Migrieren von Forefront UAG SP1 DirectAccess zu Windows Server 2012
Betrifft: Windows Server 2012 R2, Windows Server 2012
In diesem Dokument wird die Migration einer vorhandenen Bereitstellung von Forefront UAG SP1 DirectAccess zu DirectAccess in Windows Server® 2012 beschrieben. Veranschaulicht wird die Migration eines einfachen Szenarios mit einem einzelnen Forefront UAG-Server oder einem Array von Forefront UAG-Servern, mit NAT64 in einer Domäne und an einem Standort konfiguriert und nicht als ISATAP-Router eingerichtet. Dieses Upgrade wird nur für Computer unterstützt, auf denen Forefront UAG SP1 ausgeführt wird.
Windows Server 2012-Remotezugriff (DirectAccess) – Dokumentation zur Bereitstellung
Im Folgenden finden Sie die Dokumentation zu den drei wichtigsten RAS-Bereitstellungspfaden: Einfach, Erweitert und Enterprise. Außerdem werden die für diese Version verfügbaren Dokumente zum Verwalten und Migrieren aufgelistet.
Bereitstellen des einfachen Remotezugriffs
Bereitstellen des erweiterten Remotezugriffs
Bereitstellen des Remotezugriffs in einem Unternehmen
Bereitstellen Sie mehrere RAS-Server in einer Bereitstellung mit mehreren Standorten
Bereitstellen von Remotezugriff in einer Umgebung mit mehreren Gesamtstrukturen
Verwalten des Remotezugriffs
Migrieren des Remotezugriffs
Bevor Sie mit der Bereitstellung beginnen, sollten Sie sich die folgende Liste mit nicht unterstützten Konfigurationen, bekannten Problemen und Voraussetzungen ansehen:
Beschreibung des Szenarios
Folgende Migrationsszenarios werden für Forefront UAG SP1 unterstützt:
Unterstützte Clientbetriebssysteme |
Unterstützte Domänencontroller |
Unterstützte Anwendungsserver |
|---|---|---|
Windows® 7Windows 7 Windows® 8 Windows Server 2012 |
Windows Server 2003 Windows Server® 2008 Windows Server® 2008 R2 Windows Server 2012 |
Windows Server 2003 Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 |
Inhalt dieses Szenarios
Es werden zwei Migrationsszenarios beschrieben:
Parallelmigration – Verwenden Sie diesen Migrationstyp, wenn der Server mit Forefront UAG DirectAccess während der Bereitstellung von DirectAccess in Windows Server 2012 weiter ausgeführt werden soll. Nach Abschluss der Bereitstellung verwenden DirectAccess-Clients das auf dem Windows Server 2012-Computer konfigurierte DirectAccess, und der Forefront UAG-Server wird außer Betrieb genommen. Dieser Migrationstyp erfordert die Duplizierung einiger Einstellungen, da FQDN, IP-Adressen und Zertifikateinstellungen auf allen Servern eindeutig sein müssen.
Offlinemigration– Verwenden Sie diesen Migrationstyp, um die DirectAccess-Konfiguration mit identischen Einstellungen vom Server mit Forefront UAG DirectAccess auf den als RAS-Server ausgeführten Windows Server 2012-Computer zu kopieren. Fahren Sie den Forefront UAG-Server dann herunter. Der Dienst für DirectAccess-Clients ist erst verfügbar, wenn der Windows Server 2012-RAS-Server ausgeführt wird.
Voraussetzungen
Bevor Sie mit der Bereitstellung dieses Szenarios beginnen, sollten Sie die Liste der wichtigen Anforderungen lesen:
- ISATAP wird im Unternehmensnetzwerk nicht unterstützt. Wenn Sie ISATAP verwenden, sollten Sie es entfernen und das systemeigene IPv6 verwenden.
Wenn NAP als Posteingang in UAG verwendet wird, erfordert NAP jetzt einen separaten NPS-Server.
NAP gilt seit Windows Server 2012 R2 als veraltet. Dies bedeutet, dass NAP möglicherweise in zukünftigen Versionen von Windows nicht mehr unterstützt wird. Neue Bereitstellungen mit NAP werden nicht empfohlen.
Praktische Anwendung
In diesem Szenario wird beschrieben, wie Sie die Ausführung einer vorhandenen DirectAccess-Bereitstellung mithilfe von Windows Server 2012 statt Forefront UAG fortsetzen.
Hardwareanforderungen
Zu den Hardwareanforderungen gehören folgende:
Ein oder mehrere Forefront UAG-Server, auf denen erfolgreich eine DirectAccess-Bereitstellung ausgeführt wird.
