Configurare DirectAccess in Windows Server EssentialsConfigure DirectAccess in Windows Server Essentials

Si applica a: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 EssentialsApplies To: Windows Server 2016 Essentials, Windows Server 2012 R2 Essentials, Windows Server 2012 Essentials

In questo argomento vengono fornite istruzioni dettagliate per la configurazione di DirectAccess in Windows Server Essentials per consentire alla forza lavoro mobile di connettersi alla rete dell'organizzazione da qualsiasi posizione remota dotata di Internet senza stabilire una connessione di rete privata virtuale (VPN).This topic provides step-by-step instructions for configuring DirectAccess in Windows Server Essentials to enable your mobile workforce to seamlessly connect to your organization's network from any Internet-equipped remote location without establishing a virtual private network (VPN) connection. DirectAccess offre agli utenti mobili la stessa esperienza di connettività in sede e fuori sede dai computer Windows 8.1, Windows 8 e Windows 7.DirectAccess can offer mobile workers the same connectivity experience inside and outside the office from their Windows 8.1, Windows 8, and Windows 7 computers.

In Windows Server Essentials, se il dominio contiene più di un server di Windows Server Essentials, DirectAccess deve essere configurato nel controller di dominio.In Windows Server Essentials, if the domain contains more than one Windows Server Essentials server, DirectAccess must be configured on the domain controller.

Nota

Questo argomento fornisce istruzioni per la configurazione di DirectAccess quando il server di Windows Server Essentials è il controller di dominio.This topic provides instructions for configuring DirectAccess when your Windows Server Essentials server is the domain controller. Se il server di Windows Server Essentials è un membro del dominio, seguire le istruzioni per configurare DirectAccess in un membro del dominio in aggiungere DirectAccess a una distribuzione di accesso remoto esistente (VPN) invece.If the Windows Server Essentials server is a domain member, follow the instructions to configure DirectAccess on a domain member in Add DirectAccess to an Existing Remote Access (VPN) Deployment instead.

Panoramica del processoProcess overview

Per configurare DirectAccess in Windows Server Essentials, completare i passaggi seguenti.To configure DirectAccess in Windows Server Essentials, complete the following steps.

Importante

Prima di usare le procedure descritte in questa guida per configurare DirectAccess in Windows Server Essentials, è necessario abilitare la VPN sul server.Before you use the procedures in this guide to configure DirectAccess in Windows Server Essentials, you must enable VPN on the server. Per istruzioni, vedere gestire la VPN.For instructions, see Manage VPN.

Nota

Appendice: Installare DirectAccess tramite Windows PowerShell fornisce uno script di Windows PowerShell che è possibile usare per eseguire la configurazione di DirectAccess.Appendix: Set up DirectAccess by using Windows PowerShell provides a Windows PowerShell script that you can use to perform the DirectAccess setup.

Passaggio 1: Aggiungere Strumenti di Gestione Accesso remoto al serverStep 1: Add Remote Access Management Tools to your server

Per aggiungere Strumenti di Gestione Accesso remotoTo add Remote Access Management Tools

  1. Sul server, nell'angolo inferiore sinistro della pagina iniziale fare clic sull'icona Server Manager.On the server, in the bottom left corner of the Start page, click the Server Manager icon.

    In Windows Server Essentials, è necessario cercare Server Manager per aprirlo.In Windows Server Essentials, you will need to search for Server Manager to open it. Nella pagina iniziale digitare Server Managere quindi fare clic su Server Manager nei risultati della ricerca.On the Start page, type Server Manager, and then click Server Manager in the search results. Per aggiungere Server Manager alla pagina iniziale, fare clic con il pulsante destro del mouse su Server Manager nei risultati della ricerca e scegliere Aggiungi a Start.To pin Server Manager to the Start page, right-click Server Manager in the search results, and click Pin to Start.

  2. Se viene visualizzato un messaggio di avviso relativo al Controllo dell'account utente , fare clic su .If a User Account Control warning message displays, click Yes.

  3. Nel dashboard di Server Manager fare clic su Gestione e quindi su Aggiungi ruoli e funzionalità.On the Server Manager Dashboard, click Manage, and then click Add Roles and Features.

  4. In Aggiunta guidata ruoli e funzionalità eseguire le operazioni seguenti:In the Add Roles and Features Wizard, do the following:

    1. Nella pagina Tipo di installazione fare clic su Installazione basata su ruoli o basata su funzionalità.On the Installation Type page, click Role-based or feature-based installation.

    2. Nel pagina di selezione del Server (o il Selezione server di destinazione pagina in Windows Server Essentials), fare clic su selezionare un server dal pool di server.On the Server Selection page (or the Select destination server page in Windows Server Essentials), click Select a server from the server pool.

    3. Nella pagina Funzionalità espandere Strumenti di amministrazione remota del server (installati) , espandere Strumenti di Gestione Accesso remoto (installati) , espandere Strumenti di amministrazione ruoli (installati) , espandere Strumenti di Gestione Accesso remoto e quindi selezionare Interfaccia utente grafica e strumenti da riga di comando di Accesso remoto.On the Features page, expand Remote Server Administration Tools (Installed), expand Remote Access Management Tools (Installed), expand Role Administration Tools (Installed), expand Remote Access Management Tools, and then select Remote Access GUI and Command-Line Tools.

