Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Lo scenario di distribuzione della gestione remota dei client DirectAccess usa DirectAccess per gestire i client tramite Internet. Questa sezione illustra lo scenario, compresi fasi, ruoli, funzionalità e collegamenti a risorse aggiuntive.
Windows Server 2016 e Windows Server 2012 combinano DirectAccess e il servizio Routing e Accesso remoto VPN in un singolo ruolo di accesso remoto.
Note
Oltre a questo argomento, sono disponibili i seguenti argomenti sulla gestione di Accesso remoto.
Descrizione dello scenario
Poiché i computer client DirectAccess vengono connessi alla Intranet ogni volta che vengono connessi a Internet, indipendentemente dal fatto che l'utente abbia eseguito l'accesso al computer, possono essere gestiti come risorse Intranet e mantenuti aggiornati con modifiche ai Criteri di gruppo, aggiornamenti del sistema operativo, aggiornamenti antimalware e altre modifiche organizzative.
In alcuni casi, i computer o i server Intranet devono avviare connessioni ai client DirectAccess. I tecnici del supporto possono ad esempio usare le connessioni Desktop remoto per connettersi ai client DirectAccess remoti e risolverne i problemi. Questo scenario consente di mantenere la soluzione di accesso remoto esistente per la connettività degli utenti, usando DirectAccess per la gestione remota.
DirectAccess fornisce una configurazione che supporta la gestione remota dei client DirectAccess. È possibile usare un'opzione di distribuzione guidata che limita la creazione dei criteri solo a quelli necessari per la gestione remota dei computer client.
Note
In questa distribuzione, le opzioni di configurazione a livello utente, come il tunneling forzato, l'integrazione di Protezione accesso alla rete (NAP) e l'autenticazione a due fattori, non sono disponibili.
In questo scenario
Lo scenario di distribuzione della gestione remota dei client DirectAccess include i passaggi seguenti per la pianificazione e la configurazione.
Pianificare la distribuzione
Per la pianificazione di questo scenario sono previsti solo alcuni requisiti per i computer e la rete. Includono:
Topologia di rete e di server: con DirectAccess è possibile collocare il server di Accesso remoto alla periferia della Intranet o dietro un dispositivo NAT (Network Address Translation) o un firewall.
Server dei percorsi di rete DirectAccess: il server dei percorsi di rete viene usato dai client DirectAccess per determinare se si trovano sulla rete interna. Il server dei percorsi di rete può essere installato nei server DirectAccess o in un altro server.
Client DirectAccess: decidere quali computer gestiti verranno configurati come client DirectAccess.
Configurare la distribuzione
La configurazione della distribuzione prevede alcuni passaggi. Questi includono:
Configurare l'infrastruttura: Configurare le impostazioni DNS, aggiungere i computer client e server a un dominio, se necessario, e configurare i gruppi di sicurezza di Active Directory.
In questo scenario di distribuzione, gli Oggetti dei criteri di gruppo (GPO) vengono creati automaticamente tramite Accesso remoto. Per le opzioni avanzate dei criteri GPO dei certificati, vedere Distribuzione avanzata di Accesso remoto.
Configurare le impostazioni di rete e del server di Accesso remoto: configurare le schede di rete, gli indirizzi IP e il routing.
Configurare le impostazioni dei certificati: in questo scenario di distribuzione i certificati autofirmati vengono creati da Attività iniziali guidate, quindi non è necessario configurare l'infrastruttura di certificati avanzata.
Configurare il server dei percorsi di rete: in questo scenario il server dei percorsi di rete viene installato nel server di Accesso remoto.
Pianificare i server di gestione DirectAccess: gli amministratori possono gestire in remoto i computer client DirectAccess che si trovano all'esterno delle rete aziendale usando Internet. I server di gestione includono computer usati durante la gestione remota dei client, ad esempio i server di aggiornamento.
Configurare il server di Accesso remoto: installare il ruolo Accesso remoto ed eseguire Attività iniziali guidate di DirectAccess per configurare DirectAccess.
Verificare la distribuzione: testare un client per verificare che sia in grado di connettersi alla rete interna e a Internet con DirectAccess.
Applicazioni pratiche
La distribuzione di un singolo server di Accesso remoto per la gestione dei client DirectAccess offre quanto indicato di seguito:
Accessibilità: i computer client gestiti che eseguono Windows 8 o Windows 7 possono essere configurati come computer client DirectAccess. Questi client possono accedere alle risorse di rete interne con DirectAccess ogni volta che sono connessi a Internet, senza dover accedere a una connessione VPN. I computer client che non eseguono uno di questi sistemi operativi possono connettersi alla rete interna tramite una VPN. DirectAccess e VPN sono gestiti nella stessa console e con lo stesso insieme di procedure guidate.
Facilità di gestione: i computer client DirectAccess connessi a Internet possono essere gestiti da remoto dagli amministratori di accesso remoto tramite DirectAccess, anche quando i computer client non si trovano nella rete aziendale interna. I computer client che non soddisfano i requisiti aziendali possono essere corretti automaticamente dai server di gestione. È possibile gestire uno o più server di Accesso remoto da una singola Console di gestione Accesso remoto.
