Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
In questo argomento viene descritto come configurare le impostazioni client e server necessari per la gestione remota dei client DirectAccess. Prima di iniziare i passaggi di distribuzione, assicurarsi di aver completato i passaggi di pianificazione descritti nel passaggio 2 Pianificare la distribuzione di Accesso remoto.
| Attività | Descrizione |
|---|---|
| Installare il ruolo Accesso remoto | Installare il ruolo Accesso remoto. |
| Configurare il tipo di distribuzione | Consente di configurare il tipo di distribuzione come DirectAccess e VPN, solo DirectAccess o solo VPN. |
| Configurare i client DirectAccess | Consente di configurare il server di Accesso remoto con i gruppi di sicurezza contenenti i client DirectAccess. |
| Configurare il server di Accesso remoto | Configurare le impostazioni del server di accesso remoto. |
| Configurare i server dell'infrastruttura | Consente di configurare i server dell'infrastruttura usati nell'organizzazione. |
| Configurare i server applicazioni | Configurare i server di applicazione per richiedere l'autenticazione e crittografia. |
| Riepilogo della configurazione e GPO alternativi | Visualizza il riepilogo della configurazione di Accesso Remoto e modifica gli oggetti Criteri di gruppo, se lo desideri. |
Nota
Questo argomento include cmdlet di esempio di Windows PowerShell che è possibile usare per automatizzare alcune delle procedure descritte. Per altre informazioni, vedere Uso dei cmdlet.
Installare il ruolo Accesso remoto
È necessario installare il ruolo Accesso remoto in un server nell'organizzazione che fungerà da server di accesso remoto.
Per installare il ruolo Accesso remoto
Per installare il ruolo Accesso remoto nel server DirectAccess
Nel server DirectAccess, nella console di Server Manager, nel dashboard fare clic su Aggiungi ruoli e funzionalità.
Fare clic su Avanti tre volte per passare alla schermata di selezione del ruolo del server.
Nella finestra di dialogo Seleziona ruoli server selezionare Accesso remoto e quindi fare clic su Avanti.
Fare clic su Avanti tre volte.
Nella finestra di dialogo Seleziona servizi ruolo selezionare DirectAccess e VPN (RAS) e quindi fare clic su Aggiungi funzionalità.
Selezionare Routing, selezionare Proxy applicazione Web, fare clic su Aggiungi funzionalità e quindi fare clic su Avanti.
Fare clic su Avanti e quindi su Installa.
Nella finestra di dialogo Stato installazione verificare che l'installazione sia riuscita e quindi fare clic su Chiudi.
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Inserire ogni cmdlet su una singola riga, anche se qui possono apparire suddivisi su più righe a causa di vincoli di formattazione.
Install-WindowsFeature RemoteAccess -IncludeManagementTools
Configurare il tipo di distribuzione
Sono disponibili tre opzioni che è possibile utilizzare per distribuire accesso remoto dalla console di gestione accesso remoto:
DirectAccess e VPN
Solo DirectAccess
Solo VPN
Nota
In questa guida si utilizza solo il metodo di distribuzione DirectAccess negli esempi procedurali.
Per configurare il tipo di distribuzione
Nel server di Accesso remoto aprire la console di gestione accesso remoto: nella schermata Start digitare, digitare Console di gestione accesso remoto e quindi premere INVIO. Se viene visualizzata la finestra di dialogo Controllo account utente , verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su Sì.
Nel riquadro centrale della Console di gestione accesso remoto fare clic su Esegui l'Installazione guidata accesso remoto.
Nella finestra di dialogo Configura accesso remoto selezionare DirectAccess e VPN, solo DirectAccess o VPN.
Configurare i client DirectAccess
Per effettuarne il provisioning allo scopo di usare DirectAccess, un computer client deve appartenere al gruppo di sicurezza selezionato. Dopo aver configurato DirectAccess, i computer client nel gruppo di sicurezza vengono configurati per ricevere gli oggetti Criteri di gruppo (GPO) di DirectAccess per la gestione remota.