    4. Seguire le istruzioni per completare la procedura guidata.Follow the instructions to complete the wizard.

Passaggio 2: Impostare l'indirizzo della scheda di rete del server su un indirizzo IP staticoStep 2: Change the network adapter address of the server to a static IP address

DirectAccess richiede una scheda con un indirizzo IP statico.DirectAccess requires an adapter with a static IP address. È quindi necessario modificare l'indirizzo IP per la scheda di rete locale del server.You need to change the IP address for the local network adapter on your server.

Per aggiungere un indirizzo IP staticoTo add a static IP address

  1. Nella pagina iniziale aprire il Pannello di controllo.On the Start page, open Control Panel.

  2. Fare clic su Rete e Internete quindi su Visualizza attività e stato della rete.Click Network and Internet, and then click View network status and tasks.

  3. Nel riquadro attività di Centro connessioni di rete e condivisionefare clic su Modifica impostazioni scheda.In the task pane of the Network and Sharing Center, click Change adapter settings.

  4. Fare clic con il pulsante destro del mouse sulla scheda di rete locale e quindi scegliere Proprietà.Right-click the local network adapter, and then click Properties.

  5. Nella scheda Rete fare clic su Protocollo Internet versione 4 (TCP/IPv4) e quindi su Proprietà.On the Networking tab, click Internet Protocol Version 4 (TCP/IPv4), and then click Properties.

  6. Nella scheda Generale fare clic su Utilizza il seguente indirizzo IPe quindi digitare l'indirizzo IP che si desidera utilizzare.On the General tab, click Use the following IP address, and then type the IP address that you want to use.

    Nella casella Subnet mask viene automaticamente visualizzato un valore predefinito per la subnet mask.A default value for subnet mask appears automatically in the Subnet mask box. Accettare il valore predefinito oppure digitare il valore della subnet mask che si desidera utilizzare.Accept the default value, or type the subnet mask value that you want to use.

  7. Nella casella Gateway predefinito digitare l'indirizzo IP del gateway predefinito.In the Default gateway box, type the IP address of your default gateway.

  8. Nella casella Server DNS preferito digitare l'indirizzo IP del server DNS in uso.In the Preferred DNS server box, type the IP address of your DNS server.

    Nota

    Usare l'indirizzo IP assegnato alla scheda di rete dal protocollo DHCP (ad esempio 192.168.X.X) invece di quello di una rete loopback (ad esempio 127.0.0.1).Use the IP address that is assigned to your network adapter by DHCP (for example, 192.168.X.X) instead of a loopback network (for example, 127.0.0.1). Per trovare l'indirizzo IP assegnato, eseguire ipconfig al prompt dei comandi.To find out the assigned IP address, run ipconfig at a command prompt.

  9. Nella casella Server DNS alternativo digitare l'indirizzo IP del server DNS alternativo, se disponibile.In the Alternate DNS Server box, type the IP address of your alternate DNS server, if any.

  10. Fare clic su OK e quindi fare clic su Chiudi.Click OK, and then click Close.

Importante

Accertarsi di configurare il router per l'inoltro delle porte 80 e 443 al nuovo indirizzo IP statico del server.Ensure that you configure the router to forward ports 80 and 443 to the new static IP address of the server.

Passaggio 3: Preparare un certificato e il record DNS per il server dei percorsi di reteStep 3: Prepare a certificate and DNS record for the network location server

Per preparare un certificato e il record DNS per il server dei percorsi di rete, eseguire le attività seguenti:To prepare a certificate and DNS record for the network location server, perform the following tasks:

Passaggio 3a: Concedere le autorizzazioni complete agli utenti autenticati per il modello di certificato del server WebStep 3a: Grant full permissions to Authenticated Users for the Web server's certificate template

La prima attività consiste nella concessione delle autorizzazioni complete per autenticare gli utenti per il modello di certificato del server Web nell'autorità di certificazione.Your first task is to grant full permissions to authenticate users for the Web server's certificate template in the certification authority.

Per concedere le autorizzazioni complete agli utenti autenticati per il modello di certificato del server WebTo grant full permissions to Authenticated Users for the Web server's certificate template

  1. Nella pagina iniziale aprire Autorità di certificazione.On the Start page, open Certification Authority.

  2. Nell'albero della console, sotto autorità di certificazione (locale) , espandere < nomeserver>-CA, fare doppio clic su modelli di certificato, quindi fare clic su Gestire.In the console tree, under Certification Authority (Local), expand <servername>-CA, right-click Certificate Templates, and then click Manage.

  3. In Autorità di certificazione (locale) fare clic con il pulsante destro del mouse su Server Webe quindi scegliere Proprietà.In Certification Authority (Local), right-click Web Server, and then click Properties.

  4. Nelle proprietà del server Web, nella scheda Sicurezza fare clic su Utenti autenticati, selezionare Controllo completoe quindi fare clic su OK.In Web Server properties, on the Security tab, click Authenticated Users, select Full Control, and then click OK.

  5. Riavviare Servizi certificati Active Directory.Restart Active Directory Certificate Services. Nel Panello di controllo aprire Visualizza servizi locali.In Control Panel, open View local services. Nell'elenco di servizi fare clic con il pulsante destro del mouse su Servizi certificati Active Directorye quindi scegliere Riavvia.In the list of services, right-click Active Directory Certificate Services, and then click Restart.

