Passaggio 2 Configurare le DirectAccess-VPN Server

  • 08/07/2020
  • 5 minuti a leggere
    • J
    • e
    • j
    • n
    • m
    • +2

si Applica A: Windows Server (Semi-Annuale Canale), Windows Server 2016

in Questo argomento viene descritto come configurare il client e il server le impostazioni necessarie per una base di Accesso Remoto di distribuzione utilizzando l’Abilitazione DirectAccess Guidata.

La seguente tabella fornisce una panoramica dei passaggi che è possibile completare utilizzando questo argomento.

Attività Descrizione
Configurare i client DirectAccess Configurare il server di Accesso Remoto con i gruppi di protezione contenente i client DirectAccess.
Configurare la topologia di rete Configurare le impostazioni del server di accesso remoto.
Configurare l’elenco di ricerca dei suffissi DNS Modificare l’elenco di ricerca dei suffissi se lo si desidera.
Configurazione GPO Modificare i GPO se lo si desidera.

Per avviare la procedura guidata Abilita DirectAcces

  1. In Gestione server, fare clic su Strumenti, quindi su Accesso remoto.La procedura guidata Abilita accesso diretto si avvia automaticamente a meno che non sia stato selezionato Non mostrare più questa schermata.

  2. Se la procedura guidata non si avvia automaticamente, fare clic con il pulsante destro del mouse sul nodo server nell’albero di routing e accesso remoto, quindi fare clic su Abilita DirectAccess.

  3. Fare clic su Avanti.

Configurare i client DirectAccess

Per il provisioning di un computer client per utilizzare DirectAccess, deve appartenere al gruppo di sicurezza selezionato. Dopo la configurazione di DirectAccess, i computer client del gruppo di sicurezza vengono sottoposti a provisioning per ricevere i criteri di gruppo DirectAccess.

  1. Nella pagina Seleziona gruppi, fare clic su Aggiungi.

  2. Nella finestra di dialogo Seleziona gruppi, selezionare i gruppi di sicurezza contenenti computer client DirectAccess.

  3. Selezionare la casella di controllo Abilita DirectAccess solo per computer mobili per consentire solo ai computer mobili di accedere alla rete interna.

  4. Selezionare la casella di controllo Usa forza tunneling per instradare tutto il traffico client (alla rete interna e a Internet) attraverso il server di accesso remoto.

  5. Fare clic su Avanti.

Configurare la Topologia di Rete

Per implementare l’Accesso Remoto, è necessario configurare il server di Accesso Remoto con il corretto schede di rete, un URL pubblico per il server di Accesso Remoto a cui i computer client possono connettersi connettersi all’indirizzo), e un certificato IP-HTTPS cui l’oggetto corrisponde la connessione a indirizzo.

  1. Nella pagina Topologia di rete, fare clic sulla topologia di distribuzione che verrà utilizzata nell’organizzazione. In Digitare il nome pubblico o l’indirizzo IPv4 utilizzato dai client per connettersi al server di accesso remoto, immettere il nome pubblico per la distribuzione (questo nome corrisponde al nome dell’oggetto del certificato IP-HTTPS, ad esempio, edge1.contoso.com), quindi fare clic su Avanti.

Configurare l’elenco di ricerca dei suffissi DNS

Per i client DNS, è possibile configurare un elenco di ricerca dei suffissi di dominio DNS che estende o rivede le loro capacità di ricerca DNS. Aggiungendo suffissi aggiuntivi all’elenco, è possibile cercare nomi di computer brevi e non qualificati in più di un dominio DNS specificato. Quindi, se una query DNS non riesce, il servizio client DNS può utilizzare questo elenco per aggiungere altre terminazioni di suffissi nome al nome originale e ripetere le query DNS al server DNS per questi FQDN alternativi.

  1. Selezionare Configura client DirectAccess con elenco di ricerca dei suffissi client DNS per specificare suffissi aggiuntivi per le ricerche dei nomi client.

