Migrowanie dostępu zdalnego do systemu Windows Server 2012
Dotyczy: Windows Server 2012
Usługa Routing i dostęp zdalny (RRAS) w systemach operacyjnych Windows Server wcześniejszych niż Windows Server 2012 była usługą roli, która umożliwiała używanie komputera jako routera IPv4 lub IPv6, routera z translacją adresów sieciowych IPv4 lub serwera dostępu zdalnego hostującego połączenia telefoniczne lub połączenia wirtualnej sieci prywatnej (VPN) z klientów zdalnych. Obecnie ta funkcja została połączona z funkcją DirectAccess, tworząc rolę serwera dostępu zdalnego w systemie Windows Server 2012. W tym przewodniku opisano migrowanie serwera hostującego usługę Routing i dostęp zdalny (w systemie Windows Server 2008 R2 i innych niższych wersjach) na komputer z systemem Windows Server 2012.
Uwaga
Twoja szczegółowa opinia jest bardzo ważna i pomaga nam w tworzeniu tak niezawodnych, kompletnych i łatwych w użyciu przewodników dotyczących migracji systemu Windows Server, jak to tylko możliwe. Poświęć kilka minut, aby ocenić ten artykuł, a następnie dodaj komentarze wyjaśniające Twoją ocenę. Opisz, co Ci się podoba, co Ci się nie podoba i o czym chcesz przeczytać w przyszłych wersjach tego tematu. Aby przesłać dodatkowe sugestie dotyczące ulepszenia przewodników lub narzędzi migracji, opublikuj wpis na forum migracji systemu Windows Server.
O tym przewodniku
Dokumentacja dotycząca migracji i narzędzia do jej obsługi ułatwiają migrację ustawień roli serwera i danych z istniejącego serwera na serwer docelowy z systemem Windows Server 2012. Dzięki narzędziom opisanym w tym przewodniku możesz uprościć i przyspieszyć proces migracji, zwiększyć jego dokładność oraz zmniejszyć liczbę konfliktów, które mogłyby wystąpić w jego trakcie. Aby uzyskać więcej informacji o instalowaniu i używaniu narzędzi migracji na serwerach źródłowym i docelowym, zobacz przewodnik dotyczący instalowania, używania i usuwania narzędzi migracji systemu Windows Server (https://go.microsoft.com/fwlink/?LinkId=247607).
Odbiorcy docelowi
Ten dokument jest przeznaczony dla administratorów systemów informatycznych, informatyków i innych wykwalifikowanych pracowników odpowiedzialnych za działanie i wdrażanie serwerów dostępu zdalnego w środowisku zarządzanym. Do wykonania niektórych kroków migracji opisanych w tym przewodniku może być wymagana pewna znajomość pisania skryptów.
Informacje, których nie ma w tym przewodniku
W tym przewodniku nie opisano architektury ani szczegółowych funkcji roli dostępu zdalnego. W tym przewodniku migracji nie są obsługiwane następujące scenariusze:
Dowolny proces przeprowadzany na potrzeby uaktualnienia w miejscu, w którym nowy system operacyjny jest instalowany na istniejącym sprzęcie serwerowym przy użyciu opcji Upgrade podczas instalacji
Scenariusze obsługi klastrów i wielu lokacji
Migrowanie więcej niż jednej roli serwera
Jeśli na serwerze jest uruchomionych wiele ról, zalecane jest zaprojektowanie niestandardowej procedury migracji z przeznaczeniem dla danego środowiska serwera na podstawie informacji podanych w tym i innych przewodnikach dotyczących migracji ról.
Obsługiwane scenariusze migracji
Ten przewodnik zawiera instrukcje dotyczące migracji istniejącego serwera na serwer z systemem Windows Server 2012.
Ostrzeżenie
Przewodnik nie zawiera instrukcji dotyczących migracji w sytuacji, gdy na serwerze źródłowym działa wiele ról. Jeśli na serwerze źródłowym jest uruchomionych wiele ról, niektóre kroki migracji opisane w tym przewodniku, na przykład dotyczące migrowania kont użytkowników i nazw interfejsów sieciowych, mogą spowodować wystąpienie błędów innych ról uruchomionych na serwerze źródłowym.
