Bloggat – Kommer DirectAccess ersättas av Always On VPN?
I och med Windows Server 2016 lanserade Microsoft ett nytt koncept kring VPN med samlingsnamnet Always On VPN som denna bloggpost kommer att handla om. Första frågan många ställer sig är:
Kommer Always On VPN att ersätta DirectAccess?
Svaret på frågan är enligt oss på Advitum NJA (på sikt).
Microsoft kommer att fortsätta stödja DirectAccess på den plattformen där den stöds idag men kommer att fokusera utveckling och nya funktioner mot Always ON VPN
I samband med detta är det på sin plats att se över vilken funktionalitet respektive lösning har och där har Microsoft gjort ett bra jobb genom att ta fram en matris som beskriver vad skillnaderna är mellan DirectAccess och Always On VPN, läs mer om det HÄR
Resten av bloggposten kommer att handla om vilka fördelar jämfört med DirectAccess som finns samt hur man kommer igång med Always On VPN.
Support för klienter
Always On VPN tillåter ad-kopplade, ej ad-kopplade samt Azure ad-kopplade klienter till skillnad mot DirectAccess som endast fungerar med AD-kopplade klienter. Vidare är funktionaliteten tillgänglig i alla versioner av Windows (Windows 10 och senare) till skillnad mot DirectAccess.
IPV6
Always On VPN har en så kallad ”dual-stack” vilket innebär att både ipv4 och ipv6 kan användas för att nå resurser genom VPN-uppkopplingen och det finns således inget behov för någon form av översättning från ipv6 till ipv4 och vice versa.
Stöd för MFA
Always On VPN stödjer EAP vilket i sin tur innebär att Microsofts och även andra tredjepartsleverantörers EAP typer stöds som en del i authenticieringsprocessen. I praktiken innebär det att smarta kort (fysiska och virtuella), Windows Hello, certifikat och även övriga metoder som kan implementeras via Radius stöds. Exempel på dessa kan vara Azure MFA, Censornet MFA och liknande.
Stöd för flera AD-domäner / AD-skogar
Always On VPN har inga beroende mot en viss AD-domän och kräver egentligen inte att ett AD-konto används vid inloggning eftersom det är Radius som används som authenticiering.
Namnupplösning
Always On VPN stödjer användandet av kortnamn på samma sätt som om klienten finns på interna nätet. Naturligtvis stöds även användandet av FQDN också.
Hur kommer vi igång med Always On VPN?
Microsoft har en bra steg för steg guide hur man kommer igång med implementationen på följande länk https://docs.microsoft.com/en-us/windows-server/remote/remote-access/vpn/always-on-vpn/deploy/always-on-vpn-deploy-deployment
Övergripande behöver man göra följande punkter (Om du ska migrerar från DirectAccess, läs HÄR)
- Genomför en design och planering
- Grundinstallera servrar
- Konfigurera Remote Access Server
- Konfigurerar Network Policy Server
- Konfigurera DNS och brandväggar
- Konfigurera inställningar på klienterna
Utöver ovan punkter kan det tillkomma fler om man exmeplvis vill ha någon tredjeparts MFA lösning eller ”Conditional Access”.
Vill du veta mer om hur det fungerar ,se vårt Advitum Live på följande länk Inspelat Advitum Live 2020-12-18: Advitums erfarenheter av Microsoft Always On VPN – Advitum
Tveka inte att kontakta Advitum om du har funderingar kring Always On VPN.
Tillbaka