Anforderungen für den RAS-Server unter Windows Server 2012:
- Ein Computer, der die Hardwareanforderungen für Windows Server 2012 erfüllt.
Clientanforderungen für DirectAccess in Windows Server 2012:
- Auf einem Clientcomputer muss die Windows® 8 oder Windows 7 ausgeführt werden.
Anforderungen an Infrastruktur und Verwaltungsserver:
Während der Remoteverwaltung von DirectAccess-Clientcomputern initiieren die Clients die Kommunikation mit Verwaltungsservern, z. B. Domänencontrollern, System Center-Konfigurationsservern und Inhaltsregistrierungsstellen (HRA)-Servern, für Dienste, darunter Windows- und Antivirus-Updates sowie Network Access Protection (NAP)-Clientkompatibilität. Die erforderlichen Server sollten bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.
Falls der Remotezugriff Client-NAP-Kompatibilität erfordert, sollten die NPS- und HRS-Server bereitgestellt werden, bevor mit der Bereitstellung des Remotezugriffs begonnen wird.
Es ist ein Zertifizierungsstellenserver erforderlich, wenn Zertifikate für die Authentifizierung von IP-HTTPS und den Netzwerkadressenserver ausgegeben werden.. DirectAccess in Windows Server 2012 unterstützt die Verwendung selbstsignierter Zertifikate, die automatisch bei der DirectAccess-Bereitstellung erstellt werden.
Es ist ein DNS-Server erforderlich, auf dem Windows Server 2003, Windows Server 2008 SP2; Windows Server 2008 R2 oder Windows Server 2012 ausgeführt wird.
Softwareanforderungen
Für dieses Szenario gelten eine Reihe von Anforderungen:
DirectAccess-Serveranforderungen in Windows Server 2012:
Der RAS-Server muss Domänenmitglied sein. Der Server kann an der Schwelle zum internen Netzwerks oder geschützt durch eine Edgefirewall oder ein anderes Gerät bereitgestellt werden.
Die Person, die den Remotezugriff auf dem Server einrichtet, muss lokale Administratorberechtigungen für den Server und ein Domänenbenutzerkonto besitzen. Zum Vorbereiten der Gruppenrichtlinienobjekte sind Domänenadministratorberechtigungen erforderlich.
Remotezugriffs-Client-Anforderungen:
DirectAccess-Clients müssen Domänenmitglieder sein. Domänen, die Clients enthalten, können zur selben Gesamtstruktur gehören wie der Remotezugriffsserver oder eine bidirektionale Vertrauensstellung mit der Remotezugriffsserver-Gesamtstruktur oder -Domäne innehaben.
Eine Active Directory-Sicherheitsgruppe wird benötigt, um die Computer aufzunehmen, die als DirectAccess-Clients konfiguriert werden.
Verwenden von ISATAP
Die Verwendung von ISATAP als IPv6-zu-IPv4- Übergangstechnologie in DirectAccess in Windows Server 2012 wird nicht empfohlen. Ist Forefront UAG für die Verwendung von ISATAP konfiguriert, sollten Sie dieses deaktivieren und stattdessen NAT64 verwenden.
Ist ISATAP deaktiviert, können DirectAccess-Clients Verbindungen zu Computern im internen Netzwerk initiieren, und die Computer im internen Netzwerk können antworten. Computer im internen Netzwerk können jedoch keine Verbindungen zu DirectAccess zum Zweck der Remoteclientverwaltung initiieren. Wenn Sie die Remoteclientverwaltung verwenden möchten, sollten Sie das systemeigene IPv6 für Verwaltungsserver bereitstellen, die eine Verbindung zu DirectAccess-Clientcomputern herstellen.
Verwenden von NAP
Forefront UAG stellt komplexe Konfigurationseinstellungen für Netzwerkzugriffsrichtlinien (NAP) bereit. Außerdem können die Rollen "Netzwerkrichtlinienserver" (Network Policy Server, NPS) und "Integritätsregistrierungsstelle" (Health Registration Authority, HRA) auf dem Forefront UAG-Server installiert werden. Diese Einstellungen werden für DirectAccess in Windows Server 2012 nicht unterstützt. In Windows Server 2012 können Sie lediglich angeben, ob die Clientkompatibilität während der IPsec-Authentifizierung durch NAP erzwungen wird oder nicht. Die NPS- und HRA-Rollen werden auf Remoteservern im internen Netzwerk installiert. Der HRA-Server muss über den ersten DirectAccess-Tunnel oder über das Internet zugänglich sein.