Migrar de Forefront UAG SP1 a DirectAccess de Windows 8 Beta
Se aplica a: Windows Server 2012 R2, Windows Server 2012
En este documento, se describe la migración de una implementación existente de DirectAccess de Forefront UAG SP1 a DirectAccess en Windows Server® 2012. Se ilustra la migración de un escenario sencillo que incluye un único servidor Forefront UAG, o una matriz de servidores Forefront UAG configurada en un único dominio y un único sitio con NAT64, y no configurada como un enrutador ISATAP. Tenga en cuenta que esta actualización es compatible solo con equipos que ejecutan Forefront UAG SP1.
Documentación de implementación elaborada sobre el acceso remoto en Windows Server 2012 (DirectAccess)
A continuación se facilita una lista de la documentación de las tres rutas de acceso de implementación de acceso remoto: Basic, Advanced y Enterprise. También se enumeran los documentos de administración y migración de los documentos disponibles para esta versión.
Implementación de Acceso Remoto básico
Implementar acceso remoto avanzado
Implementar el acceso directo en una empresa
Administrar el acceso remoto
Migrar el acceso remoto
Antes de proceder a la implementación, consulte la siguiente lista de configuraciones no compatibles, problemas conocidos y requisitos previos.
Descripción del escenario
Los escenarios de migración compatibles con Forefront UAG SP1 son los siguientes:
Sistemas operativos cliente compatibles |
Controladores de dominio admitidos: |
Servidores de aplicaciones compatibles |
|---|---|---|
Windows® 7Windows 7 Windows® 8 Windows Server 2012 |
Windows 2003 Server Windows Server® 2008 Windows Server® 2008 R2 Windows Server 2012 |
Windows 2003 Server Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 |
En este escenario
Se describen dos escenarios de migración:
Migración en paralelo: use este tipo de migración para mantener al servidor de DirectAccess de Forefront UAG en en ejecución mientras se implementa DirectAccess en Windows Server 2012. Después de que la implementación se haya completado, los clientes de DirectAccess usan DirectAccess configurado en el equipo con Windows Server 2012, y el servidor de Forefront UAG se quita de servicio. Este tipo de migración requiere duplicación de algunos valores de configuración porque FQDN, las direcciones IP y las configuraciones de certificado deben ser únicas en cada servidor.
Migración sin conexión: use este tipo de migración para copiar la configuración de DirectAccess con los mismos valores del servidor de DirectAccess de Forefront UAG en el equipo con Windows Server 2012 que se ejecuta como servidor de acceso remoto. A continuación, apague el servidor Forefront UAG. El servicio para clientes de DirectAccess no estará disponible hasta que el servidor de acceso remoto de Windows Server 2012 esté en funcionamiento.
Requisitos previos
Antes de comenzar con la implementación de este escenario, revise esta lista de requisitos importantes:
- ISATAP no es compatible con la red corporativa. Si utilizas ISATAP, debes eliminarlo y usar IPv6 nativo.
Si se usa NAP como bandeja de entrada en UAG, NAP ahora requerirá un servidor NPS independiente.
NAP ha quedado en desuso en Windows Server 2012 R2. Esto significa que es posible que NAP no se admita en versiones futuras de Windows. No se recomiendan nuevas implementaciones con NAP.
Aplicaciones prácticas
En este escenario, se describe cómo continuar ejecutando una implementación existente de DirectAccess con Windows Server 2012 en lugar de Forefront UAG.
Requisitos de hardware
Los requisitos de hardware incluyen lo siguiente:
Uno o más servidores Forefront UAG que ejecuten correctamente una implementación de DirectAccess.
Requisitos de servidor de acceso remoto de Windows Server 2012:
- Un equipo que cumpla con los requisitos de hardware para Windows Server 2012.
Requisitos de cliente para DirectAccess en Windows Server 2012:
- Un equipo cliente debe ejecutar Windows® 8 o Windows 7.
Requisitos de servidores de infraestructura y administración:
Durante la administración remota de los equipos cliente de DirectAccess, los clientes inician comunicaciones con servidores de administración tales como controladores de dominio, servidores de System Center Configuration y servidores de la Entidad de registro de mantenimiento (HRA) para servicios que incluyen Windows y actualizaciones de antivirus y la conformidad de clientes de Protección de acceso a redes (NAP). Los servidores requeridos se deben implementar antes de comenzar la implementación de acceso remoto.
Si el acceso remoto requiere la conformidad NAP de clientes, los servidores NPS y HRS se deben implementar antes de comenzar la implementación de acceso remoto
Se requiere un servidor de entidad de certificación (CA) si se emitirán certificados para autenticación de IP-HTTPS y del servidor de ubicación de red. Tenga en cuenta que DirectAccess en Windows Server 2012 admite el uso de certificados autofirmados creados automáticamente durante la implementación de DirectAccess.
Se requiere un servidor DNS que ejecute Windows Server 2003, Windows Server 2008 SP2, Windows Server 2008 R2 o Windows Server 2012.
Requisitos de software
Hay varios requisitos para este escenario:
Requisitos de servidor de DirectAccess en Windows Server 2012:
El servidor de acceso remoto debe ser un miembro del dominio. El servidor se puede implementar en el perímetro de la red interna o tras un firewall perimetral u otro dispositivo.
La persona que implemente el acceso remoto en el servidor necesita permisos de administrador local en el servidor y tener una cuenta de usuario de dominio. Se requieren permisos de administrador de dominio para preparar los GPO.
Requisitos de clientes de acceso remoto:
Los clientes de DirectAccess deben ser miembros del dominio. Los dominios que contienen clientes pueden pertenecer al mismo bosque que el servidor de acceso remoto, o tener una confianza bidireccional con el bosque o el dominio del servidor de acceso remoto.
Se requiere un grupo de seguridad de Active Directory para contener los equipos que se configurarán como clientes de DirectAccess.
Con ISATAP
No se recomienda el uso de ISATAP como tecnología de transición de IPv6 a IPv4 en DirectAccess en Windows Server 2012. Si se configura Forefront UAG para usar ISATAP, se recomienda deshabilitarlo y usar NAT64 en su lugar.
Con ISATAP deshabilitado los clientes de DirectAccess pueden iniciar conexiones con equipos en la red interna, y los equipos en la red interna pueden responder. Sin embargo, los equipos en la red interna no podrán iniciar conexiones con DirectAccess con fines de administración de clientes remotos. Si desea poder administrar clientes remotos, es aconsejable implementar IPv6 nativa para los servidores de administración que se conectarán con equipos cliente de DirectAccess.
Con NAP
Forefront UAG proporciona una configuración de Directiva de acceso a red (NAP) compleja, y el Servidor de directivas de redes (NPS) y los roles de Autoridad de registro de mantenimiento (HRA) se pueden instalar en el servidor Forefront UAG. Esta configuración no es compatible con DirectAccess en Windows Server 2012. En Windows Server 2012, solo puede especificar si se aplica o no la conformidad de clientes con NAP durante la autenticación IPsec. Los roles NPS y HRA se instalan en servidores remotos en la red interna. El servidor HRA debe ser accesible a través del primer túnel de DirectAccess, o a través de Internet.