Passaggio 3b: Registrare un certificato per il server dei percorsi di rete con un nome comune non risolvibile dalla rete esternaStep 3b: Enroll a certificate for the network location server with a common name that is unresolvable from the external network

Registrare quindi un certificato per il server dei percorsi di rete con un nome comune non risolvibile dalla rete esterna.Next, enroll a certificate for the network location server with a common name that is unresolvable from the external network.

Per registrare un certificato per il server dei percorsi di reteTo enroll a certificate for the network location server

  1. Nella pagina iniziale aprire mmc (Microsoft Management Console).On the Start page, open mmc (the Microsoft Management Console).

  2. Se viene visualizzato un messaggio di avviso relativo al Controllo dell'account utente , fare clic su .If a User Account Control warning message appears, click Yes.

    Verrà aperto Microsoft Management Console (MMC).The Microsoft Management Console (MMC) opens.

  3. Nel menu File fare clic su Aggiungi/Rimuovi snap-in.On the File menu, click Add/Remove Snap-ins.

  4. Nella casella Aggiungi o rimuovi snap-in fare clic su Certificatie quindi fare clic su Aggiungi.In the Add or Remote Snap-ins box, click Certificates, and then click Add.

  5. Nella pagina Snap-in certificati fare clic su Account computer, quindi su Avanti.On the Certificates snap-in page, click Computer account, and then click Next.

  6. Nella pagina Selezione computer fare clic su Computer locale, fare clic su Finee quindi su OK.On the Select Computer page, click Local computer, click Finish, and then click OK.

  7. Nell'albero della console espandere Certificati (computer locale) , espandere Personale, fare clic con il pulsante destro del mouse su Certificatie quindi in Tutte le attivitàscegliere Richiedi nuovo certificato.In the console tree, expand Certificates (Local Computer), expand Personal, right-click Certificates, and then, in All Tasks, click Request New Certificate.

  8. Quando viene visualizzata la procedura guidata Registrazione certificato, fare clic su Avanti.When the Certificate Enrollment Wizard appears, click Next.

  9. Nella pagina Seleziona criteri di registrazione certificato fare clic su Avanti.On the Select Certificate Enrollment Policy page, click Next.

  10. Nella pagina Richiedi certificato selezionare la casella di controllo Server Web e quindi fare clic su Sono necessarie ulteriori informazioni per registrare il certificato.On the Request Certificates page, select the Web Server check box, and then click More information is required to enroll this certificate.

  11. Nella casella Proprietà certificato immettere le impostazioni seguenti per Nome soggetto:In the Certificate Properties box, enter the following settings for Subject Name:

    1. In Tipo selezionare Nome comune.For Type, select Common name.

    2. In Valoredigitare il nome del server dei percorsi di rete, ad esempio, DirectAccess-NLS.contoso.local, quindi fare clic su Aggiungi.For Value, type the name of the network location server (for example, DirectAccess-NLS.contoso.local), and then click Add.

    3. Fare clic su OK e quindi fare clic su Registrazione.Click OK, and then click Enroll.

  12. Una volta completata la registrazione certificato, fare clic su Fine.When certificate enrollment completes, click Finish.

Passaggio 3c: Aggiungere un nuovo host al server DNS e mapparlo all'indirizzo del server Windows Server EssentialsStep 3c: Add a new host on the DNS server and map it to the Windows Server Essentials server address

Per completare la configurazione del DNS, aggiungere un nuovo host al server DNS e mapparlo all'indirizzo del server Windows Server Essentials.To complete the DNS configuration, add a new host on the DNS server and map it to the Windows Server Essentials server address.

Eseguire il mapping di un nuovo host all'indirizzo del server Windows Server EssentialsTo map a new host to the Windows Server Essentials server address

  1. Nella pagina iniziale aprire Gestore DNS.On the Start page, open DNS Manager. Per aprire Gestore DNS, cercare dnsmgmt.msce quindi fare clic su dnsmgmt.msc nei risultati.To open DNS Manager, search for dnsmgmt.msc, and then click dnsmgmt.msc in the results.

  2. Nell'albero della console Gestore DNS, espandere il server locale, espandere zone di ricerca diretta, fare clic sulla zona con il suffisso del dominio del server e quindi fare clic su nuovo Host (A o AAAA) .In the DNS Manager console tree, expand the local server, expand Forward Lookup Zones, right-click the zone with server's domain suffix, and then click New Host (A or AAAA).

  3. Digitare il nome e l'indirizzo IP del server, ad esempio DirectAccess-NLS.contoso.local e l'indirizzo del server corrispondente, ad esempio 192.168.x.x.Type the name and IP address of the server (for example, DirectAccess-NLS.contoso.local) and its corresponding server address (for example, 192.168.x.x).

  4. Fare clic su Aggiungi host, fare clic su OK e quindi fare clic su Chiudi.Click Add Host, click OK, and then click Done.

Passaggio 4: Creare un gruppo di sicurezza per i computer client DirectAccessStep 4: Create a security group for DirectAccess client computers

Creare poi un gruppo di sicurezza da usare per i computer client DirectAccess e quindi aggiungere gli account computer al gruppo.Next, create a security group to use for DirectAccess client computers, and then add the computer accounts to the group.

Per aggiungere un gruppo di sicurezza per i computer client che usano DirectAccessTo add a security group for client computers that use DirectAccess

  1. Nel dashboard di Server Manager fare clic su Strumenti e quindi fare clic su Utenti e computer di Active Directory.On the Server Manager Dashboard, click Tools, and then click Active Directory Users and Computers.

