Visão geral do DirectAccess a migração de VPN Always On
» Próximo passo: planejar a migração de VPN Always On do DirectAccess
Nas versões anteriores da arquitetura de VPN do Windows, as limitações da plataforma dificultavam o fornecimento da funcionalidade crítica necessária para substituir o DirectAccess (como conexões automáticas iniciadas antes de os usuários se conectarem). No entanto, a VPN Always On atenuou a maioria dessas limitações ou expandiu a funcionalidade da VPN além das funcionalidades do DirectAccess. A VPN Always On preenche as lacunas anteriores entre as VPNs do Windows e o DirectAccess.
O processo de migração da VPN do DirectAccess para Always On consiste em quatro componentes primários e processos de alto nível:
Planejar a migração da VPN Always On. O planejamento ajuda a identificar os clientes de destino para separação de fase do usuário, incluindo a infraestrutura e a funcionalidade.
Crie anéis de migração. Como na maioria das outras migrações do sistema, direcione as migrações de cliente em fases para ajudar a identificar qualquer problema antes que ele afete toda a organização. A primeira parte da migração da VPN Always On não é diferente.
Saiba mais sobre a comparação de recursos da VPN Always On e do DirectAccess. Semelhante ao DirectAccess, a VPN Always On tem muitas opções de segurança, conectividade, autenticação e outras.
Saiba mais sobre os aprimoramentos de recursos da VPN Always On. Descubra recursos novos ou aprimorados que a VPN Always On oferece para aprimorar a configuração.
Saiba mais sobre a tecnologia VPN Always On. Para essa implantação, você deve instalar um novo servidor de Acesso Remoto que execute o Windows Server 2016, bem como modificar parte da infraestrutura existente para a implantação.
Implantar uma infraestrutura de VPN lado a lado. Após determinar as fases de migração e os recursos que deseja incluir na implantação, implante a infraestrutura de VPN Always On lado a lado com a infraestrutura existente do DirectAccess.
Implante certificados e configuração para os clientes. Depois que a infraestrutura de VPN estiver pronta, crie e publique os certificados necessários para o cliente. Quando os clientes tiverem recebido os certificados, você implantará o script de configuração VPN_Profile.ps1. Como alternativa, você pode usar o Intune para configurar o cliente VPN. Use o Microsoft Endpoint Configuration Manager ou o Microsoft Intune para monitorar implantações de configuração de VPN bem-sucedidas.
Remova e desative. Desative corretamente o ambiente depois de migrar todos para fora do DirectAccess.
Remova a configuração do DirectAccess do cliente. Monitore o Microsoft Endpoint Configuration Manager ou o Microsoft Intune para implantações de configuração de VPN bem-sucedidas. Em seguida, use relatórios para determinar as informações de atribuição de dispositivo e descobrir qual dispositivo pertence a cada usuário. À medida que os usuários migram com êxito, remova os dispositivos deles do grupo de segurança do DirectAccess para possibilitar a remoção do DirectAccess do ambiente.
Desative o servidor do DirectAccess. Quando você tiver removido com êxito as definições de configurações e os registros DNS, estará pronto para desativar o servidor DirectAccess. Para fazer isso, remova a função no Gerenciador do Servidor ou desative o servidor e remova-o do AD DS.
Cenário de implantação do DirectAccess
Nesse cenário de implantação, você usa um cenário de implantação simples do DirectAccess como ponto de partida para a migração que este guia apresenta. Não é necessário corresponder a esse cenário de implantação antes de migrar para a VPN Always On, embora para muitas organizações, essa configuração simples é uma representação precisa da implantação atual do DirectAccess. A tabela abaixo fornece uma lista de recursos básicos para essa configuração.
Existem muitos cenários e opções de implantação do DirectAccess, portanto, sua implementação provavelmente será diferente daquela descrita aqui. Nesse caso, consulte Mapeamento de recursos entre o DirectAccess e a VPN Always On para determinar o mapeamento do conjunto de recursos de VPN Always On para suas adições atuais e, em seguida, adicione esses recursos à configuração. Além disso, você pode consultar os aprimoramentos da VPN Always On para adicionar opções à implantação da VPN Always On.
Observação
Para dispositivos não conectados ao domínio, há considerações adicionais, como registro de certificado. Para obter detalhes, confira Implantação da VPN Always On no Windows Server e no Windows 10.
Lista de recursos do cenário de implantação
| Recurso do DirectAccess | Cenário típico |
|---|---|
| Cenário de implantação | Implantar o DirectAccess completo para acesso para cliente e gerenciamento remoto |
| Adaptadores de rede | 2 |
| Autenticação de usuário | Credenciais do Active Directory |
| Usar certificados de computador | Sim |
| Grupos de segurança | Sim |
| Servidor único do DirectAccess | Sim |
| Topologia de rede | NAT (conversão de endereços de rede) atrás de um firewall de borda com dois adaptadores de rede |
| Modo de acesso | Ponta a borda |
| Túnel | Túnel dividido |
| Autenticação | Autenticação PKI (infraestrutura de chave pública) padrão com certificado de computador mais Kerberos (não KerbProxy) |
| Protocolos | IP sobre HTTPS (IP-HTTPS) |
| NLS (servidor de local de rede) off-box | Sim |
Cenário de implantação da VPN Always On
Nesse cenário de implantação, você se concentra em migrar um ambiente simples do DirectAccess para um ambiente simples da VPN Always On, que é a solução de substituição do DirectAccess. A tabela a seguir fornece os recursos usados nesta solução simples. Para obter informações mais detalhadas sobre aprimoramentos adicionais do cliente VPN Always On, consulte Aprimoramentos da VPN Always On.
Recursos de VPN Always O usados no ambiente simples
| Recurso de VPN | Configuração do cenário de implantação |
|---|---|
| Tipo de conexão | Protocolo IKEv2 (Internet Key Exchange versão 2) nativo |
| Adaptadores de rede | 2 |
| Autenticação de usuário | Credenciais do Active Directory |
| Usar certificados de computador | Sim |
| Roteamento | Túnel Dividido |
| Resolução de nomes | Lista de informações de nome de domínio e sufixo DNS (Sistema de Nomes de Domínio) |
| Gatilhos | Detecção de rede permanente e confiável |
| Autenticação | PEAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) com certificados de usuário protegidos por Trusted Platform Module |
Próxima etapa
Planejar a migração do DirectAccess para VPN Always On. A meta principal da migração é que os usuários mantenham a conectividade remota com o escritório durante todo o processo.