(0) exportieren Drucken
Alle erweitern

RRAS Migration: Migrieren des Routing- und RAS-Diensts

Veröffentlicht: Januar 2010

Letzte Aktualisierung: Februar 2010

Betrifft: Windows Server 2003, Windows Server 2003 R2, Windows Server 2008, Windows Server 2008 R2

Führen Sie die folgenden Verfahren aus, um den Routing- und RAS-Dienst von einem Quellserver zu einem Zielserver zu migrieren.

Sie müssen mindestens Mitglied der lokalen Gruppe Administratoren oder einer entsprechenden Gruppe sein, um diese Verfahren ausführen zu können. Wenn die Benutzerkontensteuerung (UAC) aktiviert ist, müssen Sie die folgenden Schritte möglicherweise mit der Option Als Administrator ausführen ausführen. Weitere Informationen finden Sie im Thema zum Ausführen eines Programms mit Administratorrechten im Windows Server TechCenter ("http://go.microsoft.com/fwlink/?LinkId=131210", möglicherweise in englischer Sprache).

Bei Verwendung des NPS zur Authentifizierung, Kontoführung und Richtlinienverwaltung

Wenn der RRAS-Server anstelle der Windows-Sicherheitskontendatenbank einen Netzwerkrichtlinienserver (NPS) zur Authentifizierung, Kontoführung oder Richtlinienverwaltung verwendet und der NPS ebenfalls zu einem neuen Computer unter Windows Server 2008 R2 migriert werden muss, gehen Sie wie im Migrationshandbuch für den Netzwerkrichtlinienserver ("http://go.microsoft.com/fwlink/?linkid=159109", möglicherweise in englischer Sprache) beschrieben vor.

ImportantWichtig
Migrieren Sie den NPS, bevor Sie den RRAS-Server migrieren.

Migrieren des Routing- und RAS-Diensts vom Quellserver

Führen Sie die folgenden Schritte aus, um die Konfiguration des Routing- und RAS-Diensts auf dem Quellserver zu erfassen.

So erfassen Sie die Konfiguration des Routing- und RAS-Diensts

  1. Öffnen Sie auf dem Quellserver eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten.

  2. Laden Sie Windows Server-Migrationstools in die Windows PowerShell-Sitzung.

    noteHinweis
    Wenn Sie die aktuelle Windows PowerShell-Sitzung über die Verknüpfung Windows Server-Migrationstools im Menü Start geöffnet haben, überspringen Sie diesen Schritt, und fahren Sie mit dem nächsten fort. Das Windows Server-Migrationstools-Snap-In sollte nur in eine Windows PowerShell-Sitzung geladen werden, die mit einer anderen Methode geöffnet wurde und in die das Snap-In noch nicht geladen wurde.

    Führen Sie zum Laden von Windows Server-Migrationstools das folgende Cmdlet aus:

    Add-PSSnapin Microsoft.Windows.ServerManager.Migration
    
  3. RRAS kann auf dem Quellserver ausgeführt werden, während Sie die Konfiguration erfassen. Wenn Sie jedoch Konfigurationsänderungen an RRAS vorgenommen haben, die einen Neustart des Diensts erfordern, müssen Sie RRAS vor dem Starten der Migration beenden. Verwenden Sie den folgenden PowerShell-Befehl, um den Dienst zu beenden:

    stop-service remoteaccess -force
    
    noteHinweis
    Der -force-Parameter muss verwendet werden, weil RRAS über abhängige Dienste verfügt.

    Führen Sie den folgenden Befehl aus, um zu überprüfen, ob der Dienst beendet wurde:

    get-service remoteaccess
    
  4. Sammeln Sie auf dem Quellserver in Windows PowerShell die Einstellungen vom Quellserver, indem Sie das Export-SmigServerSetting-Cmdlet als Administrator ausführen. Im Folgenden ist die Syntax für das Cmdlet dargestellt.