    Nota

    Se Utenti e computer di Active Directory non è visibile nel menu Strumenti, è necessario installare la funzionalità.If you do not see Active Directory Users and Computers on the Tools menu, you need to install the feature. Per installare utenti e gruppi di Active Directory, eseguire il cmdlet di Windows PowerShell seguente come amministratore: Install-WindowsFeature RSAT-ADDS-Tools.To install Active Directory Users and Groups, run the following Windows PowerShell cmdlet as an administrator: Install-WindowsFeature RSAT-ADDS-Tools. Per altre informazioni, vedere Installare o rimuovere il pacchetto Strumenti di amministrazione remota del server.For more information, see Installing or Removing the Remote Server Administration Tool Pack.

  2. Nell'albero della console espandere il server, fare clic con il pulsante destro del mouse su Utenti, scegliere Nuovoe quindi Gruppo.In the console tree, expand the server, right-click Users, click New, and then click Group.

  3. Immettere il nome del gruppo, l'ambito del gruppo e il tipo di gruppo (creare un gruppo di sicurezza) e quindi fare clic su OK.Enter a group name, group scope, and group type (create a security group), and then click OK.

    Il nuovo gruppo di sicurezza viene aggiunto alla cartella Utenti.The new security group is added to the Users folder.

Per aggiungere gli account computer al gruppo di sicurezzaTo add computer accounts to the security group

  1. Nel dashboard di Server Manager fare clic su Strumenti e quindi fare clic su Utenti e computer di Active Directory.On the Server Manager Dashboard, click Tools, and then click Active Directory Users and Computers.

  2. Nell'albero della console espandere il server e quindi fare clic su Utenti.In the console tree, expand the server, and then click Users.

  3. Nell'elenco di account utente e di gruppi di sicurezza sul server fare clic con il pulsante destro del mouse sul gruppo di sicurezza creato per DirectAccess e quindi scegliere Proprietà.In the list of user accounts and security groups on the server, right-click the security group that you created for DirectAccess, and then click Properties.

  4. Nella scheda Membri fare clic su Aggiungi.On the Members tab, click Add.

  5. Nella finestra di dialogo digitare i nomi degli account computer da aggiungere al gruppo, separandoli con un punto e virgola (;).In the dialog box, type the names of the computer accounts that you want to add to the group, separating the names with a semicolon (;). Quindi fare clic su Controlla nomi.Then click Check Names.

  6. Una volta convalidati gli account computer, fare clic su OK.After the computer accounts are validated, click OK. Fare quindi ancora clic su OK.Then click OK again.

Nota

È anche possibile usare la scheda Membro di nelle proprietà dell'account computer per aggiungere l'account al gruppo di sicurezza.You can also use the Member of tab in the computer account properties to add the account to the security group.

Passaggio 5: Abilitare e configurare DirectAccessStep 5: Enable and configure DirectAccess

Per abilitare e configurare DirectAccess in Windows Server Essentials, è necessario completare i passaggi seguenti:To enable and configure DirectAccess in Windows Server Essentials, you must complete the following steps:

Passaggio 5a: Abilitare DirectAccess con la Console di gestione Accesso remotoStep 5a: Enable DirectAccess by using the Remote Access Management Console

In questa sezione vengono fornite istruzioni dettagliate per abilitare DirectAccess in Windows Server Essentials.This section provides step-by-step instructions to enable DirectAccess in Windows Server Essentials. Se la VPN sul server non è ancora stata configurata, è consigliabile farlo prima di iniziare questa procedura.If you have not configured VPN on the server yet, you should do that before you start this procedure. Per istruzioni, vedere gestire la VPN.For instructions, see Manage VPN.

Per abilitare DirectAccess con la Console di gestione Accesso remotoTo enable DirectAccess by using the Remote Access Management Console
  1. Nella pagina iniziale aprire Gestione accesso remoto.On the Start page, open Remote Access Management.

  2. Nell'Abilitazione guidata DirectAccess eseguire le operazioni seguenti:In the Enable DirectAccess Wizard, do the following:

    1. Rivedere Prerequisiti DirectAccess e fare clic su Avanti.Review DirectAccess Prerequisites, and click Next.

    2. Nella scheda Seleziona gruppi aggiungere il gruppo di sicurezza creato in precedenza per i client DirectAccess.On the Select Groups tab, add the security group that you created earlier for DirectAccess clients. (Se non è stato creato il gruppo di sicurezza, vedere passaggio 4: Crea un gruppo di sicurezza per client DirectAccess a computer per le istruzioni.)(If you have not created the security group, see Step 4: Create a security group for DirectAccess client computers for instructions.)

    3. Sulla scheda Seleziona gruppi fare clic su Abilita DirectAccess solo per computer mobili se si desidera abilitare i computer mobili per l'utilizzo di DirectAccess per accedere in modalità remota al server, quindi fare clic su Avanti.On the Select Groups tab, click Enable DirectAccess for mobile computers only if you want to enable mobile computers to use DirectAccess to remotely access the server, and then click Next.

    4. In Topologia di reteselezionare la topologia del server e quindi fare clic su Avanti.In Network Topology, select the topology of the server, and then click Next.

    5. In Elenco di ricerca suffissi DNSaggiungere il suffisso DNS per i computer client, se necessario, e quindi fare clic su Avanti.In DNS Suffix Search List, add the additional DNS suffix for the client computers, if needed, and then click Next.

