Planejar o migração de VPN Always On do DirectAccess
« Anterior: Visão geral da migração do DirectAccess para a VPN Always On
» Próximo: Migrar para a VPN Always On e desativar o DirectAccess
A migração do DirectAccess para a VPN Always On exige um planejamento adequado para determinar suas fases de migração, o que ajuda a identificar os problemas antes que eles afetem toda a organização. A meta principal da migração é que os usuários mantenham a conectividade remota com o escritório durante todo o processo. Se você executar as tarefas fora da ordem, poderá ocorrer uma condição de corrida, deixando os usuários remotos sem nenhuma forma de acessar os recursos da empresa. Portanto, a Microsoft recomenda executar uma migração planejada lado a lado do DirectAccess para a VPN Always On. Para obter detalhes, confira a seção Implantação da migração da VPN Always On.
A seção descreve os benefícios de separar os usuários para a migração, considerações sobre a configuração padrão e aprimoramentos de recursos da VPN Always On. A fase de planejamento da migração inclui:
Crie anéis de migração. Como na maioria das outras migrações do sistema, direcione as migrações de cliente em fases para ajudar a identificar qualquer problema antes que ele afete toda a organização. A primeira parte da migração da VPN Always On não é diferente.
Saiba mais sobre a comparação de recursos da VPN Always On e do DirectAccess. Semelhante ao DirectAccess, a VPN Always On tem muitas opções de segurança, conectividade, autenticação e outras.
Saiba mais sobre os aprimoramentos de recursos da VPN Always On. Descubra recursos novos ou aprimorados que a VPN Always On oferece para aprimorar a configuração.
Saiba mais sobre a tecnologia VPN Always On. Para essa implantação, você precisa instalar um novo servidor de Acesso Remoto que execute o Windows Server 2016, bem como modificar parte da infraestrutura existente para a implantação.
Criar anéis de migração
Os anéis de migração são usados para dividir o esforço de migração do cliente VPN Always On em várias fases. Quando você chegar à última fase, seu processo deverá estar bem testado e consistente.
Esta seção fornece uma abordagem para separar os usuários em fases de migração e, depois, gerenciar essas fases. Independentemente do método de separação de fase do usuário escolhido, mantenha um só grupo Usuários de VPN para facilitar o gerenciamento quando a migração for concluída.
Observação
A palavra fase não se destina a indicar que esse seja um processo longo. Independentemente de você passar pelas fases individualmente em alguns dias ou alguns meses, a Microsoft recomendará que você aproveite a migração lado a lado e use uma abordagem em fases.
Benefícios da divisão do esforço de migração em várias fases
Proteção contra interrupção em massa. Ao dividir uma migração em fases, o número de pessoas que um problema gerado pela migração pode afetar é muito menor.
Aprimoramento do processo ou da comunicação por meio de comentários. O ideal é que os usuários nem percebessem que a migração ocorreu. No entanto, se a experiência foi inferior ao ideal, os comentários desses usos oferecem a oportunidade de aprimorar seu planejamento e evitar problemas no futuro.
Dicas para criar seu anel de migração
Identifique os usuários remotos. Comece separando os usuários em dois buckets: aqueles que frequentemente vêm ao escritório e aqueles que não vêm. O processo de migração é o mesmo para ambos os grupos, mas é provável que demore mais para que os clientes remotos recebam a atualização do que para aqueles que se conectam com mais frequência. O ideal é que cada fase de migração inclua membros de cada bucket.
Priorize os usuários. A liderança e outros usuários de alto impacto normalmente estão entre os últimos usuários migrados. No entanto, ao priorizar os usuários, considere o impacto na produtividade dos negócios se a migração do computador cliente falhar. Por exemplo, se você tiver uma classificação de 1 a 3, com 1 indicando que o funcionário não poderá trabalhar e 3 indicando que não há nenhuma interrupção imediata do trabalho, um analista de negócios que usa apenas aplicativos LOB (linha de negócios) internos remotamente receberá 1, enquanto um vendedor que usa um aplicativo de nuvem receberá 3.
