规划 DirectAccess 到始终启用 VPN 迁移

项目
03/09/2023
适用于:

✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016, ✅ Windows 11, ✅ Windows 10

« 上一个：从 DirectAccess 迁移到 Always On VPN 的概述
» 下一个：迁移到 Always On VPN 并解除 DirectAccess 授权

从 DirectAccess 迁移到 Always On VPN 需要正确规划以确定迁移阶段，这有助于发现任何问题，以免这些问题影响整个组织。迁移的主要目标是让用户在整个过程中保持与办公室的远程连接。如果未按顺序执行任务，可能会发生争用情况，使远程用户无法访问公司资源。因此，Microsoft 建议执行规划好的从 DirectAccess 到 Always On VPN 的并行迁移。有关详细信息，请参阅 Always On VPN 迁移部署部分。

该部分介绍了分离用户以进行迁移的好处、标准配置注意事项以及 Always On VPN 功能改进。迁移规划阶段包括：

生成迁移通道。 与大多数其他系统迁移一样，分阶段定位客户端迁移，以帮助发现任何问题，以免这些问题影响整个组织。 Always On VPN 迁移的第一部分也不例外。
了解 Always On VPN 和 DirectAccess 的功能比较。 与 DirectAccess 类似，Always On VPN 具有许多安全性、连接性、身份验证和其他选项。
了解 Always On VPN 的功能改进。 发现 Always On VPN 提供的用于改进配置的新功能或改进功能。
了解 Always On VPN 技术。 对于此部署，必须安装运行 Windows Server 2016 的新远程访问服务器，并修改部署的一些现有基础结构。

生成迁移通道

迁移通道用于将 Always On VPN 客户端迁移工作划分为多个阶段。进行到最后一个阶段时，过程应经过充分测试并保持一致。

该部分提供了一种方法，用于将用户分离到迁移阶段，然后管理这些阶段。无论选择哪种用户阶段分离方法，都需维护单个 VPN 用户组，以便在迁移完成后更轻松地进行管理。

注意

“阶段”一词并不表示这是一个漫长的过程。无论你是在几天还是几个月内完成每个阶段，Microsoft 都建议你利用并行迁移并使用分阶段的方法。

将迁移工作划分为多个阶段的好处

大规模中断保护。 通过将迁移划分为多个阶段，迁移导致的问题可能影响的人数将大大减少。
改进过程中反馈或反馈沟通。 理想情况下，用户甚至没有注意到迁移的发生。但是，如果他们的体验不太理想，这些用户提供的反馈将使你有机会改进规划并避免将来出现问题。

生成迁移通道的提示

识别远程用户。 首先将用户分到两个存储桶：经常到办公室来的用户和不经常到办公室来的用户。这两个组的迁移过程相同，但远程客户端接收更新所需的时间可能比连接频率更高的客户端更长。理想情况下，每个迁移阶段都应包含每个存储桶中的成员。
确定用户的优先级。 领导层和其他高影响力用户通常是最后迁移的用户。但是，在确定用户优先级时，如果客户端计算机迁移失败，请考虑其业务工作效率影响。例如，如果评分为 1 到 3，其中 1 表示员工无法工作，3 表示不会立即中断工作，则仅远程使用内部业务线 (LOB) 应用的业务分析师为 1，而使用云应用的销售人员为 3。
分多个阶段迁移每个部门或业务部门。 Microsoft 强烈建议不要同时迁移整个部门。如果出现问题，你不希望它妨碍整个部门的远程工作。而是至少分两个阶段迁移每个部门或业务部门。
逐渐增加用户数量。 大多数典型的迁移方案从 IT 组织的成员开始，然后是业务用户，最后是领导层和其他高影响力用户。每个迁移阶段通常涉及越来越多的人。例如，第一个阶段可能包括 10 个用户，最后一个组可能包含 5,000 个用户。若要简化部署，请创建单个 VPN 用户安全组，并在其阶段到来时向其添加用户。这样，你最终会得到一个 VPN 用户组，将来可以向其添加成员。

标准配置注意事项

Always On VPN 具有许多标准配置选项。但是，在创建 VPN 配置时，必须包含以下信息：

连接类型。 虚拟专用网 (VPN) 是专用或公用网络上的点对点连接，例如 Internet。 VPN 客户端使用特殊 TCP/IP 或基于 UDP 的协议（称为隧道协议）连接 VPN 服务器。连接类型还决定将使用哪种类型的身份验证。有关可用隧道协议的详细信息，请参阅 VPN 连接类型。
路由。 在此上下文中，路由规则决定用户在连接到 VPN 时是否可以使用其他网络路由。
触发。触发确定 VPN 连接启动的方式和时间（例如，当应用打开时、用户手动打开设备时）。有关触发选项，请参阅 VPN 自动触发配置文件选项。
设备或用户身份验证。 Always On VPN 通过名为设备隧道的功能使用设备证书和设备启动的连接。设备隧道可以自动启动，并且是永久性的，类似于 DirectAccess 基础结构隧道连接。

提示

从 DirectAccess 迁移到 Always On VPN 时，请考虑从与你拥有的配置选项相当的配置选项开始，然后从那里扩展。

通过使用用户证书，Always On VPN 客户端会自动连接，但它在用户级别（用户登录后）而不是在设备级别（用户登录前）进行连接。该体验对用户来说仍然是无缝的，但它支持更高级的身份验证机制，如 Windows Hello 企业版。

后续步骤

若希望...	然后查看...
开始迁移到 Always On VPN	迁移到 Always On VPN 并解除 DirectAccess 授权。从 DirectAccess 迁移到 Always On VPN 需要特定的过程来迁移客户端，这有助于最大程度地减少因未按顺序执行迁移步骤而引起的争用情况。
了解 Always On VPN 和 DirectAccess 的功能	Always On VPN 和 DirectAccess 的功能比较。在以前版本的 Windows VPN 体系结构中，平台限制使得难以提供替换 DirectAccess 所需的关键功能（如在用户登录前启动的自动连接）。但是，Always On VPN 已经缓解了大部分限制，或者扩展了 VPN 功能（超越了 DirectAccess 功能）。

通过