Planen der Migration von DirectAccess zu Always On-VPN

Artikel
03/09/2023
Gilt für::

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

« Vorheriges Thema: Übersicht über die Migration von DirectAccess zu Always On-VPN
» Nächstes Thema: Migrieren zu Always On-VPN und Außerbetriebnahme von DirectAccess

Die Migration von DirectAccess zu Always On-VPN erfordert eine ordnungsgemäße Planung Ihrer Migrationsphasen, damit Sie Probleme identifizieren können, bevor sie die gesamte Organisation betreffen. Das primäre Ziel der Migration besteht darin, dass Benutzer*innen während des gesamten Prozesses über Remotekonnektivität mit dem Büro verfügen. Wenn Sie Aufgaben in der falschen Reihenfolge erledigen, kann eine Racebedingung auftreten, sodass Remotebenutzer*innen keine Möglichkeit haben, auf Unternehmensressourcen zuzugreifen. Daher empfiehlt Microsoft eine geplante, parallele Migration von DirectAccess zu Always On-VPN. Ausführliche Informationen finden Sie im Abschnitt Always On-VPN-Migrationsbereitstellung.

In diesem Abschnitt werden die Vorteile der Trennung von Benutzer*innen für die Migration, Überlegungen zur Standardkonfiguration sowie Featureerweiterungen für Always On-VPN beschrieben. Die Planungsphase der Migration umfasst Folgendes:

Erstellen von Migrationsringen. Wie bei den meisten anderen Systemmigrationen legen Sie Clientmigrationen in Phasen als Ziel fest, um Probleme zu identifizieren, bevor sie sich auf die gesamte Organisation auswirken. Der erste Teil der Always On VPN-Migration ist nicht anders.
Erfahren Sie mehr über den Vergleich der Features von Always On VPN und DirectAccess. Ähnlich wie DirectAccess verfügt Always On VPN über viele Sicherheits-, Konnektivitäts-, Authentifizierungs- und andere Optionen.
Erfahren Sie mehr über die Funktionserweiterungen von Always On VPN. Entdecken Sie neue oder verbesserte Features, die Always On VPN bietet, um Ihre Konfiguration zu verbessern.
Erfahren Sie mehr über die Always On VPN-Technologie. Für diese Bereitstellung müssen Sie einen neuen RAS-Server installieren, auf dem Windows Server 2016 ausgeführt wird, und einen Teil Ihrer vorhandenen Infrastruktur für die Bereitstellung ändern.

Erstellen von Migrationsringen

Mithilfe von Migrationsringen wird die Always On-VPN-Clientmigration in mehrere Phasen aufgeteilt. Wenn Sie zur die letzte Phase erreichen, sollte Ihr Prozess ausführlich getestet und konsistent sein.

In diesem Abschnitt finden Sie einen Ansatz zum Trennen von Benutzer*innen in Migrationsphasen und zum anschließenden Verwalten dieser Phasen. Unabhängig von der von Ihnen gewählten Methode zur Aufteilung der Benutzer*innen in Phasen können Sie eine einzelne VPN-Benutzergruppe beibehalten, um die Verwaltung nach Abschluss der Migration zu vereinfachen.

Hinweis

Das Wort Phase soll keinesfalls darauf hindeuten, dass dies ein langwieriger Prozess ist. Unabhängig davon, ob Sie jede Phase in wenigen Tagen oder einigen Monaten durchlaufen, empfiehlt Microsoft, die Vorteile der parallelen Migration zu nutzen und einen phasenweisen Ansatz anzuwenden.

Vorteile der Aufteilung des Migrationsaufwands in mehrere Phasen

Schutz vor Massenausfällen: Indem Sie eine Migration in Phasen unterteilen, verringern Sie die Anzahl der Personen erheblich, auf die sich ein migrationsbedingtes Problem auswirken kann.
Verbesserung des Prozesses oder der Kommunikation durch Feedback: Im Idealfall bemerken Ihre Benutzer*innen nicht einmal, dass eine Migration erfolgt ist. Wenn ihre Erfahrung jedoch nicht optimal war, bietet Ihnen Feedback von diesen Benutzer*innen die Möglichkeit, Ihre Planung zu verbessern und Probleme in Zukunft zu vermeiden.

Tipps zum Erstellen Ihres Migrationsrings

Identifizieren von Remotebenutzer*innen: Beginnen Sie, indem Sie Benutzer*innen in zwei Gruppen (Buckets) unterteilen: diejenigen, die häufig ins Büro kommen, und diejenigen, die dies nicht tun. Der Migrationsprozess ist für beide Gruppen identisch, aber es dauert wahrscheinlich länger, bis Remoteclients das Update erhalten, als bei Clients, die häufiger eine Verbindung herstellen. Jede Migrationsphase sollte idealerweise Mitglieder aus jeder Gruppe enthalten.
Priorisieren von Benutzer*innen: Führungskräfte und andere Personen mit hohem Einfluss gehören in der Regel zu den zuletzt migrierten Benutzer*innen. Berücksichtigen Sie bei der Priorisierung von Benutzer*innen jedoch die Auswirkungen auf die Geschäftsproduktivität, wenn die Migration ihres Clientcomputers zu Fehlern führt. Wenn Sie beispielsweise eine Bewertung von 1 bis 3 nutzen, wobei 1 bedeutet, dass die Person nicht arbeiten kann, und 3, dass keine direkte Arbeitsunterbrechung auftritt, wären Business Analyst*innen, die nur branchenspezifische Apps remote verwendet, eine 1, während Vertriebsmitarbeiter*innen, die eine Cloud-App verwenden, eine 3 wären.
Migrieren von Abteilungen oder Geschäftseinheiten in mehreren Phasen: Microsoft empfiehlt dringend, eine ganze Abteilung nicht gleichzeitig zu migrieren. Wenn ein Problem auftreten sollte, möchten Sie nicht, dass es die Remotearbeit einer ganzen Abteilung behindert. Migrieren Sie stattdessen jede Abteilung oder Geschäftseinheit in mindestens zwei Phasen.
Schrittweises Erhöhen der Benutzeranzahl: Die meisten typischen Migrationsszenarien beginnen bei den Mitgliedern der IT-Abteilungen und werden dann bei Geschäftsbenutzer*innen fortgesetzt, gefolgt von Führungskräften und anderen wichtigen Benutzer*innen. Jede Migrationsphase umfasst in der Regel schrittweise mehr Personen. So könnte die erste Phase z. B. zehn Benutzer*innen umfassen und die letzte Gruppe dann 5.000 Benutzer*innen. Um die Bereitstellung zu vereinfachen, erstellen Sie eine einzelne Sicherheitsgruppe für VPN-Benutzer*innen und fügen ihr Benutzer*innen hinzu, wenn deren Phase beginnt. Auf diese Weise erhalten Sie eine einzelne Gruppe mit VPN-Benutzer*innen, der Sie in Zukunft weitere Mitglieder hinzufügen können.

