Migrera från direktåtkomst för Forefront UAG SP1 till Windows Server 2012

Gäller för: Windows Server 2012 R2, Windows Server 2012

I det här dokumentet beskrivs migreringen av en befintlig Forefront UAG SP1 DirectAccess-distribution till DirectAccess i Windows Server® 2012. Den illustrerar migreringen av ett enkelt scenario som innehåller antingen en enskild Forefront UAG-server eller en matris med Forefront UAG-servrar som konfigurerats i en enda domän och på en enda plats med NAT64 och som inte har angetts som en ISATAP-router. Observera att uppgraderingen endast stöds för datorer som kör Forefront UAG SP1.

Distributionsdokumentation för Windows Server 2012 fjärråtkomst (DirectAccess)

Nedan följer en lista över dokumentationen för de tre huvudsakliga fjärråtkomstdistributionssökvägarna: Grundläggande, Avancerat och Företag. I listan finns även dokumenten Hantera och Migrera för den här versionen.

Distribuera grundläggande fjärråtkomst

• Att distribuera en enskild DirectAccess-server med hjälp av Komma Igång-guiden

  • Test Lab-guide: Visa förenklade inställningar för DirectAccess endast i en testmiljö för IPv4 i Windows Server 2012

Distribuera avancerad fjärråtkomst

• Distribuera en DirectAccess-server med avancerade inställningar 

  • Test Lab-guide: Visa installation av enskild server för DirectAccess med blandat IPv4 och IPv6 i Windows Server 2012

Distribuera fjärråtkomst i ett företag

• DirectAccess-kapacitetsplanering

• Distribuera fjärråtkomst i ett kluster 

  • Test Lab-guide: Demonstrera DirectAccess i ett kluster med Windows NLB

• Distribuera flera RAS-servrar i en Multisite-distribution

  • Test Lab-guide: Visa en Multisite DirectAccess-distribution

• Distribuera fjärråtkomst med OTP-autentisering

  • Test Lab-guide: Visa DirectAccess med OTP autentisering och RSA-SecurID

• Distribuera fjärråtkomst i en miljö med flera skogar

• DirectAccess Offline domänanslutning

Hantera fjärråtkomst

• Använda Övervakningsrapporterna från Fjärråtkomst och Redovisning

• Fjärrhantera DirectAccess-klienter

Migrera fjärråtkomst

• Migrera fjärråtkomst till Windows Server 2012

• Migrate from Forefront UAG SP1 DirectAccess to Windows Server 2012

Innan du börjar distributionen bör du se över listan över icke-stödda konfigurationer, kända problem och förutsättningar

• DirectAccess stöds inte konfigurationer

• DirectAccess kända problem

• Förutsättningar för distribution av DirectAccess

Scenariobeskrivning

Migreringsscenarier som stöds för Forefront UAG SP1 är följande:

I detta scenario

Två migreringsscenarier beskrivs:

• Migrering sida vid sida – Använd den här typen av migrering för att Forefront UAG DirectAccess-servern ska köras medan du distribuerar DirectAccess i Windows Server 2012. När installationen är klar använder DirectAccess-klienter DirectAccess som har konfigurerats på Windows Server 2012-datorn och Forefront UAG-servern tas bort från tjänsten. Den här typen av migrering kräver duplicering av vissa inställningar eftersom FQDN, IP-adresser och inställningar för certifikat måste vara unika på varje server.

• Offlinemigrering – Använd den här typen av migrering för att kopiera DirectAccess-konfigurationen med samma inställningar från Forefront UAG DirectAccess-servern till Windows Server 2012-datorn som körs som en fjärråtkomstserver. Stäng sedan Forefront UAG-servern. Tjänsten för DirectAccess-klienter är inte tillgänglig förrän Windows Server 2012-fjärråtkomstservern är igång.

Förutsättningar

Innan du börjar distribuera det här scenariot, se över den här listan för viktiga krav:

• ISATAP i företagsnätverket stöds inte. Om du använder ISATAP bör du ta bort den och använda inbyggd IPv6.

• Om NAP används som inkorg i UAG kommer NAP nu att kräva en separat NPS-server.