    Export-SmigServerSetting -featureID NPAS-RRAS -User All -Group -path StorePath -verbose
    

    Mit den Parametern des Export-SmigServerSetting-Cmdlets können alle Einstellungen des Routing- und RAS-Diensts auf dem Quellserver in nur einer Datei ("Svrmig.mig") gesammelt werden. Beachten Sie vor dem Ausführen dieses Befehls die folgenden Hinweise:

    • Wenn Sie den Export-SmigServerSetting-Befehl ausführen, werden Sie aufgefordert, ein Kennwort anzugeben, um die Migrationsspeicherdaten zu verschlüsseln. Das gleiche Kennwort muss später beim Importieren aus dem Migrationsspeicher angegeben werden. Stellen Sie sicher, dass Sie ein sicheres Kennwort verwenden, um die Migrationsdaten zu verschlüsseln, und der Speicherort der Migrationsdatendatei sicher ist.

    • Die StorePath-Variable, die als Wert des path-Parameters angegeben wird, kann ein leerer oder ein nicht leerer Ordner sein. Die tatsächliche Datendatei, die im Ordner gespeichert wird ("Svrmig.mig"), wird vom Export-SmigServerSetting-Cmdlet erstellt. Geben Sie keinen Dateinamen an. Wenn bereits eine Migrationsdatendatei vorhanden ist und Sie das Export-SmigServerSetting-Cmdlet erneut ausführen möchten, müssen Sie zuerst die Datei "Svrmig.mig" an einen anderen Speicherort verschieben, umbenennen oder löschen.

    • Wenn der Pfad kein freigegebener Speicherort ist, auf den der Zielserver zugreifen kann, müssen Sie den Migrationsspeicher manuell auf den Zielserver oder an einen für den Zielserver zugänglichen Speicherort kopieren.

    • Das Migrieren von Benutzern und Gruppen kann mit den zum Migrieren von RRAS verwendeten Cmdlets kombiniert werden. Die -Users- und -Group-Parameter können im Export-SmigServerSetting-Befehl verwendet werden, um die Benutzer- und Gruppenkonten zu migrieren, die lokal auf dem RRAS-Quellserver vorhanden sind. Wenn Sie eine Active Directory-Domäne oder RADIUS zur Authentifizierung verwenden, sind diese Parameter nicht erforderlich.

      Der -Users-Befehl unterstützt die folgenden Parameter:

      • All. Alle Benutzerkonten auf dem Quellserver werden in die Migrationsausgabedatei eingeschlossen.

      • Aktiviert. Nur aktivierte Benutzerkonten auf dem Quellserver werden in die Migrationsausgabedatei eingeschlossen.

      • Disabled. Nur deaktivierte Benutzerkonten auf dem Quellserver werden in die Migrationsausgabedatei eingeschlossen.

      Wenn keine Benutzerkonten migriert werden sollen, schließen Sie den -Users-Parameter nicht in den Befehl ein.

      Der -Group-Befehl unterstützt keine zusätzlichen Parameter. Wenn er angegeben wird, werden alle lokal definierten Gruppen auf dem Quellserver in die Migrationsausgabedatei eingeschlossen.

    noteHinweis
    Bei dem im Handbuch für die Migration lokaler Benutzer und Gruppen beschriebenen Prozess werden einige Einstellungen nicht migriert, u. a. die Einstellungen auf der Registerkarte Einwählen. Lesen Sie das Handbuch für die Migration lokaler Benutzer und Gruppen sorgfältig durch. Dort wird erläutert, welche Einstellungen migriert werden und welche nicht.

Migrieren des Routing- und RAS-Diensts zum Zielserver

Führen Sie das folgende Verfahren auf dem Zielserver aus, um die Migration abzuschließen:

So importieren Sie die Konfiguration des Routing- und RAS-Diensts in den Zielserver

  1. Beachten Sie den folgenden Hinweis, bevor Sie das Import-SmigServerSetting-Cmdlet zum Importieren der Routing- und RAS-Dienst-Einstellungen verwenden:

    • Wenn Sie die Benutzer und Gruppen auf dem Quellcomputer migrieren, müssen Sie die -User- und -Group-Parameter im Import-SmigServerSetting-Cmdlet auf dem Zielserver angeben.

  2. Öffnen Sie auf dem Zielserver eine Windows PowerShell-Sitzung mit erhöhten Benutzerrechten.

