Pianificare la migrazione da DirectAccess a VPN AlwaysOn
« Indietro: Panoramica della migrazione da DirectAccess a VPN Always On
» Avanti: Eseguire la migrazione alla VPN Always On e rimuovere le autorizzazioni di DirectAccess
La migrazione da DirectAccess a VPN Always On richiede una pianificazione appropriata per determinare le fasi di migrazione, in modo da identificare eventuali problemi prima che influiscano sull'intera organizzazione. L'obiettivo principale della migrazione è consentire agli utenti di mantenere la connettività remota all'ufficio durante tutto il processo. Se si eseguono attività in ordine sparso, può verificarsi una race condition, che impedisce agli utenti remoti di accedere alle risorse aziendali. Di conseguenza, Microsoft consiglia di eseguire una migrazione side-by-side pianificata da DirectAccess a VPN AlwaysOn. Per informazioni dettagliate, vedere la sezione Distribuzione della migrazione VPN Always On.
La sezione descrive i vantaggi associati alla separazione degli utenti per la migrazione, le considerazioni sulla configurazione standard e i miglioramenti della funzionalità VPN AlwaysOn. Nella fase di pianificazione della migrazione sono previste le attività seguenti:
Creare anelli di migrazione. Come nella maggior parte delle altre migrazioni di sistema, le migrazioni client di destinazione in fasi consentono di identificare eventuali problemi prima che influiscano sull'intera organizzazione. La prima parte della migrazione VPN Always On non è diversa.
Informazioni sul confronto delle funzionalità di VPN Always On e DirectAccess. Analogamente a DirectAccess, la VPN Always On offre molte opzioni di sicurezza, connettività, autenticazione e altre opzioni.
Informazioni sui miglioramenti delle funzionalità della VPN Always On. Scoprire le funzionalità nuove o migliorate offerte dalla VPN Always On per migliorare la configurazione.
Informazioni sulla tecnologia VPN Always On. Per questa distribuzione, è necessario installare un nuovo server di Accesso remoto che esegue Windows Server 2016, nonché modificare parte dell'infrastruttura esistente per la distribuzione.
Creare anelli di migrazione
Gli anelli di migrazione vengono usati per dividere il processo di migrazione client VPN Always On in più fasi. Quando si arriva all'ultima fase, il processo dovrebbe essere ben testato e coerente.
Questa sezione illustra un approccio per separare gli utenti in fasi di migrazione e quindi gestire tali fasi. Indipendentemente dal metodo di separazione delle fasi utente scelto, mantenere un singolo gruppo Utenti VPN per semplificare la gestione al termine della migrazione.
Nota
Il termine fase non intende indicare che si tratta di un processo lungo. Sia che si passi da una fase all'altra in un paio di giorni o in un paio di mesi, Microsoft consiglia di sfruttare la migrazione side-by-side e di adottare un approccio in fasi.
Vantaggi della divisione del processo di migrazione in più fasi
Protezione dalle interruzioni in massa. Dividendo una migrazione in fasi, il numero di persone coinvolte in un problema generato dalla migrazione è molto più ridotto.
Miglioramento del processo o della comunicazione grazie al feedback. Idealmente, gli utenti non si accorgono nemmeno dell'avvenuta migrazione. Tuttavia, se la loro esperienza non è stata ottimale, il feedback di questi utenti offre l'opportunità di migliorare la pianificazione e di evitare problemi in futuro.
Suggerimenti per la creazione dell'anello di migrazione
Identificare gli utenti remoti. Per iniziare, separare gli utenti in due bucket: quelli che spesso vengono in ufficio e quelli che non lo fanno. Il processo di migrazione è lo stesso per entrambi i gruppi, ma è probabile che i client remoti ricevano l'aggiornamento più frequentemente rispetto a quelli che si connettono più frequentemente. Ogni fase di migrazione, idealmente, deve includere membri di ogni bucket.
Assegnare priorità agli utenti. La dirigenza e gli altri utenti ad alto impatto sono in genere tra gli ultimi a essere migrati. Quando si assegnano priorità agli utenti, tuttavia, considerarne l'impatto sulla produttività aziendale in caso di problemi nella migrazione del computer client. Ad esempio, se la classificazione fosse da 1 a 3, dove 1 indica che il dipendente non è in grado di lavorare e 3 che il lavoro non subisce interruzioni immediate, un analista aziendale che usa da remoto solo le app line-of-business (LOB) interne sarebbe classificato come 1, mentre un addetto alle vendite che usa un'app cloud sarebbe classificato come 3.
