Informazioni sui modelli di distribuzione di DirectAccess

Il modello di accesso end-to-edge consente ai client DirectAccess di connettersi a tutte le risorse di una rete interna, ma non utilizza IPsec per proteggere la comunicazione end-to-end con i server della rete interna. I criteri di tunnel basati su IPsec richiedono l'autenticazione e la crittografia e le sessioni IPsec terminano per impostazione predefinita al server DirectAccess. Questo modello di accesso funziona con i server di rete che eseguono Windows Server 2003 che non supportano la protezione IPsec basata su criteri del traffico IPv6.

In aggiunta alla crittografia del traffico tra il server e il client DirectAccess su Internet, il modello di accesso end-to-end per server selezionati garantisce che le comunicazioni tra il client DirectAccess e i server della rete interna vengano autenticate e protette. Ciò consente al client DirectAccess di confermare che la comunicazione si sta svolgendo con i server previsti.

Per questo modello di accesso è inoltre possibile specificare l'autenticazione senza protezione, che utilizza la nuova opzione dei criteri IPsec Solo autenticazione (incapsulamento NULL) disponibile in Windows 7 e Windows Server 2008 R2. L'autenticazione senza protezione richiede che il client DirectAccess e la risorsa della rete interna eseguano l'autenticazione peer IPsec, ma i successivi pacchetti di dati scambiati non sono protetti con un'intestazione IPsec. Questa opzione potrebbe essere necessaria per le reti contenenti dispositivi per l'elaborazione o l'inoltro di pacchetti che non sono in grado di analizzare o inoltrare il traffico protetto con IPsec.

Nello scenario con server singolo, tutti i componenti di DirectAccess sono ospitati nello stesso computer server. Il vantaggio di questo scenario risiede nella distribuzione relativamente semplice, che richiede un solo server DirectAccess. I limiti di questo scenario sono un singolo punto di errore e i colli di bottiglia nelle prestazioni del server, che possono limitare il numero massimo di connessioni DirectAccess simultanee. La procedura guidata per la configurazione di DirectAccess consente di impostare lo scenario con server singolo.

Se la disponibilità elevata è una priorità, l'utilizzo di più server può ridurre il tempo di interruzione della rete a circa due minuti. Per ottenere questo risultato, è necessaria una distribuzione con almeno quattro server. Un cluster di Bilanciamento carico della rete configurato con due server fornisce la connettività IPv6 ai client DirectAccess su Internet. Due server offrono le funzioni di terminazione e failover delle sessioni IPsec. In caso di errore di un server, il servizio viene ripristinato perché la connessione viene reindirizzata attraverso un server operativo.

Per ulteriori informazioni sul modello di scalabilità con più server e sulla configurazione dei componenti di DirectAccess in server diversi, vedere la home page di DirectAccess nel sito Web Microsoft Technet all'indirizzo https://go.microsoft.com/fwlink/?LinkId=142598.