In questo argomento vengono fornite informazioni sui componenti di una distribuzione DirectAccess, sui metodi di connettività dei client DirectAccess, sulla configurazione del firewall per il traffico DirectAccess e sull'integrazione con le smart card.
Componenti di DirectAccess
Una distribuzione DirectAccess include i componenti seguenti:
- Client DirectAccess
- Almeno un server DirectAccess
- Un dominio di Servizi di dominio Active Directory®
- Un'infrastruttura a chiave pubblica (PKI)
- Un server dei percorsi di rete
- Una rete interna e applicazioni che supportino il protocollo Internet versione 6 (IPv6) o dispositivi NAT-PT (Network Address Translation-Port Translation)
Client DirectAccess
Un client DirectAccess è un computer che esegue Windows 7 o Windows Server 2008 R2, fa parte di un dominio di Servizi di dominio Active Directory e utilizza IPv6 e la sicurezza del protocollo Internet (IPsec) per avviare e gestire automaticamente la connettività remota verso una rete interna da Internet.
I computer che non fanno parte di un dominio di Servizi di dominio Active Directory o i computer che eseguono Microsoft Windows Vista o versioni precedenti di Windows non supportano DirectAccess.
Almeno un server DirectAccess
Un server DirectAccess è un computer che esegue Windows Server 2008 R2, fa parte di un dominio di Servizi di dominio Active Directory e utilizza IPv6 e IPsec per rispondere ai client DirectAccess su Internet e connetterli in modo trasparente alla rete interna.
I computer che non fanno parte di un dominio di Active Directory o i computer che eseguono Windows Server 2008 o versioni precedenti di Windows Server non supportano la funzionalità server DirectAccess.
Per installare DirectAccess, vedere Installare DirectAccess.
Non ospitare altre funzioni primarie nei server DirectAccess. I server DirectAccess dovrebbero essere dedicati a DirectAccess. A seconda dei requisiti di distribuzione e scalabilità, potrebbe essere necessario più di un server DirectAccess o utilizzare la configurazione manuale per separare le funzioni DirectAccess tra più server. Per ulteriori informazioni sulle distribuzioni con più server, vedere la home page di DirectAccess nel sito Web Microsoft Technet all'indirizzo
Per ulteriori informazioni sui requisiti del server DirectAccess, vedere Elenco di controllo: prima di configurare DirectAccess.
Un dominio di Servizi di dominio Active Directory
DirectAccess dipende da Servizi di dominio Active Directory per le credenziali di autenticazione, la registrazione automatica dei certificati del computer e la configurazione centralizzata basata su Criteri di gruppo di IPsec, IPv6 e altre impostazioni. I client e i server DirectAccess devono essere membri di un dominio di Servizi di dominio Active Directory.
PKI
DirectAccess dipende dai certificati del computer emessi da un'Autorità di certificazione di Servizi certificati Active Directory per l'autenticazione delle sessioni IPsec e delle connessioni basate su IP-HTTPS.
Un server dei percorsi di rete
Un server dei percorsi di rete è un server della rete interna che ospita un Uniform Resource Locator (URL) basato su HTTPS. I client DirectAccess accedono all'URL per determinare se si trovano sulla rete interna. Il server DirectAccess può essere il server dei percorsi di rete, ma è consigliabile utilizzare un server Web a disponibilità elevata. Il server Web non deve necessariamente essere un server dei percorsi di rete dedicato.
Rete interna e applicazioni che supportano IPv6 o un dispositivo NAT-PT
I client DirectAccess utilizzano esclusivamente IPv6 per accedere alle risorse della rete interna, pertanto possono comunicare solo con server e risorse della rete interna raggiungibili tramite IPv6. Esistono tre modi per ottenere la connettività IPv6 verso una rete interna:
- Configurare l'infrastruttura di routing della rete interna in modo che supporti IPv6 nativo. I server e le applicazioni della rete interna che supportano IPv6 saranno quindi raggiungibili. I computer che eseguono Windows 7, Windows Server 2008 R2, Microsoft Windows Vista o Windows Server 2008 sono configurati per utilizzare IPv6 per impostazione predefinita.
- Distribuire il protocollo ISATAP (Intra-Site Automatic Tunnel Addressing Protocol) nella rete interna. Utilizzando ISATAP, i server e le applicazioni della rete interna che supportano IPv6 possono effettuare il tunneling del traffico IPv6 sulla rete interna che supporta solo IPv4. I computer che eseguono Windows 7, Windows Server 2008 R2, Microsoft Windows Vista o Windows Server 2008 supportano la funzionalità host ISATAP. ISATAP consente a questi computer di utilizzare IPv6 senza richiedere il routing IPv6 nativo. Il server DirectAccess si configura automaticamente come router ISATAP in assenza di connettività IPv6 nella rete interna.
- Utilizzare un dispositivo NAT-TP (Network Address Translation-Protocol Translation) per convertire il traffico tra i client DirectAccess che utilizzano IPv6 e server e applicazioni che possono utilizzare solo IPv4. Windows Server 2008 R2 non offre la funzionalità NAT-PT. I dispositivi NAT-PT sono in genere disponibili presso i fornitori di router e commutatori di livello 2 e 3. Vedere la documentazione del commutatore e del router per informazioni sulle funzionalità e la configurazione di NAT-PT.
Metodi di connettività dei client DirectAccess
Nella tabella seguente sono elencate configurazioni possibili dei client DirectAccess e il metodo corrispondente per inviare il traffico IPv6 al server DirectAccess.
