Поделиться через

Планирование миграции DirectAccess в AlwaysOn VPN

" Предыдущий: обзор миграции DirectAccess в AlwaysOn VPN
" Далее: миграция на VPN Always On и списание DirectAccess

Миграция с DirectAccess на AlwaysOn VPN требует правильного планирования для определения этапов миграции, которые помогают определить все проблемы, прежде чем они влияют на всю организацию. Основная цель миграции заключается в том, чтобы пользователи поддерживали удаленное подключение к офису на протяжении всего процесса. Если вы выполняете задачи вне порядка, может возникнуть состояние гонки, оставляя удаленных пользователей без доступа к ресурсам компании. Поэтому корпорация Майкрософт рекомендует выполнять плановую параллельное миграцию с DirectAccess на AlwaysOn VPN. Дополнительные сведения см. в разделе развертывания миграции AlwaysOn VPN.

В этом разделе описываются преимущества разделения пользователей на миграцию, стандартные рекомендации по настройке и усовершенствования функций AlwaysOn VPN. Этап планирования миграции включает:

  1. Создание кругов миграции. Как и в большинстве других системных миграций, целевые переносы клиентов на этапах, которые помогут выявить все проблемы, прежде чем они влияют на всю организацию. Первая часть миграции AlwaysOn VPN не отличается.

  2. Узнайте о сравнении функций Always On VPN и DirectAccess. Аналогично DirectAccess, AlwaysOn VPN имеет множество параметров безопасности, подключения, проверки подлинности и других параметров.

  3. Узнайте о усовершенствованиях функций AlwaysOn VPN. Узнайте о новых или улучшенных функциях, которые предлагает AlwaysOn VPN для улучшения конфигурации.

  4. Узнайте о технологии AlwaysOn VPN. Для этого развертывания необходимо установить новый сервер удаленного доступа под управлением Windows Server 2016, а также изменить часть существующей инфраструктуры для развертывания.

Создание кругов миграции

Кольца миграции используются для разделения усилий по миграции VPN-клиента AlwaysOn на несколько этапов. К последнему этапу процесс должен быть хорошо протестирован и согласован.

В этом разделе представлен один из способов разделения пользователей на этапы миграции, а затем управление этими этапами. Независимо от выбранного метода разделения этапов пользователей сохраните одну группу пользователей VPN для упрощения управления после завершения миграции.

Примечание.

Этап слова не предназначен для обозначения того, что это длинный процесс. Независимо от того, проходите ли каждый этап в течение нескольких дней или нескольких месяцев, корпорация Майкрософт рекомендует воспользоваться преимуществами параллельной миграции и использовать поэтапный подход.

Преимущества разделения усилий миграции на несколько этапов

  • Защита от массового сбоя. Разделив миграцию на этапы, число людей, создаваемых миграцией, может повлиять гораздо меньше.

  • Улучшение процесса или связи с отзывом. В идеале пользователи даже не заметили, что произошла миграция. Однако если их опыт был менее оптимальным, отзывы от этих пользователей дают вам возможность улучшить планирование и избежать проблем в будущем.

Советы по созданию круга миграции

  • Определите удаленных пользователей. Начните с разделения пользователей на два контейнера: тех, кто часто входит в офис и тех, кто не входит. Процесс миграции одинаков для обеих групп, но, скорее всего, займет больше времени для удаленных клиентов, чтобы получать обновление, чем для тех, кто подключается чаще. Каждый этап миграции, в идеале, должен включать элементы из каждого сегмента.

  • Приоритет пользователей. Руководство и другие пользователи с высоким влиянием обычно являются одними из последних пользователей, перенесенных. Однако при приоритете пользователей учитывайте влияние на производительность бизнеса, если миграция клиентского компьютера завершится ошибкой. Например, если у вас есть рейтинг от 1 до 3, то есть 1 означает, что сотрудник не сможет работать и 3 означает отсутствие немедленного прерывания работы, бизнес-аналитик с использованием только внутренних бизнес-приложений (LOB) удаленно будет 1, в то время как продавец с помощью облачного приложения будет 3.

  • Перенос каждого отдела или подразделения на нескольких этапах. Корпорация Майкрософт настоятельно рекомендует не переносить весь отдел одновременно. Если проблема возникает, вы не хотите, чтобы она препятствовала удаленной работе для всего отдела. Вместо этого перенесите каждый отдел или подразделение по крайней мере на два этапа.

  • Постепенно увеличивайте число пользователей. Большинство типичных сценариев миграции начинаются с членов ИТ-организации, а затем переходят к бизнес-пользователям, за которым следует руководство и другие пользователи с высоким уровнем влияния. Каждый этап миграции обычно включает в себя постепенно больше людей. Например, первый этап может включать десять пользователей, и окончательная группа может включать 5000 пользователей. Чтобы упростить развертывание, создайте одну группу безопасности VPN-пользователей и добавьте пользователей в нее по мере поступления. Таким образом, вы в конечном итоге будете использовать одну группу VPN-пользователей, в которую можно добавить участников в будущем.

Рекомендации по настройке уровня "Стандартный"

AlwaysOn VPN имеет множество стандартных параметров конфигурации. Однако важно включить следующие сведения при создании конфигурации VPN:

  • Тип подключения Виртуальные частные сети (VPN) — это подключения типа "точка — точка" через частную или общедоступную сеть, такие как Интернет. VPN-клиент использует специальные протоколы TCP/IP или UDP, называемые протоколами туннелирования, для подключения к VPN-серверу. Тип подключения также определяет тип используемой проверки подлинности. Дополнительные сведения о доступных протоколах туннелирования см. в разделе "Типы VPN-подключений".

  • Маршрутизация. В этом контексте правила маршрутизации определяют, могут ли пользователи использовать другие сетевые маршруты при подключении к VPN.

  • Запуска. Активация определяет, как и когда инициируется VPN-подключение (например, при открытии приложения при включении устройства вручную). Параметры активации см. в параметрах профиля автоматического активации VPN.

  • Проверка подлинности устройства или пользователя. AlwaysOn VPN использует сертификаты устройств и подключение, инициированное устройством, через функцию с именем Device Tunnel. Туннель устройства можно инициировать автоматически и постоянно, напоминая подключение к туннелю инфраструктуры DirectAccess.

Совет

При миграции с DirectAccess на AlwaysOn VPN рекомендуется начать с параметров конфигурации, которые сравнимы с тем, что у вас есть, а затем развернуть его.

С помощью сертификатов пользователей VPN-клиент AlwaysOn подключается автоматически, но он выполняет это на уровне пользователя (после входа пользователя) вместо уровня устройства (перед входом пользователя). Интерфейс по-прежнему прост для пользователя, но поддерживает более сложные механизмы проверки подлинности, такие как Windows Hello для бизнеса.

Следующий шаг

Если вы хотите… Затем смотрите...
Начало миграции на VPN AlwaysOn Миграция в AlwaysOn VPN и decommission DirectAccess. Миграция из DirectAccess в AlwaysOn VPN требует определенного процесса для переноса клиентов, что помогает свести к минимуму условия гонки, возникающие при выполнении шагов миграции вне порядка.
Сведения о функциях AlwaysOn VPN и DirectAccess Сравнение функций AlwaysOn VPN и DirectAccess. В предыдущих версиях архитектуры VPN Windows ограничения платформы затрудняют предоставление критически важных функций, необходимых для замены DirectAccess (например, автоматических подключений, инициированных перед входом пользователей). Однако Always On VPN смягчил большинство этих ограничений или расширил функциональные возможности VPN за пределами возможностей DirectAccess.