Migrera Health Registration Authority till Windows Server 2012

 

Gäller för: Windows Server 2012

Det här dokumentet ger riktlinjer för migrering av rolltjänsten Health Registration Authority (HRA) från en x86- eller x64-baserad server som kör Windows Server® 2008, Windows Server® 2008 R2, eller Windows Server® 2012 till en ny Windows Server 2012 server.

Om den här guiden

Anteckning

Din detaljerade feedback är mycket viktig och hjälper oss att göra migreringsguiderna för Windows Server så tillförlitliga, fullständiga och enkla att använda som möjligt. Betygsätt gärna det här avsnittet genom att klicka på stjärnorna längst upp till höger på sidan (1=dåligt, 5=utmärkt) och lägg sen till kommentarer som motiverar ditt betyg. Beskriv vad du tyckte om, inte tyckte om, eller vad du skulle vilja se i framtida versioner av ämnet. För att skicka in ytterligare förslag om hur vi kan förbättra migreringsguider eller verktyg, gör ett inlägg i Forum för Windows Servermigrering.

Den här handboken beskriver de steg som behöver utföras för att migrera befintliga HRA-serverinställningar till en server som kör Windows Server 2012. Genom att använda den här dokumentationen kan du förenkla migrering, minska eller eliminera avbrottstid för servern och hjälpa att undvika konflikter som annars kan uppstå under en HRA-migrering.

Målgrupp

Den här guiden är avsedd för Informationsteknologi (ITOS)-administratörer, IT-proffs och andra personer som ansvarar för drift och distribution av HRA-servrar i en hanterad miljö.

Vad du inte lär dig i den här guiden

Den här guiden ger inga detaljerade anvisningar för att migrera konfigurationen från andra tjänster som används med NAP, som nätverkspolicyserver (NPS) eller Active Directory Certificate Services (AD CS). De här procedurerna kan hittas i Migrera nätverksprincipservrar till Windows Server 2012 och i Migreringsguide för Active Directory Certificate Services (https://go.microsoft.com/fwlink/p/?LinkID=156771). Anvisningar för att utföra specifika procedurer från de andra guiderna tillhandahålls i den mån som krävs för att slutföra migreringen av HRA-servern.

Migreringsscenarier som stöds

Den här guiden innehåller instruktioner om hur du migrerar en befintlig server som kör HRA-rolltjänsten till en server som kör Windows Server 2012. Det här inkluderar vägledning för installation av nödvändiga IIS-serverroller och NPS-rolltjänster. Om din server kör ytterligare tjänster så rekommenderar vi att du designar en anpassad migreringsprocedur som är specifik just för din servermiljö och grundar sig i informationen som finns i de andra migreringsguiderna för roller. Migreringsguider för övriga roller finns tillgängliga på Windows Server 2008 R2 TechCenter (https://go.microsoft.com/fwlink/p/?LinkID=128554).

Varning

Om din källserver erbjuder andra roller och tjänster utöver HRA, kan migrering av datornamn och IP-konfiguration göra att dessa tjänster slutar fungera. Du bör verifiera effekten av de här procedurerna innan du genomför dem under HRA-migrering.

Operativsystem som stöds

Följande tabell visar minimikrav för operativsystemet.

Källserverprocessor	Operativsystem för källserver	Operativsystem för målserver	Målserverprocessor
x86- eller x64-baserade	Windows Server 2008	Windows Server 2012	x64-baserade
x64-baserade	Windows Server 2008 R2	Windows Server 2012	x64-baserade
x64-baserade	Windows Server 2012	Windows Server 2012	x64-baserade

• NPS- och HRA-rolltjänsterna finns inte tillgängliga i Server Core-utgåvor. Foundation, Standard, Enterprise och Datacenter utgåvor av Windows Server stöds som antingen käll- eller målservrar. Om du konfigurerat AD CS på källservern som en företagscertifikatutfärdare (CA), så måste dock CA-servern köra Enterprise eller Datacenter utgåvor av Windows Server 2012.

• Migrering från en källserver till en målserver som kör ett operativsystem med ett annat installerat språk stöds inte. Exempelvis stöds inte migrering av serverroller från en dator som kör Windows Server 2008 med franska som systemspråk till en dator som kör Windows Server 2012 med tyska som systemspråk. Systemspråket är språket för det lokaliserade installationspaketet som användes för att installera Windows operativsystemet.

