Áttelepítés a Forefront UAG SP1 DirectAccessről a Windows Server 2012-re
Érvényes: Windows Server 2012 R2, Windows Server 2012
Ez a dokumentum egy meglévő Forefront UAG SP1 DirectAccess telepítés áttelepítését ismerteti a Windows Server® 2012-ben használt DirectAccessbe. Egy egyszerű forgatókönyv áttelepítését mutatja be, amely egyetlen Forefront UAG-kiszolgálót, vagy a Forefront UAG-kiszolgálók egyetlen tartományon belül konfigurált tömbjét tartalmazza, valamint egyetlen NAT64-et használó webhelyet, amely nem lett ISATAP-útválasztóként beállítva. Vegye figyelembe, hogy ez a frissítés csak a Forefront UAG SP1-et futtató számítógépeken támogatott.
Központi telepítési dokumentációkészlet a Windows Server 2012 Távelérés (DirectAccess) szolgáltatásához
Az alábbi lista a Távelérés három fő telepítési módjának dokumentációját tartalmazza: Alapszintű, Speciális és Vállalati. A listában megtalálhatók a kiadáshoz tartozó kezelési és áttelepítési dokumentumok is.
Alapszintű távelérés központi telepítése
Speciális távelérés központi telepítése
Távelérés vállalati központi telepítése
A többhelyes központi telepítésének több távelérés-kiszolgálók telepítése
Távelérés központi telepítése egyszeri jelszavas hitelesítéssel
A távelérés kezelése
A távelérés áttelepítése
Mielőtt megkezdené a központi telepítést, tekintse át a nem támogatott konfigurációk, az ismert problémák és az előfeltételek listáját
Forgatókönyv leírása
A Forefront UAG SP1 áttelepítésének támogatott forgatókönyvei az alábbiak:
Ügyfelek támogatott operációs rendszerei |
Támogatott tartományvezérlők |
Támogatott alkalmazáskiszolgálók |
|---|---|---|
Windows® 7Windows 7 Windows® 8 Windows Server 2012 |
Windows 2003 Server Windows Server® 2008 Windows Server® 2008 R2 Windows Server 2012 |
Windows 2003 Server Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 |
Ebben a forgatókönyvben
Két áttelepítési forgatókönyv leírása olvasható:
Párhuzamos áttelepítés – Az ilyen típusú áttelepítés használatával folyamatosan futtathatja a Forefront UAG DirectAccess-kiszolgálót, miközben telepíti a DirectAccess-t a Windows Server 2012-ben. A telepítés befejezését követően a DirectAccess-ügyfelek a Windows Server 2012 rendszerű számítógépen konfigurált DirectAccess-t fogják használni, és a rendszer eltávolítja a Forefront UAG-kiszolgálót a szolgáltatásból. Az ilyen típusú áttelepítéshez egyes beállítások duplikálására van szükség, mivel a teljes tartománynévnek, az IP-címeknek és a tanúsítványbeállításoknak az összes kiszolgálón egyedinek kell lenniük.
Offline áttelepítés – Az ilyen típusú áttelepítéssel a DirectAccess konfigurációját azonos beállításokkal másolhatja a Forefront UAG DirectAccess-kiszolgálóról a Windows Server 2012-t futtató számítógépre, amely Távelérési kiszolgálóként fut. Ezután leállíthatja a Forefront UAG-kiszolgálót. A DirectAccess-ügyfelek számára nyújtott szolgáltatás nem lesz elérhető a Windows Server 2012 Távelérési kiszolgáló üzembe helyezéséig.
Előfeltételek
Mielőtt elkezdené a forgatókönyv telepítését, tekintse át a fontos követelmények alábbi listáját:
- Az ISATAP a vállalati hálózatban nem támogatott. Ha ISATAP-kapcsolatot használ, távolítsa el, és használjon natív IPv6-kapcsolatot.
Ha az NAP az UAG-ba építve van használatban, az NAP használatához egy különálló NPS-kiszolgálóra lesz szükség.
Az NAP elavulttá vált a Windows Server 2012 R2-ben. Így előfordulhat, hogy az NAP nem élvez majd támogatást a Windows későbbi verzióiban. Az NAP-vel rendelkező új telepítések nem támogatottak.
Gyakorlati alkalmazásmódok
Ez a forgatókönyv azt ismerteti, hogyan folytatható a Forefront UAG helyett a Windows Server 2012-t használó meglévő DirectAccess-telepítés futtatása.
Hardverkövetelmények
A hardverkövetelmények az alábbiak:
Legalább egy, a DirectAccess-telepítést sikeresen futtató Forefront UAG-kiszolgáló.
