Passaggio 2: Configurare i server avanzati di DirectAccess
In questo argomento viene descritto come configurare le impostazioni del client e del server richieste per la distribuzione avanzata di Accesso remoto con un solo server di Accesso remoto in un ambiente IPv4 e IPv6. Prima di iniziare la procedura di distribuzione, assicurarsi di aver completato i passaggi di pianificazione descritti in pianificare una distribuzione avanzata DirectAccess.
| Attività | Descrizione |
|---|---|
| 2.1. Installare il ruolo Accesso remoto | Consente di installare il ruolo Accesso remoto. |
| 2.2. Configurare il tipo di distribuzione | Consente di configurare il tipo di distribuzione come DirectAccess e VPN, solo DirectAccess o solo VPN. |
| Pianificare una distribuzione avanzata di DirectAccess | Consente di configurare il server di Accesso remoto con i gruppi di sicurezza contenenti i client DirectAccess. |
| 2.4. Configurare il server di Accesso remoto | Consente di configurare le impostazioni del server di Accesso remoto. |
| 2.5. Configurare i server dell'infrastruttura | Consente di configurare i server dell'infrastruttura usati nell'organizzazione. |
| 2.6. Configurare i server applicazioni | Consente di configurare i server applicazioni in modo che richiedano l'autenticazione e la crittografia. |
| 2.7. Riepilogo della configurazione e oggetti Criteri di gruppo alternativi | Consente di visualizzare il riepilogo della configurazione di Accesso remoto e modificare gli oggetti Criteri di gruppo, se si vuole. |
| 2.8. Come configurare il server di Accesso remoto con Windows PowerShell | Configurare l'accesso remoto utilizzando Windows PowerShell. |
Nota
Questo argomento include cmdlet di esempio di Windows PowerShell che è possibile usare per automatizzare alcune delle procedure descritte. Per ulteriori informazioni, vedere mediante i cmdlet.
2.1. Installare il ruolo Accesso remoto
Per distribuire Accesso remoto, è necessario installare il ruolo Accesso remoto in un server dell'organizzazione che fungerà da server di Accesso remoto.
Per installare il ruolo Accesso remoto
Nel server di accesso remoto, nella console di Server Manager, nel Dashboard, fare clic su Aggiungi ruoli e funzionalità.
Fare clic su Avanti tre volte per ottenere il Selezione ruoli server dello schermo.
Nel Selezione ruoli server selezionare accesso remoto, fare clic su Aggiungi funzionalità, quindi fare clic su Avanti.
Fare clic su Avanti cinque volte.
Nella pagina Conferma selezioni per l'installazione fare clic su Installa.
Nel lo stato dell'installazione pagina, verificare che l'installazione sia stata completata e quindi fare clic su Chiudi.
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Install-WindowsFeature RemoteAccess -IncludeManagementTools
2.2. Configurare il tipo di distribuzione
È possibile distribuire Accesso remoto con la Console di gestione Accesso remoto in tre modi:
DirectAccess e VPN
Solo DirectAccess
Solo VPN
Nelle procedure di esempio di questa guida viene illustrata la distribuzione con solo DirectAccess.
Per configurare il tipo di distribuzione
Nel server di accesso remoto, aprire la console di gestione accesso remoto: sul avviare digitareRAMgmtUI.exe, quindi premere INVIO. Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata e quindi fare clic su Sì.
Nella Console di gestione accesso remoto, nel riquadro centrale, fare clic su eseguire Configurazione guidata accesso remoto.
Nel Configura accesso remoto finestra di dialogo scegliere se distribuire solo DirectAccess e VPN, solo DirectAccess o VPN.
2.3. Configurare i client DirectAccess
Per effettuarne il provisioning allo scopo di usare DirectAccess, un computer client deve appartenere al gruppo di sicurezza selezionato. Dopo aver configurato DirectAccess, viene effettuato il provisioning dei computer client nel gruppo di sicurezza in modo da ricevere l'oggetto Criteri di gruppo DirectAccess. È anche possibile configurare lo scenario di distribuzione che consente di configurare DirectAccess per l'accesso client e la gestione remota o solo per quest'ultima.
Per configurare i client DirectAccess
Nel riquadro centrale della console di gestione accesso remoto, nel passaggio 1 client remoti area, fare clic su Configura.
