Migrieren des Remotezugriffs zu Windows Server 2012
Betrifft: Windows Server 2012
Der Routing- und RAS-Dienst (RRAS) war ein Rollendienst in den Windows Server-Betriebssystemen vor Windows Server 2012, der Ihnen die Verwendung eines Computers als IPv4- oder IPv6-Router, IPv4-NAT-Router (NAT = Netzwerkadressübersetzung) oder RAS-Server, der DFÜ-Verbindungen oder VPN-Verbindungen (VPN = virtuelles privates Netzwerk) von Remoteclients hostet, ermöglicht hat. Jetzt wurde das Feature mit DirectAccess kombiniert, um die Remotezugriffsserverrolle (RAS-Serverrolle) in Windows Server 2012 zu bilden. In diesem Handbuch wird beschrieben, wie ein Server, der den Routing- und RAS-Dienst hostet, (in Windows Server 2008 R2 und anderen älteren Versionen) zu einem Computer unter Windows Server 2012 migriert wird.
Hinweis
Ihr detailliertes Feedback ist sehr wichtig und hilft uns, Windows Server-Migrationshandbücher so zuverlässig, vollständig und einfach wie möglich zu machen. Nehmen Sie sich bitte einen Moment Zeit, um dieses Thema zu bewerten, und fügen Sie dann Kommentare zu Ihrer Bewertung hinzu. Beschreiben Sie, was Ihnen gefallen hat und was nicht oder welche Informationen Sie sich in zukünftigen Versionen des Themas wünschen. Über das Windows Server-Migrationsforum können Sie zusätzliche Vorschläge für die Verbesserung von Migrationshandbüchern oder Dienstprogrammen einreichen.
Informationen zum Handbuch
Die Migrationsdokumentation und -tools vereinfachen die Migration von Serverrolleneinstellungen und Daten von einem vorhandenen Server zu einem Zielserver unter Windows Server 2012. Mit den in diesem Handbuch beschriebenen Tools können Sie den Migrationsvorgang vereinfachen, die Migration beschleunigen, ihre Genauigkeit verbessern und mögliche Konflikte vermeiden, die andernfalls während der Migration auftreten können. Weitere Informationen zum Installieren und Verwenden der Migrationstools auf den Quell- und Zielservern finden Sie unter Installieren, Verwenden und Entfernen von Windows Server-Migrationstools (https://go.microsoft.com/fwlink/?LinkId=247607).
Zielgruppe
Dieses Dokument richtet sich an IT-Administratoren, IT-Spezialisten und andere Büroanwender, die für den Betrieb und die Bereitstellung von RAS-Servern in einer verwalteten Umgebung zuständig sind. Für einige der Migrationsschritte in diesem Handbuch können Kenntnisse in der Skripterstellung erforderlich sein.
Nicht in diesem Handbuch enthaltene Informationen
In diesem Handbuch werden die Architektur oder einzelne Funktionen der Remotezugriffsrolle nicht beschrieben. Die folgenden Szenarien werden in diesem Migrationshandbuch nicht unterstützt:
Dieses Dokument enthält keine Anweisungen für ein direktes Upgrade, bei dem das neue Betriebssystem beim Setup mit der Option Upgrade auf der vorhandenen Serverhardware installiert wird.
Szenarien mit Clustering und mehreren Standorten
Migrieren mehrerer Serverrollen
Wenn mehrere Rollen auf dem Server ausgeführt werden, wird empfohlen, anhand der Informationen in diesem Handbuch und anderen Handbüchern für die Migration von Rollen ein benutzerdefiniertes Migrationsverfahren für die Serverumgebung zu entwickeln.
Unterstützte Migrationsszenarien
In diesem Handbuch werden die Schritte zum Migrieren eines vorhandenen Servers zu einem Server unter Windows Server 2012 beschrieben.
Warnung
Dieses Handbuch enthält keine Anweisungen für die Migration eines Quellservers, der mehrere Rollen ausführt. Wenn auf dem Quellserver mehrere Rollen ausgeführt werden, können einige Migrationsschritte in diesem Handbuch, z. B. die Schritte zum Migrieren von Benutzerkonten und Netzwerkschnittstellennamen, zu Fehlern in anderen auf dem Quellserver ausgeführten Rollen führen.
Unterstützte Betriebssysteme
Dieses Handbuch enthält Anweisungen zum Migrieren von Daten und Einstellungen von einem vorhandenen Server, der wie in der folgenden Tabelle beschrieben durch einen neuen physischen oder virtuellen 64-Bit-Server mit einem neu installierten Betriebssystem ersetzt wird.