  NAP togs bort i Windows Server 2012 R2. Det innebär att det inte är säkert att NAP stöds i framtida versioner av Windows. Ny distribution med NAP rekommenderas inte.

Praktiska tillämpningar

Det här scenariot beskriver hur du kan fortsätta att köra en befintlig DirectAccess-distribution med Windows Server 2012 i stället för Forefront UAG.

Maskinvarukrav

Maskinvarukraven är följande:

• En eller flera Forefront UAG-servrar som kör en DirectAccess-distribution.

• Krav för Windows Server 2012-fjärråtkomstservern:

  • En dator som uppfyller maskinvarukraven för Windows Server 2012.

• Klientkrav för DirectAccess i Windows Server 2012:

  • En klientdator måste köra Windows® 8 eller Windows 7.

• Krav för infrastruktur och hanteringsserver:

  • Klienter initierar kommunikationen med hanteringsservrar, till exempel domänkontrollanter och System Center-konfigurationsservrar och HRA-servrar (Health Registration Authority) för tjänster som omfattar Windows- och antivirusuppdateringar och NAP-klientkompatibilitet (Network Access Protection) vid fjärrstyrning av klientdatorer med direktåtkomst. De servrar som krävs bör distribueras innan du påbörjar distributionen av fjärråtkomst.

  • Om fjärråtkomsten kräver NAP-klientkompatibilitet, bör NPS- och HRS-servrarna distribueras innan du påbörjar distributionen av fjärråtkomst.

  • En CA-server (certifikatutfärdare) krävs om certifikat utfärdas för autentisering av IP-HTTPS och nätverksplatsservern. Observera att DirectAccess i Windows Server 2012 har stöd för användning av självsignerade certifikat som skapas automatiskt under DirectAccess-distributionen.

  • En DNS-server som kör Windows Server 2003, Windows Server 2008 SP2, Windows Server 2008 R2 eller Windows Server 2012 krävs.

Programvarukrav

Det finns ett antal krav för det här scenariot:

• Krav för DirectAccess-servern i Windows Server 2012:

  • Fjärråtkomstservern måste vara medlem i en domän. Servern kan distribueras i utkanten av det interna nätverket, eller bakom en kantbrandvägg eller annan enhet.

  • Den person som distribuerar fjärråtkomst på servern måste ha lokala administratörsbehörigheter på servern och ett domänanvändarkonto. Administratörsbehörigheter krävs för att förbereda grupprincipdomänen.

• Klientkrav för fjärråtkomst:

  • DirectAccess-klienter måste vara medlemmar i domänen. Domäner som innehåller klienter kan tillhöra samma skog som fjärråtkomstservern eller ha ett dubbelriktat förtroende med serverskogen eller domänen för fjärråtkomst.

  • En Active Directory-säkerhetsgrupp måste innehålla datorer som konfigureras som DirectAccess-klienter.

Använda ISATAP

ISATAP bör inte användas som övergångsteknik för IPv6 till IPv4 i DirectAccess i Windows Server 2012. Om Forefront UAG är konfigurerat för att använda ISATAP, bör du inaktivera det och använda NAT64 i stället.

När ISATAP är inaktiverat kan DirectAccess-klienter initiera anslutningar till datorer i det interna nätverket och datorerna i det interna nätverket kan svara. Dock kan datorer i det interna nätverket inte initiera anslutningar till DirectAccess för fjärrklienthantering. Om du vill kunna fjärrhantera klienter bör du fundera på att distribuera inbyggd IPv6 för hanteringsservrar som ansluter till DirectAccess-klientdatorer.

Använda NAP

Forefront UAG innehåller avancerade konfigurationsinställningar för NAP (Network Access Policy) och rollerna Nätverksprincipserver (NAP) och HRA (Health Registration Authority) kan installeras på Forefront UAG-servern. De här inställningarna stöds inte för DirectAccess i Windows Server 2012. I Windows Server 2012 kan du bara ange om klienten följer standard med NAP under IPSec-autentiseringen. NPS- och HRA-roller är installerade på fjärrservrar i det interna nätverket. HRA-servern måste vara tillgänglig via den första DirectAccess-tunneln eller via Internet.