Nella configurazione guidata Client DirectAccess sul uno Scenario di distribuzione scegliere lo scenario di distribuzione che si desidera utilizzare nell'organizzazione (DirectAccess completa o solo gestione remota) e quindi fare clic su Avanti.
Nel Seleziona gruppi fare clic su Aggiungi.
Nel Seleziona gruppi finestra di dialogo, selezionare i gruppi di sicurezza che contengono i computer client DirectAccess.
Nota
Se il gruppo di sicurezza si trova in una foresta diversa rispetto al server di Accesso remoto, dopo aver completato la Configurazione guidata Accesso remoto, fare clic su Aggiorna server di gestione nel riquadro Attività per individuare il controller di dominio e i server di Configuration Manager nella nuova foresta.
Selezionare il Abilita DirectAccess solo per computer mobili casella di controllo per consentire solo ai computer portatili accedere alla rete interna, se necessario.
Selezionare il utilizzare tunneling forzato casella di controllo per indirizzare tutto il traffico client (verso la rete interna e Internet) attraverso il server di accesso remoto, se necessario.
Fare clic su Avanti.
Nel Assistente connettività di rete pagina:
Nella tabella, aggiungere le risorse da usare per determinare la connettività alla rete interna. Se non sono configurate altre risorse, viene creato automaticamente un probe Web predefinito.
Attenzione
Quando si configurano i percorsi dei probe Web per determinare la connettività alla rete aziendale, verificare che sia configurato almeno un probe basato su HTTP. Configurazione di un ping probe solo non è sufficiente, e questo potrebbe causare una determinazione non corretta dello stato di connettività. In questo modo ping è esente da IPsec, e di conseguenza, non garantisce che i tunnel IPsec siano correttamente impostati.
Aggiungere un indirizzo di posta elettronica del supporto tecnico per consentire agli utenti di inviare informazioni se incontrano difficoltà di connettività.
Fornire un nome descrittivo per la connessione DirectAccess. Questo nome viene visualizzato nell'elenco di reti quando gli utenti selezionano l'icona di rete nell'area di notifica.
Selezionare il DirectAccess consente ai client di utilizzare la risoluzione dei nomi locale casella di controllo, se necessario.
Nota
Quando è abilitata la risoluzione dei nomi locali, gli utenti che eseguono l'Assistente connettività di rete possono scegliere di risolvere i nomi usando i server DNS configurati nel computer client DirectAccess.
Fare clic su Fine.
2.4. Configurare il server di Accesso remoto
Per distribuire Accesso remoto è necessario configurare il server di Accesso remoto con le schede di rete corrette, un URL pubblico per il server di Accesso remoto al quale i computer client possano connettersi (l'indirizzo ConnectTo) e un certificato IP-HTTPS il cui soggetto corrisponda all'indirizzo ConnectTo, alle impostazioni IPv6 e all'autenticazione del computer client.
Per configurare il server di Accesso remoto
Nel riquadro centrale della console di gestione accesso remoto, nel passaggio 2 Server di accesso remoto area, fare clic su Configura.
Nel Server di configurazione guidata accesso remoto, nella topologia di rete pagina, scegliere la topologia di distribuzione che verrà utilizzata nell'organizzazione. In digitare il nome pubblico o l'indirizzo IPv4 utilizzati dai client per connettersi al server di accesso remoto, immettere il nome pubblico per la distribuzione (questo nome corrisponde al nome soggetto del certificato IP-HTTPS, ad esempio edge1. contoso.com) e quindi fare clic su Avanti.
Nel schede di rete pagina, la procedura guidata rileva automaticamente le schede di rete per le reti nella distribuzione. Se la procedura guidata non rileva le schede di rete corrette, selezionarle manualmente. La procedura guidata rileva automaticamente anche il certificato IP-HTTPS, in base al nome pubblicato per la distribuzione impostato nel passaggio precedente della procedura guidata. Se la procedura guidata non rileva il certificato IP-HTTPS corretto, fare clic su Sfoglia selezionare manualmente il certificato corretto e quindi fare clic su Avanti.
Nel Configurazione prefissi pagina (visualizzato solo se IPv6 viene distribuito nella rete interna), la procedura guidata rileva automaticamente le impostazioni IPv6 utilizzati nella rete interna. Se la distribuzione richiede prefissi aggiuntivi, configurare i prefissi IPv6 per la rete interna, un prefisso IPv6 da assegnare ai computer client DirectAccess e un prefisso IPv6 da assegnare ai computer client VPN.
