Migrowanie funkcji DirectAccess z programu Forefront UAG z dodatkiem SP1 do systemu Windows Server 2012

 

Dotyczy: Windows Server 2012 R2, Windows Server 2012

W tym dokumencie opisano migrację istniejącego wdrożenia funkcji DirectAccess programu Forefront UAG z dodatkiem SP1 do funkcji DirectAccess w systemie Windows Server® 2012. Przedstawiono w nim migrację prostego scenariusza zawierającego jeden serwer Forefront UAG lub wiele serwerów Forefront UAG skonfigurowanych w jednej domenie i jednej lokacji za pomocą usługi NAT64, ale nie jako router ISATAP. To uaktualnienie jest obsługiwane tylko dla komputerów, na których działa program Forefront UAG z dodatkiem SP1.

Zestaw dokumentacji wdrażania dla dostępu zdalnego systemu Windows Server 2012 (funkcja DirectAccess)

Poniżej znajduje się lista dokumentacji dla trzech głównych ścieżek wdrażania dostępu zdalnego: Podstawowy, Zaawansowany i W przedsiębiorstwie. Na liście są również dokumenty Zarządzanie i Migrowanie dostępne dla tej wersji.

Wdrażanie podstawowego dostępu zdalnego

• Wdrażanie jednego serwera DirectAccess przy użyciu kreatora Wprowadzenie

  • Przewodnik po laboratorium testowym: pokaz uproszczonej konfiguracji funkcji DirectAccess w środowisku testowym obsługującym tylko protokół IPv4 w systemie Windows Server 2012

Wdrażanie zaawansowanego dostępu zdalnego

• Wdrażanie jednego serwera DirectAccess z ustawieniami zaawansowanymi

  • Przewodnik po laboratorium testowym: pokaz konfiguracji pojedynczego serwera funkcji DirectAccess w środowisku mieszanym obsługującym protokoły IPv4 i IPv6 w systemie Windows Server 2012

Wdrażanie dostępu zdalnego w dużej firmie

• Planowanie wydajności funkcji DirectAccess

• Wdrażanie dostępu zdalnego w klastrze

  • Przewodnik po laboratorium testowym: prezentacja funkcji DirectAccess w klastrze z modułem równoważenia obciążenia sieciowego systemu Windows

• Wdrażanie wielu serwerów dostępu zdalnego w wielu lokacjach wdrożenia

  • Przewodnik laboratorium testowego: Prezentują wielu lokacjach wdrożenia funkcji DirectAccess

• Wdrażanie dostępu zdalnego z uwierzytelnianiem OTP

  • Przewodnik laboratorium testowego: Funkcja DirectAccess z hasłem Jednorazowym uwierzytelniania i RSA SecurID prezentują

• Wdrażanie funkcji dostępu zdalnego w środowisku wielu lasów

• Przyłączanie do domeny funkcji DirectAccess w trybie offline

Zarządzanie dostępem zdalnym

• Monitorowanie i ewidencjonowanie aktywności zdalnego dostępu

• Zdalne zarządzanie klientami funkcji DirectAccess

Migrowanie dostępu zdalnego

• Migrowanie dostępu zdalnego do systemu Windows Server 2012

• Migrate from Forefront UAG SP1 DirectAccess to Windows Server 2012

Przed rozpoczęciem wdrażania zapoznaj się z listą nieobsługiwanych konfiguracji, znanych problemów i wymagań wstępnych

• Funkcja DirectAccess nieobsługiwane konfiguracje

• Funkcja DirectAccess znane problemy

• Wymagania wstępne dotyczące wdrażania funkcji DirectAccess

Opis scenariusza

Poniżej wymieniono obsługiwane scenariusze migracji dla programu Forefront UAG z dodatkiem SP1:

Obsługiwane klienckie systemy operacyjne	Obsługiwane kontrolery domeny	Obsługiwane serwery aplikacji
Windows® 7Windows 7 Windows® 8 Windows Server 2012	Windows 2003 Server Windows Server® 2008 Windows Server® 2008 R2 Windows Server 2012	Windows 2003 Server Windows Server 2008 Windows Server 2008 R2 Windows Server 2012

W tym scenariuszu

Opisano dwa scenariusze migracji:

• Migracja równoległa (side-by-side) — ten typ migracji zapewnia nieprzerwane działanie serwera funkcji DirectAccess w programie Forefront UAG podczas wdrażania funkcji DirectAccess w systemie Windows Server 2012. Po zakończeniu wdrażania klienci funkcji DirectAccess używają funkcji DirectAccess skonfigurowanej na komputerze z systemem Windows Server 2012, a serwer programu Forefront UAG jest wyłączany. Ten typ migracji wymaga powielania niektórych ustawień, ponieważ ustawienia nazwy FQDN, adresów IP i certyfikatów muszą być unikatowe na każdym serwerze.

• Migracja w trybie offline — ten typ migracji umożliwia kopiowanie konfiguracji funkcji DirectAccess z identycznymi ustawieniami z serwera funkcji DirectAccess programu Forefront UAG do komputera z systemem Windows Server 2012, który działa jako serwer dostępu zdalnego. Następnie należy wyłączyć serwer programu Forefront UAG. Usługa nie będzie dostępna dla klientów funkcji DirectAccess do czasu uruchomienia serwera dostępu zdalnego z systemem Windows Server 2012.

Wymagania wstępne

Przed rozpoczęciem wdrażania tego scenariusza przejrzyj tę listę pod kątem ważnych wymagań:

• Nie jest obsługiwany protokół ISATAP w sieci firmowej. Jeśli korzystasz z protokołu ISATAP, usuń go i skorzystaj z natywnego protokołu IPv6.

