Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
" Предыдущий: обзор миграции DirectAccess в AlwaysOn VPN
" Далее: миграция на Always On VPN и вывод из эксплуатации DirectAccess"
Миграция с DirectAccess на AlwaysOn VPN требует правильного планирования для определения этапов миграции, которые помогают определить все проблемы, прежде чем они влияют на всю организацию. Основная цель миграции заключается в том, чтобы пользователи поддерживали удаленное подключение к офису на протяжении всего процесса. Если вы выполняете задачи вне порядка, может возникнуть состояние гонки, оставляя удаленных пользователей без доступа к ресурсам компании. Поэтому корпорация Майкрософт рекомендует выполнять плановую параллельное миграцию с DirectAccess на AlwaysOn VPN. Дополнительные сведения см. в разделе развертывания Always On VPN при миграции.
В этом разделе описываются преимущества разделения пользователей для миграции, стандартные рекомендации по настройке и усовершенствования функций Always On VPN. Этап планирования миграции включает:
Создание кругов миграции. Как и в большинстве других системных миграций, переносы клиентов следует проводить поэтапно, чтобы выявить любые проблемы, прежде чем они повлияют на всю организацию. Первая часть миграции Always On VPN не отличается от стандартного процесса.
Узнайте о сравнении функций Always On VPN и DirectAccess. Аналогично DirectAccess, AlwaysOn VPN имеет множество параметров безопасности, подключения, проверки подлинности и других параметров.
Узнайте о усовершенствованиях функций AlwaysOn VPN. Узнайте о новых или улучшенных функциях, которые предлагает AlwaysOn VPN для улучшения конфигурации.
Узнайте о технологии AlwaysOn VPN. Для этого развертывания необходимо установить новый сервер удаленного доступа под управлением Windows Server 2016, а также изменить часть существующей инфраструктуры для развертывания.
Создание кругов миграции
Кольца миграции используются для разделения усилий по миграции VPN-клиента AlwaysOn на несколько этапов. К последнему этапу процесс должен быть хорошо протестирован и согласован.
В этом разделе представлен один из способов разделения пользователей на этапы миграции, а затем управление этими этапами. Независимо от выбранного метода разделения этапов пользователей сохраните одну группу пользователей VPN для упрощения управления после завершения миграции.
Примечание.
Этап слова не предназначен для обозначения того, что это длинный процесс. Независимо от того, проходите ли каждый этап в течение нескольких дней или нескольких месяцев, корпорация Майкрософт рекомендует воспользоваться преимуществами параллельной миграции и использовать поэтапный подход.
Преимущества разделения усилий миграции на несколько этапов
Защита от массового сбоя. Разделив миграцию на этапы, число людей, создаваемых миграцией, может повлиять гораздо меньше.
Улучшение процесса или коммуникации на основе обратной связи. В идеале пользователи даже не заметили, что произошла миграция. Однако если их опыт был менее оптимальным, отзывы от этих пользователей дают вам возможность улучшить планирование и избежать проблем в будущем.
Советы по созданию структуры миграции
Определите удаленных пользователей. Начните с разделения пользователей на два контейнера: тех, кто часто входит в офис и тех, кто не входит. Процесс миграции одинаков для обеих групп, но, скорее всего, займет больше времени для удаленных клиентов, чтобы получать обновление, чем для тех, кто подключается чаще. Каждый этап миграции, в идеале, должен включать элементы из каждого сегмента.
Уделите приоритетное внимание пользователям. Руководство и другие пользователи с высоким влиянием обычно являются одними из последних пользователей, перенесенных. При установлении приоритетов пользователей учитывайте влияние на производительность бизнеса в случае, если миграция их клиентских компьютеров завершится ошибкой. Например, если у вас есть рейтинг от 1 до 3, то есть 1 означает, что сотрудник не сможет работать и 3 означает отсутствие немедленного прерывания работы, бизнес-аналитик с использованием только внутренних бизнес-приложений (LOB) удаленно будет 1, в то время как продавец с помощью облачного приложения будет 3.
Перенос каждого отдела или подразделения на нескольких этапах. Корпорация Майкрософт настоятельно рекомендует не переносить весь отдел одновременно. Если проблема возникает, вы не хотите, чтобы она препятствовала удаленной работе для всего отдела. Вместо этого перенесите каждый отдел или подразделение по крайней мере на два этапа.
Постепенно увеличивайте число пользователей. Большинство типичных сценариев миграции начинаются с членов ИТ-организации, а затем переходят к бизнес-пользователям, за которым следует руководство и другие пользователи с высоким уровнем влияния. Каждый этап миграции обычно включает в себя постепенно больше людей. Например, первый этап может включать десять пользователей, и окончательная группа может включать 5000 пользователей. Чтобы упростить развертывание, создайте одну группу безопасности VPN-пользователей и добавьте пользователей в нее по мере поступления. Таким образом, вы в конечном итоге будете использовать одну группу VPN-пользователей, в которую можно добавить участников в будущем.
Рекомендации по настройке уровня "Стандартный"
AlwaysOn VPN имеет множество стандартных параметров конфигурации. Однако важно включить следующие сведения при создании конфигурации VPN:
Тип подключения Виртуальные частные сети (VPN) — это подключения типа "точка — точка" через частную или общедоступную сеть, такие как Интернет. VPN-клиент использует специальные протоколы TCP/IP или UDP, называемые протоколами туннелирования, для подключения к VPN-серверу. Тип подключения также определяет тип используемой проверки подлинности. Дополнительные сведения о доступных протоколах туннелирования см. в разделе "Типы VPN-подключений".
Маршрутизация. В этом контексте правила маршрутизации определяют, могут ли пользователи использовать другие сетевые маршруты при подключении к VPN.
Запуска.Активация определяет, как и когда инициируется VPN-подключение (например, при открытии приложения при включении устройства вручную). Параметры активации см. в параметрах профиля автоматического активации VPN.
Проверка подлинности устройства или пользователя. AlwaysOn VPN использует сертификаты устройств и подключение, инициированное устройством, через функцию с именем Device Tunnel. Туннель устройства можно инициировать автоматически и постоянно, напоминая подключение к туннелю инфраструктуры DirectAccess.
Совет
При миграции с DirectAccess на AlwaysOn VPN рекомендуется начать с параметров конфигурации, которые сравнимы с тем, что у вас есть, а затем развернуть его.
С помощью сертификатов пользователей VPN-клиент AlwaysOn подключается автоматически, но он выполняет это на уровне пользователя (после входа пользователя) вместо уровня устройства (перед входом пользователя). Интерфейс по-прежнему прост для пользователя, но поддерживает более сложные механизмы проверки подлинности, такие как Windows Hello для бизнеса.
Следующий шаг
| Если вы хотите… | Затем смотрите... |
|---|---|
| Начало миграции на VPN AlwaysOn | Перейдите на Always On VPN и отключите DirectAccess. Миграция из DirectAccess в Always On VPN требует конкретного процесса для переноса клиентов, что помогает свести к минимуму состояния конкурентного доступа, возникающие при неправильном порядке выполнения шагов миграции. |
| Сведения о функциях AlwaysOn VPN и DirectAccess | Сравнение функций AlwaysOn VPN и DirectAccess. В предыдущих версиях архитектуры VPN Windows ограничения платформы затрудняют предоставление критически важных функций, необходимых для замены DirectAccess (например, автоматических подключений, инициированных перед входом пользователей). Однако Always On VPN смягчил большинство этих ограничений или расширил функциональные возможности VPN за пределами возможностей DirectAccess. |