Перенос DirectAccess с Forefront UAG SP1 на Windows Server 2012

Применимо к:Windows Server 2012 R2, Windows Server 2012

Этот документ содержит описание миграции с развернутого компонента DirectAccess в Forefront UAG SP1 на DirectAccess в Windows Server® 2012. В нем продемонстрирован простой сценарий миграции, включающий либо единственный сервер Forefront UAG, либо массив серверов Forefront UAG в едином домене и на одном сайте с использованием NAT64, который не настроен в качестве маршрутизатора ISATAP. Заметим, что это обновление поддерживается только для компьютеров, на которых используется Forefront UAG SP1.

Комплект документации по развертыванию удаленного доступа (DirectAccess) в Windows Server 2012

Ниже приведен перечень документации по трем основным способам развертывания удаленного доступа: базовому, расширенному и корпоративному. Также перечислены документы по управлению и миграции, доступные для этой версии.

Развертывание основного удаленного доступа

• Развертывание одного сервера DirectAccess с помощью мастера начальной настройки

  • Руководство по лаборатории тестирования: Демонстрация упрощенной установки DirectAccess в тестовой среде на базе IPv4 для Windows Server 2012

Развертывание расширенного удаленного доступа

• Развертывание одного сервера DirectAccess с расширенными параметрами 

  • Руководство по лаборатории тестирования: Демонстрация настройки отдельного сервера DirectAccess в смешанной среде на базе IPv4 и IPv6 в Windows Server 2012

Развертывание удаленного доступа на предприятии

• Планирование мощности DirectAccess

• Развертывание удаленного доступа в кластере 

  • Руководство по лаборатории тестирования: демонстрация DirectAccess в кластере с балансировкой сетевой нагрузки Windows

• Развертывание нескольких серверов удаленного доступа в многосайтового развертывания

  • Руководство по лаборатории тестирования: Демонстрация многосайтового развертывания DirectAccess

• Развертывание удаленного доступа с проверкой подлинности методом OTP

  • Руководство по лаборатории тестирования: Демонстрация DirectAccess с проверкой подлинности OTP и RSA SecurID

• Развертывание удаленного доступа в многолесовой среде

• Автономное присоединение к домену DirectAccess

Управление удаленным доступом

• Мониторинг и учет удаленного доступа

• Удаленное управление клиентами DirectAccess

Перенос удаленного доступа

• Миграция удаленного доступа на Windows Server 2012

• Migrate from Forefront UAG SP1 DirectAccess to Windows Server 2012

Перед началом развертывания ознакомьтесь со списком неподдерживаемых конфигураций, известных проблем и предварительных условий.

• DirectAccess неподдерживаемые конфигурации

• DirectAccess известные проблемы

• Необходимые условия для развертывания DirectAccess

Описание сценария

Для Forefront UAG SP1 поддерживаются следующие сценарии миграции:

Содержание сценария

Описаны два сценария миграции:

• Параллельная миграция — миграция, при которой можно не отключать сервер DirectAccess в Forefront UAG во время развертывания DirectAccess в Windows Server 2012. По завершении развертывания клиенты DirectAccess используют компонент DirectAccess, настроенный на компьютере с ОС Windows Server 2012, а сервер Forefront UAG выводится из эксплуатации. Для такого типа миграции требуется дублирование некоторых параметров, так как полное доменное имя, IP-адреса и параметры сертификатов у каждого сервера должны быть уникальными.

• Автономная миграция — миграция, при которой можно скопировать конфигурацию DirectAccess с идентичными параметрами с сервера DirectAccess Forefront UAG на компьютер с ОС Windows Server 2012, выполняющий роль сервера удаленного доступа. Затем следует завершить работу сервера Forefront UAG. Обслуживание клиентов DirectAccess недоступно, пока не работает сервер удаленного доступа Windows Server 2012.

Необходимые компоненты

Перед началом развертывания этого сценария ознакомьтесь со списком важных требований.

• ISATAP в корпоративной сети не поддерживается. Если вы используете протокол ISATAP, необходимо удалить его и перейти на собственный IPv6.

• Если в UAG используется защита доступа к сети (NAP), для нее теперь требуется отдельный сервер NPS.

