Übersicht über die Migration von DirectAccess zu Always On VPN
Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10
» Als Nächstes: Planen der Migration von DirectAccess zu Always On VPN
In früheren Versionen der Windows-VPN-Architektur erschwerten Plattformeinschränkungen die Bereitstellung der kritischen Funktionen, die zum Ersetzen von DirectAccess erforderlich sind, z. B. vor der Anmeldung von Benutzern initiierte automatische Verbindungen. Always On VPN hat jedoch die meisten dieser Einschränkungen entschärft oder die VPN-Funktionalität über die Funktionen von DirectAccess hinaus erweitert. Always On VPN beseitigt die vorherigen Lücken zwischen Windows-VPNs und DirectAccess.
Der Migrationsprozess von DirectAccess zu Always On VPN besteht aus vier primären Komponenten und allgemeinen Prozessen:
Planen der Always On VPN-Migration. Die Planung erleichtert, Zielclients für die Benutzerphasentrennung sowie Infrastruktur und Funktionalität zu identifizieren.
Erstellen von Migrationsringen. Wie bei den meisten anderen Systemmigrationen legen Sie Clientmigrationen in Phasen als Ziel fest, um Probleme zu identifizieren, bevor sie sich auf die gesamte Organisation auswirken. Der erste Teil der Always On VPN-Migration ist nicht anders.
Erfahren Sie mehr über den Vergleich der Features von Always On VPN und DirectAccess. Ähnlich wie DirectAccess verfügt Always On VPN über viele Sicherheits-, Konnektivitäts-, Authentifizierungs- und andere Optionen.
Erfahren Sie mehr über die Funktionserweiterungen von Always On VPN. Entdecken Sie neue oder verbesserte Features, die Always On VPN bietet, um Ihre Konfiguration zu verbessern.
Erfahren Sie mehr über die Always On VPN-Technologie. Für diese Bereitstellung müssen Sie einen neuen RAS-Server installieren, auf dem Windows Server 2016 ausgeführt wird, und einen Teil Ihrer vorhandenen Infrastruktur für die Bereitstellung ändern.
Bereitstellen einer parallelen VPN-Infrastruktur. Nachdem Sie Ihre Migrationsphasen und die Features ermittelt haben, die Sie in Ihre Bereitstellung aufnehmen möchten, stellen Sie die Always On VPN-Infrastruktur parallel zur vorhandenen DirectAccess-Infrastruktur bereit.
Bereitstellen von Zertifikaten und Konfiguration für die Clients. Sobald die VPN-Infrastruktur bereit ist, erstellen und veröffentlichen Sie die erforderlichen Zertifikate für den Client. Wenn die Clients die Zertifikate erhalten haben, stellen Sie das Konfigurationsskript „VPN_Profile.ps1“ bereit. Alternativ können Sie Intune verwenden, um den VPN-Client zu konfigurieren. Verwenden Sie Microsoft Endpoint Configuration Manager oder Microsoft Intune, um den Erfolg der VPN-Konfigurationsbereitstellungen zu überwachen.
Entfernen und Außerbetriebnahme. Nehmen Sie die Umgebung ordnungsgemäß außer Betrieb, nachdem Sie alle Benutzer von DirectAccess migriert haben.
Entfernen Sie die DirectAccess-Konfiguration vom Client. Verwenden Sie Microsoft Endpoint Configuration Manager oder Microsoft Intune, um den Erfolg der VPN-Konfigurationsbereitstellungen zu überwachen. Verwenden Sie dann die Berichterstellung, um Gerätezuweisungsinformationen zu ermitteln und zu erkennen, welche Geräte zu den einzelnen Benutzern gehören. Entfernen Sie nach der erfolgreichen Migration von Benutzern deren Geräte aus der DirectAccess-Sicherheitsgruppe, sodass Sie DirectAccess aus Ihrer Umgebung entfernen können.
Außerbetriebnahme des DirectAccess-Servers. Wenn Sie die Konfigurationseinstellungen und DNS-Einträge erfolgreich entfernt haben, können Sie den DirectAccess-Server deinstallieren. Entfernen Sie dazu entweder die Rolle in Server-Manager, oder setzen Sie den Server außer Betrieb, und entfernen Sie ihn aus AD DS.