A Windows Server 2012 Távelérési kiszolgáló követelményei:
- A(z) Windows Server 2012 hardverkövetelményeinek megfelelő számítógép.
A Windows Server 2012-ben futtatott DirectAccess-re vonatkozó ügyfél-követelmények:
- Az ügyfélszámítógépeknek a Windows® 8-at vagy a Windows 7-et kell futtatniuk.
Infrastruktúra- és kezelésikiszolgáló-követelmények:
A DirectAccess-ügyfélszámítógépek távoli felügyelete során az ügyfelek kommunikációt kezdeményeznek a kezelési kiszolgálókkal (például tartományvezérlőkkel, System Center Configuration-, és állapotjegyző (HRA-) kiszolgálókkal) olyan szolgáltatások esetén, amelyek Windows- és víruskereső-frissítéseket, valamint Hálózatvédelem (NAP) ügyfél-kompatibilitást foglalnak magukban. A szükséges kiszolgálókat a távelérés központi telepítésének megkezdése előtt kell telepíteni.
Ha a távelérés NAP-kompatibilitást igényel, az NPS- és HRS-kiszolgálókat a távelérés központi telepítésének megkezdése előtt kell telepíteni.
Egy hitelesítésszolgáltatói (CA) kiszolgálóra van szükség, ha a tanúsítványok lesznek kiállítva az IP-HTTPS és a hálózatihely-kiszolgáló hitelesítéséhez. Vegye figyelembe, hogy a Windows Server 2012-ben futtatott DirectAccess támogatja a DirectAccess telepítése során automatikusan létrehozott önaláírt tanúsítványok használatát.
A Windows Server 2003-at, a Windows Server 2008 SP2-t, a Windows Server 2008 R2-t vagy a Windows Server 2012-t futtató DNS-kiszolgáló szükséges.
Szoftverkövetelmények
A forgatókönyvre több követelmény is vonatkozik:
DirectAccess-kiszolgálóra vonatkozó követelmények a Windows Server 2012-ben:
A távelérési kiszolgálónak tartományi tagnak kell lennie. A kiszolgáló telepíthető a belső hálózat peremén, illetve tűzfal vagy egyéb eszköz mögött.
A kiszolgálón a távelérés központi telepítését végző személynek a kiszolgálón helyi rendszergazdai engedélyekkel, valamint tartományi felhasználói fiókkal kell rendelkeznie. A csoportházirend-objektumok előkészítéséhez tartományi rendszergazdai engedélyek szükségesek.
Távelérési ügyfelekre vonatkozó követelmények:
A DirectAccess-ügyfeleknek tartományi tagoknak kell lenniük. Az ügyfeleket tartalmazó tartományok tartozhatnak a távelérési kiszolgálóval megegyező erdőbe, vagy rendelkezhetnek kétirányú megbízhatósági kapcsolattal a távelérési kiszolgáló erdejével vagy tartományával.
Egy Active Directory biztonsági csoport szükséges, amely a DirectAccess-ügyfélként konfigurálni kívánt számítógépeket tartalmazza.
Az ISATAP használata
Az ISATAP használata IPv6–IPv4 áttérési technológiaként nem ajánlott a DirectAccessben, a Windows Server 2012 rendszeren. Ha a Forefront UAG az ISATAP használatára van konfigurálva, javasolt annak letiltása, és helyette a NAT64 használata.
A letiltott ISATAP mellett a DirectAccess-ügyfelek kapcsolatot kezdeményezhetnek a belső hálózaton lévő számítógépekkel, és a belső hálózaton lévő számítógépek képesek válaszolni. A belső hálózaton lévő számítógépek azonban nem lesznek képesek kapcsolatot kezdeményezni a DirectAccess felé az ügyfelek távoli kezelése céljából. Ha engedélyezni szeretné a távoli ügyfélkezelést, vegye fontolóra a natív IPv6 telepítését a DirectAccess-ügyfélszámítógépekhez csatlakozó kezelési kiszolgálókon.
Az NAP használata
A Forefront UAG a hálózatelérési házirend (NAP) összetett konfigurációs beállításait biztosítja, a hálózati házirend-kiszolgáló (NPS) és a állapotjegyző (HRA) szerepkör pedig telepíthető a Forefront UAG-kiszolgálóra. Ezek a beállítások nem támogatottak a Windows Server 2012-ben futtatott DirectAccess esetében. A Windows Server 2012-ben csak azt adhatja meg, hogy kényszerítve legyen-e az ügyfelek megfelelősége az NAP segítségével az IPsec-hitelesítés során. Az NPS és a HRA szerepkör a belső hálózaton található távoli kiszolgálókra van telepítve. A HRA-kiszolgálónak elérhetőnek kell lennie az első DirectAccess-alagúton vagy az interneten keresztül.