Planificación de la migración de DirectAccess a VPN de Always On
« Anterior: Descripción general de la migración de la VPN de DirectAccess a Always On
» Siguiente: Migración a VPN Always On y retirada de DirectAccess
La migración de DirectAccess a una VPN de Always On requiere un planeamiento adecuado para determinar las fases de la migración, lo que ayuda a identificar cualquier problema antes de que afecte a toda la organización. El objetivo principal de la migración es que los usuarios mantengan la conectividad remota con la oficina a lo largo del proceso. Si realiza las tareas de forma desordenada puede producirse una condición de carrera, con lo que los usuarios remotos no tendrían forma alguna de acceder a los recursos de la empresa. Por lo tanto, Microsoft recomienda realizar una migración planeada en paralelo desde DirectAccess a VPN de Always On. Para obtener más información, consulte la sección Implementación de la migración de VPN de Always On.
En la sección se describen las ventajas de separar a los usuarios para la migración, las consideraciones de configuración estándar y las mejoras de las características de VPN de Always On. La fase de planificación de la migración incluye:
Cree anillos de migración. Como en la mayoría de las demás migraciones del sistema, dirija las migraciones de cliente por fases para ayudar a identificar los problemas antes de que afecten a toda la organización. La primera parte de la migración a VPN de Always On no es diferente.
Obtenga información sobre la comparación de características de VPN de Always On y DirectAccess. De forma similar a DirectAccess, la VPN de Always On tiene muchas opciones de seguridad, conectividad, autenticación y otras opciones.
Más información sobre las mejoras de características de la VPN de Always On. Descubra las características nuevas o mejoradas que ofrece la VPN de Always On para mejorar la configuración.
Más información sobre la tecnología de VPN de Always On. Para esta implementación, debe instalar un nuevo servidor de acceso remoto que ejecute Windows Server 2016, además de modificar parte de la infraestructura existente para la implementación.
Crear anillos de migración
Los anillos de migración se usan para dividir el esfuerzo de migración del cliente VPN de Always On en varias fases. Al llegar a la última fase, el proceso debería estar bien probado y ser coherente.
En esta sección se proporciona un enfoque para separar a los usuarios en fases de migración y, después, administrar esas fases. Independientemente del método de separación de fases de usuario que elija, mantenga un único grupo de usuarios de VPN para facilitar la administración cuando se complete la migración.
Nota
La palabra fase no es indicativa de un proceso largo. Tanto si dedica a cada fase un par de días como un par de meses, Microsoft recomienda aprovechar las ventajas de la migración en paralelo y usar un enfoque por fases.
Ventajas de dividir el esfuerzo de migración en varias fases
Protección contra interrupciones masivas. Al dividir una migración en fases, el número de personas a las que puede afectar un problema generado por la migración es mucho menor.
Mejora del proceso o la comunicación gracias a los comentarios. Lo ideal es que los usuarios ni siquiera se den cuenta de que se ha producido la migración. Sin embargo, si su experiencia no ha sido óptima, los comentarios de estos usuarios le ofrecen la oportunidad de mejorar la planificación y evitar problemas en el futuro.
Sugerencias para crear el anillo de migración
Identifique a los usuarios remotos. Empiece por separar a los usuarios en dos grupos: aquellos que suelen ir a la oficina y aquellos que no. El proceso de migración es el mismo para ambos grupos, pero es probable que los clientes remotos tarden más en recibir la actualización que aquellos que se conectan con más frecuencia. Lo ideal es que cada fase de la migración incluya miembros de cada grupo.
Clasifique los usuarios por orden de prioridad. Los líderes y otros usuarios de alto impacto suelen estar entre los últimos usuarios que se migran. Sin embargo, al clasificar a los usuarios por orden de prioridad, considere su impacto en la productividad empresarial en caso de producirse un error en la migración de su equipo cliente. Por ejemplo, si tiene una clasificación de 1 a 3, donde 1 significa que el empleado no podría trabajar y 3 significa que no se produce una interrupción inmediata del trabajo, un analista de negocios que use solo aplicaciones internas de línea de negocio (LOB) de forma remota se clasificaría como 1, mientras que un vendedor que usa una aplicación en la nube se clasificaría como 3.
