Condividi tramite


Pianificare una Distribuzione Multi-Forest

In questo documento vengono descritti i passaggi di pianificazione necessari per la configurazione di Accesso remoto in una distribuzione a più foreste.

Prerequisiti

Prima di affrontare la distribuzione di questo scenario, esaminare l'elenco dei requisiti importanti:

  • È necessario un trust bidirezionale.

Pianificare la fiducia tra le foreste

Quando si decide di abilitare l'accesso alle risorse da una nuova foresta, consentire ai client della nuova foresta di usare DirectAccess o aggiungere server di accesso remoto dalla nuova foresta come punti di ingresso alla distribuzione di Accesso remoto, è necessario verificare che tra le due foreste sia stata configurata un'attendibilità totale, ovvero un trust transitivo bidirezionale. Vedere Tipi di trust. In una distribuzione a più foreste, la fiducia totale tra foreste è un prerequisito affinché gli amministratori possano eseguire operazioni come la modifica di Oggetti Criteri di Gruppo nella nuova foresta, l'utilizzo dei gruppi di sicurezza della nuova foresta come gruppo di sicurezza del client, effettuare chiamate remote (WinRM, RPC) a computer nella nuova foresta e autenticare i client remoti dalla nuova foresta.

Pianificare le autorizzazioni di amministratore di Accesso remoto

Quando configuri Accesso remoto, esso aggiorna e a volte crea oggetti Criteri di gruppo (GPO) in ciascun dominio che contiene server o client di Accesso remoto. Analogamente agli ambienti a singola foresta, l'amministratore di Accesso remoto deve disporre delle autorizzazioni per scrivere e modificare gli oggetti Criteri di gruppo DirectAccess e i relativi filtri di sicurezza in un ambiente a più foreste ed eventualmente disporre delle autorizzazioni per creare collegamenti per gli oggetti Criteri di gruppo DirectAccess in tutte le foreste interessate. Le autorizzazioni sono necessarie a prescindere dalla foresta a cui appartiene l'amministratore di Accesso remoto.

L'amministratore di Accesso remoto deve, inoltre, essere un amministratore locale in tutti i server di Accesso remoto inclusi quelli della nuova foresta aggiunti come punti di ingresso alla distribuzione di Accesso remoto originale.

Pianificare i gruppi di sicurezza dei client

Nella nuova foresta è necessario configurare almeno un gruppo di sicurezza per i computer client DirectAccess in essa contenuti, Ciò è dovuto al fatto che un singolo gruppo di sicurezza non può contenere account provenienti da più foreste.

Nota

  • DirectAccess richiede almeno un gruppo di sicurezza di client Windows 10® o Windows® 8 per ciascuna foresta. Si consiglia, tuttavia, di configurare un gruppo di sicurezza di client Windows 10 o Windows 8 per ogni dominio che contiene client Windows 10 o Windows 8.
  • Quando è abilitata la distribuzione multisito, DirectAccess richiede almeno un gruppo di sicurezza di client Windows 7® per ogni foresta per ciascun punto di ingresso DirectAccess in cui sono supportati client Windows 7. Si consiglia, tuttavia, di configurare un apposito gruppo di sicurezza di client Windows 7 per ogni punto di ingresso di ciascun dominio che contiene client Windows 7.

Per applicare DirectAccess ai computer client nei domini aggiuntivi, è necessario creare GPO client in tali domini. L'aggiunta di gruppi di sicurezza attiva la scrittura di nuovi oggetti Criteri di gruppo client per i nuovi domini; pertanto, se all'elenco dei gruppi di sicurezza client di DirectAccess si aggiunge un nuovo gruppo di sicurezza da un nuovo dominio, nel nuovo dominio viene creato automaticamente un oggetto Criteri di gruppo, e i computer client in esso contenuti acquisiscono le impostazioni di DirectAccess tramite l'oggetto Criteri di gruppo client.

Nota che se si aggiunge un client da un nuovo dominio a un gruppo di sicurezza esistente già configurato come gruppo di sicurezza dei client DirectAccess, il Criterio di Gruppo del client non verrà creato automaticamente da DirectAccess sul nuovo dominio. Il client del nuovo dominio non riceverà le impostazioni di DirectAccess e non sarà in grado di effettuare la connessione tramite DirectAccess.

Pianificare le autorità di certificazione

Se per la distribuzione di DirectAccess è configurato l'utilizzo dell'autenticazione OTP (One-Time Password), ogni foresta contiene gli stessi modelli di certificato di firma con valori OID differenti. A causa di ciò, non sarà possibile configurare le foreste come un singola unità di configurazione. Per risolvere questo problema e configurare l'autenticazione OTP in un ambiente a più foreste, vedere Configurare una distribuzione con più foreste.

Quando si utilizza l'autenticazione con certificato computer IPsec, tutti i computer client e server devono disporre di un certificato rilasciato dalla stessa autorità di certificazione radice o intermedia, a prescindere dalla foresta a cui appartengono.

Pianificare le esenzioni OTP

Se si utilizza l'autenticazione OTP di DirectAccess, il gruppo di sicurezza per esenzioni OTP è riservato agli utenti di una singola foresta, in quanto ogni gruppo di sicurezza può contenere solo gli utenti di una singola foresta ed è possibile configurare un unico gruppo di sicurezza.