Obsługiwane systemy operacyjne
Ten przewodnik zawiera instrukcje dotyczące migracji danych i ustawień z istniejącego serwera, który zostanie zastąpiony nowym fizycznym lub wirtualnym serwerem 64-bitowym z nowo zainstalowanym systemem operacyjnym zgodnie z opisem w poniższej tabeli.
Procesor serwera źródłowego |
System operacyjny serwera źródłowego |
System operacyjny serwera docelowego |
Procesor serwera docelowego |
|---|---|---|---|
Architektura x86 lub x64 |
Windows Server 2003 z dodatkiem Service Pack 2 |
Windows Server 2012 |
Architektura x64 |
Architektura x86 lub x64 |
Windows Server 2003 R2 |
Windows Server 2012 |
Architektura x64 |
Architektura x86 lub x64 |
Windows Server 2008, tylko opcja pełnej instalacji |
Windows Server 2012 |
Architektura x64 |
Architektura x64 |
Windows Server 2008 R2, tylko opcja pełnej instalacji |
Windows Server 2012 |
Architektura x64 |
Architektura x64 |
Windows Server 2012 |
Windows Server 2012 |
Architektura x64 |
Wersje systemów operacyjnych przedstawione w powyższej tabeli stanowią najstarsze kombinacje systemów operacyjnych i dodatków Service Pack, które są obsługiwane. Nowsze dodatki Service Pack są obsługiwane.
Migracja na serwer docelowy, na którym już skonfigurowano funkcję DirectAccess, nie jest obsługiwana.
Wersje Foundation, Standard, Enterprise i Datacenter systemu operacyjnego Windows Server są obsługiwane zarówno w przypadku serwera źródłowego, jak i serwera docelowego. Dotyczy to również migracji między różnymi wersjami. Na przykład można przeprowadzić migrację z serwera z systemem Windows Server 2003 Standard na serwer z systemem Windows Server 2012.
Obsługiwane są migracje między fizycznymi i wirtualnymi systemami operacyjnymi.
Migracja z serwera źródłowego na serwer docelowy, na którym działa system operacyjny z innym językiem interfejsu użytkownika systemu (czyli zainstalowanym językiem) niż język na serwerze źródłowym, nie jest obsługiwana. Na przykład nie można użyć składnika Narzędzia migracji systemu Windows Server w celu migracji ról, ustawień systemu operacyjnego, danych ani zasobów udostępnionych z komputera, na którym działa system Windows Server 2008 R2 z interfejsem użytkownika systemu w języku francuskim, do komputera z systemem Windows Server 2012 z interfejsem użytkownika systemu w języku niemieckim.
Uwaga
Język interfejsu użytkownika systemu to język zlokalizowanego pakietu instalacyjnego, który został użyty do skonfigurowania systemu operacyjnego Windows.
W przypadku systemów Windows Server 2003 i Windows Server 2008 obsługiwane są migracje zarówno w architekturze x86, jak i x64. Wszystkie wersje systemów Windows Server 2008 R2 i Windows Server 2012 mają architekturę x64.
Obsługiwane konfiguracje ról
Poniżej przedstawiono obszerną listę scenariuszy migracji, które są obsługiwane w przypadku dostępu zdalnego. Wszystkie ustawienia w tych scenariuszach podlegają migracji.
Funkcja DirectAccess (obsługiwana tylko w przypadku migracji z systemu Windows Server 2012 do systemu Windows Server 2012)
Serwer VPN
Serwer telefoniczny
Translator adresów sieciowych (NAT)
Routing z następującymi opcjonalnymi składnikami:
Agent przekazywania DHCP
Protokół RIP (Routing Information Protocol)
Protokół IGMP (Internet Group Management Protocol)
Oprócz powyższych scenariuszy podczas migracji automatycznie jest również dostosowywana konfiguracja serwera docelowego w celu uwzględnienia funkcji, które nie są już obsługiwane, oraz w celu obsługi funkcji wprowadzonych w systemie Windows Server 2012 i nieobsługiwanych we wcześniejszych wersjach systemu Windows.
Zależności migracji
Jeśli migracji ma również podlegać lokalny lub zdalny serwer NPS, który jest używany na potrzeby uwierzytelniania, ewidencjonowania aktywności lub zarządzania zasadami, przed zmigrowaniem dostępu zdalnego należy zmigrować usługę NPS. Aby uzyskać więcej informacji, zobacz Migrowanie serwera zasad sieciowych do systemu Windows Server 2012.
