概述從 DirectAccess 到 Always On VPN 的移轉
» 下一步:規劃從 DirectAccess 到 Always On VPN 的移轉
在舊版的 Windows VPN 架構中,平台的限制使其難以提供取代 DirectAccess 所需的重要功能,例如在使用者登入之前起始的自動連線。 不過,Always On VPN 鬆綁了其中大部分的限制,或將 VPN 功能擴及 DirectAccess 的功能之外。 Always On VPN 消除了 Windows VPN 與 DirectAccess 先前的差距。
從 DirectAccess 到 Always On VPN 的移轉程序包含四個主要元件和概略程序:
規劃 Always On VPN 移轉。 規劃有助於識別目標用戶端以進行使用者階段區隔,以及基礎結構和功能。
建置移轉環。 與多數其他系統移轉相同,分階段進行目標用戶端移轉,有助於在任何問題影響到整個組織之前加以找出。 Always On VPN 移轉的第一個部分並無不同。
了解 Always On VPN 與 DirectAccess 的功能比較。 和 DirectAccess 一樣,Always On VPN 也有許多安全性、連線、驗證和其他選項。
了解 Always On VPN 的功能強化。 探索 Always On VPN 供您用來改善設定的新功能或改良功能。
了解 Always On VPN 技術。 針對此部署,您必須安裝執行 Windows Server 2016 的全新遠端存取伺服器,並且為部署修改一些現有的基礎結構。
部署並存 VPN 基礎結構。 在您確認移轉階段以及要包含在部署中的功能之後,請將 Always On VPN 基礎結構與現有的 DirectAccess 基礎結構並存部署。
將憑證和設定部署至用戶端。 VPN 基礎結構準備就緒後,請建立必要的憑證並將其發佈至用戶端。 用戶端收到憑證後,請部署 VPN_Profile.ps1 設定指令碼。 或者,您可以使用 Intune 來設定 VPN 用戶端。 使用 Microsoft Endpoint Configuration Manager 或 Microsoft Intune 來監視 VPN 設定部署是否成功。
移除和解除委任。 將所有人移轉出 DirectAccess 之後,請適當解除委任環境。
從用戶端移除 DirectAccess 設定。 監視 Microsoft Endpoint Configuration Manager 或 Microsoft Intune,以確認 VPN 設定部署是否成功。 然後,使用報告來確認裝置指派資訊,並探索裝置所屬的各個使用者。 使用者成功移轉後,您可以從 DirectAccess 安全性群組中移除其裝置,以便從您的環境中移除 DirectAccess。
解除委任 DirectAccess 伺服器。 成功移除組態設定和 DNS 記錄後,您即可終止 DirectAccess 伺服器。 為此,請在伺服器管理員中移除其角色,或將伺服器解除委任,並將其從 AD DS 中移除。
DirectAccess 部署案例
在此部署案例中,您會使用簡單的 DirectAccess 部署案例作為起點,據以進行本指南所說明的移轉。 在移轉至 Always On VPN 之前,您不需要比對此部署案例,但對於許多組織來說,這個簡單的設定準確表示了其目前的 DirectAccess 部署。 下表提供此設定的基本功能清單。
DirectAccess 部署有許多案例和選項,因此您的實作可能會與此處說明的不同。 若是如此,請參閱 DirectAccess 與 Always On VPN 之間的功能對應,以確認現行新增項目的 Always On VPN 功能集對應,然後將這些功能新增至您的設定。 此外,您也可以參考 Always On VPN 增強功能,將選項新增至您的 Always On VPN 部署。
注意
對於未加入網域的裝置還需考量其他事項,例如憑證註冊。 如需詳細資訊,請參閱 Windows Server 和 Windows 10 的 Always On VPN 部署。
部署案例功能清單
| DirectAccess 功能 | 一般案例 |
|---|---|
| 部署案例 | 為用戶端存取和遠端管理部署完整的 DirectAccess |
| 網路介面卡 | 2 |
| 使用者驗證 | Active Directory 認證 |
| 使用電腦憑證 | Yes |
| 安全性群組 | Yes |
| 單一 DirectAccess 伺服器 | Yes |
| 網路拓撲 | 具有兩張網路介面卡的邊緣防火牆後方的網路位址轉譯 (NAT) |
| 存取模式 | 端對邊緣 |
| 通道 | 分割通道 |
| 驗證 | 使用機器憑證加上 Kerberos (不是 KerbProxy) 的標準公開金鑰基礎結構 (PKI) 驗證 |
| 通訊協定 | IP over HTTPS (IP-HTTPS) |
| 現用網路位置伺服器 (NLS) | Yes |
Always On VPN 部署案例
此部署案例主要說明如何將簡單的 DirectAccess 環境移轉至簡單的 Always On VPN 環境,後者為 DirectAccess 替代解決方案。 下表提供這個簡單的解決方案中使用的功能。 若想進一步了解 Always On VPN 用戶端的其他增強功能,請參閱 Always On VPN 增強功能。
簡單環境中使用的 Always On VPN 功能
| VPN 功能 | 部署案例設定 |
|---|---|
| Connection type | 原生網際網路金鑰交換第 2 版 (IKEv2) |
| 網路介面卡 | 2 |
| 使用者驗證 | Active Directory 認證 |
| 使用電腦憑證 | Yes |
| 路由 | 分割通道 |
| 名稱解析 | 網域名稱資訊清單和網域名稱系統 (DNS) 尾碼 |
| 觸發 | 一律開啟和信任的網路偵測 |
| 驗證 | 受保護的可延伸驗證通訊協定傳輸層安全性 (PEAP-TLS) 搭配信賴平台模組保護的使用者憑證 |
後續步驟
規劃從 DirectAccess 到 Always On VPN 的移轉。 移轉的主要目標,是要讓使用者全程都能維持與辦公室的遠端連線。