione di DirectAccess

Distribuzione di base di Accesso remoto

• Distribuire un server DirectAccess singolo usando Attività iniziali guidate

  • Guida al lab di test: dimostrazione della configurazione semplificata di DirectAccess in un ambiente di test solo IPv4 in Windows Server 2012

Distribuzione avanzata di Accesso remoto

• Distribuire un server DirectAccess singolo con impostazioni avanzate 

  • Guida al lab di test: dimostrazione della configurazione del singolo server DirectAccess con ambiente misto IPv4 e IPv6 in Windows Server 2012

Distribuzione aziendale di Accesso remoto

• Pianificazione della capacità di DirectAccess

• Distribuire Accesso remoto in un cluster 

  • Guida al lab di test: Dimostrazione di DirectAccess in un cluster con Bilanciamento carico di rete di Windows

• Distribuire più server di accesso remoto in una distribuzione multisito

  • Guida dell'ambiente di prova: Dimostrazione di una distribuzione di DirectAccess multisito

• Distribuire Accesso remoto con l'autenticazione OTP

  • Guida dell'ambiente di prova: Dimostrazione di DirectAccess con autenticazione OTP e SecurID RSA

• Distribuire Accesso remoto in un ambiente con più foreste

• Aggiunta a dominio offline di DirectAccess

Gestire Accesso remoto

• Usare il monitoraggio e l'accounting di Accesso remoto

• Gestire i client DirectAccess in remoto

Eseguire la migrazione di Accesso remoto

• Eseguire la migrazione di Accesso remoto a Windows Server 2012

• Eseguire la migrazione da Forefront UAG SP1 DirectAccess a Windows Server 2012

Descrizione dello scenario

In questo scenario viene configurato un unico computer che esegue Windows Server 2012 come server di Accesso remoto con le impostazioni consigliate dopo aver già installato e configurato la connessione VPN. Per configurare Accesso remoto con le funzionalità di rete per le grandi imprese, ad esempio cluster con bilanciamento di carico, distribuzione multisito o autenticazione client a due fattori, completare lo scenario descritto nell'argomento per configurare un solo server e quindi configurare lo scenario Enterprise come descritto in Distribuire Accesso remoto in una grande impresa.

In questo scenario

Per configurare un unico server di Accesso remoto è necessaria una serie di passaggi di pianificazione e distribuzione.

Passaggi di pianificazione

La pianificazione è suddivisa in due fasi:

1. Pianificare l'infrastruttura di Accesso remoto

   In questa fase, si descrive la pianificazione richiesta per configurare l'infrastruttura di rete prima di iniziare la distribuzione di Accesso remoto. È inclusa la pianificazione di rete e topologia del server, certificati, Domain Name System (DNS), configurazione di Active Directory e oggetti Criteri di gruppo e il server del percorso di rete DirectAccess.

2. Pianificare la distribuzione di Accesso remoto

   In questa fase viene descritta la pianificazione necessaria per preparare la distribuzione di Accesso remoto. È inclusa la pianificazione dei computer client di Accesso remoto, dei requisiti di autenticazione server e client e dei server di infrastruttura.

Fasi di distribuzione

La distribuzione è suddivisa in tre fasi:

1. Configurare l'infrastruttura di Accesso remoto

   In questa fase verranno configurati rete e routing, le impostazioni del firewall (se necessario), certificati, server DNS, le impostazioni di Active Directory e dell'oggetto Criteri di gruppo e il server dei percorsi di rete di DirectAccess.

2. Configurare le impostazioni del server di Accesso remoto

   In questa fase si configureranno i computer client di Accesso remoto, il server di Accesso remoto e i server di infrastruttura.

3. Verificare la distribuzione

   In questa fase è necessario verificare il corretto funzionamento della distribuzione.

