Procéder à une migration de Forefront UAG SP1 DirectAccess vers Windows Server 2012

S'applique à: Windows Server 2012 R2, Windows Server 2012

Ce document décrit la migration d’un déploiement Forefront UAG SP1 DirectAccess existant vers DirectAccess dans Windows Server® 2012. Il illustre la migration d’un scénario simple qui inclut un serveur Forefront UAG individuel ou un ensemble de serveurs Forefront UAG configurés dans un domaine unique et un site unique utilisant NAT64, et non configurés en tant que routeur ISATAP. Notez que cette mise à niveau est prise en charge uniquement pour les ordinateurs qui exécutent Forefront UAG SP1.

Ensemble de la documentation relative au déploiement de l’accès à distance de Windows Server 2012 (DirectAccess)

Voici la liste des documents pour les trois principaux chemins de déploiement de l’accès à distance : De base, Avancé et Entreprise. Sont également répertoriées les documents de gestion et de migration disponibles pour cette version.

Déployer l’accès à distance de base

• Déployer un serveur DirectAccess individuel à l’aide de l’Assistant Mise en route

  • Guide du laboratoire de test : Démonstration de la configuration simplifiée de DirectAccess dans un environnement de test IPv4 uniquement dans Windows Server 2012

Déployer l’accès à distance avancé

• Déployer un serveur DirectAccess unique avec des paramètres avancés 

  • Guide du laboratoire de test : Démontrer l’installation du serveur DirectAccess unique avec un environnement mixte IPv4 et IPv6 dans Windows Server 2012

Déployer l'accès à distance dans une entreprise

• Planification de la capacité DirectAccess

• Déployer l’accès à distance dans un cluster 

  • Guide de laboratoire de test : démonstration de DirectAccess dans un cluster avec équilibrage de charge réseau Windows

• Déployer plusieurs serveurs d'accès à distance dans un déploiement Multisite

  • Guide du laboratoire de test : Décrire un déploiement Multisite DirectAccess

• Déployer l’accès à distance avec l’authentification par mot de passe à usage unique

  • Guide du laboratoire de test : Décrire DirectAccess avec l'authentification unique et RSA SecurID

• Déployer l’accès à distance dans un environnement à forêts multiples

• Jonction de domaine hors connexion DirectAccess

Gérer l'accès à distance

• Utiliser l'analyse et la gestion de comptes de l'accès à distance

• Gérer les clients DirectAccess à distance

Migrer l'accès à distance

• Migrer l’accès à distance vers Windows Server 2012

• Migrate from Forefront UAG SP1 DirectAccess to Windows Server 2012

Avant de commencer le déploiement, consultez la liste des configurations non prises en charge, des problèmes connus et des configurations requises

• DirectAccess les Configurations non prises en charge

• Problèmes connus de DirectAccess

• Conditions préalables pour le déploiement de DirectAccess

Description du scénario

Scénarios de migration pris en charge pour Forefront UAG SP1 :

Dans ce scénario

Deux scénarios de migration sont décrits :

• Migration côte à côte : utilisez ce type de migration pour maintenir le serveur Forefront UAG DirectAccess en cours d’exécution pendant que vous déployez DirectAccess dans Windows Server 2012. Une fois le déploiement terminé, les clients DirectAccess utilisent DirectAccess configuré sur l’ordinateur Windows Server 2012 et le serveur Forefront UAG est supprimé du service. Ce type de migration requiert la duplication de certains paramètres car le nom de domaine complet, les adresses IP et les paramètres de certificat doivent être uniques sur chaque serveur.

• Migration hors connexion : utilisez ce type de migration pour copier la configuration DirectAccess avec des paramètres identiques à partir du serveur Forefront UAG DirectAccess vers l’ordinateur Windows Server 2012 qui s’exécute en tant que serveur d’accès à distance. Arrêtez ensuite le serveur Forefront UAG. Le service pour les clients DirectAccess ne sera pas disponible tant que le serveur d’accès à distance Windows Server 2012 ne sera pas opérationnel.

Conditions préalables

Avant de déployer ce scénario, prenez connaissance des conditions requises suivantes qui ont leur importance :

• Le protocole ISATAP n'est pas pris en charge sur le réseau d'entreprise. Si vous utilisez le protocole ISATAP, vous devez le supprimer et utiliser le protocole IPv6 natif.

• Si la protection NAP est utilisée pour la boîte de réception UAG, elle exige un serveur NPS distinct.

  La protection NAP est déconseillée dans Windows Server 2012 R2. Cela signifie que la protection NAP peut ne pas être prise en charge dans les versions futures de Windows. Les nouveaux déploiements avec la protection NAP ne sont pas recommandés.