DirectAccess-Bereitstellungsszenario
In diesem Leitfaden dient ein einfaches DirectAccess-Bereitstellungsszenario als Ausgangspunkt für die Migration. Sie müssen vor der Migration zu Always On VPN nicht diesem Bereitstellungsszenario entsprechen, aber für viele Organisationen ist diese einfache Einrichtung eine genaue Darstellung ihrer aktuellen DirectAccess-Bereitstellung. Die folgende Tabelle enthält eine Liste der grundlegenden Features für dieses Setup.
Es gibt viele DirectAccess-Bereitstellungsszenarien und -optionen, sodass sich Ihre Implementierung wahrscheinlich von der hier beschriebenen unterscheidet. Wenn ja, lesen Sie Always On VPN-Features und -Funktionen, um die Always On VPN-Featuresatzzuordnung für Ihre aktuellen Ergänzungen zu ermitteln, und fügen Sie diese Features dann Ihrer Konfiguration hinzu. Außerdem können Sie die Informationen zu Always On VPN nutzen, um Ihrer Always On VPN-Bereitstellung Optionen hinzuzufügen.
Hinweis
Für nicht in Domänen eingebundene Geräte sind zusätzliche Aspekte zu berücksichtigen, z. B. die Zertifikatregistrierung. Weitere Informationen finden Sie unter Always On VPN-Bereitstellung für Windows Server und Windows 10.
Liste der Bereitstellungsszenariofeatures
| DirectAccess-Feature | Typisches Szenario |
|---|---|
| Bereitstellungsszenario | Bereitstellen des gesamten DirectAccess für Clientzugriff und Remoteverwaltung |
| Netzwerkadapter | 2 |
| Benutzerauthentifizierung | Active Directory-Anmeldeinformationen |
| Verwenden von Computerzertifikaten | Ja |
| Sicherheitsgruppen | Ja |
| Einzelner DirectAccess-Server | Ja |
| Netzwerktopologie | Netzwerkadressübersetzung (Network Address Translation, NAT) hinter einer Edgefirewall mit zwei Netzwerkadaptern |
| Zugriffsmodus | End-to-Edge |
| Tunneling | Split Tunneling |
| Authentifizierung | Standardmäßige PKI-Authentifizierung (Public Key-Infrastruktur) mit Computerzertifikat und Kerberos (nicht KerbProxy) |
| Protokolle | IP über HTTPS (IP-HTTPS) |
| Netzwerkstandortserver (NLS) sofort einsatzbereit | Ja |
Always On VPN-Bereitstellungsszenario
In diesem Bereitstellungsszenario konzentrieren Sie sich auf die Migration einer einfachen DirectAccess-Umgebung zu einer einfachen Always On VPN-Umgebung, der DirectAccess-Ersatzlösung. Die folgende Tabelle enthält die Features, die in dieser einfachen Lösung verwendet werden. Ausführlichere Informationen zu zusätzlichen Verbesserungen des Always On VPN-Clients finden Sie unter Informationen zu Always On VPN.
In der einfachen Umgebung verwendete Always On VPN-Features
| VPN-Feature | Konfiguration des Bereitstellungsszenarios |
|---|---|
| Verbindungstyp | Nativer Internetschlüsselaustausch Version 2 (IKEv2) |
| Netzwerkadapter | 2 |
| Benutzerauthentifizierung | Active Directory-Anmeldeinformationen |
| Verwenden von Computerzertifikaten | Ja |
| Routing | Getrenntes Tunneln |
| Namensauflösung | Liste mit Domänennameninformationen und DNS-Suffix (Domain Name System, Domänennamesystem) |
| Auslösen | Erkennung von Always On- und vertrauenswürdigen Netzwerken |
| Authentifizierung | Protected Extensible Authentication Protocol-Transport Layer Security (PEAP-TLS) mit vom Trusted Platform Module geschützten Benutzerzertifikaten |
Nächster Schritt
Planen der Migration von DirectAccess zu Always On VPN. Das primäre Ziel der Migration besteht darin, dass Benutzer während des gesamten Prozesses über Remotekonnektivität mit dem Büro verfügen.