Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Esaminare l'elenco seguente di configurazioni DirectAccess non supportate prima di avviare la distribuzione per evitare di doverla riavviare nuovamente.
Distribuzione del Servizio di replica dei file (FRS) degli oggetti dei Criteri di gruppo (repliche SYSVOL)
Non distribuire DirectAccess in ambienti in cui i controller di dominio eseguono il Servizio Replica File (FRS) per la distribuzione di oggetti dei Criteri di gruppo (repliche SYSVOL). La distribuzione di DirectAccess non è supportata quando si utilizza FRS.
Stai utilizzando il servizio di Replica File (FRS) se hai controller di dominio che eseguono Windows Server 2003 o Windows Server 2003 R2. Inoltre, potresti utilizzare il servizio Replica file se in precedenza hai utilizzato controller di dominio Windows 2000 Server o Windows Server 2003 e non hai mai eseguito la migrazione della replica SYSVOL dal servizio di Replica file (FRS) alla Replicazione File System Distribuito (DFS-R).
Distribuendo DirectAccess con la replica SYSVOL del servizio Replica file (FRS), vi è il rischio che vengano eliminati involontariamente gli oggetti Criteri di gruppo di DirectAccess che contengono le informazioni sulla configurazione del server e del client DirectAccess. Se questi oggetti vengono eliminati, la distribuzione di DirectAccess subirà un'interruzione e i computer client che usano DirectAccess non potranno connettersi alla rete.
Se hai in programma di distribuire DirectAccess, devi usare controller di dominio che eseguono sistemi operativi più recenti di Windows Server 2003 R2 e devi usare DFS-R.
Per informazioni sulla migrazione da FRS a DFS-R, vedere la Guida alla migrazione della replica SYSVOL: da FRS a DFS-R.
Protezione accesso alla rete per i client DirectAccess
Protezione accesso alla rete consente di determinare se i computer client remoti soddisfano i criteri IT prima che venga concesso loro l'accesso alla rete aziendale. NAP (Protezione accesso alla rete) è stato deprecato in Windows Server 2012 R2 e non si trova in Windows Server 2016. Per questo motivo, non è consigliabile avviare una distribuzione nuova di DirectAccess con Protezione accesso alla rete. È consigliabile usare un metodo diverso di controllo degli endpoint per la sicurezza dei client DirectAccess.
Supporto multisito per i client Windows 7
Quando DirectAccess è configurato in una distribuzione multisito, i client Windows 10®, Windows® 8.1 e Windows® 8 hanno la possibilità di connettersi al sito più vicino. I computer client Windows 7® non hanno la stessa funzionalità. La selezione del sito per i client Windows 7 è impostata su un sito specifico al momento della configurazione dei criteri e questi client si connetteranno sempre a quel sito designato, indipendentemente dalla loro posizione.
Controllo degli accessi in base all'utente
I criteri di DirectAccess sono basati su computer, non sull'utente. Specificare le politiche utente di DirectAccess per controllare l'accesso alla rete aziendale non è supportato.
Personalizzazione dei criteri DirectAccess
È possibile configurare DirectAccess tramite l'Installazione guidata di DirectAccess, la console di gestione dell'accesso remoto o i cmdlet di Windows PowerShell per Accesso remoto. L'uso di qualsiasi mezzo diverso dall'installazione guidata di DirectAccess per configurare DirectAccess, ad esempio la modifica diretta di oggetti Criteri di gruppo DirectAccess o la modifica manuale delle impostazioni dei criteri predefinite nel server o nel client, non è supportato. Queste modifiche potrebbero comportare una configurazione inutilizzabile.
Autenticazione KerbProxy
Quando si configura il server DirectAccess con la Procedura guidata di configurazione iniziale, il server DirectAccess viene configurato automaticamente per l'uso dell'autenticazione KerbProxy per l'autenticazione del computer e dell'utente. Per questo motivo, è consigliabile usare la Procedura guidata Attività iniziali solo per le distribuzioni a sito singolo in cui vengono distribuiti solo i client Windows 10®, Windows 8.1 o Windows 8.
Inoltre, le funzionalità seguenti non devono essere usate con l'autenticazione KerbProxy:
Bilanciamento del carico tramite un servizio di bilanciamento del carico esterno o Windows Load Balancer
Autenticazione a due fattori in cui sono necessarie smart card o password monouso (OTP)
I piani di distribuzione seguenti non sono supportati se si abilita l'autenticazione KerbProxy:
Multisite.
Supporto DirectAccess per i client Windows 7.
Tunneling forzato. Per assicurarsi che l'autenticazione KerbProxy non sia abilitata quando si usa il tunneling forzato, configurare gli elementi seguenti durante l'esecuzione della procedura guidata:
Abilitare il tunneling forzato
Abilitare DirectAccess per i client Windows 7
Note
Per le distribuzioni precedenti, è consigliabile usare la Configurazione guidata avanzata, che usa una configurazione a due tunnel con un computer basato su certificato e l'autenticazione utente. Per altre informazioni, vedere Distribuire un server DirectAccess singolo con impostazioni avanzate.
Uso di ISATAP
ISATAP è una tecnologia di transizione che fornisce connettività IPv6 nelle reti aziendali solo IPv4. È limitata alle organizzazioni di piccole e medie dimensioni con una distribuzione server DirectAccess singolo e consente la gestione remota dei client DirectAccess. Se la tecnologia ISATAP viene distribuita in un ambiente multisito, con bilanciamento del carico o a più domini, è necessario rimuoverla o spostarla in una distribuzione IPv6 nativa prima di configurare DirectAccess.
Configurazione dell'endpoint IPHTTPS e della password monouso
Quando si usa IPHTTPS, la connessione IPHTTPS deve terminare nel server DirectAccess, non in un altro dispositivo, ad esempio un servizio di bilanciamento del carico. Analogamente, la connessione SSL (Secure Sockets Layer) fuori banda creata durante l'autenticazione tramite password monouso (OTP) deve terminare nel server DirectAccess. Tutti i dispositivi tra gli endpoint di queste connessioni devono essere configurati in modalità pass-through.
Forzatura del tunnel con autenticazione OTP
Non distribuire un server DirectAccess con autenticazione a due fattori con password monouso (OTP) e tunneling forzato, in quanto l'autenticazione tramite password monouso avrà esito negativo. È necessaria una connessione SSL (Secure Sockets Layer) fuori banda tra il server DirectAccess e il client DirectAccess. Questa connessione richiede un'esenzione per inviare il traffico all'esterno del tunnel DirectAccess. In una configurazione di Tunneling forzato tutto il traffico deve attraversare un tunnel DirectAccess e non è consentita alcuna esenzione dopo che è stato stabilito il tunnel. Per questo motivo, l'autenticazione tramite password monouso (OTP) non è supportata in una configurazione di tunneling forzato.
Distribuzione di DirectAccess con un controller di dominio di sola lettura
I server DirectAccess devono avere accesso a un controller di dominio di lettura/scrittura e non funzionano correttamente con un controller di dominio di sola lettura.
È necessario un controller di dominio di lettura/scrittura per vari motivi, tra cui:
Nel server DirectAccess, è necessario un controller di dominio di lettura/scrittura per aprire la Microsoft Management Console (MMC) di Accesso remoto.
Il server DirectAccess deve poter leggere e scrivere negli oggetti Criteri di gruppo del client DirectAccess e del server DirectAccess.
Il server DirectAccess legge e scrive specificamente nell'oggetto Criteri di gruppo del client dall'emulatore del controller di dominio primario (PDCe).
A causa di questi requisiti, non distribuire DirectAccess con un controller di dominio di sola lettura.