  NAP не рекомендуется к использованию в Windows Server 2012 R2. Это означает, что NAP может не поддерживаться в будущих версиях Windows. В новых развертываниях использовать NAP не рекомендуется.

Практическое применение

Этот сценарий описывает использование уже развернутого компонента DirectAccess в Windows Server 2012 вместо Forefront UAG.

Требования к оборудованию

Требуется следующее аппаратное обеспечение:

• Один или несколько серверов Forefront UAG, на которых успешно развернут компонент DirectAccess.

• Требования к серверу удаленного доступа Windows Server 2012:

  • Компьютер, отвечающий минимальным требованиям к оборудованию для Windows Server 2012.

• Требования к клиенту для DirectAccess в Windows Server 2012:

  • Клиентский компьютер должен работать под управлением Windows® 8 или Windows 7.

• Требования к серверу инфраструктуры и управления.

  • Во время удаленного управления клиентскими компьютерами DirectAccess клиенты инициируют связь с серверами управления, например контроллерами доменов, серверами System Center Configuration и центра регистрации работоспособности для служб, которые включают обновления Windows и антивирусной программы и соответствие клиента принципам защиты сетевого доступа (NAP). Необходимые серверы следует развернуть до начала развертывания удаленного доступа.

  • Если для удаленного доступа требуется соответствие клиента NAP, серверы NPS и HRS необходимо развернуть до начала развертывания удаленного доступа.

  • Если будут выдаваться сертификаты для проверки подлинности IP-HTTPS и сервера сетевых расположений, потребуется сервер центра сертификации (ЦС). Необходимо учесть, что DirectAccess в Windows Server 2012 поддерживает использование самозаверяющих сертификатов, которые автоматически создаются при развертывании DirectAccess.

  • Необходим DNS-сервер под управлением Windows Server 2003, Windows Server 2008 с пакетом обновления 2 (SP2), Windows Server 2008 R2 или Windows Server 2012.

Требования к программному обеспечению

Для этого сценария действуют следующие требования.

• Требования к серверу DirectAccess в Windows Server 2012:

  • Сервер удаленного доступа должен быть членом домена. Сервер можно развернуть на границе внутренней сети или за пограничным межсетевым экраном либо другим устройством.

  • Пользователю, который развертывает удаленный доступ на сервере, требуются права локального администратора на этом сервере и учетная запись пользователя домена. Для подготовки объектов групповой политики требуются права администратора домена.

• Требования к клиенту удаленного доступа.

  • Клиенты DirectAccess должны входить в состав домена. Домены, членами которых являются клиенты, могут принадлежать одному лесу с сервером удаленного доступа или иметь двустороннее доверие с лесом или доменом сервера удаленного доступа.

  • Требуется группа безопасности Active Directory, в которую необходимо включить компьютеры, настраиваемые как клиенты DirectAccess.

Использование ISATAP

ISATAP не рекомендуется использовать в качестве технологии перехода с IPv6 на IPv4 в DirectAccess в Windows Server 2012. Если в Forefront UAG настроено использование ISATAP, рекомендуется отключить его и вместо него использовать NAT64.

При отключенном ISATAP возможна двусторонняя связь между клиентами DirectAccess и компьютерами во внутренней сети. Однако компьютеры во внутренней сети не смогут инициировать подключения к DirectAccess для управления удаленными клиентами. Чтобы включить управление удаленными клиентами, можно развернуть собственный IPv6 для серверов управления, которые будут подключаться к клиентским компьютерам DirectAccess.

Использование NAP

Forefront UAG предусматривает комплексные параметры конфигурации политики доступа к сети (NAP), а роли сервера политики сети (NPS) и центра регистрации работоспособности (HRA) можно установить на сервере Forefront UAG. Эти параметры не поддерживаются для DirectAccess в Windows Server 2012. В Windows Server 2012 можно лишь указать, обеспечивается ли соответствие клиентов требованиям с использованием NAP при проверке подлинности IPsec. Роли NPS и HRA устанавливаются на удаленных серверах во внутренней сети. Сервер HRA должен быть доступен через первый туннель DirectAccess или через Интернет.