Migrera från direktåtkomst för Forefront UAG SP1 till Windows Server 2012
Gäller för: Windows Server 2012 R2, Windows Server 2012
I det här dokumentet beskrivs migreringen av en befintlig Forefront UAG SP1 DirectAccess-distribution till DirectAccess i Windows Server® 2012. Den illustrerar migreringen av ett enkelt scenario som innehåller antingen en enskild Forefront UAG-server eller en matris med Forefront UAG-servrar som konfigurerats i en enda domän och på en enda plats med NAT64 och som inte har angetts som en ISATAP-router. Observera att uppgraderingen endast stöds för datorer som kör Forefront UAG SP1.
Distributionsdokumentation för Windows Server 2012 fjärråtkomst (DirectAccess)
Nedan följer en lista över dokumentationen för de tre huvudsakliga fjärråtkomstdistributionssökvägarna: Grundläggande, Avancerat och Företag. I listan finns även dokumenten Hantera och Migrera för den här versionen.
Distribuera grundläggande fjärråtkomst
Distribuera avancerad fjärråtkomst
Distribuera fjärråtkomst i ett företag
Hantera fjärråtkomst
Migrera fjärråtkomst
Innan du börjar distributionen bör du se över listan över icke-stödda konfigurationer, kända problem och förutsättningar
Scenariobeskrivning
Migreringsscenarier som stöds för Forefront UAG SP1 är följande:
Klientoperativsystem som stöds |
Domänkontrollanter som stöds |
Programservrar som stöds |
---|---|---|
Windows® 7Windows 7 Windows® 8 Windows Server 2012 |
Windows 2003 Server Windows Server® 2008 Windows Server® 2008 R2 Windows Server 2012 |
Windows 2003 Server Windows Server 2008 Windows Server 2008 R2 Windows Server 2012 |
I detta scenario
Två migreringsscenarier beskrivs:
Migrering sida vid sida – Använd den här typen av migrering för att Forefront UAG DirectAccess-servern ska köras medan du distribuerar DirectAccess i Windows Server 2012. När installationen är klar använder DirectAccess-klienter DirectAccess som har konfigurerats på Windows Server 2012-datorn och Forefront UAG-servern tas bort från tjänsten. Den här typen av migrering kräver duplicering av vissa inställningar eftersom FQDN, IP-adresser och inställningar för certifikat måste vara unika på varje server.
Offlinemigrering – Använd den här typen av migrering för att kopiera DirectAccess-konfigurationen med samma inställningar från Forefront UAG DirectAccess-servern till Windows Server 2012-datorn som körs som en fjärråtkomstserver. Stäng sedan Forefront UAG-servern. Tjänsten för DirectAccess-klienter är inte tillgänglig förrän Windows Server 2012-fjärråtkomstservern är igång.
Förutsättningar
Innan du börjar distribuera det här scenariot, se över den här listan för viktiga krav:
- ISATAP i företagsnätverket stöds inte. Om du använder ISATAP bör du ta bort den och använda inbyggd IPv6.
Om NAP används som inkorg i UAG kommer NAP nu att kräva en separat NPS-server.
NAP togs bort i Windows Server 2012 R2. Det innebär att det inte är säkert att NAP stöds i framtida versioner av Windows. Ny distribution med NAP rekommenderas inte.
Praktiska tillämpningar
Det här scenariot beskriver hur du kan fortsätta att köra en befintlig DirectAccess-distribution med Windows Server 2012 i stället för Forefront UAG.
Maskinvarukrav
Maskinvarukraven är följande:
En eller flera Forefront UAG-servrar som kör en DirectAccess-distribution.
Krav för Windows Server 2012-fjärråtkomstservern:
- En dator som uppfyller maskinvarukraven för Windows Server 2012.
Klientkrav för DirectAccess i Windows Server 2012:
- En klientdator måste köra Windows® 8 eller Windows 7.
Krav för infrastruktur och hanteringsserver:
Klienter initierar kommunikationen med hanteringsservrar, till exempel domänkontrollanter och System Center-konfigurationsservrar och HRA-servrar (Health Registration Authority) för tjänster som omfattar Windows- och antivirusuppdateringar och NAP-klientkompatibilitet (Network Access Protection) vid fjärrstyrning av klientdatorer med direktåtkomst. De servrar som krävs bör distribueras innan du påbörjar distributionen av fjärråtkomst.
Om fjärråtkomsten kräver NAP-klientkompatibilitet, bör NPS- och HRS-servrarna distribueras innan du påbörjar distributionen av fjärråtkomst.
En CA-server (certifikatutfärdare) krävs om certifikat utfärdas för autentisering av IP-HTTPS och nätverksplatsservern. Observera att DirectAccess i Windows Server 2012 har stöd för användning av självsignerade certifikat som skapas automatiskt under DirectAccess-distributionen.
En DNS-server som kör Windows Server 2003, Windows Server 2008 SP2, Windows Server 2008 R2 eller Windows Server 2012 krävs.
Programvarukrav
Det finns ett antal krav för det här scenariot:
Krav för DirectAccess-servern i Windows Server 2012:
Fjärråtkomstservern måste vara medlem i en domän. Servern kan distribueras i utkanten av det interna nätverket, eller bakom en kantbrandvägg eller annan enhet.
Den person som distribuerar fjärråtkomst på servern måste ha lokala administratörsbehörigheter på servern och ett domänanvändarkonto. Administratörsbehörigheter krävs för att förbereda grupprincipdomänen.
Klientkrav för fjärråtkomst:
DirectAccess-klienter måste vara medlemmar i domänen. Domäner som innehåller klienter kan tillhöra samma skog som fjärråtkomstservern eller ha ett dubbelriktat förtroende med serverskogen eller domänen för fjärråtkomst.
En Active Directory-säkerhetsgrupp måste innehålla datorer som konfigureras som DirectAccess-klienter.
Använda ISATAP
ISATAP bör inte användas som övergångsteknik för IPv6 till IPv4 i DirectAccess i Windows Server 2012. Om Forefront UAG är konfigurerat för att använda ISATAP, bör du inaktivera det och använda NAT64 i stället.
När ISATAP är inaktiverat kan DirectAccess-klienter initiera anslutningar till datorer i det interna nätverket och datorerna i det interna nätverket kan svara. Dock kan datorer i det interna nätverket inte initiera anslutningar till DirectAccess för fjärrklienthantering. Om du vill kunna fjärrhantera klienter bör du fundera på att distribuera inbyggd IPv6 för hanteringsservrar som ansluter till DirectAccess-klientdatorer.
Använda NAP
Forefront UAG innehåller avancerade konfigurationsinställningar för NAP (Network Access Policy) och rollerna Nätverksprincipserver (NAP) och HRA (Health Registration Authority) kan installeras på Forefront UAG-servern. De här inställningarna stöds inte för DirectAccess i Windows Server 2012. I Windows Server 2012 kan du bara ange om klienten följer standard med NAP under IPSec-autentiseringen. NPS- och HRA-roller är installerade på fjärrservrar i det interna nätverket. HRA-servern måste vara tillgänglig via den första DirectAccess-tunneln eller via Internet.