      Nota

      Per impostazione predefinita, l'abilitazione guidata di DirectAccess aggiunge il suffisso DNS per il dominio corrente.By default, the Enable DirectAccess Wizard already adds the DNS suffix for current domain. È tuttavia possibile aggiungerne altri, se necessario.However, you can add more if needed.

    6. Verificare gli oggetti Criteri di gruppo che verranno applicati e, se necessario, modificarli.Review the Group Policy Objects (GPOs) that will be applied, and modify them if needed.

    7. Fare clic su Avantie quindi su Fine.Click Next, and then click Finish.

    8. Riavviare il servizio Gestione accesso remoto eseguendo il comando Windows PowerShell seguente con un account con privilegi elevati:Restart the Remote Access Management service by running the following Windows PowerShell command in elevated mode:

      Restart-Service RaMgmtSvc   
      

Passaggio 5b: Rimuovere il IPv6Prefix non valido nell'oggetto Criteri di gruppo RRAS (solo Windows Server Essentials)Step 5b: Remove the invalid IPv6Prefix in RRAS GPO (Windows Server Essentials only)

In questa sezione si applica a un server che esegue Windows Server Essentials.This section applies to a server running Windows Server Essentials.

Aprire Windows PowerShell come amministratore ed eseguire i comandi seguenti:Open Windows PowerShell as an Administrator and run the following commands:

gpupdate  
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}  
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix  
gpupdate  

Passaggio 5c: Abilita computer client che eseguono Windows 7 Enterprise per l'utilizzo di DirectAccessStep 5c: Enable client computers running Windows 7 Enterprise to use DirectAccess

Se sono presenti computer client che eseguono Windows 7 Enterprise, completare la procedura seguente per abilitare DirectAccess da tali computer.If you have client computers running Windows 7 Enterprise, complete the following procedure to enable DirectAccess from those computers.

Per consentire ai computer Windows 7 Enterprise per l'utilizzo di DirectAccessTo enable Windows 7 Enterprise computers to use DirectAccess
  1. Nella pagina iniziale del server, aprire Gestione accesso remoto.On the server's Start page, open Remote Access Management.

  2. Nella console di gestione Accesso remoto fare clic su Configurazione.In the Remote Access Management Console, click Configuration. Quindi nel riquadro Dettagli installazione, sotto Passaggio 2 fare clic su Modifica.Then, in the Setup Details pane, under Step 2, click Edit.

    Si apre la procedura guidata Installazione del server di Accesso remoto.The Remote Access Server Setup Wizard opens.

  3. Nel autenticazione scheda, scegliere il certificato di autorità (CA) certificazione che sarà il certificato radice attendibile (è possibile scegliere il certificato della CA del server di Windows Server Essentials).On the Authentication tab, choose the certification authority (CA) certificate that will be the trusted root certificate (you can choose the CA certificate of the Windows Server Essentials server). Fare clic su Abilita computer client Windows 7 alla connessione tramite DirectAccess e quindi fare clic su Avanti.Click Enable Windows 7 client computers to connect via DirectAccess, and then click Next.

  4. Seguire le istruzioni per completare la procedura guidata.Follow the instructions to complete the wizard.

Importante

Si verifica un problema noto per computer Windows 7 Enterprise che si connettono tramite DirectAccess se il server di Windows Server Essentials non proviene preinstallato ur1.There is a known issue for Windows 7 Enterprise computers connecting over DirectAccess if the Windows Server Essentials server did not come with UR1 pre-installed. Per abilitare le connessioni DirectAccess in tale ambiente, è necessario eseguire questi passaggi aggiuntivi:To enable DirectAccess connections in that environment, you must perform these additional steps:

  1. Installare l'hotfix descritto nel articolo 2796394 della Microsoft Knowledge Base (KB) nel server di Windows Server Essentials.Install the hotfix described in Microsoft Knowledge Base (KB) article 2796394 on the Windows Server Essentials server. Quindi riavviare il server.Then restart the server.
    2. Quindi installare l'hotfix descritto nel articolo 2615847 della Microsoft Knowledge Base (KB) in ogni computer Windows 7.Then install the hotfix described in Microsoft Knowledge Base (KB) article 2615847 on each Windows 7 computer.

    Questo problema è stato risolto in Windows Server Essentials.This issue was resolved in Windows Server Essentials.

Passaggio 5D: Configurare il server dei percorsi di reteStep 5d: Configure the network location server

In questa sezione vengono illustrate le istruzioni dettagliate per configurare le impostazioni del server dei percorsi di rete.This section provides step-by-step instructions to configure the network location server settings.

Nota

Prima di iniziare, copiare il contenuto del < unitàsistema>cartella \inetpub\wwwroot il < unitàsistema>\Programmi\Windows server\bin\webapps\site\insideoutside.Before you begin, copy the contents of the <SystemDrive>\inetpub\wwwroot folder to the <SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site\insideoutside folder. Copiare anche il file default. aspx dal < unitàsistema>\Programmi\Windows server\bin\webapps\site alla cartella di < unitàsistema>\Programmi\Windows server\bin\webapps\site\insideoutside.Also copy the default.aspx file from the <SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site folder to the <SystemDrive>\Program Files\Windows Server\Bin\WebApps\Site\insideoutside folder.