W przypadku uaktualniania z funkcji DirectAccess systemu Windows 2008 R2 do systemu Windows Server 2012 upewnij się, że na serwerze z systemem Windows 2008 R2 zostały zastosowane wszystkie ustawienia konfiguracji funkcji DirectAccess. Można zapisać ustawienia za pomocą konsoli, ale ich nie zastosować. Przed uaktualnieniem upewnij się, że zapisane ustawienia zostały również zastosowane.
Składniki migracji, które nie są obsługiwane we wszystkich wersjach systemu operacyjnego
Następujące składniki dostępu zdalnego nie są obsługiwane przez wszystkie systemy operacyjne:
Składnik |
Okno dialogowe/ustawienia interfejsu użytkownika |
Akcja |
Nowe składniki niedostępne w systemach Windows Server 2003, Windows Server 2008 i Windows Server 2008 R2 |
||
Określanie karty do uzyskiwania adresów usług DNS/WINS |
Właściwości RAS — karta IPv4: karta |
Ten składnik nie jest obsługiwany w systemie Windows Server 2003. Dla tego ustawienia na komputerze docelowym powinna zostać użyta wartość domyślna. |
Protokół SSTP |
Porty SSTP |
Protokół SSTP nie jest obsługiwany w systemie Windows Server 2003. Porty SSTP powinny zostać włączone na komputerze docelowym. Liczba zależy od wartości domyślnej dla jednostki SKU na komputerze docelowym. |
Protokół IPv6 |
|
|
Filtry IP w folderze Rejestrowanie i zasady dostępu zdalnego |
Rejestrowanie i zasady dostępu zdalnego — Filtry IP |
W systemach Windows Server 2003 i Windows Server 2008 nie ma opcji tworzenia filtrów IP w obszarze Rejestrowanie i zasady dostępu zdalnego. Dlatego nie będzie filtrów do zmigrowania. |
Automatyczne uzyskiwanie adresu IPv6 |
Właściwości wybierania numeru na żądanie (VPN/PPPoE) — karta Sieć — Właściwości: IPv6 — przycisk radiowy Uzyskaj adres IP automatycznie |
To ustawienie nie występuje w systemie Windows Server 2008. To ustawienie powinno zostać skonfigurowane przy użyciu wartości domyślnej na komputerze docelowym. |
Protokół IKEv2 |
|
|
Wybieranie certyfikatu SSTP |
Właściwości RAS — karta Zabezpieczenia: pole wyboru Użyj protokołu HTTP, menu rozwijane wyboru certyfikatu, ustawienia powiązania kryptograficznego |
Ten składnik nie jest obsługiwany w systemach Windows Server 2003 i Windows Server 2008. Dla wszystkich tych ustawień na komputerze docelowym powinny zostać użyte wartości domyślne. |
Ewidencjonowanie aktywności sieci VPN |
Rejestrowanie i zasady dostępu zdalnego — ewidencjonowanie aktywności: ustawienia akcji po niepowodzeniu rejestrowania w obszarach Właściwości rejestrowania w programie SQL Server i Właściwości pliku dziennika |
Te opcje nie występują w systemie Windows Server 2008. Na komputerze docelowym powinna zostać użyta wartość domyślna. |
Przestarzałe funkcje: niedostępne w systemie Windows Server 2008, Windows Server 2008 R2 oraz Windows Server 2012 |
||
Protokoły SPAP, MS-CHAP, EAP-MD5 i powiązane ustawienia |
Właściwości interfejsu wybierania numeru na żądanie VPN/PPPoE — karta Zabezpieczenia |
Ustawienia protokołów SPAP, EAP-MD5 i MS-CHAP nie są obsługiwane w systemach Windows Server 2008 R2 oraz Windows Server 2012 i nie zostaną zmigrowane. |
Konfiguracja interfejsu połączenia lokalnego w obszarze Routing |
Routing — Ogólne — właściwości połączenia lokalnego — karta Konfiguracja |
Ta karta zawiera ustawienia konfiguracji określające sposób uzyskiwania adresu IP dla tego interfejsu. Występuje ona tylko w systemie Windows Server 2003 i nie zostanie zmigrowana. |
Zapora usługi RAS (zintegrowana z translatorem adresów sieciowych) |
|
W systemie Windows Server 2003 była obsługiwana funkcja zapory usługi RAS, która została usunięta w systemie Windows Server 2008. Te ustawienia nie zostaną zmigrowane. |
Ustawienia słabego szyfrowania |
Słabe szyfrowanie jest obsługiwane w systemie Windows Server 2003, ale w systemach Windows Server 2008 i Windows Server 2008 R2 można je włączyć tylko w rejestrze. Podczas migracji z systemu Windows Server 2003 ustawienia rejestru nie zostaną utworzone automatycznie. W przypadku systemu Windows Server 2008 i nowszych wersji te ustawienia zostaną zmigrowane, jeśli były już obecne. |
Składniki migracji, które nie są migrowane automatycznie
Następujące elementy i ustawienia dostępu zdalnego nie są migrowane przez polecenia cmdlet programu Windows PowerShell dostarczane z narzędziami migracji systemu Windows Server. Zamiast tego należy ręcznie skonfigurować dany element lub ustawienie na nowym serwerze RRAS, zgodnie z opisem w sekcji Wykonywanie wymaganych ręcznych kroków migracji tego przewodnika.
