Migreren van Forefront UAG SP1 DirectAccess naar Windows Server 2012
Van toepassing op: Windows Server 2012 R2, Windows Server 2012
In dit document wordt de migratie beschreven van een bestaande Forefront UAG SP1 DirectAccess-implementatie naar DirectAccess in Windows Server® 2012. De migratie wordt toegelicht aan de hand van een eenvoudig scenario met één Forefront UAG-server of een matrix van Forefront UAG-servers die zijn geconfigureerd in één domein en één site met NAT64, en die niet is ingesteld als een ISATAP-router. Houd er rekening mee dat deze upgrade alleen wordt ondersteund voor computers met Forefront UAG SP1.
Documentatieset voor de implementatie van Windows Server 2012 Remote Access (DirectAccess)
Hieronder volgt een lijst met documentatie voor de drie belangrijkste implementatiepaden voor Externe toegang: Basis, Geavanceerd en Onderneming. Ook worden de documenten voor Beheer en Migratie vermeld die beschikbaar zijn voor deze release.
Basisimplementatie van Externe toegang
Geavanceerde implementatie van Externe toegang
Externe toegang implementeren in een onderneming
Meerdere RAS-Servers implementeren in een meerdere locaties-implementatie
Externe toegang implementeren in een omgeving met meerdere forests
Externe toegang beheren
Externe toegang migreren
Raadpleeg voordat u met de implementatie begint de lijst met niet-ondersteunde configuraties, bekende problemen en vereisten
Scenariobeschrijving
De volgende migratiescenario's worden ondersteund voor Forefront UAG SP1:
Ondersteunde clientbesturingssystemen |
Ondersteunde domeincontrollers |
Ondersteunde toepassingsservers |
|---|---|---|
Windows® 7Windows 7 Windows® 8 Windows Server 2012 |
Windows 2003 Server Windows Server® 2008 Windows Server® 2008 R2 Windows Server 2012 |
Windows 2003 Server Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 |
In dit scenario
Er worden twee migratiescenario's beschreven:
Gelijktijdige migratie: gebruik dit type migratie als u wilt dat de Forefront UAG DirectAccess-server actief blijft terwijl u DirectAccess in Windows Server 2012 implementeert. Nadat de implementatie is voltooid, gebruiken DirectAccess-clients DirectAccess dat is geconfigureerd op de Windows Server 2012-computer en wordt de Forefront UAG-server buiten gebruik gesteld. Dit type migratie vereist duplicatie van enkele instellingen omdat de FQDN's, IP-adressen en certificaatinstellingen uniek moeten zijn op elke server.
Offlinemigratie: gebruik dit type migratie als u de DirectAccess-configuratie met dezelfde instellingen van de Forefront UAG DirectAccess-server wilt kopiëren naar de Windows Server 2012-computer die als een RAS-server fungeert. Schakel daarna de Forefront UAG-server uit. Service voor DirectAccess-clients is pas weer beschikbaar als de Windows Server 2012 RAS-server actief is.
Vereisten
Controleer voordat u aan dit implementatiescenario begint deze lijst met belangrijke vereisten:
- ISATAP in het bedrijfsnetwerk wordt niet ondersteund. Als u ISATAP gebruikt, moet u dat verwijderen en systeemeigen IPv6 gebruiken.
Als NAP intern wordt gebruikt in UAG, vereist NAP nu een afzonderlijke NPS-server.
NAP is afgeschaft in Windows Server 2012 R2. Dit betekent dat NAP mogelijk niet wordt ondersteund in toekomstige versies van Windows. Nieuwe implementaties met NAP worden niet aanbevolen.
Praktische toepassingen
In dit scenario wordt beschreven hoe u een bestaande DirectAccess-implementatie blijft gebruiken met Windows Server 2012 in plaats van Forefront UAG.
Hardwarevereisten
Voor de hardware gelden de volgende vereisten:
Een of meer Forefront UAG-servers waarop een DirectAccess-implementatie wordt uitgevoerd.