Nota
È possibile specificare più prefissi IPv6 interni usando un elenco delimitato da due punti, ad esempio, 2001:db8:1::/48;2001:db8:2::/48.
Nel autenticazione pagina:
In l'autenticazione utente, fare clic su credenziali Active Directory. Per configurare una distribuzione utilizzando l'autenticazione a due fattori, fare clic su autenticazione a due fattori. Per ulteriori informazioni, vedere distribuire accesso remoto con autenticazione OTP.
Per le distribuzioni multisito e a due fattori, è necessario usare l'autenticazione del certificato computer. Selezionare il Usa certificati computer casella di controllo per utilizzare l'autenticazione del certificato computer e selezionare il certificato radice IPsec.
Per abilitare i computer client Windows 7 per la connessione tramite DirectAccess, selezionare il attivare Windows 7 ai computer client di connettersi tramite DirectAccess casella di controllo.
Nota
In questo tipo di distribuzione deve essere usata anche l'autenticazione del certificato computer.
Fare clic su Fine.
2.5. Configurare i server dell'infrastruttura
Per configurare i server dell'infrastruttura in una distribuzione di Accesso remoto, è necessario configurare il server dei percorsi di rete, le impostazioni DNS (incluso l'elenco di ricerca dei suffissi DNS) e i server di gestione non rilevati automaticamente da Accesso remoto.
Per configurare i server dell'infrastruttura
Nel riquadro centrale della console di gestione accesso remoto, nel passaggio 3 server di infrastruttura area, fare clic su Configura.
Nella configurazione guidata Server di infrastruttura, nel Server dei percorsi di rete pagina, fare clic sull'opzione che corrisponde al percorso del server dei percorsi di rete nella distribuzione. Se il server dei percorsi di rete è in un server web remoto, immettere l'URL e fare clic su convalida prima di continuare. Se il server dei percorsi di rete nel server di accesso remoto, fare clic su Sfoglia per individuare il certificato rilevante e quindi fare clic su Avanti.
Nel DNS pagina, nella tabella, immettere eventuali suffissi di nomi aggiuntivi che verranno applicate come esenzioni criteri tabella (Risoluzione dei nomi). Selezionare un'opzione di risoluzione del nome locale e quindi fare clic su Avanti.
Nel elenco ricerca suffissi DNS pagina, il server di accesso remoto rileva automaticamente eventuali suffissi di dominio nella distribuzione. Utilizzare il Aggiungi e rimuovere pulsanti per aggiungere e rimuovere i suffissi di dominio dall'elenco dei suffissi di dominio da utilizzare. Per aggiungere un nuovo suffisso di dominio, in nuovo suffisso, immettere il suffisso e quindi fare clic su Aggiungi. Fare clic su Avanti.
Nel Management pagina, aggiungere i server di gestione che non vengono rilevati automaticamente, e quindi fare clic su Avanti. Accesso remoto aggiunge automaticamente i controller di dominio e i server di Configuration Manager.
Nota
Sebbene i server vengono aggiunti automaticamente, perciò non appaiono nell'elenco. Dopo aver applicato la configurazione la prima volta, i server di Configuration Manager verranno visualizzati nell'elenco.
Fare clic su Fine.
2.6. Configurare i server applicazioni
In una distribuzione di Accesso remoto, la configurazione dei server applicazioni è un'attività facoltativa. Accesso remoto consente di richiedere l'autenticazione per i server applicazioni selezionati, determinati in base all'inclusione in un gruppo di sicurezza dei server applicazioni. Per impostazione predefinita, anche il traffico verso i server applicazioni che richiedono l'autenticazione è crittografato. Tuttavia, è possibile scegliere di non crittografarlo e di usare solo l'autenticazione.
Nota
L'autenticazione senza crittografia è supportata solo nei server applicazioni in esecuzione Windows Server 2012 R2, Windows Server 2012 o Windows Server 2008 R2.
Per configurare i server applicazioni
Nel riquadro centrale della console di gestione accesso remoto, nel passaggio 4 server applicazioni area, fare clic su Configura.
Nella configurazione guidata Server applicazioni DirectAccess, per richiedere l'autenticazione ai server applicazioni selezionati, fare clic su Estendi autenticazione ai server applicazioni selezionati. Fare clic su Aggiungi per selezionare il gruppo di sicurezza del server applicazioni.