Ważne
Przeprowadź konfigurację ręczną tych elementów tylko wtedy, gdy zostanie to wskazane później w tym przewodniku.
Powiązania certyfikatu SSL. Ustawienia powiązań certyfikatu SSL i powiązań kryptograficznych dla protokołu SSTP są migrowane w następujący sposób:
Kreator migracji szuka certyfikatu źródłowego na komputerze docelowym. Jeśli certyfikat zostanie znaleziony, protokół SSTP użyje tego certyfikatu.
Jeśli certyfikat źródłowy nie zostanie znaleziony, kreator migracji będzie szukać prawidłowego certyfikatu z tym samym zaufanym certyfikatem głównym co certyfikat źródłowy.
Jeśli certyfikat nadal nie zostanie znaleziony, na komputerze docelowym będzie używana domyślna konfiguracja protokołu SSTP.
Jeśli są używane certyfikaty z podpisem własnym (prawidłowe w przypadku systemu Windows Server 2012), zostaną one automatycznie utworzone na komputerze docelowym.
Konta użytkowników na lokalnym serwerze RRAS. Jeśli są używane konta użytkowników i grup oparte na domenie, a oba serwery RRAS (stary i nowy) należą do tej samej domeny, migracja kont nie jest wymagana. Jeśli na źródłowym serwerze RRAS skonfigurowano opcję Uwierzytelnianie systemu Windows, można używać kont użytkowników lokalnych.
Tylko routing/sieć VPN/funkcja DirectAccess, jeśli wszystkie te funkcje są zainstalowane. Jeśli konfiguracja serwera dostępu zdalnego obejmuje wszystkie dostępne usługi, wszystkie te usługi należy zmigrować razem. Migracja tylko jednej z tych usług na serwer docelowy nie jest obsługiwana.
Lokalny lub zdalny serwer z serwerem zasad sieciowych (NPS) zapewniający uwierzytelnianie, ewidencjonowanie aktywności i zarządzanie zasadami. Ten przewodnik nie zawiera kroków wymaganych do przeprowadzenia migracji serwera z uruchomionym serwerem zasad sieciowych. Aby zmigrować serwer z uruchomionym serwerem zasad sieciowych, skorzystaj z tematu Migrowanie serwera zasad sieciowych do systemu Windows Server 2012. Migrację serwera zasad sieciowych należy wykonać wtedy, gdy zostanie to wskazane w dalszej części tego przewodnika.
Uwaga
Jeśli nie używasz serwera zasad sieciowych, domyślne zasady dostępu zdalnego i ustawienia ewidencjonowania aktywności, które są tworzone automatycznie podczas konfigurowania usługi RRAS, nie podlegają migracji.
Połączenia telefoniczne z wybieraniem numeru na żądanie. Na serwerze docelowym mogą być stosowane różne modemy, a wiele ustawień wybierania numeru na żądanie jest specyficznych dla wybranego modemu lub urządzenia ISDN.
Certyfikaty używane do uwierzytelniania połączeń IKEv2, SSTP i L2TP/IPsec.