Vereisten voor de Windows Server 2012-server voor Externe toegang:
- Een computer die voldoet aan de hardwarevereisten voor Windows Server 2012.
Clientvereisten voor DirectAccess in Windows Server 2012:
- Op een clientcomputer moet Windows® 8 of Windows 7 worden uitgevoerd.
Vereisten voor serverinfrastructuur en -beheer:
Tijdens het externe beheer van DirectAccess-clientcomputers starten clients communicatie met beheerservers zoals domeincontrollers, System Center Configuration Servers en servers met statusregistratieautoriteit (HRA) voor onder meer services als Windows- en antivirusprogramma-updates en clientcompatibiliteit voor Beveiliging van netwerktoegang (NAP). De vereiste servers moeten worden geïmplementeerd voordat u begint met de implementatie van Externe toegang.
Als Externe toegang NAP-clientcompatibiliteit vereist, moeten NPS- en HRS-servers worden geïmplementeerd voordat u begint met de implementatie van Externe toegang
Een CA-server (certificeringsinstantie) is vereist als certificaten worden uitgegeven voor authenticatie van IP-HTTPS en de netwerklocatieserver. Houd er rekening mee dat DirectAccess in Windows Server 2012 ondersteuning biedt voor het gebruik van zelfondertekende certificaten die automatisch worden gemaakt tijdens de implementatie van DirectAccess.
Een DNS-server met Windows Server 2003, Windows Server 2008 SP2, Windows Server 2008 R2 of Windows Server 2012 is vereist.
Softwarevereisten
Er gelden een aantal vereisten voor dit scenario:
Vereisten voor DirectAccess-server in Windows Server 2012:
De RAS-server moet een domeinlid zin. De server kan worden geïmplementeerd aan de rand van het interne netwerk of achter een randfirewall of ander apparaat.
De persoon die externe toegang op de server implementeert, heeft lokale administratormachtigingen op de server nodig en moet een domeingebruikersaccount hebben. Als u de groepsbeleidsobjecten wilt voorbereiden, zijn administratormachtigingen vereist.
Vereisten voor RAS-clients:
DirectAccess-clients moet lid van een domein zijn. Domeinen met clients kunnen deel uitmaken van hetzelfde forest als de RAS-server of een tweerichtingsvertrouwensrelatie hebben met het RAS-serverforest of -domein.
Een Active Directory-beveiligingsgroep is vereist om de computers die worden geconfigureerd als DirectAccess-clients te kunnen bevatten.
ISATAP gebruiken
ISATAP wordt niet aanbevolen voor gebruik als technologie voor overgang van IPv6 naar IPv4 in DirectAccess in Windows Server 2012. Als Forefront UAG is geconfigureerd voor het gebruik van ISATAP, wordt het aanbevolen dit uit te schakelen en in plaats daarvan NAT64 te gebruiken.
Als ISATAP is uitgeschakeld, kunnen DirectAccess-clients verbindingen tot stand brengen met computers in het interne netwerk en kunnen de computers in het interne netwerk reageren. Computers in het interne netwerk kunnen echter geen verbindingen met DirectAccess tot stand brengen voor het beheer van externe clients. Als u externe clients op afstand wilt kunnen beheren, overweeg dan de implementatie van systeemeigen IPv6 voor beheerservers die verbinding maken met de DirectAccess-clientcomputers.
NAP gebruiken
Forefront UAG biedt complexe configuratie-instellingen voor NAP (Network Access Policy) en de functies NPS (Network Policy Server) en HRA (Health Registration Authority of statusregistratie-instantie) kunnen worden geïnstalleerd op de Forefront UAG-server. Deze instellingen worden niet ondersteund voor DirectAccess in Windows Server 2012. In Windows Server 2012 kunt u alleen opgeven of naleving door clients wordt afgedwongen met behulp van NAP tijdens IPsec-authenticatie. De functies NPS en HRA worden geïnstalleerd op externe servers in het interne netwerk. De HRA-server moet toegankelijk zijn via de eerste DirectAccess-tunnel of via internet.