  3. Laden Sie Windows Server-Migrationstools in die Windows PowerShell-Sitzung.

    noteHinweis
    Wenn Sie die aktuelle Windows PowerShell-Sitzung über die Verknüpfung Windows Server-Migrationstools im Menü Start geöffnet haben, überspringen Sie diesen Schritt, und fahren Sie mit dem nächsten fort. Das Windows Server-Migrationstools-Snap-In sollte nur in eine Windows PowerShell-Sitzung geladen werden, die mit einer anderen Methode geöffnet wurde und in die das Snap-In noch nicht geladen wurde.

    Führen Sie zum Laden von Windows Server-Migrationstools das folgende Cmdlet aus:

    Add-PSSnapin Microsoft.Windows.ServerManager.Migration
    
  4. Führen Sie auf dem Zielserver in Windows PowerShell den folgenden Befehl aus, wobei StorePath der Ordner ist, der die vom Quellserver exportierte Datei "Svrmig.mig" enthält. Geben Sie den Namen der Datei nicht im Pfad an.

    Import-SmigServerSetting -featureid NPAS-RRAS -User All -Group -Force -path StorePath -Verbose
    

    Weitere Informationen zum Ausführen des Import-SmigServerSetting-Cmdlets finden Sie im Abschnitt zur Verwendung der Windows Server-Migrationstools in der schrittweisen Anleitung zum Installieren und Deinstallieren der Windows Server-Migrationstools und Zugriff auf die Tools in der technischen Bibliothek zu Windows Server ("http://go.microsoft.com/fwlink/?LinkID=155112", möglicherweise in englischer Sprache).

  5. Vor dem Starten des RRAS-Diensts müssen Sie den RASMAN-Dienst manuell beenden. Führen Sie den folgenden Befehl im Windows PowerShell-Eingabeaufforderungsfenster aus:

    Stop-service -force rasman
    
  6. Führen Sie dann den folgenden Befehl im Windows PowerShell-Eingabeaufforderungsfenster aus, um den Routing- und RAS-Dienst zu starten:

    Start-Service RemoteAccess
    

Wenn beim Ausführen des Import-SmigServerSetting-Cmdlets ein Fehler auftritt, überprüfen Sie die Dateien "Setupact.log", "Setuperr.log" und "ServerMigration.log" unter "%localappdata%\SvrMig\Log". Informationen zur Migration der RRAS-Komponenten sind in der Datei "Servermigration.log" enthalten.

Überprüfen Sie nach der Ausführung des Skripts den folgenden Abschnitt, und passen Sie alle verbleibenden Einstellungen an, die manuell konfiguriert werden müssen.

Ausführen der erforderlichen manuellen Migrationsschritte

Bestimmte Einstellungen können nicht mit den Windows PowerShell-Skripts migriert werden und müssen auf dem Zielserver manuell konfiguriert werden. Lesen Sie die folgenden Informationen zu den Konfigurationsoptionen, und wenden Sie die für die Umgebung relevanten Optionen an.

DFÜ-Verbindungen für Wählen bei Bedarf

Aufgrund der möglichen Unterschiede zwischen der Modemhardware auf den Quell- und Zielservern werden DFÜ-Verbindungen nicht migriert. Verwenden Sie den Assistenten für eine Schnittstelle für Wählen bei Bedarf im RRAS-MMC-Snap-In.

So erstellen Sie eine DFÜ-Verbindung für Wählen bei Bedarf

  1. Wenn Sie den Server-Manager verwenden, erweitern Sie im Navigationsbereich Rollen, Netzwerkrichtlinien- und Zugriffsdienste und dann Routing und RAS.

  2. Klicken Sie mit der rechten Maustaste auf Netzwerkschnittstellen, und klicken Sie dann auf Neue Schnittstelle für Wählen bei Bedarf.

  3. Führen Sie die Schritte im Assistenten aus, um die Verbindung zu konfigurieren.

Zertifikate für IKEv2-, SSTP- und L2TP/IPsec-Verbindungen

Zertifikate können mit dem MMC-Snap-In "Zertifikate" vom Quellserver exportiert und in den Zielserver importiert werden.