• Jeśli ochrona dostępu do sieci (NAP) jest używana wraz z programem UAG, to teraz będzie wymagała oddzielnego serwera NPS.

  Ochrona dostępu do sieci została uznana za przestarzałą w systemie Windows Server 2012 R2 Oznacza to, że ochrona dostępu do sieci może być nieobsługiwana w przyszłych wersjach systemu Windows. Nie zaleca się nowych wdrożeń z ochroną dostępu do sieci.

Zastosowania praktyczne

W tym scenariuszu opisano, jak można kontynuować działanie istniejących wdrożeń funkcji DirectAccess przy użyciu systemu Windows Server 2012 zamiast programu Forefront UAG.

Wymagania sprzętowe

Wymagania sprzętowe obejmują następujące pozycje:

• Co najmniej jeden serwer programu Forefront UAG, na którym pomyślnie działa wdrożenie funkcji DirectAccess.

• Wymagania dotyczące serwera dostępu zdalnego systemu Windows Server 2012:

  • Komputer spełniający wymagania sprzętowe systemu Windows Server 2012.

• Wymagania dotyczące klienta dla funkcji DirectAccess w systemie Windows Server 2012:

  • Na komputerze klienckim musi być uruchomiony system Windows® 8 lub Windows 7.

• Wymagania dotyczące infrastruktury i serwerów zarządzania:

  • W trakcie zdalnego zarządzania komputerami klienckimi funkcji DirectAccess klienci inicjują komunikację z serwerami zarządzania, takimi jak kontrolery domen, serwery konfiguracji programu System Center i serwery Urzędu rejestrowania kondycji (HRA), w celu uzyskania dostępu do usług, które obejmują aktualizacje oprogramowania antywirusowego i systemu Windows oraz zgodność klienta w zakresie ochrony dostępu do sieci (NAP). Wymagane serwery powinny zostać wdrożone przed rozpoczęciem wdrażania dostępu zdalnego.

  • Jeśli dostęp zdalny wymaga zgodności klientów w zakresie ochrony dostępu do sieci, przed rozpoczęciem wdrażania dostępu zdalnego powinny być wdrożone serwery NPS i HRS.

  • Wymagany jest serwer urzędu certyfikacji, jeśli będą wystawiane certyfikaty do uwierzytelnienia serwera protokołu IP-HTTPS i lokalizacji sieciowej. Funkcja DirectAccess w systemie Windows Server 2012 obsługuje stosowanie certyfikatów z podpisem własnym utworzonych automatycznie podczas wdrażania funkcji DirectAccess.

  • Wymagany jest serwer DNS z systemem Windows Server 2003, Windows Server 2008 z dodatkiem SP2, Windows Server 2008 R2 lub Windows Server 2012.

Wymagania dotyczące oprogramowania

Istnieje szereg wymagań dotyczących tego scenariusza:

• Wymagania dotyczące serwera funkcji DirectAccess w systemie Windows Server 2012:

  • Serwer dostępu zdalnego musi należeć do domeny. Serwer można wdrożyć na brzegu sieci wewnętrznej albo za zaporą brzegową lub innym urządzeniem.

  • Osoba wdrażająca dostęp zdalny na serwerze musi mieć uprawnienia administratora lokalnego na serwerze i posiadać konto użytkownika domeny. Do przygotowywania obiektów zasad grupy wymagane są uprawnienia administratora domeny.

• Wymagania dotyczące klienta dostępu zdalnego:

  • Klienci funkcji DirectAccess muszą należeć do domeny. Domeny zawierające klientów mogą albo należeć do tego samego lasu co serwer dostępu zdalnego, albo mieć dwukierunkowe zaufanie z lasem lub domeną serwera dostępu zdalnego.

  • Wymagane jest, aby komputery, które mają zostać skonfigurowane jako klienci funkcji DirectAccess, należały do grup zabezpieczeń usługi Active Directory.

Używanie protokołu ISATAP

Użycie protokołu ISATAP jako technologii przechodzenia od protokołu IPv6 do protokołu IPv4 w funkcji DirectAccess w systemie Windows Server 2012 nie jest zalecane. Jeśli w programie Forefront UAG skonfigurowano używanie protokołu ISATAP, zaleca wyłączenie go i używanie zamiast niego usługi NAT64.

Przy wyłączonym protokole ISATAP klienci funkcji DirectAccess mogą inicjować połączenia z komputerami w sieci wewnętrznej, a komputery w sieci wewnętrznej mogą odpowiadać. Jednak komputery w sieci wewnętrznej nie będą mogły inicjować połączeń z funkcją DirectAccess na potrzeby zarządzania klientami zdalnymi. Aby mieć możliwość zarządzania klientami zdalnymi, należy rozważyć wdrożenie natywnego protokołu IPv6 dla serwerów zarządzania, które będą łączyć się z komputerami klienckimi funkcji DirectAccess.

Używanie ochrony dostępu do sieci

Program Forefront UAG zawiera złożone ustawienia konfiguracji ochrony dostępu do sieci (NAP), a na serwerze programu Forefront UAG można zainstalować role serwera zasad sieciowych (NPS) i urzędu rejestrowania kondycji (HRA). Te ustawienia nie są obsługiwane dla funkcji DirectAccess w systemie Windows Server 2012. W systemie Windows Server 2012 można tylko określić, czy zgodność klienta jest wymuszana za pomocą ochrony dostępu do sieci podczas uwierzytelniania przy użyciu protokołu IPsec. Role serwera zasad sieciowych i urzędu rejestrowania kondycji są zainstalowane na serwerach zdalnych w sieci wewnętrznej. Serwer urzędu rejestrowania kondycji musi być dostępny w pierwszym tunelu funkcji DirectAccess lub za pośrednictwem Internetu.