Per configurare il server dei percorsi di reteTo configure the network location server
  1. Nella pagina iniziale aprire Gestione accesso remoto.On the Start page, open Remote Access Management.

  2. Nella console di Gestione Accesso remoto fare clic su Configurazione, quindi, nel riquadro dei dettagli Configurazione Accesso remoto fare clic su Modifica in Passaggio 3.In the Remote Access Management Console, click Configuration, and in the Remote Access Setup details pane, in Step 3, click Edit.

  3. Nel Server di configurazione guidata accesso remoto, nella Server dei percorsi di rete scheda, seleziona il server dei percorsi di rete viene distribuito nel server di accesso remotoe quindi selezionare il certificato che è stato emesso in precedenza (in passaggio 3: Preparare un certificato e il record DNS per il server dei percorsi rete).In the Remote Access Server Setup Wizard, on the Network Location Server tab, select The network location server is deployed on the Remote Access server, and then select the certificate that was previously issued (in Step 3: Prepare a certificate and DNS record for the network location server).

  4. Seguire le istruzioni per completare la procedura guidata e quindi fare clic su Fine.Follow the instructions to complete the wizard, and then click Finish.

Passaggio 5e: Aggiungere la chiave del Registro di sistema per ignorare la certificazione CA quando si stabilisce il canale IPsecStep 5e: Add a registry key to bypass CA certification when you establish an IPsec channel

Il passaggio successivo è la configurazione del server per ignorare la certificazione CA quando viene stabilito un canale IPsec.Your next step is to configure the server to bypass CA certification when an IPsec channel is established.

Per aggiungere una chiave del Registro di sistema per ignorare la certificazione CATo add a registry key to bypass the CA certification
  1. Nella pagina iniziale aprire regedit (l'editor del Registro di sistema).On the Start page, open regedit (the Registry Editor).

  2. Nell'editor del Registro di sistema espandere HKEY_LOCAL_MACHINE, espandere System, espandere CurrentControlSet, espandere Services ed espandere IKEEXT.In the Registry Editor, expand HKEY_LOCAL_MACHINE, expand System, expand CurrentControlSet, expand Services, and expand IKEEXT.

  3. Sotto IKEEXT fare clic con il pulsante destro del mouse su Parameters, scegliere Nuovo e quindi fare clic su Valore DWORD (32 bit) .Under IKEEXT, right-click Parameters, click New, and then click DWORD (32 bit) Value.

  4. Rinominare il valore appena aggiunto in ikeflags.Rename the newly added value to ikeflags.

  5. Fare doppio clic su ikeflags, impostare Tipo su Esadecimale, impostare il valore su 8000e quindi fare clic su OK.Double-click ikeflags, set the Type to Hexadecimal, set the value to 8000, and then click OK.

Nota

È possibile usare il comando Windows PowerShell seguente con un account con privilegi elevati per aggiungere questa chiave del Registro di sistema:You can use the following Windows PowerShell command in elevated mode to add this registry key:

Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000

Passaggio 6: Configurare le impostazioni della tabella dei criteri di risoluzione dei nomi per il server DirectAccessStep 6: Configure Name Resolution Policy Table settings for the DirectAccess server

In questa sezione vengono fornite le istruzioni per la modifica delle voci della tabella dei criteri di risoluzione dei nomi per gli indirizzi interni (ad esempio le voci con un suffisso contoso.local) per gli oggetti Criteri di gruppo del client DirectAccess e quindi impostare l'indirizzo dell'interfaccia IPHTTPS.This section provides instructions for editing the Name Resolution Policy Table (NPRT) entries for internal addresses (for example, entries with a contoso.local suffix) for DirectAccess client GPOs, and then set the IPHTTPS interface address.

Per configurare le voci della tabella dei criteri di risoluzione dei nomiTo configure Name Resolution Policy Table entries

  1. Nella pagina iniziale aprire Gestione Criteri di gruppo.On the Start page, open Group Policy Management.

  2. Nella console Gestione Criteri di gruppo fare clic sulla foresta e sul dominio predefiniti, fare clic con il pulsante destro del mouse su Impostazioni client DirectAccess e quindi scegliere Modifica.In the Group Policy Management console, click the default forest and domain, right-click DirectAccess Client Settings, and then click Edit.

  3. Fare clic su Configurazioni computer, su Criteri, su Impostazioni di Windows e quindi su Criteri risoluzione nomi.Click Computer Configurations, click Policies, click Windows Settings, and then click Name Resolution Policy. Scegliere la voce con lo spazio dei nomi identico al suffisso DNS in uso e quindi fare clic su Modifica regola.Choose the entry that has the namespace that is identical to your DNS suffix, and then click Edit Rule.

  4. Fare clic sulla scheda Impostazioni DNS per DirectAccess, quindi fare clic su Abilita le impostazioni DNS per DirectAccess in questa regola.Click the DNS Settings for DirectAccess tab; then select Enable DNS settings for DirectAccess in this rule. Aggiungere l'indirizzo IPv6 per l'interfaccia IP-HTTPS nell'elenco del server DNS.Add the IPv6 address for the IP-HTTPS interface in the DNS server list.