Powiązanie certyfikatu SSL dla protokołu SSTP, jeśli nie zaznaczono pola wyboru Użyj protokołu HTTP.
Połączenia IKEv2 sieci VPN, które używają kart sieciowych obsługujących protokół IPv6. Protokół IKEv2 jest obsługiwany tylko na serwerach RRAS z systemem Windows Server 2008 R2. W konsoli Microsoft Management Console (MMC) dla usługi RRAS w systemie Windows Server 2008 R2 można określić interfejs sieciowy używany do uzyskiwania adresów IPv6 usług DHCP i DNS, które są używane dla klientów IKEv2 sieci VPN. Jeśli usługa RRAS jest migrowana z systemu Windows Server 2008 R2 do innego serwera z systemem Windows Server 2008 R2, ustawienie to zostanie zmigrowane. Jeśli jednak migracja jest przeprowadzana z poprzedniej wersji systemu Windows, to nie ma ustawienia do zmigrowania i używana jest wartość domyślna Zezwalaj, aby usługa RAS wybierała kartę sieciową.
Słabe szyfrowanie. W systemie Windows Server 2003 słabe szyfrowanie jest włączone, natomiast w nowszych wersjach systemu Windows jest ono domyślnie wyłączone. Słabe szyfrowanie można włączyć tylko przez modyfikację rejestru. Podczas migracji z systemu Windows Server 2003 wymagane ustawienia rejestru nie zostaną utworzone na nowym serwerze i należy je skonfigurować ręcznie. W przypadku nowszych wersji systemu Windows te ustawienia rejestru zostaną zmigrowane (jeśli istnieją).
Administracyjne biblioteki DLL i biblioteki DLL zabezpieczeń oraz odpowiadające im klucze rejestru. Te biblioteki DLL są dostępne zarówno w wersjach 32-bitowych, jak i 64-bitowych. Nie działają w przypadku migracji z wersji 32-bitowej do 64-bitowej.
Niestandardowe biblioteki DLL używane dla połączeń z wybieraniem numeru na żądanie. Te biblioteki DLL są dostępne zarówno w wersjach 32-bitowych, jak i 64-bitowych. Nie działają w przypadku migracji z wersji 32-bitowej do 64-bitowej. Wszelkie odpowiadające im ustawienia rejestru również nie podlegają migracji.
Profile menedżera połączeń. Zestaw administracyjny Menedżera połączeń jest używany do tworzenia profilów zdalnego dostępu telefonicznego i przez sieć VPN. Utworzone profile są przechowywane w określonych folderach na serwerze RRAS. Profile, które zostały utworzone w 32-bitowej wersji systemu Windows, nie działają na komputerach z 64-bitową wersją systemu Windows, i na odwrót. Aby uzyskać więcej informacji o profilach połączeń, zobacz Zestaw administracyjny Menedżera połączeń (https://go.microsoft.com/fwlink/?linkid=55986).
Ustawienie Fragmenty grupowo przesyłane dalej w translatorze adresów sieciowych. To ustawienie jest włączone, jeśli serwer RRAS jest wdrożony za routerem translacji adresów sieciowych (NAT) działającym w systemie operacyjnym Windows. Jest to wymagane do pomyślnego nawiązywania połączeń L2TP/IPsec korzystających z uwierzytelniania przy użyciu certyfikatu komputera. Zaleca się włączenie tej wartości, aby obejść znany problem w usłudze RRAS.
Ustawienie Rejestruj dodatkowe informacje routingu i dostępu zdalnego (używane do debugowania) w oknie dialogowym Właściwości: Routing i dostęp zdalny na karcie Rejestrowanie.
Omówienie procesu migracji usługi Routing i dostęp zdalny
Proces wykonywany przed migracją obejmuje ręczne zbieranie danych, po którym następuje wykonanie procedur na serwerach źródłowym i docelowym. Proces migracji obejmuje procedury dotyczące serwera źródłowego i docelowego, w których są używane polecenia cmdlet Export i Import w celu automatycznego zbierania, zapisywania i migrowania ustawień roli serwera. Procedury wykonywane po migracji obejmują sprawdzenie, czy serwer docelowy pomyślnie zastąpił serwer źródłowy, a następnie wycofanie lub zmianę zastosowania serwera źródłowego. Jeśli procedura weryfikacji wskaże niepowodzenie migracji, rozpocznie się rozwiązywanie problemów. Jeśli rozwiązywanie problemów nie powiedzie się, zostaną udostępnione instrukcje wycofywania operacji, które pozwolą na powrót do używania pierwotnego serwera źródłowego w sieci.