Applicazioni pratiche

La distribuzione di un singolo server di Accesso remoto offre:

• Accessibilità

  I computer client gestiti che eseguono Windows 8 e Windows 7 possono essere configurati come computer client DirectAccess. Questi client possono accedere alle risorse di rete interne con DirectAccess ogni volta che sono connessi a Internet, senza dover accedere a una connessione VPN. I computer client che non eseguono uno di questi sistemi operativi possono connettersi alla rete interna con una VPN. DirectAccess e VPN sono gestiti nella stessa console e con lo stesso gruppo di procedure guidate.

• Facilità di gestione

  I computer client DirectAccess che hanno accesso a Internet possono essere gestiti in modalità remota dagli amministratori di Accesso remoto con DirectAccess, anche quando i computer client non si trovano sulla rete aziendale interna. Per i computer client che non soddisfano i requisiti aziendali vengono eseguiti il monitoraggio e l'aggiornamento automatici tramite i server di gestione.

Ruoli e funzionalità richiesti per questo scenario

Nella tabella seguente sono elencati i ruoli e le funzionalità richiesti per questo scenario:

Ruolo/funzionalità	Modalità di supporto dello scenario
Ruolo Accesso remoto	Il ruolo viene installato e disinstallato con la console di Server Manager o Windows PowerShell. Questo ruolo comprende DirectAccess, una funzionalità precedentemente inclusa in Windows Server 2008 R2, e il servizio Routing e Accesso remoto che in precedenza era un servizio ruolo nel ruolo server Servizi di accesso e criteri di rete (NPAS). Il ruolo Accesso remoto è costituito da due componenti: VPN DirectAccess e Servizio Routing e Accesso remoto (RRAS): Gestiti nella Console di gestione Accesso remoto. Routing RRAS: Gestito nella console di Routing e Accesso remoto. Il ruolo server di Accesso remoto dipende dalle funzionalità server seguenti: Server Web Internet Information Services (IIS): richiesta per configurare il server dei percorsi di rete sul server di Accesso remoto e un probe Web predefinito. Database interno di Windows: Usato per l'accounting locale sul server di Accesso remoto.
Funzionalità Strumenti di Gestione Accesso remoto	Questa funzionalità viene installata come segue: Per impostazione predefinita su un server di Accesso remoto all'installazione del ruolo Accesso remoto. Supporta l'interfaccia utente della console di gestione remota e i cmdlet di Windows PowerShell. Installata facoltativamente su un server che non esegue il ruolo server Accesso remoto. In questo caso, viene usata per la gestione remota di un computer di Accesso remoto che esegue DirectAccess e VPN. La funzionalità Strumenti di Gestione Accesso remoto è costituita dai seguenti elementi: GUI di Accesso remoto Modulo Accesso remoto per Windows PowerShell Le dipendenze includono: Console Gestione Criteri di gruppo Connection Manager Administration Kit (CMAK) RAS Windows PowerShell 3.0 Strumenti di gestione e infrastruttura grafica

Requisiti hardware

I requisiti hardware per questo scenario includono i seguenti.

Requisiti del server 

• Un computer che soddisfi i requisiti hardware per Windows Server 2012.

• Il server deve avere almeno una scheda di rete installata, abilitata e aggiunta alla rete interna. Quando si usano due schede di rete, una di esse deve essere connessa alla rete aziendale interna e l'altra alla rete esterna (Internet).

• Se è richiesto Teredo come protocollo di transizione da IPv4 a IPv6, la scheda esterna del server richiede due indirizzi IPv4 pubblici consecutivi. L'Abilitazione guidata DirectAccess non abilita Teredo, neanche se sono presenti due indirizzi IP consecutivi. Per abilitare Teredo, vedere Distribuire un server DirectAccess singolo con impostazioni avanzate. Se è disponibile un singolo indirizzo IP, usare solo IP-HTTPS come protocollo di transito.

• Almeno un controller di dominio. Il server di Accesso remoto e il client DirectAccess devono essere membri di un dominio.