Migre cada departamento o unidad de negocio en varias fases. Microsoft recomienda encarecidamente que no migre todo un departamento al mismo tiempo. Si surgiera un problema, es preferible que no impida el trabajo remoto para todo el departamento. En su lugar, migre cada departamento o unidad de negocio en al menos dos fases.
Aumente gradualmente el número de usuarios. La mayoría de los escenarios de migración típicos comienzan con los miembros de la organización de TI y, después, pasan a los usuarios empresariales, seguidos de los líderes y otros usuarios de alto impacto. Normalmente, cada fase de la migración implica a más personas de forma progresiva. Por ejemplo, la primera fase puede incluir diez usuarios y el grupo final puede incluir 5000 usuarios. Para simplificar la implementación, cree un único grupo de seguridad de usuarios de VPN y agregue usuarios a este a medida que llegue su fase correspondiente. De este modo, al terminar se obtiene un único grupo de usuarios de VPN al que puede agregar miembros en el futuro.
Consideraciones de configuración estándar
VPN de Always On tiene numerosas opciones de configuración estándar. Sin embargo, es esencial que incluya la información siguiente al crear la configuración de VPN:
Tipo de conexión. Las redes privadas virtuales (VPN) son conexiones de punto a punto en una red pública o privada, como Internet. Un cliente VPN usa protocolos especiales basados en TCP/IP o UDP, denominados protocolos de túnel, para conectarse a un servidor VPN. El tipo de conexión también determina qué tipo de autenticación se va a usar. Para obtener más información sobre los protocolos de túnel disponibles, consulte Tipos de conexión de VPN.
Enrutamiento. En este contexto, las reglas de enrutamiento determinan si los usuarios pueden usar otras rutas de red mientras están conectadas a la VPN.
Activación. El desencadenador determina cómo y cuándo se inicia una conexión VPN (por ejemplo, cuando se abre una aplicación, cuando el usuario activa el dispositivo manualmente). Para ver las opciones de desencadenamiento, consulte las opciones de perfil desencadenadas automáticamente por VPN.
Autenticación de dispositivo o usuario. Una VPN de Always On usa certificados de dispositivo y conexión iniciada por el dispositivo a través de una característica llamada Túnel de dispositivo. Un túnel de dispositivos se puede iniciar de forma automática y es persistente, similar a una conexión de túnel de infraestructura de DirectAccess.
Sugerencia
Al migrar de DirectAccess a VPN de Always On, considere la posibilidad de empezar por las opciones de configuración comparables a las que ya tiene y expandir a partir de ahí.
Al utilizar certificados de usuario, el cliente VPN de Always On se conecta automáticamente, pero lo hace en el nivel de usuario (después del inicio de sesión del usuario) en lugar de en el nivel de dispositivo (antes del inicio de sesión del usuario). Sigue siendo una experiencia directa para el usuario, pero admite mecanismos de autenticación más avanzados, como Windows Hello para empresas.
Paso siguiente
| Si desea... | Después, consulte... |
|---|---|
| Iniciar la migración a VPN de Always On | Migración a VPN de Always On y retirada de DirectAccess. La migración desde DirectAccess a VPN Always On requiere un proceso específico para migrar clientes, lo que ayuda a minimizar las condiciones de carrera que surgen de realizar pasos de migración desordenados. |
| Obtener información sobre las características de una VPN de Always On y DirectAccess | Comparación de características de VPN de Always On y DirectAccess. En versiones anteriores de la arquitectura VPN de Windows, las limitaciones de la plataforma dificultaban la provisión de la funcionalidad crítica necesaria para reemplazar DirectAccess (como las conexiones automáticas iniciadas antes de que los usuarios iniciaran sesión). Sin embargo, la VPN de Always On, ha mitigado la mayoría de esas limitaciones o ha ampliado la funcionalidad de VPN más allá de las funcionalidades de DirectAccess. |