Eseguire la migrazione di ogni reparto o business unit in più fasi. Microsoft consiglia vivamente di non eseguire la migrazione di un intero reparto contemporaneamente. Se dovesse sorgere un problema, non si vuole che questo ostacoli il lavoro da remoto per l'intero reparto. Eseguire invece la migrazione di ogni reparto o business unit in almeno due fasi.
Aumentare gradualmente il numero degli utenti. La maggior parte degli scenari di migrazione tipici inizia con i membri dell'organizzazione IT e poi passa agli utenti aziendali, quindi alla dirigenza e ad altri utenti ad alto impatto. Ogni fase di migrazione coinvolge in genere un numero progressivo di persone. Ad esempio, la prima fase può includere dieci utenti e il gruppo finale ne può includere 5.000. Per semplificare la distribuzione, creare un singolo gruppo di sicurezza Utenti VPN e aggiungervi gli utenti in base alla relativa fase. In questo modo, si finisce con un singolo gruppo Utenti VPN a cui è possibile aggiungere membri in futuro.
Considerazioni sulla configurazione standard
La VPN Always On include molte opzioni di configurazione standard. Tuttavia, durante la creazione della configurazione della VPN è essenziale includere le informazioni seguenti:
Tipo di connessione. Le reti private virtuali (VPN) sono connessioni point-to-point in una rete privata o pubblica, come Internet. Un client VPN utilizza protocolli speciali basati su TCP/IP o UDP, detti protocolli di tunneling, per la connessione a un server VPN. Il tipo di connessione determina anche il tipo di autenticazione che verrà usato. Per informazioni dettagliate sui protocolli di tunneling disponibili, vedere Tipi di connessione VPN.
Routing. In questo contesto le regole di routing determinano se gli utenti possono usare altre route di rete durante la connessione alla VPN.
Scatenante. L'attivazione determina come e quando viene avviata una connessione VPN, ad esempio quando si apre un'app, quando il dispositivo viene attivato manualmente dall'utente. Per le opzioni di attivazione, vedere Opzioni del profilo VPN con attivazione automatica.
Autenticazione utente o dispositivo. La VPN Always On usa i certificati dei dispositivi e la connessione avviata da dispositivo tramite una funzionalità denominata Tunnel del dispositivo. Un tunnel del dispositivo può essere avviato automaticamente ed è persistente, simile a una connessione tunnel dell'infrastruttura DirectAccess.
Suggerimento
Quando si esegue la migrazione da DirectAccess a VPN Always On, è consigliabile iniziare con opzioni di configurazione paragonabili a quelle disponibili e quindi espandersi da questa posizione.
Usando i certificati utente, il client VPN Always On si connette automaticamente, ma lo fa a livello di utente (dopo l'accesso dell'utente) anziché a livello di dispositivo (prima dell'accesso dell'utente). L'esperienza è ancora fluida per l'utente, ma supporta meccanismi di autenticazione più avanzati, come Windows Hello for Business.
Passaggio successivo
| Per... | Poi consultare... |
|---|---|
| Avviare la migrazione alla VPN Always On | Eseguire la migrazione alla VPN Always On e rimuovere le autorizzazioni di DirectAccess. La migrazione da DirectAccess a VPN Always On richiede un processo specifico per la migrazione dei client, che consente di ridurre al minimo le condition race derivanti dall'esecuzione dei passaggi di migrazione in ordine sparso. |
| Informazioni sulle funzionalità di VPN Always On e DirectAccess | Confronto delle funzionalità di VPN Always On e DirectAccess. Nelle versioni precedenti dell'architettura VPN di Windows, le limitazioni della piattaforma rendevano difficile fornire le funzionalità critiche necessarie per sostituire DirectAccess, come le connessioni automatiche avviate prima dell'accesso degli utenti. VPN Always On, tuttavia, ha attenuato la maggior parte di queste limitazioni o ha ampliato la funzionalità VPN oltre alle funzionalità di DirectAccess. |