• L'Abilitazione guidata DirectAccess richiede i certificati per IP-HTTPS e il server dei percorsi di rete. Se la connessione VPN SSTP usa già un certificato, questo verrà riutilizzato per IP-HTTPS. Se la connessione VPN SSTP non è stata configurata, è possibile configurare un certificato per IP-HTTPS oppure usare un certificato autofirmato creato automaticamente. Per il server dei percorsi di rete è possibile configurare un certificato oppure usare un certificato autofirmato creato automaticamente.

Requisiti client

• Un computer client deve eseguire Windows 8 o Windows 7.

  Nota

  Solo i sistemi operativi seguenti possono essere usati come client DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate.

Requisiti del server di gestione e infrastruttura

• Durante la gestione remota dei computer client DirectAccess, i client avviano le comunicazioni con i server di gestione quali controller di dominio, server System Center Configuration e server Autorità registrazione integrità per i servizi che includono aggiornamenti di Windows e antivirus e conformità dei client di Protezione accesso alla rete . I server necessari devono essere distribuiti prima dell'inizio della distribuzione di Accesso remoto.

• Se Accesso remoto richiede la conformità NAP del client, i server NPS e HRA devono essere distribuiti prima dell'inizio della distribuzione di Accesso remoto.

• È richiesto un server DNS che esegua Windows Server 2012, Windows Server 2008 SP2 o Windows Server 2008 con SP2.

Requisiti software

I requisiti software per questo scenario includono i seguenti.

Requisiti del server

• Il server di Accesso remoto deve essere membro di un dominio. Il server può essere distribuito alla periferia della rete interna o dietro un firewall o un altro dispositivo periferico.

• Se il server di Accesso remoto è protetto da un firewall periferico o un dispositivo NAT (Network Address Translation), il dispositivo deve essere configurato in modo da consentire il traffico da e verso il server di Accesso remoto.

• La persona che distribuisce Accesso remoto sul server deve disporre di autorizzazioni di amministratore locale sul server e di autorizzazioni a livello utente di dominio. L'amministratore deve disporre anche di autorizzazioni per gli oggetti Criteri di gruppo usati nella distribuzione di DirectAccess. Per sfruttare le funzionalità che limitano la distribuzione di DirectAccess solo ai computer portatili, sono richieste autorizzazioni per creare un filtro WMI sul controller di dominio.

Requisiti dei client di Accesso remoto

• I client DirectAccess devono essere membri di un dominio. I domini contenenti client possono appartenere alla stessa foresta del server di Accesso remoto oppure disporre di un trust bidirezionale con la foresta o il dominio di Accesso remoto.

• È richiesto un gruppo di sicurezza di Active Directory per contenere i computer che saranno configurati come client DirectAccess. Se un gruppo di sicurezza non è specificato durante la configurazione delle impostazioni del client DirectAccess, per impostazione predefinita l'oggetto Criteri di gruppo del client viene applicato su tutti i computer portatili (compatibili con DirectAccess) nel gruppo di sicurezza Computer del dominio. Solo i sistemi operativi seguenti possono essere usati come client DirectAccess: Windows Server 2012, Windows Server 2008 R2, Windows 8 Enterprise, Windows 7 Enterprise e Windows 7 Ultimate.

  Nota

  Si consiglia di creare un gruppo di sicurezza per ogni dominio che contiene computer che saranno configurati come client DirectAccess.

Vedere anche

Nella tabella seguente vengono forniti i collegamenti a risorse aggiuntive.

Tipo di contenuto	Riferimenti
Accesso remoto su TechNet	TechCenter di Accesso remoto
Valutazione del prodotto	Dimostrazione di DirectAccess in un cluster con Bilanciamento carico di rete dimostrazione di una distribuzione multisito di DirectAccess dimostrazione di una distribuzione multisito di DirectAccess
Distribuzione	Accesso remoto
Strumenti e impostazioni	Cmdlet di PowerShell per Accesso remoto
Risorse della community	Blog del team del prodotto RRAS Wiki su DirectAccess
Tecnologie correlate	Funzionamento di IPv6