• Både x86- och x64-baserade migreringar stöds för Windows Server 2008. Alla utgåvor av Windows Server 2008 R2 och Windows Server 2012 är x64-baserade.

Stödda rollkonfigurationer

Den här guiden ger erbjuder procedurer för att migrera alla HRA-serverinställningar, inklusive eventuella anpassade CA och policyinställningar för förfrågningar. Den här guiden innehåller också instruktioner för att konfigurera minimikraven för IIS-rollen på målservern.

Migrering av nödvändiga roller

HRA är en rolltjänst under serverrollen nätverkspolicy och åtkomsttjänster (NPAS). För att installera HRA, måste du också installera NPS och IIS på samma dator. Om de här tjänsterna inte redan är installerade så kommer de automatiskt läggas till av guiden lägg till roller och tjänster när du väljer att installera HRA.

HRA kräver också en anslutning till en eller flera servrar som köra AD CS som har konfigurerats att utfärda NAP-hälsocertifikat. AD CS kan installeras på samma dator som HRA, eller på en annan dator. Om någon av HRA-servrarna i din organisation har konfigurerats att använda AD CS på källservern för förfrågningar om hälsocertifikat så måste du installera AD CS på målservern för HRA och konfigurera den att utfärda hälsocertifikat. Eller så kan du ändra CA-konfigurationen för dina HRA-servrar.

Överväg följande information om nödvändiga roller och tjänster som krävs på HRA-målservern.

1. NPS. NPS-rolltjänsten måste migreras innan du kan testa och verifiera HRA-funktionaliteten på målservern. Om NPS på källservern bara används med HRA, antingen som en fristående NAP IPsec-hälsopolicyserver eller som en RADIUS-proxy för en annan hälsopolicyserver så ger den här guiden referenser till specifika procedurer i Migrera nätverksprincipservrar till Windows Server 2012 som krävs för att migrera nödvändiga NPS-policys och inställningar. Om NPS-rollen på källservern används för andra syften än IPsec NAP, eller om källservern är medlem i RADIUS-klienter eller fjärr-RADIUS servergrupper på andra servrar i din organisation, bör du konsultera Migrera nätverksprincipservrar till Windows Server 2012 för detaljerade migreringsanvisningar innan du migrerar HRA.

2. AD CS. Under HRA-installationen så kan du välja att installera AD CS på samma dator för att använda en befintlig NAP-CA på en annan dator, eller välja CA i ett senare skede. Du kan också välja att installera AD CS som en företags-CA eller som en fristående CA.

   Varning

   Det går inte att ändra namnet på HRA-servern efter att du installerat AD CS på den.

   • Om du installerar AD CS på samma dator som HRA så måste du konfigurera AD CS på HRA-målservern att utfärda NAP-hälsocertifikat.

     • Om AD CS är installerad som en företags-CA, använd då procedurer från den här guiden för att konfigurera behörighetsinställningar för NAP-CA:n. Se Migreringsguide för Active Directory Certificate Services (https://go.microsoft.com/fwlink/p/?LinkID=156771) för migreringsprocedurer för hälsocertifikat-mallar till målservern.

     • Om AD CS är installerad som en fristående CA, så ger den här guiden alla nödvändiga procedurer för behörighetsinställningar som behövs för att konfigurera en NAP-CA på målservern. Om du använder den lokala CA:n för andra syften än att utfärda NAP-hälsocertifikat, eller om du har en anpassad konfiguration, se Migreringsguide för Active Directory Certificate Services (https://go.microsoft.com/fwlink/p/?LinkID=156771) för detaljerade anvisningar om hur du migrerar CA-inställningar.

   • Om du använder en befintlig NAP-CA på en annan dator så behöver du inte konfigurera AD CS på målservern.

   • Om du vill välja CA senare så behöver du inte konfigurera AD CS på målservern. Om du väljer att installera AD CS på HRA-målservern vid ett senare tillfälle, se Att distribuera NAP-certifikatutfärdare.

   Om AD CS på källservern också används för att utfärda certifikat som inte är hälsocertifikat, se Migreringsguide för Active Directory Certificate Services (https://go.microsoft.com/fwlink/?LinkID=156771) för migreringsprocedurer för AD CS.

3. IIS. Om den nödvändiga IIS-serverrollen används för andra syften än HRA:n, eller om den körs med anpassade inställningar utöver att lägga till ett SSL-certifikat, bör du följa procedurerna i Migreringsguide för Internet Information Services innan du migrerar HRA:n. Om IIS-serverrollen bara används med HRA, kan du använda procedurerna i den här guiden för att migrera IIS.

   Viktigt

   För att upprätthålla HRA-prestanda så måste standardinställningarna för IIS-anslutningar modifieras för att öka det maximala tillåtna antalet samtidiga anslutningar. För att genomföra den proceduren, se avsnittet konfigurera IIS-anslutningsinställningar i Konfigurera en HRA-server för NAP.

Migreringsscenarier som inte stöds

Följande migreringsscenarier beskrivs inte i det här dokumentet:

• Upgradering. Det ges ingen vägledning för scenarier där det nya operativsystemet installeras på befintlig servermaskinvara genom att använda Upgraderings-alternativet under installation.

• Arbetsgrupp. Det ges ingen vägledning för migrering av HRA-inställningar till eller från en icke-domänansluten server.

Översikt över migreringen för den här rollen

HRA-servermigrering är indelad i följande huvuddelar:

• HRA-servermigrering: Förbereda migrering

• HRA Server-migrering: Migrera HRA-servern

• HRA servermigrering: Verifiering av migreringen

• HRA-servermigrering: åtgärder efter migreringen

Processen innan migrering innefattar etablering av en lagringsplats för migreringsdata, insamling av information som kommer användas för att genomföra servermigreringen och installation av operativsystemet på målservern. Migreringsprocessen för HRA innefattar att använda Network Shell (netsh)-verktyget från en kommandorad på källservern för att få fram nödvändiga HRA-inställningar och procedurer på målservern för att installera nödvändiga roller och migrera HRA-inställningar. Verifieringsprocedurer innefattar testning av målservern för att fastställa att den fungerar som den ska. Procedurer efter migreringen innefattar återkallelse eller syftesändring av källservern.

Effekt av migrering

Om din migreringsplan omfattar att konfigurera målservern med ett annat värdnamn än källservern så måste inställningarna för den betrodda servergruppen på NAP-klientdatorer som använder HRA-källservern uppdateras för att använda sig av HRA-målservern. Det här tillvägagångssättet har fördelen att det låter HRA-käll- och målserver köra samtidigt fram tills testning och verifiering har slutförts.

Om din migreringsplan omfattar konfiguration av målservern med samma namn som källservern så måste källservern inaktiveras och tas offline innan målservern ansluts till samma domän med samma värdnamn. För att minimera avbrottstid med det här scenariot så måste NAP-klientdatorer ha tillgång till en sekundär HRA-server utöver käll- och målservrarna. För att undvika kortsiktiga problem med namnmatchning, använd samma IP-adresskonfiguration på käll- och målservern.

Om NPS-rollen på källservern används för andra syften än IPsec-NAP, kan det hända att klientdatorer inte kommer åt nätverket under servermigreringen. Om källservern exempelvis används för VPN-klientautentisering, bör du konsultera Migrera nätverksprincipservrar till Windows Server 2012 för detaljerade migreringsanvisningar innan du migrerar HRA.

Konsekvenser av migreringen på källservern

• Om du distribuerar målservern med ett annat värdnamn, påverkas inte källservern.

• Om du distribuerar målservern med samma värdnamn så måste källservern inaktiveras och tas offline innan målservern ansluts till domänen.

Konsekvenserna av migrering på andra datorer i företaget

• Om du distribuerar målservern med ett annat värdnamn, måste NAP-klientinställningarna för alla datorer som konfigurerats att använda HRA uppdateras. Om procedurerna i den här guiden följs så bör det här scenariot orsaka lite eller ingen avbrottstid.

• Om du distribuerar målservern med samma värdnamn, kommer inte klienter att kunna få hälsocertifikat kort efter det att källservern inaktiverats, om inte en sekundär HRA-server distribueras.

Behörigheter som krävs för att slutföra migreringen

Följande behörigheter krävs på källservern och målservern:

• Behörigheten domänadministratör krävs för att konfigurera och auktorisera HRA-servern samt för konfiguration av gruppolicyinställningar för NAP-klienter.

• Lokala administratörsbehörigheter krävs för att installera och hantera servern som kör HRA.

Uppskattad varaktighet

Migreringen kan ta två till tre timmar, inklusive testning.

Se även

HRA-servermigrering: Förbereda migrering
HRA Server-migrering: Migrera HRA-servern
HRA servermigrering: Verifiering av migreringen
HRA-servermigrering: åtgärder efter migreringen
Designguide för nätverksåtkomstskydd
Distributionsguide för nätverksåtkomstskydd