    Nota

    Per ottenere l'indirizzo IPv6, è possibile usare il comando Windows PowerShell seguente:You can use the following Windows PowerShell command to get the IPv6 address:

    (Get-NetIPInterface -InterfaceAlias IPHTTPSInterface | Get-NetIPAddress -PrefixLength 128)[1].IPAddress

Passaggio 7: Configurare le regole del firewall TCP e UDP per gli oggetti Criteri di gruppo del server DirectAccessStep 7: Configure TCP and UDP firewall rules for the DirectAccess server GPOs

In questa sezione vengono fornite le istruzioni dettagliate per configurare le regole del firewall TCP e UDP per gli oggetti Criteri di gruppo del server DirectAccessThis section includes step-by-step instructions to configure TCP and UDP firewall rules for the DirectAccess server GPOs.

Per configurare le regole del firewallTo configure firewall rules

  1. Nella pagina iniziale aprire Gestione Criteri di gruppo.On the Start page, open Group Policy Management.

  2. Nella console Gestione Criteri di gruppo fare clic sulla foresta e sul dominio predefiniti, fare clic con il pulsante destro del mouse su Impostazioni server DirectAccesse quindi scegliere Modifica.In the Group Policy Management console, click the default forest and domain, right-click DirectAccess Server Settings, and then click Edit.

  3. Fare clic su Configurazioni computer, su Criteri, su Impostazioni di Windows, su Impostazioni di sicurezza, su Windows Firewall con sicurezza avanzata, su Windows Firewall con sicurezza avanzata nel livello successivo e quindi su Regole connessioni in entrata.Click Computer Configuration, click Policies, click Windows Settings, click Security Settings, click Windows Firewall with Advanced Security, click next-level Windows Firewall with Advanced Security, and then click Inbound Rules. Fare clic con il pulsante destro del mouse su DNS (Domain Name Server) (TCP-In) e quindi scegliere Proprietà.Right-click Domain name Server (TCP-In), and then click Properties.

  4. Fare clic sulla scheda Ambito e quindi aggiungere l'indirizzo IPv6 dell'interfaccia IP-HTTPS all'elenco Indirizzo IP locale .Click the Scope tab, and in the Local IP address list, add the IPv6 address of the IP-HTTPS interface.

  5. Ripetere la stessa procedura per DNS (Domain Name Server) (UDP-In) .Repeat the same procedure for Domain Name Server (UDP-In).

Passaggio 8: Modificare la configurazione DNS64 per l'ascolto dell'interfaccia IP-HTTPSStep 8: Change the DNS64 configuration to listen to the IP-HTTPS interface

È necessario modificare la configurazione DNS64 per l'ascolto dell'interfaccia IP-HTTPS mediante il comando di Windows PowerShell seguente:You must change the DNS64 configuration to listen to the IP-HTTPS interface by using the following Windows PowerShell command.

Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface  

Passaggio 9: Riservare le porte per il servizio WinNatStep 9: Reserve ports for the WinNat service

Usare il comando Windows PowerShell seguente per riservare le porte per il servizio WinNat.Use the following Windows PowerShell command to reserve ports for the WinNat service. Sostituire "192.168.1.100" con l'indirizzo IPv4 effettivo del server di Windows Server Essentials.Replace "192.168.1.100" with the actual IPv4 address of your Windows Server Essentials server.

Set-NetNatTransitionConfiguration -IPv4AddressPortPool @("192.168.1.100, 10000-47000")  

Importante

Per evitare conflitti di porte con le applicazioni, assicurarsi che l'intervallo di porte riservato per il servizio WinNat non includa la porta 6602.To avoid port conflicts with applications, be sure that the port range that you reserve for the WinNat service does not include port 6602.

Passaggio 10: Riavviare il servizio WinNatStep 10: Restart the WinNat service

Riavviare il servizio Driver NAT Windows (WinNat) eseguendo il comando Windows PowerShell seguente.Restart the Windows NAT Driver (WinNat) service by running the following Windows PowerShell command.

Restart-Service winnat  

Appendice: Installare DirectAccess tramite Windows PowerShellAppendix: Set up DirectAccess by using Windows PowerShell

In questa sezione viene descritto come installare e configurare DirectAccess tramite Windows PowerShell.This section describes how to set up and configure DirectAccess by using Windows PowerShell.

PreparazionePreparation

Prima di iniziare a configurare il server per DirectAccess, è necessario:Before you begin configuring your server for DirectAccess, you must complete the following:

  1. Attenersi alla procedura di passaggio 3: Preparare un certificato e il record DNS per il server dei percorsi di rete per registrare un certificato denominato DirectAccess-NLS.contoso.com (dove contoso.com viene sostituito dall'effettivo nome di dominio interno) e per aggiungere un record DNS per il server dei percorsi di rete (NLS).Follow the procedure in Step 3: Prepare a certificate and DNS record for the network location server to enroll a certificate named DirectAccess-NLS.contoso.com (where contoso.com is replaced by your actual internal domain name), and to add a DNS record for the network location server (NLS).

  2. Aggiungere un gruppo di sicurezza denominato DirectAccessClients in Active Directory, e quindi aggiungere i computer client per i quali si desidera abilitare la funzionalità DirectAccess.Add a security group named DirectAccessClients in Active Directory, and then add client computers for which you want to provide the DirectAccess functionality. Per altre informazioni, vedere passaggio 4: Crea un gruppo di sicurezza per client DirectAccess a computer.For more information, see Step 4: Create a security group for DirectAccess client computers.