Prozessor des Quellservers |
Betriebssystem des Quellservers |
Betriebssystem des Zielservers |
Prozessor des Zielservers |
---|---|---|---|
x86- oder x64-basiert |
Windows Server 2003 mit Service Pack 2 |
Windows Server 2012 |
x64-basiert |
x86- oder x64-basiert |
Windows Server 2003 R2 |
Windows Server 2012 |
x64-basiert |
x86- oder x64-basiert |
Windows Server 2008, nur Option für vollständige Installation |
Windows Server 2012 |
x64-basiert |
x64-basiert |
Windows Server 2008 R2, nur Option für vollständige Installation |
Windows Server 2012 |
x64-basiert |
x64-basiert |
Windows Server 2012 |
Windows Server 2012 |
x64-basiert |
Die in der obigen Tabelle aufgeführten Betriebssystemversionen sind die ältesten unterstützten Kombinationen von Betriebssystemen und Service Packs. Neuere Service Packs werden unterstützt.
Migrationen, bei denen DirectAccess auf dem Zielserver bereits konfiguriert ist, werden nicht unterstützt.
Die Foundation-, Standard-, Enterprise- und Datacenter-Editionen des Windows Server-Betriebssystems werden als Quell- oder als Zielserver unterstützt. Dies beinhaltet auch editionsübergreifende Migrationen. Sie können z. B. von einem Server unter Windows Server 2003 Standard zu einem Server unter Windows Server 2012 migrieren.
Migrationen zwischen physischen und virtuellen Betriebssystemen werden unterstützt.
Eine Migration von einem Quellserver auf einen Zielserver, auf dem ein Betriebssystem mit einer anderen Benutzeroberflächensprache des Systems (d. h. einer anderen installierten Sprache) als der des Quellservers ausgeführt wird, wird nicht unterstützt. Sie können mit Windows Server-Migrationstools z. B. keine Rollen, Betriebssystemeinstellungen, Daten oder freigegebenen Ressourcen von einem Computer unter Windows Server 2008 R2 mit französischer Benutzeroberflächensprache des Systems zu einem Computer unter Windows Server 2012 mit deutscher Benutzeroberflächensprache migrieren.
Hinweis
Bei der Benutzeroberflächensprache des Systems handelt es sich um die Sprache des lokalisierten Installationspakets, das zum Einrichten des Windows-Betriebssystems verwendet wurde.
Für Windows Server 2003 und Windows Server 2008 werden sowohl x86- als auch x64-basierte Migrationen unterstützt. Alle Editionen von Windows Server 2008 R2 und Windows Server 2012 sind x64-basiert.
Unterstützte Rollenkonfigurationen
Die folgende Liste enthält die Migrationsszenarien, die für RAS unterstützt werden. Alle Einstellungen in diesen Szenarien werden migriert.
DirectAccess (nur bei der Migration von Windows Server 2012 zu Windows Server 2012 unterstützt)
VPN-Server
DFÜ-Server
Netzwerkadressübersetzung (NAT)
Routing, mit den folgenden optionalen Komponenten:
DHCP-Relay-Agent
Routing Information-Protokoll (RIP)
Internet Group Management-Protokoll (IGMP)
Zusätzlich zu den oben genannten Szenarien werden bei der Migration auch automatische Anpassungen der Konfiguration des Zielservers vorgenommen, um nicht mehr unterstützte Features sowie Features, die in Windows Server 2012 neu sind und in früheren Versionen von Windows nicht verfügbar waren, zu unterstützen.
Migrationsabhängigkeiten
Wenn ein zur Authentifizierung, Kontoführung oder Richtlinienverwaltung verwendeter lokaler NPS-Server oder NPS-Remoteserver migriert werden muss, migrieren Sie den NPS-Dienst vor dem Migrieren von RAS. Weitere Informationen finden Sie unter Migrieren des Netzwerkrichtlinienservers zu Windows Server 2012.
Stellen Sie bei einem Upgrade von Windows 2008 R2 DirectAccess auf Windows Server 2012 sicher, dass alle DirectAccess-Konfigurationseinstellungen auf dem Windows 2008 R2-Server angewendet wurden. Einstellungen können über die Konsole zwar gespeichert, aber nicht angewendet werden. Überprüfen Sie vor dem Upgrade, ob die gespeicherten Einstellungen auch angewendet wurden.