Überlegungen zur Standardkonfiguration

Always On VPN verfügt über viele Standardkonfigurationsoptionen. Es ist jedoch wichtig, dass Sie beim Erstellen Ihrer VPN-Konfiguration die folgenden Informationen einbeziehen:

Verbindungstyp. Virtuelle private Netzwerke (VPNs) sind Punkt-zu-Punkt-Verbindungen über ein privates oder öffentliches Netzwerk, z. B. das Internet. Ein VPN-Client verwendet spezielle TCP/IP- oder UDP-basierte Protokolle (sogenannte Tunnelingprotokolle), um eine Verbindung mit einem VPN-Servers herzustellen. Der Verbindungstyp bestimmt auch, welche Art von Authentifizierung Sie verwenden. Ausführliche Informationen zu den verfügbaren Tunnelprotokollen finden Sie unter VPN-Verbindungstypen.
Routing. In diesem Kontext bestimmen Routingregeln, ob Benutzer andere Netzwerkrouten verwenden können, während sie mit dem VPN verbunden sind.
Auslösung. Das Auslösen bestimmt, wie und wann eine VPN-Verbindung initiiert wird (z. B. wenn eine App geöffnet wird, wenn das Gerät aktiviert ist, manuell vom Benutzer). Informationen zu Auslöseoptionen finden Sie unter Automatisch ausgelöste VPN-Profiloptionen.
Geräte- oder Benutzerauthentifizierung. Always On VPN verwendet Gerätezertifikate und geräteinitiierte Verbindungen über ein Feature namens Gerätetunnel. Ein Gerätetunnel kann automatisch initiiert werden, ist persistent und ähnelt einer DirectAccess-Infrastrukturtunnelverbindung.

Tipp

Erwägen Sie beim Migrieren von DirectAccess zu Always On VPN, mit Konfigurationsoptionen zu beginnen, die mit dem, was Sie haben, vergleichbar sind, und erweitern Sie dann von dort aus.

Durch die Verwendung von Benutzerzertifikaten stellt der Always On VPN-Client automatisch eine Verbindung her, dies erfolgt jedoch auf Benutzerebene (nach der Benutzeranmeldung) und nicht auf Geräteebene (vor der Benutzeranmeldung). Die Benutzeroberfläche ist für die Benutzer*innen weiterhin nahtlos, unterstützt jedoch erweiterte Authentifizierungsmechanismen wie Windows Hello for Business.

Nächster Schritt

Zweck	Weitere Informationen
Starten der Migration zu Always On-VPN	Migrieren zu Always On-VPN und Außerbetriebnahme von DirectAccess Die Migration von DirectAccess zu Always On-VPN erfordert einen bestimmten Prozess zum Migrieren von Clients, der dazu beiträgt, Racebedingungen zu minimieren, die sich aus der Ausführung von Migrationsschritten in ungeordneter Reihenfolge ergeben.
Erfahren Sie mehr über die Features von Always On-VPN und DirectAccess.	Featurevergleich von Always On-VPN und DirectAccess In früheren Versionen der Windows-VPN-Architektur erschwerten Plattformeinschränkungen die Bereitstellung kritischer Funktionen, die zum Ersetzen von DirectAccess erforderlich sind (z. B. vor der Anmeldung von benutzerseitig initiierten automatischen Verbindungen). Always On-VPN hat jedoch die meisten dieser Einschränkungen entschärft oder die VPN-Funktionalität über die Funktionen von DirectAccess hinaus erweitert.

Zweck

Weitere Informationen

Starten der Migration zu Always On-VPN

Migrieren zu Always On-VPN und Außerbetriebnahme von DirectAccess Die Migration von DirectAccess zu Always On-VPN erfordert einen bestimmten Prozess zum Migrieren von Clients, der dazu beiträgt, Racebedingungen zu minimieren, die sich aus der Ausführung von Migrationsschritten in ungeordneter Reihenfolge ergeben.

Erfahren Sie mehr über die Features von Always On-VPN und DirectAccess.

Featurevergleich von Always On-VPN und DirectAccess In früheren Versionen der Windows-VPN-Architektur erschwerten Plattformeinschränkungen die Bereitstellung kritischer Funktionen, die zum Ersetzen von DirectAccess erforderlich sind (z. B. vor der Anmeldung von benutzerseitig initiierten automatischen Verbindungen). Always On-VPN hat jedoch die meisten dieser Einschränkungen entschärft oder die VPN-Funktionalität über die Funktionen von DirectAccess hinaus erweitert.

Freigeben über