Cas pratiques

Ce scénario décrit comment continuer à exécuter un déploiement DirectAccess existant en utilisant Windows Server 2012 à la place de Forefront UAG.

Configuration matérielle requise

La configuration matérielle requise inclut les éléments suivants :

• Un ou plusieurs serveurs Forefront UAG exécutant correctement un déploiement DirectAccess.

• Configuration requise du serveur d’accès à distance Windows Server 2012 :

  • Un ordinateur qui présente la configuration matérielle requise pour Windows Server 2012.

• Configuration requise du client pour DirectAccess dans Windows Server 2012 :

  • Un ordinateur client doit exécuter Windows® 8 ou Windows 7.

• Configuration requise en termes d’infrastructure et de serveurs d’administration :

  • Lors de la gestion à distance des ordinateurs clients DirectAccess, les clients initient des communications avec des serveurs d’administration tels que les contrôleurs de domaine, les serveurs System Center Configuration et les serveurs d’autorité HRA (Health Registration Authority) pour des services incluant les mises à jour Windows et d’antivirus, ainsi que la mise en conformité des clients de protection d’accès réseau. Les serveurs requis doivent être déployés préalablement au déploiement de l’accès à distance.

  • Si l’accès à distance requiert la conformité des clients de protection d’accès réseau, les serveurs NPS et HRS doivent être déployés préalablement au déploiement de l’accès à distance.

  • Un serveur d’autorité de certification est requis si des certificats doivent être émis pour l’authentification d’IP-HTTPS et du serveur Emplacement réseau. Notez que DirectAccess dans Windows Server 2012 prend en charge l’utilisation des certificats auto-signés créés automatiquement au cours du déploiement de DirectAccess.

  • Un serveur DNS exécutant Windows Server 2003, Windows Server 2008 SP2, Windows Server 2008 R2 ou Windows Server 2012 est requis.

Configuration logicielle requise

Plusieurs conditions sont requises pour ce scénario :

• Configuration requise du serveur DirectAccess dans Windows Server 2012 :

  • Le serveur d’accès à distance doit être membre d’un domaine. Le serveur peut être déployé en périphérie du réseau interne ou derrière un pare-feu de périmètre ou un autre périphérique.

  • La personne qui déploie l’accès à distance sur le serveur doit disposer des autorisations d’administrateur local sur le serveur, ainsi que d’un compte d’utilisateur de domaine. Pour préparer les objets de stratégie de groupe, des autorisations d’administrateur de domaine sont requises.

• Configuration requise des clients d’accès à distance :

  • Les clients DirectAccess doivent appartenir au domaine. Les domaines contenant des clients peuvent appartenir à la même forêt que celle du serveur d’accès à distance ou ils peuvent avoir une relation d’approbation bidirectionnelle avec la forêt ou le domaine du serveur d’accès à distance.

  • Un groupe de sécurité Active Directory est requis afin de contenir les ordinateurs qui seront configurés en tant que clients DirectAccess.

Utilisation d’ISATAP

ISATAP n’est pas la technologie recommandée pour effectuer la transition entre IPv6 et IPv4 dans DirectAccess dans Windows Server 2012. Si Forefront UAG est configuré pour utiliser ISATAP, il est recommandé de désactiver ce dernier et d’utiliser NAT64 à la place.

Quand ISATAP est désactivé, les clients DirectAccess peuvent établir des connexions avec les ordinateurs figurant dans le réseau interne et ces derniers sont capables de répondre. Toutefois, les ordinateurs figurant dans le réseau interne ne sont pas en mesure d’établir des connexions avec DirectAccess pour les besoins de la gestion des clients distants. Si vous voulez être capable de gérer les clients distants, envisagez de déployer IPv6 natif pour les serveurs de gestion qui se connecteront aux ordinateurs clients DirectAccess.

Utilisation de NAP

Forefront UAG fournit des paramètres de configuration de stratégie d’accès réseau (NAP) complexe et les rôles NPS (Network Policy Server) et HRA (Health Registration Authority) peuvent être installés sur le serveur Forefront UAG. Ces paramètres ne sont pas pris en charge pour DirectAccess dans Windows Server 2012. Dans Windows Server 2012, vous pouvez uniquement spécifier si la conformité des clients est appliquée ou non à l’aide d’une stratégie d’accès réseau au cours de l’authentification IPsec. Les rôles NPS et HRA sont installés sur des serveurs distants dans le réseau interne. Le serveur HRA doit être accessible via le premier tunnel DirectAccess ou via Internet.