Configurazione client | Metodo di connettività preferito |
---|---|
Assegnato un indirizzo IPv6 globale | Indirizzo IPv6 globale |
Assegnato un indirizzo IPv4 pubblico (indirizzo non incluso negli intervalli 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) | 6to4, una tecnologia di transizione IPv6 che offre connettività IPv6 attraverso Internet IPv4 per gli host o i siti che hanno un indirizzo IPv4 pubblico. |
Assegnato un indirizzo IPv4 privato (indirizzo incluso negli intervalli 10.0.0.0/8, 172.16.0.0/12 e 192.168.0.0/16) | Teredo, una tecnologia di transizione IPv6 che offre connettività IPv6 attraverso Internet IPv4 per gli host a cui viene assegnato un indirizzo IPv4 privato e che si trovano dietro un dispositivo NAT IPv4 che non supporta la funzionalità del router 6to4. |
Il client non può connettersi tramite 6to4 o Teredo | IP-HTTPS, un nuovo protocollo per Windows 7 e Windows Server 2008 R2 che consente agli host dietro un server proxy Web o un firewall di stabilire la connettività effettuando il tunneling dei pacchetti IPv6 all'interno di una sessione HTTPS (Secure Hypertext Transfer Protocol) basata su IPv4. IP-HTTPS è in genere utilizzato solo se il client non può connettersi al server DirectAccess utilizzando gli altri metodi di connettività IPv6. |
Configurazione dei firewall per il traffico DirectAccess
I firewall esterni tra Internet e la rete perimetrale devono essere in grado di far passare i tipi di traffico seguenti da e verso il server DirectAccess:
- Per il traffico IPv6 nativo, il traffico ICMPv6 (Internet Control Message Protocol per IPv6) (protocollo IPv6 58) e il traffico ESP (Encapsulating Security Payload) IPsec (protocollo IPv6 50).
- Per il traffico 6to4, il traffico IPv4 che incapsula il traffico IPv6 (protocollo IPv4 41).
- Per il traffico Teredo, il traffico IPv4 con porta UDP (User Datagram Protocol) 3544.
- Per il traffico IP-HTTPS, il traffico IPv4 con porta TCP (Transmission Control Protocol) 443.
Ad esempio, le eccezioni nell'interfaccia Internet del firewall esterno saranno nel formato seguente:
Input filter: [Any] allowed inbound to [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port]
Output filter: [IPv4 address of Internet-facing adapter on DirectAccess server] for [IPv4 or IPv6] with [IPv4/IPv6 protocol number or UDP/TCP port] allowed outbound to [Any]
I firewall interni tra la rete perimetrale e la rete interna devono essere in grado di far passare i tipi di traffico seguenti da e verso il server DirectAccess:
- Per il traffico IPv6 nativo, tutti i tipi di traffico IPv6.
- Per il traffico ISATAP, il traffico IPv4 che incapsula il traffico IPv6 (protocollo IPv4 41).
- Per il traffico IPv4 e NAT-PT, tutto il traffico Authenticated IP/IKE (Internet Key Exchange) TCP, UDP e UDP 500.
Per consentire la connettività basata su Teredo, è necessario configurare e distribuire le seguenti regole Windows Firewall con sicurezza avanzata aggiuntive per tutti i computer membri del dominio dell'organizzazione:
- Messaggi di richiesta echo ICMPv6 in entrata (obbligatoria)
- Messaggi di richiesta echo ICMPv6 in uscita (consigliata)
Non utilizzare la regola in entrata Condivisione file e stampanti (Richiesta ECHO - ICMPv6 - In) o la regola in uscita Condivisione file e stampanti (Richiesta ECHO - ICMPv6 - Out) per questo scopo. Se si utilizzano queste regole predefinite, possono essere ignorate disattivando la condivisione di file e stampanti all'interno di un'organizzazione, determinando l'assenza della connettività basata su Teredo.
Il modo più semplice per distribuire queste impostazioni di Windows Firewall a tutti i computer membri dell'organizzazione è tramite l'oggetto Criteri di gruppo Dominio predefinito. Per ulteriori informazioni, vedere l'elenco di controllo per l'implementazione di un progetto per i criteri del firewall di base all'indirizzo
Regola 1: messaggi di richiesta echo ICMPv6 in entrata
Creare e attivare una regola in entrata personalizzata con le impostazioni seguenti:
- Tutti i programmi
- Tipo di protocollo ICMPv6 con il messaggio di richiesta echo
- Qualunque indirizzo IP locale e remoto
- Azione di assenso
- Tutti i profili (dominio, lavoro o pubblico)
Questa regola è obbligatoria.
Regola 2: messaggi di richiesta echo ICMPv6 in uscita
Creare e attivare una regola in uscita personalizzata con le impostazioni seguenti:
- Tutti i programmi
- Tipo di protocollo ICMPv6 con il messaggio di richiesta echo
- Qualunque indirizzo IP locale e remoto
- Azione di assenso
- Tutti i profili (dominio, lavoro o pubblico)
Questa regola è considerata una procedura consigliata a meno che non si utilizzi Windows Firewall per bloccare tutto il traffico in uscita, caso in cui la regola è obbligatoria.
Integrazione con le smart card
È possibile richiedere l'utilizzo di smart card quando i client DirectAccess effettuano una connessione al server DirectAccess. Gli utenti possono accedere ai propri computer e a Internet senza una smart card, ma devono utilizzare l'autenticazione smart card per accedere a qualunque risorsa della rete interna.
Risorse aggiuntive
Per informazioni sull'integrazione di DirectAccess con l'isolamento di domini e server e Protezione accesso alla rete, vedere la home page di DirectAccess nel sito Web Microsoft Technet all'indirizzo