Eseguire la migrazione da Forefront UAG SP1 DirectAccess a Windows Server 2012

Si applica a: Windows Server 2012 R2, Windows Server 2012

Questo documento descrive la migrazione di una distribuzione Forefront UAG SP1 DirectAccess esistente a DirectAccess in Windows Server® 2012. Illustra la migrazione di un semplice scenario che include un solo server Forefront UAG o un array di server Forefront UAG configurati in un unico dominio e in un unico sito con NAT64 e non configurati come router ISATAP. Si noti che questo aggiornamento è supportato solo per i computer che eseguono Forefront UAG SP1.

Documentazione per la distribuzione di Accesso remoto di Windows Server 2012 (DirectAccess)

Di seguito è elencata la documentazione relativa ai tre percorsi di distribuzione principale di accesso remoto: BaseAdvanced ed Enterprise. Sono elencati anche i documenti relativi a gestione e migrazione disponibili per questa versione.

Distribuire Accesso remoto di base

• Distribuire un server DirectAccess singolo usando Attività iniziali guidate

  • Guida al lab di test: Dimostrazione della configurazione semplificata di DirectAccess in un ambiente di test solo IPv4 in Windows Server 2012

Distribuire Accesso remoto avanzato

• Distribuire un server DirectAccess singolo con impostazioni avanzate 

  • Guida al lab di test: Dimostrazione della configurazione del singolo server DirectAccess con ambiente misto IPv4 e IPv6 in Windows Server 2012

Distribuire Accesso remoto in una grande impresa

• Pianificazione della capacità di DirectAccess

• Distribuire Accesso remoto in un cluster 

  • Guida al lab di test: Dimostrazione di DirectAccess in un cluster con Bilanciamento carico di rete di Windows

• Distribuire più server di accesso remoto in una distribuzione multisito

  • Guida dell'ambiente di prova: Dimostrazione di una distribuzione di DirectAccess multisito

• Distribuire Accesso remoto con l'autenticazione OTP

  • Guida dell'ambiente di prova: Dimostrazione di DirectAccess con autenticazione OTP e SecurID RSA

• Distribuire Accesso remoto in un ambiente con più foreste

• Aggiunta a dominio offline di DirectAccess

Gestire Accesso remoto

• Usare il monitoraggio e l'accounting di Accesso remoto

• Gestire i client DirectAccess in remoto

Eseguire la migrazione di Accesso remoto

• Eseguire la migrazione di Accesso remoto a Windows Server 2012

• Migrate from Forefront UAG SP1 DirectAccess to Windows Server 2012

Prima di iniziare la distribuzione vedere l'elenco di configurazioni non supportate, problemi noti e prerequisiti

• Configurazioni non supportate di DirectAccess

• Problemi noti di DirectAccess

• Prerequisiti per la distribuzione di DirectAccess

Descrizione dello scenario

Gli scenari di migrazione supportati per Forefront UAG SP1 sono i seguenti:

In questo scenario

Vengono descritti due scenari di migrazione:

• Migrazione affiancata: usare questo tipo di migrazione per lasciare in esecuzione il server Forefront UAG DirectAccess mentre si distribuisce DirectAccess in Windows Server 2012. Al termine della distribuzione, i client DirectAccess usano DirectAccess configurato sul computer Windows Server 2012 e il server Forefront UAG viene rimosso dal servizio. Questo tipo di migrazione richiede la duplicazione di alcune impostazioni perché il nome FQDN, gli indirizzi IP e le impostazioni dei certificati devono essere univoci in ogni server.

• Migrazione offline: usare questo tipo di migrazione per copiare la configurazione di DirectAccess con le medesime impostazioni dal server Forefront UAG DirectAccess al computer Windows Server 2012 eseguito come server di Accesso remoto. Quindi arrestare il server Forefront UAG. Il servizio per i client DirectAccess non sarà disponibile finché il server di Accesso remoto Windows Server 2012 è operativo.

Prerequisiti

Prima di affrontare la distribuzione di questo scenario, esaminare l'elenco dei requisiti importanti:

• La tecnologia ISATAP non è supportata nella rete aziendale. Se si usa la tecnologia ISATAP, rimuoverla e usare la connettività IPv6 nativa.

• Se Protezione accesso alla rete viene usato per la Posta in arrivo in UAG, richiederà un Server dei criteri di rete distinto.