SSL-Zertifikatbindung für SSTP-VPN-Verbindungen

Die Auswahl eines bestimmten Zertifikats für SSTP-Verbindungen wird nicht von den Skripts migriert. Sie müssen das Zertifikat zuerst importieren und auf dem Zielserver installieren. Wählen Sie dann im RRAS-MMC-Snap-In das Zertifikat aus, das von SSTP verwendet werden soll.

So wählen Sie das Zertifikat für SSTP aus

  1. Wenn Sie den Server-Manager verwenden, erweitern Sie im Navigationsbereich Rollen und dann Netzwerkrichtlinien- und Zugriffsdienste.

  2. Klicken Sie mit der rechten Maustaste auf Routing und RAS, und klicken Sie dann auf Eigenschaften.

  3. Wählen Sie auf der Registerkarte Sicherheit unter SSL-Zertifikatbindung das gewünschte Zertifikat aus, und klicken Sie dann auf OK.

Richtlinien- und Kontoführungseinstellungen für den Routing- und RAS-Dienst

Wenn Sie keinen lokalen Server oder Remoteserver für den NPS verwenden, werden beim Konfigurieren von RRAS automatisch standardmäßige RAS-Richtlinien und Kontoführungseinstellungen auf dem Zielserver erstellt.

Informationen zum Migrieren von NPS-Einstellungen finden Sie im NPS-Migrationshandbuch ("http://go.microsoft.com/fwlink/?linkid=159109", möglicherweise in englischer Sprache) und insbesondere im Abschnitt zum Migrieren von Servereinstellungen im Thema zur Migration der NPS-Rolle. Für Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 sind separate Abschnitte vorhanden.

PEAP-, Smartcard- und andere Zertifikateinstellungen auf dem Netzwerkrichtlinienserver

Wenn Sie zur Unterstützung des migrierten RRAS-Servers auch einen lokalen Server oder Remoteserver migriert haben, auf dem der NPS ausgeführt wird, sollten Sie überprüfen, ob die Zertifikatkonfiguration auf dem NPS-Server korrekt ist. Stellen Sie insbesondere sicher, dass alle zugeordneten Zertifikate für das Protected Extensible Authentication-Protokoll (PEAP) und die Authentifizierungseinstellungen unter Smartcard oder anderes Zertifikat richtig festgelegt sind. Sie finden diese Einstellungen auf dem NPS-Server im NPS-MMC-Snap-In unter Verbindungsanforderungsrichtlinien oder Netzwerkrichtlinien (abhängig davon, wo die Authentifizierungsprotokolle konfiguriert sind). Wenn keine Zertifikate vorhanden oder die Zertifikate nicht korrekt konfiguriert sind, führen Sie die folgenden Schritte aus:

So konfigurieren Sie PEAP- oder Smartcardzertifikate neu

  1. Entfernen Sie die Methoden PEAP oder Smartcard oder anderes Zertifikat aus der Liste der Authentifizierungsmethoden.

  2. Fügen Sie die Methode der Liste wieder hinzu.

  3. Konfigurieren Sie das Zertifikat für die angegebene Methode neu.

Unsichere Verschlüsselungseinstellungen

In Windows Server 2003 ist die unsichere Verschlüsselung aktiviert, in höheren Windows-Versionen ist sie jedoch standardmäßig deaktiviert. Die unsichere Verschlüsselung kann nur durch eine Änderung der Registrierung aktiviert werden. Während der Migration von Windows Server 2003 werden die erforderlichen Registrierungseinstellungen nicht auf dem neuen Server erstellt. Sie müssen daher manuell konfiguriert werden. Bei höheren Versionen von Windows werden diese Registrierungseinstellungen migriert, wenn sie vorhanden sind. Weitere Informationen zu den Registrierungseinträgen, die von RRAS hinzugefügt werden, finden Sie im Artikel 947054 zu den von RRAS hinzugefügten Registrierungseinträgen in Windows Server 2008 in der Microsoft Knowledge Base ("http://go.microsoft.com/fwlink/?linkid=159112", möglicherweise in englischer Sprache). Die Beschreibung der Einstellungen für die unsicheren Verschlüsselungseinstellungen finden Sie am Ende des Artikels unter AllowPPTPWeakCrypto und AllowL2TPWeakCrypto.