Per configurare i client DirectAccess
Nel riquadro centrale della console di gestione dell'accesso remoto, nell'area Passaggio 1: Client remoti, fai clic su Configura.
Nella pagina Scenario di distribuzione del Wizard Configurazione client DirectAccess, fare clic su Distribuisci DirectAccess solo per la gestione remota e quindi su Avanti.
Nella pagina Seleziona gruppi fare clic su Aggiungi.
Nella finestra di dialogo Seleziona gruppi selezionare i gruppi di sicurezza che contengono i computer client DirectAccess e quindi fare clic su Avanti.
Nella pagina Assistente connettività di rete :
Nella tabella, aggiungere le risorse utilizzate per determinare la connettività alla rete interna. Se non sono configurate altre risorse, viene automaticamente creata una sonda web predefinita. Quando si configurano le posizioni dei sondaggi web per determinare la connettività alla rete aziendale, assicurarsi di aver configurato almeno un sondaggio basato su HTTP. La configurazione solo una verifica ping non è sufficiente, e ciò potrebbe causare un'una determinazione non corretta dello stato di connettività. Questo avviene perché ping è esente da IPsec. Di conseguenza, il comando ping non garantisce che i tunnel IPsec siano correttamente impostati.
Aggiungere un indirizzo di posta elettronica del supporto tecnico per consentire agli utenti di inviare informazioni se incontrano difficoltà di connettività.
Fornire un nome descrittivo per la connessione DirectAccess.
Selezionare, se necessario, la casella di controllo Consenti ai client DirectAccess di usare la risoluzione dei nomi locale.
Nota
Quando è abilitata la risoluzione dei nomi locali, gli utenti che eseguono il NCA possono risolvere nomi con i server DNS configurati nel computer client DirectAccess.
Fare clic su Fine.
Configurare il server di Accesso remoto
Per distribuire accesso remoto, è necessario configurare il server che fungerà da server di accesso remoto con il codice seguente:
Correggere le schede di rete
Un URL pubblico per il server di Accesso Remoto a cui i computer client possono connettersi (l'indirizzo ConnectTo)
Un certificato IP-HTTPS con un oggetto che corrisponde all'indirizzo ConnectTo
Impostazioni IPv6
Autenticazione del client computer
Per configurare il server di Accesso remoto
Nel riquadro centrale della console gestione accesso remoto, nell'area Passaggio 2 server di accesso remoto fare clic su Configura.
Nella pagina Topologia di rete della Configurazione guidata del server di accesso remoto, fare clic sulla topologia di distribuzione che verrà usata nell'organizzazione. In Digitare il nome pubblico o l'indirizzo IPv4 usato dai client per connettersi al server di Accesso remoto, immettere il nome pubblico per la distribuzione (questo nome corrisponde al nome soggetto del certificato IP-HTTPS, ad esempio, edge1.contoso.com) e quindi fare clic su Avanti.
Nella pagina Schede di rete la procedura guidata rileva automaticamente:
Schede di rete per le reti della tua implementazione. Se la procedura guidata non rileva le schede di rete corrette, selezionarle manualmente.
Certificato IP-HTTPS. Questo si basa sul nome pubblico per la distribuzione impostato durante il passaggio precedente della procedura guidata. Se la procedura guidata non rileva il certificato IP-HTTPS corretto, fare clic su Sfoglia per selezionare manualmente il certificato corretto.
Fare clic su Avanti.
Nella pagina Configurazione prefisso (questa pagina è visibile solo se viene rilevato IPv6 nella rete interna), la procedura guidata rileva automaticamente le impostazioni IPv6 usate nella rete interna. Se la distribuzione richiede prefissi aggiuntivi, configurare i prefissi IPv6 per la rete interna, un prefisso IPv6 da assegnare ai computer client DirectAccess e un prefisso IPv6 da assegnare ai computer client VPN.