Migre cada departamento ou unidade de negócios em várias fases. A Microsoft recomenda fortemente que você não migre um departamento inteiro ao mesmo tempo. Em caso de problemas, você não deseja que ele impeça o trabalho remoto de todo o departamento. Em vez disso, migre cada departamento ou unidade de negócios em, no mínimo, duas fases.
Aumente gradualmente as contagens de usuários. Os cenários de migração mais típicos começam com os membros da organização de TI e migram para os usuários empresariais, seguido da liderança e de outros usuários de alto impacto. Em geral, cada fase de migração envolve progressivamente mais pessoas. Por exemplo, a primeira fase poderá incluir dez usuários, e o grupo final poderá incluir cinco mil usuários. Para simplificar a implantação, crie um só grupo de segurança Usuários da VPN e adicione usuários a ele à medida que a respectiva fase chegar. Dessa forma, você acaba com um só grupo Usuários da VPN ao qual pode adicionar membros no futuro.
Considerações sobre a configuração padrão
A VPN Always On traz muitas opções de configuração padrão. No entanto, é essencial que você inclua as seguintes informações ao criar sua configuração de VPN:
Tipo de conexão. Redes virtuais privadas (VPNs) são conexões ponto a ponto em uma rede privada ou pública, como a Internet. Um cliente VPN usa protocolos especiais baseados em TCP/IP ou UDP, chamados protocolos de encapsulamento, para se conectar a um servidor VPN. O tipo de conexão também determina qual tipo de autenticação você usará. Para obter detalhes sobre os protocolos de túnel disponíveis, confira Tipos de conexão VPN.
Roteamento. Nesse contexto, as regras de roteamento determinam se os usuários podem usar outras rotas de rede enquanto estão conectados à VPN.
Desencadeando. O acionamento determina como e quando uma conexão VPN é iniciada (por exemplo, quando um aplicativo é aberto, quando o dispositivo é ligado, manualmente pelo usuário). Para ver as opções de gatilho, confira as Opções de perfil disparada automaticamente pela VPN.
Autenticação de dispositivo ou de usuário. A VPN Always On usa certificados de dispositivo e conexão iniciada pelo dispositivo por meio de um recurso chamado Túnel de Dispositivo. Um túnel de dispositivo pode ser iniciado automaticamente e é persistente, assemelhando-se a uma conexão de túnel de infraestrutura do DirectAccess.
Dica
Ao migrar do DirectAccess para a VPN Always On, considere a possibilidade de começar com as opções de configuração comparáveis ao que você já tem e expandir desse ponto.
Usando certificados de usuário, o cliente VPN Always On se conecta automaticamente, mas faz isso no nível do usuário (após a entrada do usuário) em vez de no nível do dispositivo (antes da entrada do usuário). A experiência ainda é perfeita para o usuário, mas dá suporte a mecanismos de autenticação mais avançados, como o Windows Hello para Empresas.
Próxima etapa
| Se desejar... | Em seguida, confira… |
|---|---|
| Iniciar a migração para a VPN Always On | Migrar para a VPN Always On e desativar o DirectAccess. A migração do DirectAccess para a VPN Always On exige um processo específico para migrar os clientes, o que ajuda a minimizar as condições de corrida que surgem com a execução de etapas de migração fora da ordem. |
| Saiba mais sobre os recursos da VPN Always On e do DirectAccess | Comparação de recursos da VPN Always On e do DirectAccess. Nas versões anteriores da arquitetura de VPN do Windows, as limitações da plataforma dificultavam o fornecimento da funcionalidade crítica necessária para substituir o DirectAccess (como conexões automáticas iniciadas antes de os usuários se conectarem). No entanto, a VPN Always On atenuou a maioria dessas limitações ou expandiu a funcionalidade de VPN além das funcionalidades do DirectAccess. |