Ruoli e funzionalità inclusi nello scenario
Nella tabella seguente sono elencati i ruoli e le funzionalità richiesti per lo scenario.
| Ruolo o funzionalità | Come supporta questo scenario |
|---|---|
| Ruolo Accesso remoto | Questo ruolo viene installato e disinstallato con la console di Server Manager o Windows PowerShell. Questo ruolo comprende DirectAccess, una funzionalità precedentemente inclusa in Windows Server 2008 R2, e il servizio Routing e Accesso remoto che in precedenza era un servizio ruolo nel ruolo server Servizi di accesso e criteri di rete (NPAS). Il ruolo Accesso remoto è costituito da due componenti: 1. La VPN DirectAccess e il Servizio Routing e Accesso remoto (RRAS): DirectAccess e la VPN vengono gestiti nella console di Gestione dell'accesso remoto. Il ruolo del server Accesso remoto dipende dalle funzionalità seguenti: - Server Web (IIS): necessario per configurare il server del percorso di rete e il probe Web predefinito. |
| Funzionalità Strumenti di Gestione Accesso remoto | Questa funzionalità viene installata come segue: - Disponibile per impostazione predefinita in un server di Accesso remoto all'installazione del ruolo Accesso remoto e supporta l'interfaccia utente della console di gestione remota. Questa funzionalità include gli elementi seguenti: - Interfaccia utente grafica di Accesso remoto e strumenti da riga di comando Le dipendenze includono: -Console Gestione criteri di gruppo |
Requisiti hardware
I requisiti hardware per questo scenario includono i seguenti.
Requisiti del server
Un computer che soddisfi i requisiti hardware di Windows Server 2016. Per altre informazioni, vedere Requisiti di sistema di Windows Server 2016.
Il server deve avere almeno una scheda di rete installata e abilitata. Dovrà essere presente una sola scheda connessa alla rete aziendale interna e una sola scheda connesso alla rete esterna (Internet).
Se è richiesto Teredo come protocollo di transizione da IPv6 a IPv4, la scheda esterna del server richiede due indirizzi IPv4 pubblici consecutivi. Se è disponibile una singola scheda di rete, come protocollo di transito potrà essere usato solo IP-HTTPS.
Almeno un controller di dominio. I server di Accesso remoto e i client DirectAccess devono essere membri di un dominio.
È richiesta un'autorità di certificazione nel server se non si vogliono usare certificati autofirmati per IP-HTTPS o il server dei percorsi di rete oppure se si vogliono usare certificati client per l'autenticazione IPsec dei client.
Requisiti del cliente
- Un computer client deve eseguire Windows 10, Windows 8 o Windows 7.
Requisiti per l'infrastruttura e il server di gestione
Durante la gestione remota dei computer client DirectAccess, i client avviano le comunicazioni con i server di gestione, quali controller di dominio, server di configurazione di System Center e server dell'Autorità di Registrazione dell'Integrità (HRA). Questi server forniscono servizi che includono aggiornamenti di Windows e antivirus e la conformità dei client con Network Access Protection (NAP). Distribuire i server necessari prima dell'inizio della distribuzione di Accesso remoto.
È richiesto un server DNS che esegua Windows Server 2016, Windows Server 2012 R2, Windows Server 2012, Windows Server 2008 R2 o Windows Server 2008 con SP2.
Requisiti software
I requisiti software per questo scenario includono i seguenti.
Requisiti del server
Il server di Accesso remoto deve essere membro di un dominio. Il server può essere distribuito alla periferia della rete interna o dietro un firewall o un altro dispositivo periferico.
Se il server di Accesso remoto di trova dietro un firewall periferico o un dispositivo NAT, il dispositivo deve essere configurato in modo da consentire il traffico da e verso il server di Accesso remoto.
Gli amministratori che distribuiscono un server di Accesso remoto devono avere le autorizzazioni di amministratore locale nel server e le autorizzazioni a livello utente di dominio. L'amministratore deve avere anche le autorizzazioni per gli oggetti Criteri di gruppo usati nella distribuzione di DirectAccess. Per sfruttare le funzionalità che limitano la distribuzione di DirectAccess solo ai computer portatili, sono necessarie le autorizzazioni di amministratore per il dominio nel controller di dominio per creare un filtro WMI.
Se il server del percorso di rete non si trova nel server di Accesso remoto, per eseguirlo è richiesto un server distinto.
Requisiti dei client di Accesso remoto
I client DirectAccess devono essere membri di un dominio. I domini contenenti client possono appartenere alla stessa foresta del server di Accesso remoto oppure disporre di un trust bidirezionale con la foresta o il dominio di Accesso remoto.
È richiesto un gruppo di sicurezza di Active Directory per contenere i computer che saranno configurati come client DirectAccess. I computer non dovranno essere inclusi in più di un gruppo di sicurezza che comprende client DirectAccess. Se i client sono inclusi in più gruppi, la risoluzione dei nomi per le richieste dei client non funzionerà come previsto.