DirectAccess 到始终启用 VPN 迁移概述
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016、Windows 10
» 下一步:规划 DirectAccess 到始终启用 VPN 迁移
在以前版本的 Windows VPN 体系结构中,平台限制使得难以提供替换 DirectAccess 所需的关键功能(如在用户登录前启动的自动连接)。 但是,Always On VPN 已经缓解了大部分限制,或者扩展了 VPN 功能(超越了 DirectAccess 功能)。 Always On VPN 解决了 Windows VPN 与 DirectAccess 之间的先前差距。
从 DirectAccess 到 Always On VPN 的迁移过程包括四个主要组件和高级流程:
规划 Always On VPN 迁移。 规划有助于确定用户阶段分离以及基础结构和功能的目标客户端。
生成迁移通道。 与大多数其他系统迁移一样,分阶段定位客户端迁移,以帮助发现任何问题,以免这些问题影响整个组织。 Always On VPN 迁移的第一部分也不例外。
了解 Always On VPN 和 DirectAccess 的功能比较。 与 DirectAccess 类似,Always On VPN 具有许多安全性、连接性、身份验证和其他选项。
了解 Always On VPN 的功能改进。 发现 Always On VPN 提供的用于改进配置的新功能或改进功能。
了解 Always On VPN 技术。 对于此部署,必须安装运行 Windows Server 2016 的新远程访问服务器,并修改部署的一些现有基础结构。
部署并行 VPN 基础结构。 当你确定迁移阶段以及要包含在部署中的功能后,将与现有 DirectAccess 基础结构并行部署 Always On VPN 基础结构。
将证书和配置部署到客户端。 当 VPN 基础结构准备就绪后,你就可以创建所需的证书并将其发布到客户端了。 客户端收到证书后,你将部署 VPN_Profile.ps1 配置脚本。 或者,可以使用 Intune 来配置 VPN 客户端。 使用 Microsoft Endpoint Configuration Manager 或 Microsoft Intune 监视 VPN 配置部署是否成功。
删除并解除授权。 将所有人从 DirectAccess 迁移后,正确解除环境授权。
从客户端中删除 DirectAccess 配置。 监视 Microsoft Endpoint Configuration Manager 或 Microsoft Intune 以确认 VPN 配置部署是否成功。 然后,使用报告来确定设备分配信息,并发现哪个设备属于每个用户。 当用户成功迁移时,从 DirectAccess 安全组中删除其设备,以便可以从环境中删除 DirectAccess.
解除 DirectAccess 服务器的授权。 当你成功地删除了配置设置和 DNS 记录后,就可以准备拆掉 DirectAccess 服务器了。 为此,请删除服务器管理器中的角色,或者解除服务器的授权,然后将其从 AD DS 中删除。
DirectAccess 部署方案
在此部署方案中,使用简单的 DirectAccess 部署方案作为本指南所述的迁移的起点。 在迁移到 Always On VPN 之前,不需要匹配此部署方案,但对于许多组织来说,这种简单的设置是其当前 DirectAccess 部署的准确表示形式。 下表提供了此设置的基本功能列表。
DirectAccess 的部署方案和选项有很多,因此实现方式可能不同于此处所述的实现方式。 如果是这样,请参阅 DirectAccess 和 Always On VPN 之间的功能映射,以确定当前添加的 Always On VPN 功能集映射,然后将这些功能添加到配置中。 此外,还可以参考 Always On VPN 增强功能,将选项添加到 Always On VPN 部署。
注意
对于未加入域的设备,还有其他注意事项,例如证书注册。 有关详细信息,请参阅针对 Windows Server 和 Windows 10 的 Always On VPN 部署。
部署方案功能列表
| DirectAccess 功能 | 典型的方案 |
|---|---|
| 部署场景 | 部署用于客户端访问和远程管理的完整 DirectAccess |
| 网络适配器 | 2 |
| 用户身份验证 | Active Directory 凭据 |
| 使用计算机证书 | 是 |
| 安全组 | 是 |
| 单个 DirectAccess 服务器 | 是 |
| 网络拓扑 | 具有两个网络适配器的边缘防火墙后的网络地址转换 (NAT) |
| 访问模式 | 端到边缘 |
| 隧道 | 拆分隧道 |
| 身份验证 | 使用计算机证书和 Kerberos(不是 KerbProxy)的标准公钥基础结构 (PKI) 身份验证 |
| 协议 | 基于 HTTPS 的 IP (IP-HTTPS) |
| 现成的网络位置服务器 (NLS) | 是 |
Always On VPN 部署方案
在此部署方案中,重点介绍如何将简单的 DirectAccess 环境迁移到简单的Always On VPN 环境,这是 DirectAccess 替换解决方案。 下表提供了这个简单解决方案中使用的功能。 有关 Always On VPN 客户端的其他增强功能的更多详细信息,请参阅 Always On VPN 增强功能。
简单环境中使用的 Always On VPN 功能
| VPN 功能 | 部署方案配置 |
|---|---|
| 连接类型 | 本机 Internet 密钥交换版本 2 (IKEv2) |
| 网络适配器 | 2 |
| 用户身份验证 | Active Directory 凭据 |
| 使用计算机证书 | 是 |
| 路由 | 拆分隧道 |
| 名称解析 | 域名信息列表和域名系统 (DNS) 后缀 |
| 触发 | Always On 和受信任网络检测 |
| 身份验证 | 受保护的可扩展身份验证协议-传输层安全 (PEAP-TLS),包含可信平台模块保护的用户证书 |
后续步骤
规划 DirectAccess 到始终启用 VPN 迁移。 迁移的主要目标是让用户在整个过程中保持与办公室的远程连接。