Descripción general de la migración de la VPN de DirectAccess a Always On
Se aplica a: Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10
» Siguiente: Planificación de la migración de DirectAccess a VPN Always On
En versiones anteriores de la arquitectura VPN de Windows, las limitaciones de la plataforma dificultaban la provisión de la funcionalidad crítica necesaria para reemplazar DirectAccess, como las conexiones automáticas iniciadas antes de que los usuarios iniciaran sesión. Sin embargo, la VPN de Always On, ha mitigado la mayoría de esas limitaciones o ha ampliado la funcionalidad de VPN más allá de las funcionalidades de DirectAccess. La VPN de Always On soluciona las brechas anteriores entre las VPN de Windows y DirectAccess.
El proceso de migración de VPN de DirectAccess a Always On consta de cuatro componentes principales y procesos de alto nivel:
Planificar la migración de VPN de Always On. La planificación ayuda a identificar los clientes de destino para la separación de fases de usuario, así como la infraestructura y la funcionalidad.
Cree anillos de migración. Como en la mayoría de las demás migraciones del sistema, dirija las migraciones de cliente por fases para ayudar a identificar los problemas antes de que afecten a toda la organización. La primera parte de la migración a VPN de Always On no es diferente.
Obtenga información sobre la comparación de características de VPN de Always On y DirectAccess. De forma similar a DirectAccess, la VPN de Always On tiene muchas opciones de seguridad, conectividad, autenticación y otras opciones.
Más información sobre las mejoras de características de la VPN de Always On. Descubra las características nuevas o mejoradas que ofrece la VPN de Always On para mejorar la configuración.
Más información sobre la tecnología de VPN de Always On. Para esta implementación, debe instalar un nuevo servidor de acceso remoto que ejecute Windows Server 2016, además de modificar parte de la infraestructura existente para la implementación.
Implementar una infraestructura de VPN en paralelo. Después de determinar las fases de migración y las características que quiere incluir en la implementación, implementará la infraestructura de VPN Always On en paralelo con la infraestructura existente de DirectAccess.
Implementar certificados y configuración en los clientes. Una vez que la infraestructura de VPN esté lista, cree y publique los certificados necesarios para el cliente. Cuando los clientes hayan recibido los certificados, implemente el script de configuración VPN_Profile.ps1. Como alternativa, puede usar Intune para configurar el cliente VPN. Use Microsoft Endpoint Configuration Manager o Microsoft Intune para supervisar que las implementaciones de configuraciones de VPN sean correctas.
Quitar y retirar. Retirar correctamente el entorno después de haber migrado a todos los usuarios de DirectAccess.
Quite la configuración de DirectAccess del cliente. Supervise Microsoft Endpoint Configuration Manager o Microsoft Intune para comprobar que las implementaciones de configuraciones de VPN sean correctas. A continuación, use informes para determinar la información de asignación de dispositivos y detectar qué dispositivo pertenece a cada usuario. A medida que los usuarios migran correctamente, se quitan sus dispositivos del grupo de seguridad de DirectAccess para que pueda quitar DirectAccess de su entorno.
Retire el servidor de DirectAccess. Cuando haya quitado correctamente los valores de configuración y los registros DNS, estará listo para anular el servidor de DirectAccess. Para ello, quite el rol en Administrador del servidor o retire el servidor y quítelo de AD DS.
Escenario de implementación de DirectAccess
En este escenario de implementación, se usa un escenario de implementación simple de DirectAccess como punto de partida para la migración que presenta esta guía. No es necesario que coincida con este escenario de implementación antes de migrar a la VPN de Always On, pero para muchas organizaciones, esta configuración sencilla es una representación precisa de su implementación actual de DirectAccess. En la tabla siguiente se proporciona una lista de características básicas para esta configuración.
Existen muchos escenarios y opciones de implementación de DirectAccess, por lo que es probable que la implementación sea diferente de la que se describe aquí. Si es así, consulte Asignación de características entre DirectAccess y VPN AlwaysOn para determinar la asignación de conjuntos de características VPN de Always On para las adiciones actuales y, a continuación, agregue esas características a la configuración. Además, puede consultar las Mejoras de VPN de Always On para agregar opciones a la implementación de VPN de Always On.
Nota
En el caso de los dispositivos unidos a nondomain, hay consideraciones adicionales, como la inscripción de certificado. Para obtener más información, consulte Implementación de VPN de Always On para Windows Server y Windows 10.
Lista de características del escenario de implementación
| Característica de DirectAccess | Escenario típico |
|---|---|
| Escenario de implementación | Implementar DirectAccess completo para acceso de clientes y administración remota |
| Adaptadores de red | 2 |
| Autenticación de usuarios | Credenciales de Active Directory |
| Uso de certificados de equipo | Sí |
| Grupos de seguridad | Sí |
| Servidor de DirectAccess único | Sí |
| Topología de red | Traducción de direcciones de red (NAT) detrás de un firewall perimetral con dos adaptadores de red |
| Modo de acceso | Extremo a extremo |
| Protocolo de túnel | Túnel dividido |
| Authentication | Autenticación de infraestructura de clave pública (PKI) estándar con certificado de máquina más Kerberos (no KerbProxy) |
| Protocolos | IP a través de HTTPS (IP-HTTPS) |
| Servidor de ubicación de red (NLS) off-box | Sí |
Escenarios de implementación de VPN de Always On
En este escenario de implementación, se centra en migrar un entorno sencillo de DirectAccess a un entorno VPN Always On sencillo, que es la solución de sustitución de DirectAccess. En la tabla siguiente se proporcionan las características que se usan en esta solución sencilla. Para obtener información más detallada sobre las mejoras adicionales en el cliente VPN de Always On, consulte Mejoras de VPN de Always On.
Características VPN de Always On usadas en el entorno sencillo
| Característica de VPN | Configuración del escenario de implementación |
|---|---|
| Tipo de conexión | Intercambio de claves por red nativa versión 2 (IKEv2) |
| Adaptadores de red | 2 |
| Autenticación de usuarios | Credenciales de Active Directory |
| Uso de certificados de equipo | Sí |
| Enrutamiento | Tunelización dividida |
| Resolución de nombres | Lista de información de nombres de dominio y sufijo de sistema de nombres de dominio (DNS) |
| Activación | Detección de redes de confianza y Always On |
| Authentication | Protocolo de autenticación extensible protegido para la seguridad de la capa de transporte (PEAP-TLS) con certificados de usuario protegidos por Módulo de plataforma segura |
Paso siguiente
Planificación de la migración de DirectAccess a VPN Always On. El objetivo principal de la migración es que los usuarios mantengan la conectividad remota con la oficina a lo largo del proceso.