Migrationskomponenten, die nicht unter allen Betriebssystemversionen unterstützt werden
Die folgenden Remotezugriffskomponenten werden nicht von allen Betriebssystemen unterstützt:
Komponente |
UI-Dialogfeld/Einstellungen |
Aktion |
Neue Komponenten, die nicht unter Windows Server 2003, Windows Server 2008 und Windows Server 2008 R2 verfügbar sind |
||
Angeben des Adapters zum Beziehen von DNS/WINS-Adressen |
RAS-Eigenschaften – Registerkarte "IPv4" Adapter |
Diese Komponente wird unter Windows Server 2003 nicht unterstützt. Für diese Einstellung sollte auf dem Zielcomputer der Standardwert verwendet werden. |
SSTP |
SSTP-Ports |
SSTP wird unter Windows Server 2003 nicht unterstützt. SSTP-Ports sollten auf dem Zielcomputer aktiviert sein. Die Anzahl hängt vom Standardwert für die SKU auf dem Zielcomputer ab. |
IPv6 |
|
|
IP-Filter unter RAS-Protokollierung und -Richtlinien |
RAS-Protokollierung und -Richtlinien – IP-Filter |
In Windows Server 2003 und Windows Server 2008 ist keine Option zum Erstellen von IP-Filtern unter "RAS-Protokollierung und -Richtlinien" verfügbar. Daher müssen keine Filter migriert werden. |
Automatisches Beziehen von IPv6-Adressen |
Eigenschaften von Wählen bei Bedarf (VPN/PPPoE) – Registerkarte "Netzwerk" – IPv6-Eigenschaften – Optionsfeld "IP-Adressen automatisch beziehen" |
Diese Einstellung ist in Windows Server 2008 nicht vorhanden. Diese Einstellung sollte auf dem Zielcomputer auf den Standardwert festgelegt werden. |
IKEv2 |
|
|
SSTP-Zertifikatauswahl Auswahl |
RAS-Eigenschaften – Registerkarte "Sicherheit" Kontrollkästchen "HTTP verwenden", Dropdownliste zur Zertifikatauswahl, Einstellungen für Kryptografiebindung |
Diese Komponente wird unter Windows Server 2003 und Windows Server 2008 nicht unterstützt. Für all diese Einstellungen sollten auf dem Zielcomputer die Standardwerte verwendet werden. |
VPN-Kontoführung |
RAS-Protokollierung und -Richtlinien – Ressourcenerfassung: Einstellungen für "Aktion bei Protokollierungsfehlern" unter "SQL Server-Protokollierungseigenschaften" und "Protokolldateieigenschaften" |
Unter Windows Server 2008 waren diese Einstellungen nicht vorhanden. Auf dem Zielcomputer sollte der Standardwert verwendet werden. |
Veraltete Features: Nicht verfügbar unter Windows Server 2008, Windows Server 2008 R2 und Windows Server 2012 |
||
SPAP-, MS-CHAP-, EAP-MD5-Protokolle und verwandte Einstellungen |
VPN/PPPoE-Schnittstelle für Wählen bei Bedarf – Registerkarte "Sicherheit" |
Die Einstellungen "SPAP", "EAP-MD5" und "MS-CHAP" werden unter Windows Server 2008 R2 oder Windows Server 2012 nicht unterstützt und nicht migriert. |
Schnittstellenkonfiguration für LAN-Verbindung unter "Routing" |
Routing – Allgemein – Eigenschaften von LAN-Verbindung – Registerkarte "Konfiguration" |
Mit den Einstellungen auf dieser Registerkarte kann konfiguriert werden, wie eine IP-Adresse für diese Schnittstelle bezogen werden soll. Diese Einstellung ist nur unter Windows Server 2003 verfügbar und wird nicht migriert. |
RAS-Firewall (integriert in NAT) |
|
Unter Windows Server 2003 unterstützte RAS-Firewallfunktionen, die in Windows Server 2008 entfernt wurden. Diese Einstellungen werden nicht migriert. |
Einstellungen für unsichere Verschlüsselung |
Die unsichere Verschlüsselung wird unter Windows Server 2003 unterstützt, kann aber unter Windows Server 2008 und Windows Server 2008 R2 nur über die Registrierung aktiviert werden. Bei der Migration von Windows Server 2003 werden die Registrierungseinstellungen nicht automatisch erstellt. Falls diese Registrierungseinstellungen für Windows Server 2008 und neuere Versionen bereits vorhanden sind, werden sie migriert. |
Migrationskomponenten, die nicht automatisch migriert werden
Die folgenden RAS-Elemente und -Einstellungen werden nicht von den in den Windows Server-Migrationstools enthaltenen Windows PowerShell-Cmdlets migriert. Stattdessen müssen Sie das Element oder die Einstellung wie unter Ausführen der erforderlichen manuellen Migrationsschritte in diesem Handbuch beschrieben manuell auf dem neuen RRAS-Server konfigurieren.
Wichtig
Führen Sie die manuelle Konfiguration dieser Elemente erst aus, wenn Sie später in diesem Handbuch dazu aufgefordert werden.
SSL-Zertifikatbindungen. Die Einstellungen für die SSL-Zertifikatbindung und Kryptografiebindung für SSTP werden wie folgt migriert:
Der Migrations-Assistent sucht nach einem Quellzertifikat auf dem Zielcomputer. Wird ein Zertifikat gefunden, verwendet SSTP dieses Zertifikat.
