Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
» Avanti: Pianificare la migrazione da DirectAccess a VPN AlwaysOn
Nelle versioni precedenti dell'architettura VPN di Windows, le limitazioni della piattaforma rendevano difficile fornire le funzionalità critiche necessarie per sostituire DirectAccess, ad esempio le connessioni automatiche avviate prima dell'accesso degli utenti. VPN Always On, tuttavia, ha attenuato la maggior parte di queste limitazioni o ha ampliato la funzionalità VPN oltre alle funzionalità di DirectAccess. La VPN Always On risolve i gap precedenti tra le VPN di Windows e DirectAccess.
Il processo di migrazione VPN DirectAccess-Always On è costituito da quattro componenti principali e processi di alto livello:
Pianificare la migrazione VPN Always On. La pianificazione consente di identificare i client di destinazione per la separazione delle fasi utente, nonché l'infrastruttura e le funzionalità.
Creare anelli di migrazione. Come nella maggior parte delle altre migrazioni di sistema, suddividere le migrazioni dei client di destinazione in fasi permette di identificare eventuali problemi prima che influiscano sull'intera organizzazione. La prima parte della migrazione VPN Always On non è diversa.
Informazioni sul confronto delle funzionalità di VPN Always On e DirectAccess. Analogamente a DirectAccess, la VPN Always On offre molte opzioni di sicurezza, connettività, autenticazione e altre opzioni.
Informazioni sui miglioramenti delle funzionalità della VPN Always On. Scoprire le funzionalità nuove o migliorate offerte dalla VPN Always On per migliorare la configurazione.
Informazioni sulla tecnologia VPN Always On. Per questa distribuzione, è necessario installare un nuovo server di Accesso remoto che esegue Windows Server 2016, nonché modificare parte dell'infrastruttura esistente per la distribuzione.
Distribuire un'infrastruttura VPN affiancata. Dopo aver determinato le fasi di migrazione e le funzionalità da includere nella distribuzione, distribuire l'infrastruttura VPN Always On affiancata all'infrastruttura DirectAccess esistente.
Distribuire certificati e configurazione nei client. Quando l'infrastruttura VPN è pronta, creare e pubblicare i certificati necessari al client. Quando i client hanno ricevuto i certificati, si distribuisce lo script di configurazione VPN_Profile.ps1. In alternativa, è possibile usare Intune per configurare il client VPN. Usare Microsoft Endpoint Configuration Manager o Microsoft Intune per monitorare le distribuzioni di configurazioni VPN riuscite.
Rimuovere e dismettere. Rimuovere correttamente l'ambiente dopo aver eseguito la migrazione di tutti gli utenti da DirectAccess.
Rimuovere la configurazione di DirectAccess dal client. Monitorare Microsoft Endpoint Configuration Manager o Microsoft Intune per la distribuzione di configurazioni VPN con successo. Usare quindi la creazione di report per determinare le informazioni sull'assegnazione del dispositivo e individuare quale dispositivo appartiene a ogni utente. Quando gli utenti eseguono correttamente la migrazione, i dispositivi vengono rimossi dal gruppo di sicurezza DirectAccess in modo da poter rimuovere DirectAccess dall'ambiente.
Disattivare il server DirectAccess. Dopo aver rimosso correttamente le impostazioni di configurazione e i record DNS, è possibile eliminare il server DirectAccess. A tale scopo, rimuovere il ruolo in Server Manager o dismettere il server e rimuoverlo da Active Directory Domain Services (AD DS).
Scenario di distribuzione DirectAccess
In questo scenario di distribuzione si usa un semplice scenario di distribuzione DirectAccess come punto di partenza per la migrazione presentata da questa guida. Non è necessario che vi sia corrispondenza a questo scenario di distribuzione prima della migrazione alla VPN Always On, ma per molte organizzazioni questa semplice configurazione è una rappresentazione accurata della distribuzione corrente di DirectAccess. La tabella seguente fornisce un elenco delle funzionalità di base per questa configurazione.
Esistono molti scenari e opzioni di distribuzione DirectAccess, quindi è probabile che l'implementazione sia diversa da quella descritta qui. In tal caso, fare riferimento al mapping delle funzionalità tra DirectAccess e VPN Always On per determinare il mapping del set di funzionalità VPN Always On per le aggiunte correnti e quindi aggiungere tali funzionalità alla configurazione. È anche possibile fare riferimento ai miglioramenti della VPN Always On per aggiungere opzioni alla distribuzione VPN Always On.
Note
Per i dispositivi non aggiunti a un dominio, esistono considerazioni aggiuntive, ad esempio la registrazione dei certificati. Per informazioni dettagliate, vedere Distribuzione VPN Always On per Windows Server e Windows 10.
Elenco delle funzionalità dello scenario di distribuzione
| DirectAccess feature | Typical scenario |
|---|---|
| Deployment scenario | Distribuire completamente DirectAccess per l'accesso dei client e la gestione remota |
| Network adapters | 2 |
| User authentication | Credenziali Active Directory |
| Usare i certificati del computer | Yes |
| Security groups | Yes |
| Server DirectAccess singolo | Yes |
| Network topology | Network Address Translation (NAT) dietro un firewall perimetrale con due schede di rete |
| Access mode | End-to-edge |
| Tunneling | Split tunnel |
| Authentication | Autenticazione a chiave pubblica standard (PKI) con certificato del computer più Kerberos (non KerbProxy) |
| Protocols | IP su HTTPS (IP-HTTPS) |
| Server di localizzazione di rete (NLS) esterno | Yes |
Scenario di distribuzione VPN Always On
In questo scenario di distribuzione ci si concentra sulla migrazione di un semplice ambiente DirectAccess a un semplice ambiente VPN Always On, ovvero la soluzione di sostituzione DirectAccess. Nella tabella seguente vengono fornite le funzionalità usate in questa semplice soluzione. Per informazioni più dettagliate sui miglioramenti aggiuntivi per il client VPN Always On, vedere Miglioramenti della VPN Always On.
Funzionalità VPN Always On usate nell'ambiente semplice
| VPN feature | Configurazione dello scenario di distribuzione |
|---|---|
| Connection type | Internet Key Exchange nativo versione 2 (IKEv2) |
| Network adapters | 2 |
| User authentication | Credenziali Active Directory |
| Usare i certificati del computer | Yes |
| Routing | Split Tunneling |
| Name resolution | Elenco delle informazioni sui nomi di dominio e suffisso DNS (Domain Name System) |
| Triggering | Rilevamento di rete costantemente attivo e attendibile |
| Authentication | Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) con certificati utente protetti da Trusted Platform Module |
Next step
Pianificare la migrazione da DirectAccess a VPN Always On. L'obiettivo principale della migrazione è consentire agli utenti di mantenere la connettività remota all'ufficio durante tutto il processo.