規劃從 DirectAccess 到 Always On VPN 的移轉
« 上一步:概述從 DirectAccess 到 Always On VPN 的移轉
» 下一步:遷移至 AlwaysOn VPN 並解除委任 DirectAccess
從 DirectAccess 移轉至 AlwaysOn VPN 需要有適當的規劃來判斷您的移轉階段,這有助於在影響整個組織之前找出任何問題。 移轉的主要目標,是要讓使用者全程都能維持與辦公室的遠端連線。 如果您依序執行工作,可能會發生競爭狀況,讓遠端使用者無法存取公司資源。 因此,Microsoft 建議執行從 DirectAccess 並存移轉至 Always On VPN 的計畫性並存移轉。 如需詳細資訊,請參閱 AlwaysOn VPN 移轉部署一節。
本節說明將使用者分開進行移轉的優點、標準設定考量,以及 AlwaysOn VPN 功能增強功能。 移轉規劃階段包括:
建置移轉環。 與多數其他系統移轉相同,分階段進行目標用戶端移轉,有助於在任何問題影響到整個組織之前加以找出。 Always On VPN 移轉的第一個部分並無不同。
了解 Always On VPN 與 DirectAccess 的功能比較。 和 DirectAccess 一樣,Always On VPN 也有許多安全性、連線、驗證和其他選項。
了解 Always On VPN 的功能強化。 探索 Always On VPN 供您用來改善設定的新功能或改良功能。
了解 Always On VPN 技術。 針對此部署,您必須安裝執行 Windows Server 2016 的全新遠端存取伺服器,並且為部署修改一些現有的基礎結構。
建置移轉環
移轉環可用來將 AlwaysOn VPN 用戶端移轉工作分成多個階段。 在您進入最後一個階段時,您的程式應該經過良好測試並取得一致。
本節提供一種將使用者分成移轉階段,然後管理這些階段的方法。 無論您選擇的使用者階段分離方法為何,維護單一 VPN 使用者群組可以在移轉完成時更容易管理。
注意
階段一詞不代表這是一個漫長的過程。 無論您是在幾天或幾個月內逐一完成每個階段,Microsoft 都建議您利用並存移轉並使用階段式方法。
將移轉工作分成多個階段的優點
大規模中斷保護。 藉由將移轉分成各階段,移轉產生的問題可能影響的人數會大大減少。
改善來自意見反應的處理程序或通訊。 在理想情況下,使用者甚至沒有注意到移轉發生。 不過,如果他們的體驗低於最佳狀態,來自這些用途的意見反應會讓您有機會改善規劃,並避免未來發生問題。
建置移轉通道的提示
識別遠端使用者。 首先,將使用者分成兩個貯體:經常進入辦公室的人和那些不常進辦公室的人。 這兩個群組的移轉程序都相同,但遠端用戶端接收更新的時間,可能大於連線頻率更高的用戶端。 在理想情況下,每個移轉階段都應該包含每個貯體的成員。
設定使用者優先順序。 領導階層和其他高影響力的使用者通常是最後一個移轉的使用者。 不過,將使用者排定優先順序時,如果用戶端電腦移轉失敗,會對他們的業務生產力產生影響。 例如,如果您評分為 1 到 3,1 表示員工無法工作,3 表示員工不會立即工作中斷,則僅使用內部企業營運 (LOB) 應用程式的業務分析師會是 1,而使用雲端應用程式的銷售人員會是 3。
在多個階段中移轉每個部門或業務單位。 Microsoft 強烈建議您不要同時移轉整個部門。 如果發生問題,您不會樂見它妨礙整個部門的遠端工作。 相反地,請至少分兩階段移轉每個部門或業務單位。
逐漸增加使用者計數。 大部分典型的移轉案例都是從 IT 組織成員開始,然後移至商務使用者,接著是領導階層和其他高影響力的使用者。 每個移轉階段通常涉及更多人。 例如,第一個階段可能包含 10 位使用者,而最終群組可能包含 5,000 位使用者。 如要簡化部署,請建立單一 VPN 使用者安全性群組,並在階段抵達時將使用者新增至該安全性群組。 如此一來,您最終就會有一個可以在未來新增成員的 VPN 使用者群組。
標準設定考量
AlwaysOn VPN 有許多標準設定選項。 不過,建立 VPN 組態時,您必須包含下列資訊:
連線類型。 虛擬私人網路 (VPN) 是跨越私人或公用網路 (例如網際網路) 的點對點連線。 VPN 用戶端會使用特殊的 TCP/IP 或 UDP 型通訊協定,稱為通道通訊協定,以連線到 VPN 伺服器。 連線類型也會決定您將使用的驗證類型。 如需可用的通道通訊協定詳細資訊,請參閱 VPN 連線類型。
路由。 在此內容中,路由規則會決定使用者是否可以在連線到 VPN 時使用其他網路路由。
觸發。觸發會決定如何及何時起始 VPN 連線(例如,應用程式開啟時、使用者手動開啟裝置時)。 如需觸發選項資訊,請參閱 VPN 自動觸發設定檔選項。
裝置或使用者驗證。 AlwaysOn VPN 會透過稱為裝置通道的功能,使用裝置憑證和裝置起始的連線。 裝置通道可以自動起始,而且是持續性的,其與 DirectAccess 基礎結構通道連線相等。
提示
從 DirectAccess 遷移到 Always On VPN 時,請考慮從與您現有的設定選項相當的設定選項開始,然後從該處進行擴充。
透過使用使用者憑證,Always On VPN 用戶端會自動連線,但它會在使用者層級 (使用者登入之後) 執行此動作,而不是在裝置層級(在使用者登入之前)。 使用者體驗仍然是順暢的,但它支援更進階的驗證機制,例如 Windows Hello 企業版。
後續步驟
| 如果您想要... | 接下來請看... |
|---|---|
| 開始移轉至 AlwaysOn VPN | 遷移至 AlwaysOn VPN 並解除委任 DirectAccess。 從 DirectAccess 移轉至 AlwaysOn VPN 需要特定程式來移轉用戶端,這有助於在執行移轉步驟時將產生的競爭狀況降到最低。 |
| 了解 AlwaysOn VPN 和 DirectAccess 的功能 | AlwaysOn VPN 和 DirectAccess 的功能比較。 在舊版的 Windows VPN 架構中,平台的限制使其難以提供取代 DirectAccess 所需的重要功能 (如在使用者登入之前起始的自動連線)。 不過,Always On VPN 鬆綁了其中大部分的限制,或將 VPN 功能擴及 DirectAccess 的功能之外。 |