Общие сведения о миграции DirectAccess в AlwaysOn VPN
Далее : планирование миграции DirectAccess в AlwaysOn VPN
В предыдущих версиях архитектуры VPN Windows ограничения платформы затрудняют предоставление критически важных функций, необходимых для замены DirectAccess, таких как автоматические подключения, инициированные перед входом пользователей. Однако Always On VPN смягчил большинство этих ограничений или расширил функциональные возможности VPN за пределами возможностей DirectAccess. AlwaysOn VPN устраняет предыдущие пробелы между виртуальными сетями Windows и DirectAccess.
Процесс миграции VPN DirectAccess в AlwaysOn состоит из четырех основных компонентов и высокоуровневых процессов:
Планирование миграции VPN AlwaysOn. Планирование помогает определить целевые клиенты для разделения этапов пользователя, а также инфраструктуры и функциональности.
Создание кругов миграции. Как и в большинстве других системных миграций, целевые переносы клиентов на этапах, которые помогут выявить все проблемы, прежде чем они влияют на всю организацию. Первая часть миграции AlwaysOn VPN не отличается.
Узнайте о сравнении функций Always On VPN и DirectAccess. Аналогично DirectAccess, AlwaysOn VPN имеет множество параметров безопасности, подключения, проверки подлинности и других параметров.
Узнайте о усовершенствованиях функций AlwaysOn VPN. Узнайте о новых или улучшенных функциях, которые предлагает AlwaysOn VPN для улучшения конфигурации.
Узнайте о технологии AlwaysOn VPN. Для этого развертывания необходимо установить новый сервер удаленного доступа под управлением Windows Server 2016, а также изменить часть существующей инфраструктуры для развертывания.
Разверните параллельное VPN-инфраструктуру. После определения этапов миграции и компонентов, которые необходимо включить в развертывание, вы развернете инфраструктуру Always On VPN параллельно с существующей инфраструктурой DirectAccess.
Разверните сертификаты и конфигурацию для клиентов. Когда инфраструктура VPN будет готова, создайте и опубликуете необходимые сертификаты клиенту. После получения сертификатов клиенты развертывают скрипт конфигурации VPN_Profile.ps1. Кроме того, можно использовать Intune для настройки VPN-клиента. Используйте Microsoft Endpoint Configuration Manager или Microsoft Intune для мониторинга успешных развертываний VPN-конфигурации.
Удаление и вывод из эксплуатации. Правильно выключите среду после переноса всех пользователей из DirectAccess.
Удалите конфигурацию DirectAccess из клиента. Отслеживайте Microsoft Endpoint Configuration Manager или Microsoft Intune для успешного развертывания конфигурации VPN. Затем используйте отчеты для определения сведений о назначении устройств и обнаружения того, какое устройство принадлежит каждому пользователю. При успешной миграции пользователей устройства удаляются из группы безопасности DirectAccess, чтобы удалить DirectAccess из вашей среды.
Отмена эксплуатации сервера DirectAccess. После успешного удаления параметров конфигурации и записей DNS можно удалить сервер DirectAccess. Для этого удалите роль в диспетчер сервера или выключите сервер и удалите ее из AD DS.
Сценарий развертывания DirectAccess
В этом сценарии развертывания используется простой сценарий развертывания DirectAccess в качестве отправной точки для миграции, представленной в этом руководстве. Вам не нужно соответствовать этому сценарию развертывания перед миграцией в AlwaysOn VPN, но для многих организаций эта простая настройка представляет собой точное представление текущего развертывания DirectAccess. В приведенной ниже таблице приведен список основных функций для этой настройки.
Существует множество сценариев и параметров развертывания DirectAccess, поэтому реализация, скорее всего, отличается от описанной здесь. Если это так, обратитесь к сопоставлению функций DirectAccess и AlwaysOn VPN , чтобы определить сопоставление набора функций AlwaysOn для текущих дополнений, а затем добавить эти функции в конфигурацию. Кроме того, вы можете обратиться к усовершенствованиям AlwaysOn VPN, чтобы добавить параметры в развертывание AlwaysOn VPN.
Примечание.
Для устройств, не присоединенных к домену, существуют дополнительные рекомендации, такие как регистрация сертификатов. Дополнительные сведения см. в статье AlwaysOn VPN Deployment for Windows Server и Windows 10.
Список функций сценария развертывания
| Функция DirectAccess | Типичный сценарий |
|---|---|
| Сценарий развертывания | Развертывание полного directAccess для клиентского доступа и удаленного управления |
| Сетевые адаптеры | 2 |
| Проверка подлинности пользователя | Учетные данные Active Directory |
| Использование сертификатов компьютера | Да |
| Группы безопасности | Да |
| Отдельный сервер DirectAccess | Да |
| Топология сети | Преобразование сетевых адресов (NAT) за пограничным брандмауэром с двумя сетевыми адаптерами |
| Режим доступа | Окончание к краю |
| Туннелирование | Разделение туннеля |
| Проверка подлинности | Стандартная проверка подлинности инфраструктуры открытых ключей (PKI) с помощью сертификата компьютера и Kerberos (не KerbProxy) |
| Протоколы | IP-адрес по протоколу HTTPS (IP-HTTPS) |
| Внеклюционный сервер расположения сети (NLS) | Да |
Сценарий развертывания AlwaysOn VPN
В этом сценарии развертывания основное внимание уделяется переносу простой среды DirectAccess в простую vpn-среду AlwaysOn, которая является решением для замены DirectAccess. В следующей таблице представлены функции, используемые в этом простом решении. Дополнительные сведения о дополнительных улучшениях vpn-клиента AlwaysOn см . в улучшениях AlwaysOn VPN.
Функции AlwaysOn VPN, используемые в простой среде
| Функция VPN | Конфигурация сценария развертывания |
|---|---|
| Connection type | Собственный обмен ключами Интернета версии 2 (IKEv2) |
| Сетевые адаптеры | 2 |
| Проверка подлинности пользователя | Учетные данные Active Directory |
| Использование сертификатов компьютера | Да |
| Маршрутизация | Разделение туннелирования |
| Разрешение имен | Список сведений о домене и суффикс системы доменных имен (DNS) |
| Запуска | Всегда включено и надежное обнаружение сети |
| Проверка подлинности | Защищенный расширяемый протокол проверки подлинности протокол-транспортный уровень безопасности (PEAP-TLS) с доверенным модулем платформы — защищенными сертификатами пользователей |
Следующий шаг
Планирование миграции DirectAccess на AlwaysOn VPN. Основная цель миграции заключается в том, чтобы пользователи поддерживали удаленное подключение к офису на протяжении всего процесса.