Migrar o DirectAccess do Forefront UAG SP1 para o Windows Server 2012
Aplica-se a: Windows Server 2012 R2, Windows Server 2012
Este documento descreve a migração de uma implantação existente do Forefront UAG SP1 DirectAccess no DirectAccess em Windows Server ® 2012. Ele ilustra a migração de um cenário simples, que inclui tanto um servidor Forefront UAG, ou uma matriz de servidores Forefront UAG configurados em um único domínio e um único local utilizando o NAT64, e não configurado como um roteador ISATAP. Esta atualização só é suportada em computadores que executam Forefront UAG SP1.
Conjunto de documentação de implantação (DirectAccess) para Acesso Remoto do Windows Server 2012
A seguir está uma listagem da documentação para os três caminhos principais de implantação do acesso remoto: Básico, Avançado e Corporativo. Os documentos de Gerenciamento e Migração disponíveis para esta versão também estão listados.
Implantar o acesso remoto básico
Implantar Acesso Remoto avançado
Implantar o Acesso Remoto em uma Empresa
Implantar vários servidores de acesso remoto em uma implantação multissite
Implantar o Acesso Remoto em um ambiente de várias florestas
Gerenciar Acesso Remoto
Migrar Acesso Remoto
Antes de iniciar a implantação, consulte a lista de configurações sem suporte, de problemas conhecidos e de pré-requisitos
Descrição do cenário
Os cenários de migração suportados para o Forefront UAG SP1 são os seguintes:
Sistemas operacionais clientes com suporte |
Controladores de domínio com suporte |
Servidores de aplicativos suportados |
|---|---|---|
Windows ® 7Windows 7 Windows® 8 Windows Server 2012 |
Windows 2003 Server Windows Server® 2008 Windows Server ® 2008 R2 Windows Server 2012 |
Windows 2003 Server Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 |
Neste cenário
Dois cenários de migração são descritos:
Migração lado a lado— Use este tipo de migração para manter o servidor Forefront UAG DirectAccess funcionando enquanto você implanta o DirectAccess em Windows Server 2012. Depois que a implantação é concluída, os clientes do DirectAccess usam o DirectAccess configurado no computador Windows Server 2012, e o servidor Forefront UAG é removido do serviço. Este tipo de migração requer a duplicação de alguns ajustes, porque o FQDN, os endereços IP e as definições do certificado devem ser exclusivas em cada servidor.
Migração offline— Use esse tipo de migração para copiar a configuração DirectAccess com configurações idênticas do servidor DirectAccess Forefront UAG no computador Windows Server 2012 que funciona como um servidor de Acesso Remoto. Em seguida, desligue o servidor Forefront UAG. O serviço para os clientes do DirectAccess não estará disponível até que o servidor Acesso Remoto Windows Server 2012 esteja funcionando.
Pré-requisitos
Antes de começar a implantar este cenário, examine esta lista de requisitos importantes:
- Não há suporte para ISATAP na rede corporativa. Se você estiver usando ISATAP, remova-o e use o IPv6 nativo.
Se o NAP for usado na caixa de entrada no UAG, o NAP exige um servidor separado do NPS.
O NAP foi preterido no Windows Server 2012 R2. Isso significa que o NAP talvez não tenha suporte em versões futuras do Windows. Novas implantações com o NAP não são recomendadas.
Aplicações práticas
Este cenário descreve como continuar uma implantação existente do DirectAccess usando Windows Server 2012 em vez do Forefront UAG.
Requisitos de hardware
Os requisitos específicos de hardware incluem o seguinte:
Um ou mais servidores Forefront UAG realizando com êxito uma implantação do DirectAccess.
Windows Server 2012 Requisitos de servidor do Acesso Remoto:
- Um computador que atenda aos requisitos de hardware do Windows Server 2012.
Requisitos do cliente para o DirectAccess em Windows Server 2012:
- Um computador cliente com Windows® 8 ou Windows 7.
Requisitos do servidor de infraestrutura e gerenciamento:
Durante o gerenciamento remoto de computadores cliente do DirectAccess, os clientes iniciam as comunicações com os servidores de gerenciamento como controladores de domínio, Servidores de Configuração do System Center e servidores de Autoridade de Registro de Integridade (HRA) para serviços que incluem atualizações do Windows e de antivírus e conformidade de cliente de Proteção de Acesso à Rede (NAP). Os servidores necessários devem ser implantados antes de começar a implantação do Acesso Remoto.
Se o acesso remoto exigir conformidade de NAP do cliente, os servidores NPS e HRS deverão ser implantados antes do início da implantação de acesso remoto
Uma CA (autoridade de certificação) é necessária se os certificados forem emitidos para a autenticação de IP-HTTPS e o servidor local da rede. Observe que esse DirectAccess no Windows Server 2012 suporta o uso de certificados auto-assinados criados automaticamente durante a implantação do DirectAccess.
Um servidor DNS executando o Windows Server 2003, Windows Server 2008 SP2, Windows Server 2008 R2 ou Windows Server 2012 é obrigatório.
Requisitos de software
Há diversos requisitos para este cenário:
Requisitos do servidor DirectAccess no Windows Server 2012:
O servidor de Acesso Remoto deve ser um membro do domínio. O servidor pode ser implantado na borda da rede interna, ou atrás de um firewall de borda ou outro dispositivo.
A pessoa que implanta o acesso remoto no servidor deve ter permissões de administrador local no servidor e uma conta de usuário do domínio. É necessário ter permissões de administrador de domínio para preparar os GPOs.
Requisitos de cliente de Acesso Remoto:
Os clientes do DirectAccess devem ser membros do domínio. Domínios que contêm clientes podem pertencer à mesma floresta que o servidor de acesso remoto, ou possuir uma relação de confiança bidirecional com a floresta ou com o domínio do servidor de acesso remoto.
Um grupo de segurança do Active Directory é necessário para conter os computadores que serão configurados como clientes do DirectAccess.
Usando o ISATAP
O ISATAP não é recomendado para uso como a tecnologia de transição do IPv6 para o IPv4 no DirectAccess no Windows Server 2012. Se o Forefront UAG for configurado para usar o ISATAP, é recomendável desativá-lo e usar o NAT64 no lugar dele.
Com o ISATAP desativado, os clientes do DirectAccess podem iniciar conexões com computadores da rede interna, e os computadores da rede interna podem responder. No entanto, os computadores da rede interna não poderão iniciar conexões ao DirectAccess para fins de gerenciamento de cliente remoto. Se você quer ser capaz de gerenciar clientes remotos, considere implantar o IPv6 nativo para servidores de gerenciamento que irão se conectar a computadores cliente do DirectAccess.
Usando NAP
O Forefront UAG oferece configurações de NAP (Política de Acesso à Rede), e as funções de NPS (Servidor de Política de Rede) e HRA (Autoridade de Registro de Integridade) podem ser instaladas no servidor de Forefront UAG. Essas configurações não são suportadas para o DirectAccess em Windows Server 2012. No Windows Server 2012, você só pode especificar se a conformidade do cliente é ou não aplicada usando NAP durante a autenticação IPsec. As funções NPS e HRA são instaladas em servidores remotos na rede interna. O servidor HRA deve ser acessível através do túnel do DirectAccess primeiro, ou pela Internet.