Partager via


Aperçu de la migration de DirectAccess à Always On VPN

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016, Windows 10

» Suivant : Planifier la migration de DirectAccess vers Always On VPN

Dans les versions précédentes de l’architecture VPN Windows, les limitations de la plateforme rendaient difficile la fourniture des fonctionnalités critiques nécessaires pour remplacer DirectAccess, telles que les connexions automatiques lancées avant la connexion des utilisateurs. Toutefois, Always On VPN a atténué la plupart de ces limitations ou étendu la fonctionnalité de VPN au-delà des fonctionnalités de DirectAccess. Always On VPN comble le fossé existant auparavant entre les VPN Windows et DirectAccess.

Le processus de migration de DirectAccess vers Always On VPN se compose de quatre composants principaux et processus généraux :

  1. Planifiez le déploiement d’Always On VPN. La planification permet d’identifier les clients cibles pour la séparation de la phase utilisateur, ainsi que l’infrastructure et les fonctionnalités.

    1. Créez des anneaux de migration. Comme dans la plupart des autres migrations système, ciblez les migrations des clients par phases pour vous aider à identifier les problèmes avant qu’ils n’affectent l’ensemble de l’organisation. La première partie de la migration Always On VPN n’est pas différente.

    2. Découvrez la comparaison des fonctionnalités d’Always On VPN et de DirectAccess. À l’instar de DirectAccess, Always On VPN offre de nombreuses options de sécurité, de connectivité, d’authentification et autres.

    3. Découvrez les améliorations de fonctionnalités d’Always On VPN. Découvrez les fonctionnalités nouvelles ou améliorées qu’Always On VPN propose pour améliorer votre configuration.

    4. Découvrez la technologie Always On VPN. Pour ce déploiement, vous devez installer un nouveau serveur d’accès à distance qui exécute Windows Server 2016, et modifier une partie de votre infrastructure existante pour le déploiement.

  2. Déployez une infrastructure VPN côte à côte. Une fois que vous avez déterminé vos phases de migration et les fonctionnalités que vous souhaitez inclure dans votre déploiement, déployez l’infrastructure Always On VPN côte à côte avec l’infrastructure DirectAccess existante.

  3. Déployez les certificats et la configuration sur les clients. Quand l’infrastructure VPN est prête, créez et publiez les certificats requis sur le client. Une fois les certificats reçus par les clients, déployez le script de configuration VPN_Profile.ps1. Vous pouvez également utiliser Intune pour configurer le client VPN. Utilisez Microsoft Endpoint Configuration Manager ou Microsoft Intune pour surveiller les déploiements de configuration VPN réussis.

  4. Supprimez et désactivez l’environnement. Désactivez correctement l’environnement après avoir migré tout le monde en dehors de DirectAccess.

    1. Supprimez la configuration DirectAccess du client. Surveillez Microsoft Endpoint Configuration Manager ou Microsoft Intune pour des déploiements de configuration VPN réussis. Ensuite, utilisez la création de rapports pour déterminer les informations d’affectation des appareils et découvrir quel appareil appartient à chaque utilisateur. Au fur et à mesure de la migration réussie des utilisateurs, vous supprimez leurs appareils du groupe de sécurité DirectAccess afin de pouvoir supprimer DirectAccess de votre environnement.

    2. Désactivez le serveur DirectAccess. Une fois que vous avez supprimé les paramètres de configuration et les enregistrements DNS, vous êtes prêt à supprimer le serveur DirectAccess. Pour cela, supprimez le rôle dans le Gestionnaire de serveur ou désactivez le serveur et supprimez-le d’AD DS.

Scénario de déploiement de DirectAccess

Dans ce scénario de déploiement, vous utilisez un simple scénario de déploiement DirectAccess comme point de départ pour la migration que ce guide présente. Votre situation ne doit pas nécessairement correspondre à ce scénario de déploiement avant de migrer vers Always On VPN, mais pour de nombreuses organisations, cette configuration simple est une représentation exacte de leur déploiement DirectAccess actuel. Le tableau ci-dessous fournit une liste des fonctionnalités de base pour cette configuration.

Il existe de nombreux scénarios et options de déploiement de DirectAccess, de sorte que votre implémentation risque d’être différente de celle décrite ici. Dans ce cas, reportez-vous à Correspondance des fonctionnalités entre DirectAccess et Always On VPN pour déterminer la correspondance de l’ensemble des fonctionnalités Always On VPN pour vos ajouts actuels, puis ajoutez ces fonctionnalités à votre configuration. Par ailleurs, vous pouvez vous référer aux améliorations Always On VPN pour ajouter des options à votre déploiement Always On VPN.

Notes

Pour les appareils non joints à un domaine, il existe des considérations supplémentaires, telles que l’inscription de certificats. Pour plus d’informations, consultez Déploiement d’Always On VPN pour Windows Server et Windows 10.

Liste des fonctionnalités du scénario de déploiement

Fonctionnalité DirectAccess Scénario typique
Scénario de déploiement Déployer DirectAccess complet pour l’accès client et l’administration à distance
Adaptateurs réseau 2
Authentification utilisateur Informations d’identification Active Directory
Utiliser des certificats d’ordinateur Oui
Groupes de sécurité Oui
Serveur DirectAccess unique Oui
Topologie du réseau Traduction d’adresses réseau (NAT) derrière un pare-feu de périmètre avec deux cartes réseau
Mode d’accès Bout-à-bord
Tunneling Tunnel fractionné
Authentification Authentification PKI (Infrastructure à clé publique) standard avec certificat d’ordinateur plus Kerberos (et non KerbProxy)
Protocoles IP sur HTTPS (IP-HTTPS)
Serveur Emplacement réseau (NLS) off-box Oui

Scénario de déploiement Always On VPN

Dans ce scénario de déploiement, vous vous concentrez sur la migration d’un environnement DirectAccess simple vers un environnement Always On VPN simple, qui est la solution remplaçant DirectAccess. Le tableau suivant fournit les fonctionnalités utilisées dans cette solution simple. Pour plus d’informations sur les améliorations supplémentaires apportées au client Always On VPN, consultez Améliorations apportées par Always On VPN.

Fonctionnalités Always On VPN utilisées dans l’environnement simple

Fonctionnalité VPN Configuration du scénario de déploiement
Type de connexion IKEv2 (Internet Key Exchange version 2) natif
Adaptateurs réseau 2
Authentification utilisateur Informations d’identification Active Directory
Utiliser des certificats d’ordinateur Oui
Routage Tunneling fractionné
Résolution de noms Liste d’informations sur les noms de domaine et suffixe DNS (Domain Name Service)
Déclenchement Toujours activé et détection des réseaux approuvés
Authentification PeAP-TLS (Protected Extensible Authentication Protocol-Transport Layer Security) avec des certificats utilisateur protégés par le module de plateforme sécurisée

Étape suivante

Planifier la migration de DirectAccess vers Always On VPN. L’objectif principal de la migration est que les utilisateurs conservent la connectivité à distance au bureau tout au long du processus.