Panoramica della migrazione da DirectAccess a VPN Always On
» Avanti: Pianificare la migrazione da DirectAccess a VPN Always On
Nelle versioni precedenti dell'architettura VPN di Windows, le limitazioni della piattaforma rendevano difficile fornire le funzionalità critiche necessarie per sostituire DirectAccess, ad esempio le connessioni automatiche avviate prima dell'accesso degli utenti. VPN Always On, tuttavia, ha attenuato la maggior parte di queste limitazioni o ha ampliato la funzionalità VPN oltre alle funzionalità di DirectAccess. La VPN Always On risolve i gap precedenti tra le VPN di Windows e DirectAccess.
Il processo di migrazione VPN DirectAccess-Always On è costituito da quattro componenti principali e processi di alto livello:
Pianificare la migrazione VPN Always On. La pianificazione consente di identificare i client di destinazione per la separazione delle fasi utente, nonché l'infrastruttura e le funzionalità.
Creare anelli di migrazione. Come nella maggior parte delle altre migrazioni di sistema, le migrazioni client di destinazione in fasi consentono di identificare eventuali problemi prima che influiscano sull'intera organizzazione. La prima parte della migrazione VPN Always On non è diversa.
Informazioni sul confronto delle funzionalità di VPN Always On e DirectAccess. Analogamente a DirectAccess, la VPN Always On offre molte opzioni di sicurezza, connettività, autenticazione e altre opzioni.
Informazioni sui miglioramenti delle funzionalità della VPN Always On. Scoprire le funzionalità nuove o migliorate offerte dalla VPN Always On per migliorare la configurazione.
Informazioni sulla tecnologia VPN Always On. Per questa distribuzione, è necessario installare un nuovo server di Accesso remoto che esegue Windows Server 2016, nonché modificare parte dell'infrastruttura esistente per la distribuzione.
Distribuire un'infrastruttura VPN side-by-side. Dopo aver determinato le fasi di migrazione e le funzionalità da includere nella distribuzione, distribuire l'infrastruttura VPN Always On affiancata all'infrastruttura DirectAccess esistente.
Distribuire certificati e configurazione nei client. Quando l'infrastruttura VPN è pronta, creare e pubblicare i certificati necessari nel client. Quando i client hanno ricevuto i certificati, si distribuisce lo script di configurazione VPN_Profile.ps1. In alternativa, è possibile usare Intune per configurare il client VPN. Usare Microsoft Endpoint Configuration Manager o Microsoft Intune per monitorare le distribuzioni di configurazioni VPN riuscite.
Rimuovere e rimuovere le autorizzazioni. Rimuovere correttamente l'ambiente dopo aver eseguito la migrazione di tutti gli utenti da DirectAccess.
Rimuovere la configurazione di DirectAccess dal client. Monitorare Microsoft Endpoint Configuration Manager o Microsoft Intune per la distribuzione di configurazioni VPN con successo. Usare quindi la creazione di report per determinare le informazioni sull'assegnazione del dispositivo e individuare quale dispositivo appartiene a ogni utente. Quando gli utenti eseguono correttamente la migrazione, i dispositivi vengono rimossi dal gruppo di sicurezza DirectAccess in modo da poter rimuovere DirectAccess dall'ambiente.
Rimuovere le autorizzazioni del server DirectAccess. Dopo aver rimosso correttamente le impostazioni di configurazione e i record DNS, è possibile eliminare il server DirectAccess. A tale scopo, rimuovere il ruolo in Server Manager o rimuovere il server e rimuoverlo da Active Directory Domain Services.
Scenario di distribuzione DirectAccess
In questo scenario di distribuzione si usa un semplice scenario di distribuzione DirectAccess come punto di partenza per la migrazione presentata da questa guida. Non è necessario che vi sia corrispondenza a questo scenario di distribuzione prima della migrazione alla VPN Always On, ma per molte organizzazioni questa semplice configurazione è una rappresentazione accurata della distribuzione corrente di DirectAccess. La tabella seguente fornisce un elenco delle funzionalità di base per questa configurazione.
Esistono molti scenari e opzioni di distribuzione DirectAccess, quindi è probabile che l'implementazione sia diversa da quella descritta qui. In tal caso, fare riferimento al mapping delle funzionalità tra DirectAccess e VPN Always On per determinare il mapping del set di funzionalità VPN Always On per le aggiunte correnti e quindi aggiungere tali funzionalità alla configurazione. È anche possibile fare riferimento ai miglioramenti VPN Always On per aggiungere opzioni alla distribuzione VPN Always On.
Nota
Per i dispositivi non aggiunti a un dominio, esistono considerazioni aggiuntive, ad esempio la registrazione dei certificati. Per informazioni dettagliate, vedere Distribuzione VPN Always On per Windows Server e Windows 10.
Elenco delle funzionalità dello scenario di distribuzione
| Funzionalità DirectAccess | Scenario tipico |
|---|---|
| Scenario di distribuzione | Distribuire DirectAccess completo per l'accesso client e la gestione remota |
| Schede di rete | 2 |
| Autenticazione dell'utente | Credenziali Active Directory |
| Usare i certificati computer | Sì |
| Gruppi di sicurezza | Sì |
| Server DirectAccess singolo | Sì |
| Topologia di rete | Network Address Translation (NAT) dietro un firewall perimetrale con due schede di rete |
| Modalità di accesso | End-to-edge |
| Tunneling | Split tunnel |
| Autenticazione | Autenticazione a chiave pubblica standard (PKI) con certificato del computer più Kerberos (non KerbProxy) |
| Protocolli | IP su HTTPS (IP-HTTPS) |
| Server dei percorsi di rete (NLS) off-box | Sì |
Scenario di distribuzione VPN Always On
In questo scenario di distribuzione ci si concentra sulla migrazione di un semplice ambiente DirectAccess a un semplice ambiente VPN Always On, ovvero la soluzione di sostituzione DirectAccess. Nella tabella seguente vengono fornite le funzionalità usate in questa semplice soluzione. Per informazioni più dettagliate sui miglioramenti aggiuntivi per il client VPN Always On, vedere Miglioramenti della VPN Always On.
Funzionalità VPN Always On usate nell'ambiente semplice
| Funzionalità VPN | Configurazione dello scenario di distribuzione |
|---|---|
| Connection type | Internet Key Exchange nativo versione 2 (IKEv2) |
| Schede di rete | 2 |
| Autenticazione dell'utente | Credenziali Active Directory |
| Usare i certificati computer | Sì |
| Definizione dei percorsi di trasferimento | Split tunneling |
| Risoluzione dei nomi | Suffisso DNS (Domain Name System) ed elenco di informazioni sui nomi di dominio |
| Attivazione | Rilevamento di rete sempre attivo e attendibile |
| Autenticazione | Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) con certificati utente protetti da Trusted Platform Module |
Passaggio successivo
Pianificare la migrazione da DirectAccess a VPN AlwaysOn. L'obiettivo principale della migrazione è consentire agli utenti di mantenere la connettività remota all'ufficio durante tutto il processo.