Nella pagina Autenticazione :
Per le distribuzioni multisito e a due fattori, è necessario utilizzare l'autenticazione tramite certificato del computer. Seleziona la casella di controllo Usa certificati computer per usare l'autenticazione con certificato computer e seleziona il certificato radice IPsec.
Per consentire ai computer client che eseguono Windows 7 di connettersi tramite DirectAccess, selezionare la casella di controllo Abilita computer client Windows 7 per connettersi tramite DirectAccess . In questo tipo di distribuzione deve essere usata anche l'autenticazione del certificato del computer.
Fare clic su Fine.
Configurare i server dell'infrastruttura
Per configurare i server dell'infrastruttura in una distribuzione di accesso remoto, è necessario configurare quanto segue:
Server di localizzazione di rete
Impostazioni DNS, includendo l'elenco di ricerca dei suffissi DNS
I server di gestione che non vengono rilevati automaticamente da accesso remoto
Per configurare i server dell'infrastruttura
Nel riquadro centrale della console di Gestione Accesso Remoto, nell'area Passaggio 3 Server infrastruttura, fare clic su Configura.
Nella pagina Server di Posizione di Rete della Configurazione guidata del server infrastruttura, selezionare l'opzione che corrisponde alla posizione del Server di Posizione di Rete nella tua distribuzione.
Se il server dei percorsi di rete si trova in un server Web remoto, immettere l'URL e quindi fare clic su Convalida prima di continuare.
Se il server dei percorsi di rete si trova nel server di Accesso remoto, fare clic su Sfoglia per individuare il certificato pertinente e quindi fare clic su Avanti.
Nella pagina DNS, nella tabella, inserire suffissi di nome aggiuntivi che verranno applicati come esenzioni dalla tabella delle politiche di risoluzione dei nomi (NRPT). Selezionare un'opzione di risoluzione dei nomi locale e quindi fare clic su Avanti.
Nella pagina dell'elenco di ricerca suffissi DNS, il server di accesso remoto rileva automaticamente i suffissi di dominio nella distribuzione. Usare i pulsanti Aggiungi e Rimuovi per creare l'elenco dei suffissi di dominio da usare. Per aggiungere un nuovo suffisso di dominio, in Nuovo suffisso immettere il suffisso e quindi fare clic su Aggiungi. Fare clic su Avanti.
Nella pagina Gestione aggiungere server di gestione non rilevati automaticamente e quindi fare clic su Avanti. Accesso remoto aggiunge automaticamente i controller di dominio ed i server di Configuration Manager.
Fare clic su Fine.
Configurare i server applicazioni
In una distribuzione completa di accesso remoto, la configurazione server applicazioni è un'attività facoltativa. In questo scenario per la gestione remota dei client DirectAccess, i server applicazioni non vengono utilizzati e questo passaggio è disattivato per indicare che non è attivo. Fare clic su Fine per applicare la configurazione.
Riepilogo della configurazione e GPO alternativi
Al termine della configurazione di Accesso remoto, viene visualizzata la verifica di accesso remoto . È possibile controllare tutte le impostazioni selezionate in precedenza, incluse:
Impostazioni GPO
Sono elencati il nome dei Criteri di gruppo del server DirectAccess e il nome dei Criteri di gruppo Client. È possibile cliccare sul collegamento Modifica accanto all'intestazione Impostazioni Criteri di gruppo per modificare le impostazioni dei Criteri di gruppo.
Client remoti
Verrà visualizzata la configurazione del client DirectAccess, inclusi il gruppo di sicurezza, strumenti di verifica della connettività e nome della connessione DirectAccess.
Server di accesso remoto
Viene visualizzata la configurazione di DirectAccess, inclusi il nome pubblico e l'indirizzo, configurazione scheda di rete e informazioni sul certificato.
Server di infrastruttura
Questo elenco comprende l'URL del server dei percorsi di rete, i suffissi DNS usati dai clienti di DirectAccess e le informazioni sul server di gestione.