securitySicherheit Hinweis
Die unsichere Verschlüsselung beinhaltet die Verwendung der 40-Bit- oder 56-Bit-Verschlüsselung in PPTP und die Verwendung von MD5 oder DES für L2TP/IPsec. Standardmäßig sind diese unsicheren Algorithmen deaktiviert, und es wird empfohlen, sie nur zu verwenden, wenn dies erforderlich ist.

Verbindungs-Manager-Profile

Vom Verbindungs-Manager-Verwaltungskit (CMAK) erstellte Profile können nur auf einem Computer erstellt werden, der die gleiche 32-Bit- oder 64-Bit-Architektur besitzt wie der Clientcomputer, auf dem sie ausgeführt werden sollen. Wenn Sie auf einem 64-Bit-Quellserver 64-Bit-Profile erstellt haben, können Sie sie aus dem Ordner %PROGRAMFILES%\CMAK\Profiles in den entsprechenden Ordner auf dem Zielserver kopieren. Die Profile können dort wie folgt mit dem CMAK verwaltet werden:

  • Für Computer unter Windows Server 2003 oder Windows XP erstellte Profile sollten im Ordner %PROGRAMFILES%\CMAK\Profiles\Previous release gespeichert werden.

  • Für Computer unter Windows Vista oder Windows® 7 erstellte Profile sollten im Ordner %PROGRAMFILES%\CMAK\Profiles\Windows 7 und Windows Vista gespeichert werden.

Bei einem 32-Bit-Quellserver müssen Sie einen Computer mit einer 32-Bit-Version von Windows verwenden, um die Profile zu erstellen und zu verwalten. Sie können einen Computer mit einer 32-Bit-Version von Windows 7 einrichten und das CMAK dann darauf installieren, um die Profile für die 32-Bit-Clientcomputer zu verwalten. Weitere Informationen finden Sie im Thema zum Verbindungs-Manager-Verwaltungskit in der technischen Bibliothek zu Windows Server ("http://go.microsoft.com/fwlink/?linkid=136440", möglicherweise in englischer Sprache).

Gruppenweiterleitungsfragmente

Die Einstellung Gruppenweiterleitungsfragmente für NAT wird aktiviert, wenn der RRAS-Server hinter einem NAT-Gerät bereitgestellt wird, das Windows ausführt. Dies ist für L2TP/IPSec-Verbindungen erforderlich, für deren erfolgreiche Ausführung die Computerzertifikatauthentifizierung verwendet wird. Es wird empfohlen, diese Einstellung zu aktivieren. Gruppenweiterleitungsfragmente können für IPv4 auf dem Windows-NAT-Computer aktiviert werden, indem der folgende Befehl an der Eingabeaufforderung ausgeführt wird:

netsh int ipv4 set global groupforwardfragments=enabled

RAS-Verwaltungs- und Sicherheits-DLLs

Verwaltungs-DLLs und Sicherheits-DLLs und die entsprechenden Registrierungsschlüssel werden nicht migriert. Dies ist darauf zurückzuführen, dass sie sowohl in 32-Bit- als auch 64-Bit-Versionen verfügbar sind und bei Migrationen von 32-Bit zu 64-Bit nicht funktionieren. Wenn es sich bei den Quell- und Zielcomputern um 64-Bit-Versionen handelt, können die Verwaltungs- und Sicherheits-DLLs wiederverwendet werden. Weitere Informationen finden Sie in den folgenden Themen:

RAS-Verwaltungs-DLL ("http://go.microsoft.com/fwlink/?linkid=163778", möglicherweise in englischer Sprache)

RAS-Sicherheits-DLL ("http://go.microsoft.com/fwlink/?linkid=163779", möglicherweise in englischer Sprache)


Nächstes Thema:  RRAS-Migration: Überprüfen der Migration

Siehe auch

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2014 Microsoft