(0) exportieren Drucken
Alle erweitern

Migrieren von Forefront UAG SP1 zu Windows 8 Beta DirectAccess

Veröffentlicht: Februar 2012

Letzte Aktualisierung: Februar 2012

Betrifft: Windows Server 2012

In diesem Dokument wird die Migration einer vorhandenen Bereitstellung von Forefront UAG SP1 DirectAccess zu DirectAccess in Windows Server® 2012 beschrieben. Veranschaulicht wird die Migration eines einfachen Szenarios mit einem einzelnen Forefront UAG-Server oder einem Array von Forefront UAG-Servern, mit NAT64 in einer Domäne und an einem Standort konfiguriert und nicht als ISATAP-Router eingerichtet. Dieses Upgrade wird nur für Computer unterstützt, auf denen Forefront UAG SP1 ausgeführt wird.

Folgende Migrationsszenarien werden für Forefront UAG SP1 unterstützt:

 

Unterstützte Clientbetriebssysteme Unterstützte Domänencontroller
  1. Unterstützte Anwendungsserver

Windows 7

Windows® 8

Windows Server 2012

Windows 2003 Server

Windows Server 2008

Windows Server 2008 R2

Windows Server 2012

Windows 2003 Server

Windows Server 2008

Windows Server 2008 R2

Windows Server 2008 R2

Es werden zwei Migrationsszenarien beschrieben:

  • Parallelmigration – Verwenden Sie diesen Migrationstyp, wenn der Server mit Forefront UAG DirectAccess während der Bereitstellung von DirectAccess in Windows Server 2012 weiter ausgeführt werden soll. Nach Abschluss der Bereitstellung verwenden DirectAccess-Clients das auf dem Windows Server 2012-Computer konfigurierte DirectAccess, und der Forefront UAG-Server wird außer Betrieb genommen. Dieser Migrationstyp erfordert die Duplizierung einiger Einstellungen, da FQDN, IP-Adressen und Zertifikateinstellungen auf allen Servern eindeutig sein müssen.

  • Offlinemigration– Verwenden Sie diesen Migrationstyp, um die DirectAccess-Konfiguration mit identischen Einstellungen vom Server mit Forefront UAG DirectAccess auf den als RAS-Server ausgeführten Windows Server 2012-Computer zu kopieren. Fahren Sie den Forefront UAG-Server dann herunter. Der Dienst für DirectAccess-Clients ist erst verfügbar, wenn der Windows Server 2012-RAS-Server ausgeführt wird.

In diesem Szenario wird beschrieben, wie Sie die Ausführung einer vorhandenen DirectAccess-Bereitstellung mithilfe von Windows Server 2012 statt Forefront UAG fortsetzen.

Zu den Hardwareanforderungen gehören folgende:

  • Ein oder mehrere Forefront UAG-Server, auf denen erfolgreich eine DirectAccess-Bereitstellung ausgeführt wird.

  • Anforderungen für den RAS-Server unter Windows Server 2012:

    • Ein Computer, der die Hardwareanforderungen für Windows Server 2012 erfüllt.

  • Clientanforderungen für DirectAccess in Windows Server 2012:

    • Clientcomputer müssen mit Windows® 8 oder Windows 7 ausgeführt werden.

  • Anforderungen an Infrastruktur und Verwaltungsserver:

    • Während der Remoteverwaltung von DirectAccess-Clientcomputern initiieren die Clients die Kommunikation mit Verwaltungsservern, z. B. Domänencontrollern, System Center-Konfigurationsservern und Inhaltsregistrierungsstellen (HRA)-Servern, für Dienste, darunter Windows- und Antivirus-Updates sowie Network Access Protection (NAP)-Clientkompatibilität. Die erforderlichen Server sollten bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.

    • Falls der Remotezugriff Client-NAP-Kompatibilität erfordert, sollten die NPS- und HRS-Server bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.

    • Es ist ein Zertifizierungsstellenserver erfordlich, wenn Zertifikate für die Authentifizierung von IP-HTTPS und den Netzwerkadressenserver ausgegeben werden.. DirectAccess in Windows Server 2012 unterstützt die Verwendung selbstsignierter Zertifikate, die automatisch bei der DirectAccess-Bereitstellung erstellt werden.

    • Ein DNS-Server, auf dem Windows Server 2008 SP2, Windows Server 2008 R2 oder Windows Server 2012 ausgeführt wird, ist erforderlich.

Für dieses Szenario gelten eine Reihe an Anforderungen:

  • DirectAccess-Serveranforderungen in Windows Server 2012:

    • Der RAS-Server muss Domänenmitglied sein. Der Server kann an der Schwelle zum internen Netzwerks oder geschützt durch eine Edgefirewall oder ein anderes Gerät bereitgestellt werden.

    • Die Person, die den Remotezugriff auf dem Server einrichtet, muss lokale Administratorberechtigungen für den Server und ein Domänenbenutzerkonto besitzen. Zum Vorbereiten der Gruppenrichtlinienobjekte sind Domänenadministratorberechtigungen erforderlich.

  • Remotezugriffs-Client-Anforderungen:

    • DirectAccess-Clients müssen Domänenmitglieder sein. Domänen, die Clients beinhalten, können zur selben Gesamtstruktur gehören wie der RAS-Server, oder sie können eine bidirektionale Vertrauensstellung mit dem RAS-Server und der Domäne innehaben.

    • Eine Active Directory-Sicherheitsgruppe wird benötigt, um die Computer aufzunehmen, die als DirectAccess-Clients konfiguriert werden.

Die Verwendung von ISATAP als IPv6-zu-IPv4-Übergangstechnologie in DirectAccess in Windows Server 2012 wird nicht empfohlen. Ist Forefront UAG für die Verwendung von ISATAP konfiguriert, sollten Sie dieses deaktivieren und stattdessen NAT64 verwenden.

Ist ISATAP deaktiviert, können DirectAccess-Clients Verbindungen zu Computern im internen Netzwerk initiieren, und die Computer im internen Netzwerk können antworten. Computer im internen Netzwerk können jedoch keine Verbindungen zu DirectAccess zum Zweck der Remoteclientverwaltung initiieren. Wenn Sie die Remoteclientverwaltung verwenden möchten, sollten Sie das systemeigene IPv6 für Verwaltungsserver bereitstellen, die eine Verbindung zu DirectAccess-Clientcomputern herstellen.

Forefront UAG stellt komplexe Konfigurationseinstellungen für Netzwerkzugriffsrichtlinien (NAP) bereit. Außerdem können die Rollen "Netzwerkrichtlinienserver" (Network Policy Server, NPS) und "Integritätsregistrierungsstelle" (Health Registration Authority, HRA) auf dem Forefront UAG-Server installiert werden. Diese Einstellungen werden für DirectAccess in Windows Server 2012 nicht unterstützt. In Windows Server 2012 können Sie lediglich angeben, ob die Clientkompatibilität während der IPsec-Authentifizierung durch NAP erzwungen wird oder nicht. Die NPS- und HRA-Rollen werden auf Remoteservern im internen Netzwerk installiert. Der HRA-Server muss über den ersten DirectAccess-Tunnel oder über das Internet zugänglich sein.

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft