Migración de la Autoridad de registro de mantenimiento a Windows Server "8" Beta

 

Se aplica a: Windows Server 2012

En este documento se proporciona orientación para migrar el servicio de rol Autoridad de registro de mantenimiento (HRA) de un servidor basado en x86 o x64 que ejecuta Windows Server® 2008, Windows Server® 2008 R2 o Windows Server® 2012 a un nuevo servidor de Windows Server 2012.

Acerca de esta guía

Nota

Sus comentarios detallados son muy importantes y nos ayudan a crear Guías de migración de Windows Server lo más confiables, completas y fáciles de usar posible. Dedique un momento a calificar este tema haciendo clic en las estrellas en la esquina superior derecha de la página (1= malo, 5 = excelente) y, a continuación, agregue comentarios que respalden su calificación. Describa lo que le ha gustado, lo que no le ha gustado o lo que desee ver en versiones futuras del tema. Si desea realizar más sugerencias sobre cómo mejorar las guías o utilidades de migración, envíelas al foro de migración de Windows Server.

En esta guía se describen los pasos para migrar la configuración del servidor HRA existente a un servidor que ejecuta Windows Server 2012. Mediante esta documentación, puede simplificar la migración, reducir o eliminar el tiempo de inactividad del servidor y contribuir a eliminar posibles conflictos que, de lo contrario, podrían producirse durante la migración de HRA.

Destinatarios

Esta guía está dirigida a los administradores de tecnología de la información (ITOS), profesionales de TI y otros trabajadores del conocimiento que son responsables del funcionamiento e implementación de servidores HRA en un entorno administrado.

Qué no incluye esta guía

En esta guía no se proporcionan pasos detallados para migrar la configuración de otros servicios usados con NAP, como el Servidor de directivas de redes (NPS) o los Servicios de certificados de Active Directory (AD CS). Estos procedimientos se encuentran en la Migrar Servidor de directivas de redes a Windows Server 2012 y en la Guía de migración de los Servicios de certificados de Active Directory (https://go.microsoft.com/fwlink/p/?LinkID=156771). Las instrucciones para realizar los procedimientos concretos de estas otras guías se proporcionan como requisito para completar la migración del servidor HRA.

Escenarios de migración compatibles

En esta guía se ofrecen instrucciones para migrar un servidor existente que ejecuta el servicio del rol HRA a un servidor que ejecuta Windows Server 2012. Esto incluye la orientación para instalar el requisito previo de rol de servidor IIS y el servicio de rol NPS. Si el servidor ejecuta servicios adicionales, se recomienda que diseñe un procedimiento de migración personalizado específico para el entorno del servidor, de acuerdo con la información que se proporciona en otras guías de migración de roles. Las guías de migración de otros roles están disponibles en el TechCenter de Windows Server 2008 R2 (https://go.microsoft.com/fwlink/p/?LinkID=128554).

Advertencia

Si su servidor de origen proporciona otros roles y servicios además de HRA, la migración del nombre y la configuración IP del equipo puede hacer que estos servicios produzcan errores. Debe comprobar el impacto de estos procedimientos antes de realizarlos durante la migración de HRA.

Sistemas operativos compatibles

En la siguiente tabla se muestran los requisitos mínimos del sistema operativo.

Procesador del servidor de origen	Sistema operativo del servidor de origen	Sistema operativo del servidor de destino	Procesador del servidor de destino
Basado en x86 o x64	Windows Server 2008	Windows Server 2012	Basado en x64
Basado en x64	Windows Server 2008 R2	Windows Server 2012	Basado en x64
Basado en x64	Windows Server 2012	Windows Server 2012	Basado en x64

• Los servicios de roles HRA y NPS no están disponibles en las ediciones Server Core. Las ediciones Foundation, Standard, Enterprise y Datacenter de Windows Server se admiten como servidores de origen o de destino. Sin embargo, si ha configurado AD CS en el servidor de origen como una entidad de certificación empresarial (CA), el servidor de CA de destino debe ejecutar las ediciones Enterprise o Datacenter de Windows Server 2012.

• No se admite la migración de un servidor de origen a un servidor de destino que ejecuta un sistema operativo con otro idioma instalado. Por ejemplo, no se pueden migrar los roles de servidor de un equipo que ejecuta Windows Server 2008 con el idioma del sistema en francés a un equipo que ejecuta Windows Server 2012 con el idioma del sistema en alemán. El idioma del sistema es el idioma del paquete de instalación localizado que se usó para instalar el sistema operativo Windows.

• Tanto las migraciones basadas en x86 como las basadas en x64 son compatibles con Windows Server 2008. Todas las ediciones de Windows Server 2008 R2 y Windows Server 2012 están basadas en x64.

Configuraciones de rol compatibles

En esta guía se proporcionan los procedimientos para migrar toda la configuración del servidor HRA, que incluye cualquier CA personalizada y la configuración de la directiva de solicitud. Esta guía también proporciona las instrucciones para configurar los requisitos mínimos de rol de IIS en el servidor de destino.

Migrar roles con requisitos previos

HRA es un servicio de rol perteneciente al rol de servidor Servicios de acceso y directivas de redes (NPAS). Para instalar HRA, debe instalar también NPS e IIS en el mismo equipo. Si estos servicios aún no se han instalado, el Asistente para agregar roles y características lo hará automáticamente al decidir instalar HRA.

HRA también requiere una conexión a uno o más servidores con AD CS que estén configurados para proporcionar los certificados de mantenimiento de NAP. AD CS se puede instalar en el mismo equipo con HRA o se puede instalar en otro equipo. Si algún servidor HRA de la organización está configurado para usar AD CS en el servidor de origen para las solicitudes de certificado de mantenimiento, debe instalar AD CS en el servidor HRA de destino y configurarlo para proporcionar los certificados de mantenimiento, o puede cambiar la configuración de CA de los servidores HRA.

Tenga en cuenta la siguiente información sobre los roles con requisitos previos y los servicios necesarios en el servidor HRA de destino.

1. NPS. Se debe migrar el servicio de rol NPS para poder probar y comprobar la funcionalidad de HRA en el servidor de destino. Si el NPS del servidor de origen solo se usa con HRA, ya sea como un servidor independiente de directiva de mantenimiento de IPsec para NAP o como un proxy RADIUS para otro servidor de directiva de mantenimiento, esta guía proporciona las referencias a los procedimientos concretos de la Migrar Servidor de directivas de redes a Windows Server 2012 que se requieren para migrar las directivas y configuración de NPS necesarias. Si el rol NPS del servidor de origen se usa para propósitos distintos de NAP de IPsec, o si el servidor de origen es un miembro de clientes RADIUS o grupos de servidores RADIUS remotos en otros servidores de la organización, consulte la Migrar Servidor de directivas de redes a Windows Server 2012 para obtener instrucciones de migración detalladas antes de migrar HRA.

2. AD CS. Durante la instalación de HRA, puede decidir instalar AD CS en el mismo equipo, usar una CA de NAP existente en un equipo diferente o seleccionar una CA más adelante. También puede decidir instalar AD CS como una CA empresarial o una CA independiente.

   Advertencia

   Después de instalar AD CS en el servidor HRA, no puede cambiar el nombre del servidor HRA.

   • Si instala AD CS en el mismo equipo que HRA, debe configurar AD CS en el servidor HRA de destino para proporcionar los certificados de mantenimiento de NAP.

     • Si AD CS está instalado como CA empresarial, use los procedimientos en esta guía para establecer las configuraciones de permisos para la CA de NAP. Vea la Guía de migración de los Servicios de certificados de Active Directory (https://go.microsoft.com/fwlink/p/?LinkID=156771) para conocer los procedimientos de migración de las plantillas de certificado de mantenimiento al servidor de destino.

     • Si AD CS se instala como una CA independiente, esta guía proporciona todos los procedimientos de configuración de permisos necesarios para configurar una CA de NAP en el servidor de destino. Si usa la CA local para propósitos distintos de la emisión de certificados de mantenimiento de NAP, o si tiene una configuración personalizada, vea la Guía de migración de los Servicios de certificados de Active Directory (https://go.microsoft.com/fwlink/p/?LinkID=156771) para obtener instrucciones detalladas sobre cómo migrar la configuración de CA.

   • Si usa una CA de NAP existente en un equipo diferente, no necesita configurar AD CS en el servidor de destino.

   • Si decide seleccionar una CA más adelante, no es necesario que configure AD CS en el servidor de destino. Si decide instalar AD CS en el servidor HRA de destino más adelante, vea Implementación de entidades emisoras de certificados de NAP.

   Si AD CS en el servidor de origen se usa también para emitir certificados que no son de mantenimiento, vea la Guía de migración de los Servicios de certificados de Active Directory (https://go.microsoft.com/fwlink/?LinkID=156771) para conocer los procedimientos de migración de AD CS.

3. IIS. Si se usa un rol de servidor IIS con requisito previo para cualquier propósito distinto de HRA, o se ejecuta con una configuración personalizada además de agregar un certificado SSL, siga los procedimientos de la guía de migración de Internet Information Services antes de migrar HRA. Si el rol de servidor IIS solo se usa con HRA, use los procedimientos de esta guía para migrar IIS.

   Importante

   Para mantener el rendimiento de HRA, la configuración de conexión de IIS predeterminada se debe modificar para aumentar el número máximo de conexiones simultáneas. Para realizar este procedimiento, vea la sección de configuración de los parámetros de conexión de IIS del tema sobre cómo configurar un servidor HRA para NAP.

Escenarios de migración no tratados

Los siguientes escenarios de migración no se abordan en este documento:

• Actualización. No se proporciona orientación para los escenarios en los que el nuevo sistema operativo se instala en el hardware de servidor existente a través de la opción Actualizar durante la instalación.

• Grupo de trabajo. No se proporciona orientación para migrar la configuración de HRA a o desde un servidor que no es de dominio.

Información general del proceso de migración para este rol

La migración del servidor HRA se divide en las siguientes secciones principales:

• Migración del servidor HRA: preparación de la migración

• Migración del servidor HRA: migración del servidor HRA

• Migración del servidor HRA: comprobación de la migración

• Migración del servidor HRA: tareas posteriores a la migración

El proceso previo a la migración implica establecer una ubicación de almacenamiento para los datos de migración, la recopilación de la información que se usará para realizar la migración del servidor y la instalación del sistema operativo en el servidor de destino. El proceso de migración de HRA incluye el uso de la utilidad de Shell para red (netsh) desde una línea de comandos en el servidor de origen para obtener la configuración de HRA necesaria y los procedimientos que se deben realizar en el servidor de destino para instalar los roles necesarios y migrar la configuración de HRA. Los procedimientos de verificación incluyen las pruebas en el servidor de destino para asegurarse de que funciona correctamente. Los procedimientos posteriores a la migración incluyen retirar o reasignar el servidor de origen.

Impacto de la migración

Si su plan de migración implica configurar el servidor de destino con un nombre de host diferente al del servidor de origen, debe actualizarse la configuración de grupo de servidores de confianza en los equipos cliente NAP que usan el servidor HRA de origen para poder utilizar el servidor HRA de destino. Este planteamiento tiene la ventaja de que permite ejecutar simultáneamente los servidores HRA de origen y destino hasta que las pruebas y la comprobación hayan finalizado.

Si su plan de migración implica configurar el servidor de destino con el mismo nombre que el servidor de origen, el servidor de origen se debe retirar y desconectar antes de unir el servidor de destino al mismo dominio con el mismo nombre de host. Para eliminar el tiempo de inactividad en este escenario, los equipos cliente NAP deben tener el acceso a un servidor HRA secundario, así como a los servidores de origen y destino. Para eliminar los problemas de resolución de nombres a corto plazo, use la misma configuración de dirección IP en el servidor de origen y en el de destino.

Si el rol de NPS en el servidor de origen se utiliza para propósitos distintos de NAP de IPsec, los equipos cliente no pueden tener acceso a la red durante el proceso de migración del servidor. Por ejemplo, si el servidor de origen se utiliza para la autenticación del cliente VPN, consulte la Migrar Servidor de directivas de redes a Windows Server 2012 para obtener instrucciones de migración detalladas antes de migrar HRA.

Impacto de la migración en el servidor de origen

• Al implementar el servidor de destino con un nombre de host diferente, no se produce ningún impacto en el servidor de origen.

• Al implementar el servidor de destino con el mismo nombre de host, el servidor de origen se debe retirar y desconectar antes de unir el servidor de destino al dominio.

Impacto de la migración en otros equipos de la empresa

• Al implementar el servidor de destino con un nombre de host diferente, debe estar actualizada la configuración de cliente NAP para todos los equipos configurados para utilizar HRA. En este escenario hay poco o ningún tiempo de inactividad si se siguen los procedimientos de esta guía.

• Al implementar el servidor de destino con el mismo nombre de host, los clientes no podrán obtener un certificado de mantenimiento poco después de retirar el servidor de origen, a menos que se implemente un servidor HRA secundario.

Permisos necesarios para completar la migración

Se requieren los siguientes permisos en el servidor de origen y en el servidor de destino:

• Los derechos administrativos de dominio son necesarios para configurar y autorizar el servidor HRA, y para establecer la configuración de la directiva de grupo para los clientes NAP.

• Los derechos administrativos locales son necesarios para instalar o administrar el servidor que ejecuta HRA.

Duración estimada

La migración puede tardar entre dos y tres horas, incluidas las pruebas.

Ver también

Migración del servidor HRA: preparación de la migración
Migración del servidor HRA: migración del servidor HRA
Migración del servidor HRA: comprobación de la migración
Migración del servidor HRA: tareas posteriores a la migración
Guía de diseño de la protección del acceso a redes
Guía de implementación de la protección del acceso a redes