ComandiCommands

Importante

In Windows Server Essentials, è necessario non rimuovere l'oggetto Criteri di gruppo del prefisso IPv6 non necessario.In Windows Server Essentials, you do not need to remove the unnecessary IPv6 prefix GPO. Eliminare la sezione di codice con l'etichetta seguente: # [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO.Delete the code section with the following label: # [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO.

# Add Remote Access role if not installed yet  
$ra = Get-WindowsFeature RemoteAccess  
If ($ra.Installed -eq $FALSE) { Add-WindowsFeature RemoteAccess }  
  
# Server may need to restart if you installed RemoteAccess role in the above step  
  
# Set the internet domain name to access server, replace contoso.com below with your own domain name  
$InternetDomain = "www.contoso.com"  
#Set the SG name which you create for DA clients  
$DaSecurityGroup = "DirectAccessClients"  
#Set the internal domain name  
$InternalDomain = [System.DirectoryServices.ActiveDirectory.Domain]::GetCurrentDomain().Name  
  
# Set static IP and DNS settings  
$NetConfig = Get-WmiObject Win32_NetworkAdapterConfiguration -Filter "IPEnabled=$true"  
$CurrentIP = $NetConfig.IPAddress[0]  
$SubnetMask = $NetConfig.IPSubnet | Where-Object{$_ -like "*.*.*.*"}  
$NetConfig.EnableStatic($CurrentIP, $SubnetMask)  
$NetConfig.SetGateways($NetConfig.DefaultIPGateway)  
$NetConfig.SetDNSServerSearchOrder($CurrentIP)  
  
# Get physical adapter name and the certificate for NLS server  
$Adapter = (Get-WmiObject -Class Win32_NetworkAdapter -Filter "NetEnabled=$true").NetConnectionId  
$Certs = dir cert:\LocalMachine\My  
$nlscert = $certs | Where-Object{$_.Subject -like "*CN=DirectAccess-NLS*"}  
  
# Add regkey to bypass CA cert for IPsec authentication  
Set-ItemProperty -Path HKLM:\SYSTEM\CurrentControlSet\Services\IKEEXT\Parameters -Name ikeflags -Type DWORD -Value 0x8000  
  
# Install DirectAccess.   
Install-RemoteAccess -NoPrerequisite -DAInstallType FullInstall -InternetInterface $Adapter -InternalInterface $Adapter -ConnectToAddress $InternetDomain -nlscertificate $nlscert -force  
  
#Restart Remote Access Management service  
Restart-Service RaMgmtSvc  
  
# [WINDOWS SERVER 2012 ESSENTIALS ONLY] Remove the unnecessary IPv6 prefix GPO   
  
gpupdate  
$key = Get-ChildItem -Path HKLM:\SOFTWARE\Policies\Microsoft\Windows\RemoteAccess\config\MachineSIDs | Where-Object{$_.GetValue("IPv6RrasPrefix") -ne $null}  
Remove-GPRegistryValue -Name "DirectAccess Server Settings" -Key $key.Name -ValueName IPv6RrasPrefix  
gpupdate  
  
# Enable client computers running Windows 7 to use DirectAccess  
$allcertsinroot = dir cert:\LocalMachine\root  
$rootcert = $allcertsinroot | Where-Object{$_.Subject -like "*-CAA*"}  
Set-DAServer -IPSecRootCertificate $rootcert[0]  
Set -DAClient -OnlyRemoteComputers Disabled -Downlevel Enabled  
  
#Set the appropriate security group used for DA client computers. Replace the group name below with the one you created for DA clients  
Add-DAClient -SecurityGroupNameList $DaSecurityGroup   
Remove-DAClient -SecurityGroupNameList "Domain Computers"  
  
# Gather DNS64 IP address information  
$Remoteaccess = get-remoteaccess  
$IPinterface = get-netipinterface -InterfaceAlias IPHTTPSInterface | get-netipaddress -PrefixLength 128  
$DNS64IP=$IPInterface[1].IPaddress  
$Natconfig = Get-NetNatTransitionConfiguration  
  
# Configure TCP and UDP firewall rules for the DirectAccess server GPO  
$GpoName = 'GPO:'+$InternalDomain+'\DirectAccess Server Settings'  
Get-NetFirewallRule -PolicyStore $GpoName -Displayname "Domain Name Server (TCP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP  
Get-NetFirewallrule -PolicyStore $GpoName -Displayname "Domain Name Server (UDP-IN)"|Get-NetFirewallAddressFilter | Set-NetFirewallAddressFilter -LocalAddress $DNS64IP  
  
# Configure the name resolution policy settings for the DirectAccess server, replace the DNS suffix below with the one in your domain  
$Suffix = '.' + $InternalDomain  
set-daclientdnsconfiguration -DNSsuffix $Suffix -DNSIPAddress $DNS64IP  
  
# Change the DNS64 configuration to listen to IP-HTTPS interface  
Set-NetDnsTransitionConfiguration -AcceptInterface IPHTTPSInterface  
  
# Copy the necessary files to NLS site folder  
XCOPY 'C:\inetpub\wwwroot' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /E /Y  
XCOPY 'C:\Program Files\Windows Server\Bin\WebApps\Site\Default.aspx' 'C:\Program Files\Windows Server\Bin\WebApps\Site\insideoutside' /Y  
  
# Reserve ports for the WinNat service  
Set-NetNatTransitionConfiguration -IPv4AddressPortPool @("192.168.1.100, 10000-47000")  
  
# Restart the WinNat service  
Restart-Service winnat  

Vedere ancheSee also