  Protezione accesso alla rete è stato deprecato in Windows Server 2012 R2. Protezione accesso alla rete potrebbe quindi non essere supportato nelle versioni future di Windows. Non sono consigliate nuove distribuzioni con Protezione accesso alla rete.

Applicazioni pratiche

Questo scenario descrive come continuare a eseguire una distribuzione di DirectAccess esistente usando Windows Server 2012 invece di Forefront UAG.

Requisiti hardware

Di seguito sono elencati i requisiti hardware:

• Uno o più server Forefront UAG che eseguono una distribuzione di DirectAccess.

• Requisiti dei server di Accesso remoto di Windows Server 2012:

  • Un computer che soddisfi i requisiti hardware per Windows Server 2012.

• Requisiti dei client per DirectAccess in Windows Server 2012:

  • Un computer client deve eseguire Windows® 8 o Windows 7.

• Requisii del server di gestione e infrastruttura:

  • Durante la gestione remota dei computer client DirectAccess, i client avviano le comunicazioni con i server di gestione quali controller di dominio, server System Center Configuration e server Autorità registrazione integrità per i servizi che includono aggiornamenti di Windows e antivirus e conformità dei client di Protezione accesso alla rete. I server necessari devono essere distribuiti prima dell'inizio della distribuzione di Accesso remoto.

  • Se Accesso remoto richiede la conformità NAP del client, i server NPS e HRS devono essere distribuiti prima dell'inizio della distribuzione di Accesso remoto.

  • È necessario un server dell'autorità di certificazione (CA) se verranno rilasciati certificati per l'autenticazione di IP-HTTPS e del server dei percorsi di rete. Si noti che DirectAccess in Windows Server 2012 supporta l'uso di certificati autofirmati creati automaticamente durante la distribuzione di DirectAccess.

  • È richiesto un server DNS che esegue Windows Server 2003, Windows Server 2008 SP2, Windows Server 2008 R2 o Windows Server 2012.

Requisiti software

Per questo scenario sono presenti numerosi requisiti.

• Requisiti del server DirectAccess in Windows Server 2012:

  • Il server di Accesso remoto deve essere membro di un dominio. Il server può essere distribuito alla periferia della rete interna o dietro un firewall o un altro dispositivo periferico.

  • La persona che distribuisce Accesso remoto sul server deve avere autorizzazioni di amministratore locale sul server e un account utente di dominio. Per preparare gli oggetti Criteri di gruppo, sono necessarie autorizzazioni di amministratore di dominio.

• Requisiti dei client di Accesso remoto:

  • I client DirectAccess devono essere membri di un dominio. I domini contenenti client possono appartenere alla stessa foresta del server di Accesso remoto oppure disporre di un trust bidirezionale con la foresta o il dominio di Accesso remoto.

  • È richiesto un gruppo di sicurezza di Active Directory per contenere i computer che saranno configurati come client DirectAccess.

Uso di ISATAP

L'uso di ISATAP come tecnologia di transizione da IPv6 a IPv4 in DirectAccess in Windows Server 2012 non è consigliato. Se Forefront UAG è configurato per usare ISATAP, si consiglia di disabilitarlo e di usare invece NAT64.

Con ISATAP disabilitato, i client DirectAccess possono avviare connessioni ai computer nella rete interna e i computer nella rete interna possono rispondere. I computer nella rete interna, tuttavia, non potranno avviare connessioni a DirectAccess per gestire client remoti. Se è necessario gestire client remoti, prendere in considerazione la distribuzione di IPv6 nativo per i server di gestione che si connetteranno a computer client DirectAccess.

Uso di Protezione accesso alla rete

Forefront UAG fornisce le impostazioni di configurazione di Protezione accesso alla rete e i ruoli Server dei criteri di rete e Autorità registrazione integrità possono essere installati nel server Forefront UAG. Queste impostazioni non sono supportate per DirectAccess in Windows Server 2012. In Windows Server 2012 è possibile specificare solo se la conformità dei client viene applicata usando Protezione accesso alla rete durante l'autenticazione IPsec. I ruoli Server dei criteri di rete e Autorità registrazione integrità vengono installati in server remoti nella rete interna. Il server Autorità registrazione integrità deve essere accessibile tramite il primo tunnel DirectAccess o tramite Internet.