Per limitare l'accesso ai server nel gruppo di sicurezza di applicazioni server, selezionare il consentire l'accesso solo ai server inclusi nei gruppi di sicurezza casella di controllo.
Per utilizzare l'autenticazione senza crittografia, selezionare il non crittografare il traffico. Usa solo autenticazione casella di controllo.
Fare clic su Fine.
2.7. Riepilogo della configurazione e oggetti Criteri di gruppo alternativi
Al termine, la configurazione di accesso remoto di revisione di accesso remoto viene visualizzato. È possibile controllare tutte le impostazioni selezionate in precedenza, incluse:
Impostazioni di GPO: nome oggetto Criteri di gruppo di DirectAccess e il nome oggetto Criteri di gruppo sono elencati. Inoltre, è possibile fare clic il Modifica collegamento accanto al Impostazioni oggetto Criteri di gruppo sull'intestazione per modificare le impostazioni di GPO.
I client remoti: DirectAccess la configurazione del client viene visualizzata, incluso il gruppo di sicurezza, forzare lo stato del tunneling, strumenti di verifica della connettività e nome della connessione DirectAccess.
Server di accesso remoto: configurazione di DirectAccess verrà visualizzate con il nome/indirizzo pubblico, configurazione scheda di rete, informazioni sul certificato e informazioni OTP se configurato.
Server di infrastruttura: questo elenco include l'URL del server, percorso rete suffissi DNS utilizzate dal client DirectAccess e informazioni sul server di gestione.
Server applicazioni: viene visualizzato lo stato di gestione remota di DirectAccess, oltre allo stato dell'autenticazione end-to-end per specifici server applicazioni.
2.8. Come configurare il server di Accesso remoto con Windows PowerShell
Comandi equivalenti di Windows PowerShell
Il cmdlet o i cmdlet di Windows PowerShell seguenti eseguono la stessa funzione della procedura precedente. Immettere ogni cmdlet in una singola riga, anche se qui può sembrare che siano divisi su più righe a causa di vincoli di formattazione.
Per eseguire un'installazione completa in una topologia perimetrale di accesso remoto per DirectAccess solo in un dominio con la radice corp.contoso.com e utilizzando i seguenti parametri: oggetto Criteri di gruppo: impostazioni Server DirectAccess, oggetto Criteri di gruppo: impostazioni dei Client DirectAccess, scheda di rete interna: Corpnet, scheda di rete esterno: Internet, indirizzo Connectto: edge1. contoso.com, e server dei percorsi di rete: NLS:
Install-RemoteAccess -Force -PassThru -ServerGpoName 'corp.contoso.com\DirectAccess Server Settings' -ClientGpoName 'corp.contoso.com\DirectAccess Client Settings' -DAInstallType 'FullInstall' -InternetInterface 'Internet' -InternalInterface 'Corpnet' -ConnectToAddress 'edge1.contoso.com' -NlsUrl 'https://nls.corp.contoso.com/'
Per configurare il server di Accesso remoto per usare l'autenticazione del certificato computer con un certificato radice IPsec emesso dall'autorità di certificazione CORP-APP1-CA:
$certs = Get-ChildItem Cert:\LocalMachine\Root
$IPsecRootCert = $certs | Where-Object {$_.Subject -Match "corp-APP1-CA"}
Set-DAServer -IPsecRootCertificate $IPsecRootCert
Per aggiungere il gruppo di sicurezza che contiene il client DirectAccess DirectAccessClients, e per rimuovere il gruppo di sicurezza computer del dominio predefinito:
Add-DAClient -SecurityGroupNameList @('corp.contoso.com\DirectAccessClients')
Remove-DAClient -SecurityGroupNameList @('corp.contoso.com\Domain Computers')
Per abilitare l'accesso remoto per tutti i computer (non solo notebook e laptop) e per consentire ai client di accesso remoto per Windows 7:
Set-DAClient -OnlyRemoteComputers 'Disabled' -Downlevel 'Enabled'
Per configurare l'esperienza client DirectAccess, inclusi il nome di connessione descrittivo e l'URL del probe Web:
Set-DAClientExperienceConfiguration -FriendlyName 'Contoso DirectAccess Connection' -PreferLocalNamesAllowed $False -PolicyStore 'corp.contoso.com\DirectAccess Client Settings' -CorporateResources @('HTTP:https://directaccess-WebProbeHost.corp.contoso.com')