Wpływ migracji
Podczas migracji serwer dostępu zdalnego nie jest dostępny na potrzeby akceptowania połączeń przychodzących ani kierowania ruchem.
Nowi klienci zdalni nie mogą nawiązywać z serwerem połączeń telefonicznych ani połączeń przy użyciu sieci VPN lub funkcji DirectAccess. Istniejące połączenia na serwerze zostaną rozłączone. Jeśli jest używanych wiele serwerów dostępu zdalnego, utrata dostępności tego serwera spowoduje zmniejszenie wydajności do momentu, gdy nowy serwer będzie ponownie działać. Dla połączeń z wybieraniem numeru na żądanie należy zapewnić alternatywne połączenie między oddziałami lub tak skonfigurować ponownie połączenia, aby wskazywały serwer alternatywny.
Funkcje routingu i translacji adresów sieciowych są niedostępne. Jeśli dana funkcja jest wymagana podczas migracji, do czasu udostępnienia nowego serwera docelowego można wdrożyć alternatywny router.
Procedury wykonywane po migracji mają następujący wpływ:
Jeśli jest planowane użycie nazwy serwera źródłowego jako nazwy serwera docelowego, nazwę można skonfigurować na serwerze docelowym po odłączeniu serwera źródłowego od sieci. W przeciwnym razie wystąpi konflikt nazw, który może mieć wpływ na dostępność. Jeśli jest planowane uruchamianie obu serwerów, serwerowi docelowemu należy nadać unikatową nazwę.
Serwer VPN może być bezpośrednio połączony z Internetem lub umieszczony w sieci obwodowej za zaporą lub routerem NAT. Jeśli adres IP lub nazwa DNS serwera docelowego zmienią się w ramach migracji lub po jej ukończeniu, należy ponownie skonfigurować mapowania w zaporze lub na urządzeniu NAT, aby wskazywały poprawny adres lub poprawną nazwę. Należy również zaktualizować wszelkie intranetowe lub internetowe serwery DNS, używając nowej nazwy i nowego adresu IP. Ponadto należy pamiętać o przekazaniu informacji o wszystkich zmianach adresów IP lub nazw serwerów użytkownikom, aby mogli oni nawiązywać połączenia z właściwym serwerem. Jeśli korzystasz z profilów połączeń, które są tworzone przy użyciu Zestawu administracyjnego Menedżera połączeń, wdróż nowy profil ze zaktualizowanymi informacjami o adresie serwera.
Uwaga
W przypadku funkcji DirectAccess komputer źródłowy i komputer docelowy muszą mieć jednakowe adresy IP i nazwy interfejsu.
Zalecamy, aby ogłosić oczekiwaną datę i godzinę migracji, co pozwoli użytkownikom odpowiednio zaplanować pracę i wykonać inne konieczne czynności.
Uprawnienia wymagane do przeprowadzenia migracji
Następujące uprawnienia są wymagane na serwerze źródłowym i serwerach docelowych dostępu zdalnego:
Wymagane są prawa użytkownika domeny pozwalające na przyłączenie nowego serwera do domeny.
Wymagane są lokalne uprawnienia administracyjne pozwalające na zainstalowanie roli dostępu zdalnego i zarządzanie nią.
Uprawnienia administratora dla obiektów zasad grupy funkcji DirectAccess równoważne uprawnieniom skonfigurowanym na komputerze źródłowym.
Wymagane są uprawnienia do zapisu w lokalizacji magazynu migracji. Aby uzyskać więcej informacji, zobacz sekcję Dostęp zdalny: Przygotowywanie do migracji w tym przewodniku.
Szacowany czas trwania
Migracja może zająć dwie lub trzy godziny, łącznie z testowaniem.
Zobacz też
Dostęp zdalny: Przygotowywanie do migracji
Dostęp zdalny: migrowanie dostępu zdalnego
Dostęp zdalny: Weryfikowanie migracji
Dostęp zdalny: Zadania po migracji