  2. Digitare un nuovo nome suffisso in Nuovo suffisso e quindi fare clic su Aggiungi. Inoltre, è possibile modificare l’ordine di ricerca e rimuovere i suffissi dai suffissi di dominio da utilizzare.

In uno scenario di spazio nomi disgiunti (in cui uno o più computer di dominio hanno un suffisso DNS che non corrisponde al dominio Active Directory a cui appartengono i computer), è necessario assicurarsi che l’elenco di ricerca sia personalizzato per includere tutti i suffissi richiesti. La procedura guidata di accesso remoto configurerà di default il nome DNS di Active Directory come suffisso DNS primario sul client. L’amministratore deve assicurarsi di aggiungere il suffisso DNS utilizzato dai client per la risoluzione dei nomi.

Per computer e server, il seguente comportamento di ricerca DNS predefinito viene predeterminato e utilizzato per completare e risolvere nomi brevi e non qualificati.Quando l’elenco di ricerca dei suffissi è vuoto o non specificato, il suffisso DNS primario del computer viene aggiunto a nomi brevi non qualificati e viene utilizzata una query DNS per risolvere l’FQDN risultante.

Se questa query non riesce, il computer può provare ulteriori query per FQDN alternativi aggiungendo qualsiasi suffisso DNS specifico della connessione configurato per le connessioni di rete.Se non sono configurati suffissi specifici della connessione o le query per questi FQDN specifici della connessione risultanti non riescono, il client può quindi iniziare a riprovare le query in base alla riduzione sistematica del suffisso primario (noto anche come devoluzione).

Ad esempio, se il suffisso primario è “example.microsoft.com,” il processo di devoluzione può riprovare le query per il nome breve cercandolo nel “microsoft.com” e ” com ” domini.

Quando l’elenco di ricerca dei suffissi non è vuoto e ha specificato almeno un suffisso DNS, i tentativi di qualificare e risolvere i nomi DNS brevi sono limitati alla ricerca solo degli FQDN resi possibili dall’elenco dei suffissi specificato.

Se le query per tutti gli FQDN formati come risultato dell’aggiunta e del tentativo di ciascun suffisso nell’elenco non vengono risolte, il processo di query fallisce, producendo un risultato “nome non trovato”.

Avviso

Se viene utilizzato l’elenco dei suffissi di dominio, i client continuano a inviare ulteriori query alternative basate su nomi di dominio DNS diversi quando una query non viene risolta o risolta. Una volta risolto un nome utilizzando una voce nell’elenco dei suffissi, le voci dell’elenco non utilizzate non vengono provate. Per questo motivo, è più efficiente ordinare prima l’elenco con i suffissi di dominio più utilizzati.

Le ricerche del suffisso del nome di dominio vengono utilizzate solo quando una voce di nome DNS non è completamente qualificata. Per qualificare completamente un nome DNS, un periodo finale (.) viene inserito alla fine del nome.

Configurazione GPO

Quando si configura l’accesso remoto, le impostazioni di DirectAccess vengono raccolte in Oggetti Criteri di gruppo (GPO).

Nelle Impostazioni GPO, vengono elencati il nome GPO del server DirectAccess e il nome GPO del client. Inoltre, è possibile modificare le impostazioni di selezione GPO.

Due GPO vengono popolati automaticamente con le impostazioni DirectAccess e distribuiti in questo modo:

  1. DirectAccess cliente GPO. Questo GPO contiene le impostazioni del client, incluse le impostazioni della tecnologia di transizione IPv6, le voci PRNPT e Windows Firewall con le regole di sicurezza avanzate della connessione di sicurezza. Il GPO viene applicato ai gruppi di sicurezza specificati per i computer client.

  2. GPO del server di accesso diretto. Questo GPO contiene le impostazioni di configurazione DirectAccess applicate a qualsiasi server configurato come server di accesso remoto nella distribuzione. Esso contiene anche Windows Firewall con avanzate regole di sicurezza di connessione di sicurezza.

Una volta completata la configurazione di accesso remoto, viene visualizzato il Riepilogo. È possibile modificare le impostazioni configurate o fare clic su Fine per applicare la configurazione.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato.