In questo passaggio della procedura guidata per la configurazione di DirectAccess (passaggio 3) vengono configurate le impostazioni per i server di infrastruttura. Per la configurazione iniziale delle impostazioni del server DirectAccess nello snap-in DirectAccess, espandere il nodo DirectAccess, fare clic sul nodo Configurazione e quindi su Configura nel passaggio 3. Non è possibile fare clic su Configura nel passaggio 3 finché non è stata completata la configurazione nel passaggio 2. Per modificare le impostazioni dei server di infrastruttura, fare clic su Modifica nel passaggio 3.

Prima di eseguire il passaggio 3, determinare quanto segue:

  • Se un server Web della rete interna a disponibilità elevata può operare come server dei percorsi di rete DirectAccess e un URL (Uniform Resource Locator) basato su HTTPS è disponibile in quel server Web. Questo elemento è facoltativo, ma consigliato.

  • L'insieme di spazi dei nomi DNS (Domain Name System) che corrisponde alle risorse della rete interna, ad esempio contoso.com.

  • Gli indirizzi IPv4 (protocollo Internet versione 4) o IPv6 (protocollo Internet versione 6) dei server DNS della rete interna che si desidera rispondano alle query di nomi per i client DirectAccess.

  • I nomi host, gli indirizzi IPv4 o gli indirizzi IPv6 dei server di gestione nella rete interna che si desidera avviino le comunicazioni con i client DirectAccess. I server di gestione possono includere i server che distribuiscono gli aggiornamenti o eseguono inventari software o hardware.

Quando si fa clic su Configura o Modifica nel passaggio 3, sono disponibili pagine della procedura guidata per configurare il server dei percorsi di rete, DNS e controller di dominio, nonché i server di gestione.

Posizione

Nella pagina Posizione si specifica il server dei percorsi di rete, ovvero un server utilizzato dal client DirectAccess per determinare se si trova nella rete interna o su Internet. Se il client DirectAccess può raggiungere il server dei percorsi di rete e accedere a una pagina Web specificata, il client DirectAccess ne deduce che si trova nella rete interna e la funzionalità DirectAccess non è utilizzata.

È possibile specificare se la funzione del server dei percorsi di rete si trova nel server DirectAccess o in un altro server della rete interna.

  • Se la funzione del server dei percorsi di rete non si trova nel server DirectAccess (impostazione consigliata), è necessario digitare l'URL basato su HTTPS di una pagina Web in quel server.

  • Se la funzione del server dei percorsi di rete si trova nel server DirectAccess, è necessario specificare il certificato utilizzato per l'autenticazione delle connessioni basate su HTTPS tra i client DirectAccess e il server DirectAccess.

In entrambi i casi, il server dei percorsi di rete deve essere a disponibilità elevata e rappresenta un elemento critico dell'infrastruttura DirectAccess. Se non è possibile raggiungere il server dei percorsi di rete nella rete interna, i client DirectAccess attiveranno la funzionalità DirectAccess mentre si trovano nella rete interna, fatto che può pregiudicare la capacità di raggiungere le risorse della rete interna.

DNS e controller di dominio

Nella pagina DNS e controller di dominio si configura la tabella dei criteri di risoluzione dei nomi e il comportamento di risoluzione dei nomi dei client DirectAccess.

Tabella dei criteri di risoluzione dei nomi

Si tratta di una tabella utilizzata dai client DirectAccess per determinare dove inviare le richieste di nomi DNS. Le voci sono composte da un nome di dominio DNS che può rappresentare il nome di dominio completo (FQDN) di un computer specifico (ad esempio emailsrv21.europe.contoso.com) o una parte dello spazio dei nomi DNS (ad esempio contoso.com) e un insieme di indirizzi corrispondente per i server DNS che servono il nome di dominio completo o lo spazio dei nomi. Se non viene specificato alcun indirizzo di server DNS, si tratta di una voce di esenzione. Se un nome DNS corrisponde a una voce nella tabella dei criteri di risoluzione dei nomi contenente gli indirizzi dei server DNS, il client DirectAccess invia la query del nome ai server DNS specificati della rete interna. Se un nome DNS corrisponde a una voce nella tabella dei criteri di risoluzione dei nomi che non contiene gli indirizzi dei server DNS oppure non corrisponde ad alcuna voce, il client DirectAccess invia la query del nome a un server DNS connesso a Internet.

La tabella dei criteri di risoluzione dei nomi potrebbe contenere una voce esistente basata sul suffisso DNS e sulla configurazione del server DNS del server DirectAccess. La tabella dei criteri di risoluzione dei nomi potrebbe inoltre contenere una voce di esenzione corrispondente al server dei percorsi di rete. Questa voce viene aggiunta in modo che i client DirectAccess che si trovano su Internet non tentino mai di risolvere il nome del server dei percorsi di rete utilizzando un server DNS della rete interna.

Per aggiungere più voci, fare clic con il pulsante destro del mouse su una riga vuota e scegliere Nuovo. In alternativa fare doppio clic su una riga vuota. Nella finestra di dialogo Informazioni accesso spazio dei nomi digitare il suffisso DNS e specificare l'insieme di indirizzi IPv4 o IPv6 per i server DNS della rete interna in grado di risolvere i nomi che terminano con il suffisso DNS. Dopo aver specificato gli indirizzi IPv4 o IPv6, fare clic su Convalida per verificare se i server DNS sono in esecuzione e raggiungibili dal server DirectAccess.

Per modificare una voce nella tabella dei criteri di risoluzione dei nomi, fare clic con il pulsante destro del mouse sulla voce e scegliere Modifica. In alternativa fare doppio clic sulla riga esistente. Per eliminare una voce dalla tabella dei criteri di risoluzione dei nomi, fare clic con il pulsante destro del mouse sulla voce e scegliere Elimina.

Comportamento di risoluzione dei nomi

Nella pagina DNS e controller di dominio è inoltre possibile specificare il comportamento di risoluzione dei nomi locali dei client DirectAccess. La risoluzione dei nomi locali utilizza tecniche di risoluzione dei nomi che non includono il controllo delle voci nella cache del resolver DNS e l'esecuzione di query nei server DNS della rete interna. Tali tecniche includono l'utilizzo di server DNS connessi a Internet e l'esecuzione di query nella subnet locale.

Sono disponibili tre opzioni:

  • Utilizzare la risoluzione dei nomi locali solo se secondo i server DNS della rete interna il nome non esiste.

    Questa è l'opzione più sicura, perché il client DirectAccess invierà solo query DNS ai server DNS connessi a Internet relative a nomi di server che non possono essere risolti.

  • Utilizzare la risoluzione dei nomi locali se i server DNS della rete locale determinano che il nome non esiste o se tali server non sono raggiungibili e il computer client DirectAccess si trova in una rete privata.

    Questa opzione è consigliata, perché consente la risoluzione dei nomi in una rete interna separata.

  • Utilizzare la risoluzione dei nomi locali se si verifica qualunque tipo di errore durante il tentativo di risolvere il nome utilizzando i server DNS della rete interna.

    Questa è l'opzione meno sicura, perché i nomi dei server della rete interna che il client DirectAccess sta tentando di risolvere possono essere inviati esternamente ai server DNS connessi a Internet, consentendo attacchi eavesdropping tra il client DirectAccess e il server DNS connesso a Internet per determinare i nomi dei server della rete interna.

Gestione

Nella pagina Gestione si configura l'elenco di indirizzi IPv4 o IPv6 dei server della rete interna che si desidera avviino comunicazioni con i client DirectAccess. Questi server sono in genere server di gestione che contattano i computer client DirectAccess per eseguire operazioni di gestione, quali la valutazione dell'inventario software o hardware oppure l'installazione degli aggiornamenti. Solo i client DirectAccess che sono membri dei gruppi di sicurezza specificati nel passaggio 1 della procedura guidata per la configurazione di DirectAccess possono essere contattati dai server di gestione specificati nella pagina Gestione.

Per aggiungere un server di gestione, fare clic con il pulsante destro del mouse su una riga vuota e scegliere Nuovo. In alternativa fare doppio clic su una riga vuota. Nella finestra di dialogo Indirizzo IPv4 o Indirizzo/Prefisso IPv6 è possibile ottenere un indirizzo IPv4 o IPv6 dal nome host del server o digitarlo manualmente:

  • Per ottenere un indirizzo IPv4 o IPv6 dal nome host, selezionare Nome host del computer specifico e quindi digitare il nome del server. Fare clic su Controlla nome per risolvere il nome negli indirizzi registrati. Fare clic su uno degli indirizzi e quindi su OK.

  • Per specificare manualmente un indirizzo IPv4, selezionare Indirizzo IPv4 nella finestra di dialogo Indirizzo IPv4 e quindi digitare l'indirizzo. Al termine fare clic su OK.

  • Per specificare manualmente un indirizzo o un prefisso IPv6, selezionare Indirizzo IPv6 o prefisso IPv6 nella finestra di dialogo Indirizzo/Prefisso IPv6 e quindi digitare l'indirizzo o il prefisso. Al termine fare clic su OK.

Per modificare un indirizzo IPv4 oppure un indirizzo o un prefisso IPv6 nell'elenco, fare clic con il pulsante destro del mouse sulla voce e quindi scegliere Modifica. Per eliminare una voce, fare clic con il pulsante destro del mouse sulla voce e quindi scegliere Elimina.

Ulteriori riferimenti