Wenn kein Quellzertifikat gefunden wird, sucht der Migrations-Assistent nach einem gültigen Zertifikat mit derselben vertrauenswürdigen Quelle wie das Quellzertifikat.
Wird kein Zertifikat gefunden, wird auf dem Zielcomputer die SSTP-Standardkonfiguration verwendet.
Falls selbstsignierte Zertifikat verwendet werden (gültig für Windows Server 2012), werden sie automatisch auf dem Zielcomputer erstellt.
Benutzerkonten auf dem lokalen RRAS-Server. Wenn Sie domänenbasierte Benutzer- und Gruppenkonten verwenden und der alte und der neue RRAS-Server der gleichen Domäne angehören, ist keine Migration der Konten erforderlich. Lokale Benutzerkonten können verwendet werden, wenn die Windows-Authentifizierung auf dem RRAS-Quellserver konfiguriert ist.
Nur Routing/VPN/DirectAccess, wenn alle Dienste installiert sind. Wenn Ihre RAS-Konfiguration alle der verfügbaren Dienste beinhaltet, müssen alle Dienste zusammen migriert werden. Es ist nicht möglich, nur einen der Dienste zum Zielserver zu migrieren.
Ein lokaler Server oder Remoteserver mit dem Netzwerkrichtlinienserver (NPS), der die Authentifizierung, Kontoführung und Richtlinienverwaltung bereitstellt. Dieses Handbuch enthält keine Anweisungen zum Migrieren eines Servers, auf dem der NPS-Dienst ausgeführt wird. Um einen Server zu migrieren, auf dem NPS ausgeführt wird, verwenden Sie Migrieren des Netzwerkrichtlinienservers zu Windows Server 2012. Die NPS-Migration muss entsprechend den Anweisungen in diesem Handbuch an späterer Stelle ausgeführt werden.
Hinweis
Wenn Sie keinen Server mit der NPS-Rolle verwenden, werden die beim Konfigurieren von RRAS automatisch erstellten standardmäßigen Remotezugriffsrichtlinien und Kontoführungseinstellungen nicht migriert.
DFÜ-basierte bei Bedarf herzustellende Wählverbindungen. Auf dem Zielserver werden möglicherweise andere Modems verwendet, und viele Einstellungen für das Wählen bei Bedarf gelten speziell für das ausgewählte Modem oder ISDN-Gerät.
Zertifikate zum Authentifizieren von IKEv2-, SSTP- und L2TP/IPsec-Verbindungen.
SSL-Zertifikatbindung für SSTP, wenn das Kontrollkästchen HTTP verwenden nicht aktiviert ist.
IKEv2-VPN-Verbindungen mit IPv6-Netzwerkadaptern. IKEv2 wird nur auf RRAS-Servern unter Windows Server 2008 R2 unterstützt. In der RRAS-Microsoft Management Console (MMC) in Windows Server 2008 R2 können Sie die Netzwerkschnittstelle angeben, die zum Abrufen von IPv6-DHCP- und DNS-Adressen für IKEv2-VPN-Clients verwendet wird. Wenn Sie RRAS von Windows Server 2008 R2 zu einem anderen Server unter Windows Server 2008 R2 migrieren, wird die Einstellung migriert. Wenn Sie jedoch von einer früheren Windows-Version migrieren, ist keine zu migrierende Einstellung vorhanden, und der Standardwert von RAS die Kartenauswahl gestatten wird verwendet.
Unsichere Verschlüsselung. In Windows Server 2003 ist die unsichere Verschlüsselung aktiviert, in höheren Windows-Versionen ist sie jedoch standardmäßig deaktiviert. Die unsichere Verschlüsselung kann nur durch eine Änderung der Registrierung aktiviert werden. Während der Migration von Windows Server 2003 werden die erforderlichen Registrierungseinstellungen nicht auf dem neuen Server erstellt. Sie müssen daher manuell konfiguriert werden. Bei höheren Versionen von Windows werden diese Registrierungseinstellungen migriert, wenn sie vorhanden sind.
Verwaltungs-DLLs und Sicherheits-DLLs und die entsprechenden Registrierungsschlüssel. Diese DLLs sind in 32-Bit- und 64-Bit-Versionen verfügbar und funktionieren bei Migrationen von 32-Bit zu 64-Bit nicht.
Benutzerdefinierte DLLs für eine bei Bedarf herzustellende Wählverbindung. Diese DLLs sind in 32-Bit- und 64-Bit-Versionen verfügbar und funktionieren bei Migrationen von 32-Bit zu 64-Bit nicht. Die entsprechenden Registrierungseinstellungen werden ebenfalls nicht migriert.
Verbindungs-Manager-Profile. Das Verbindungs-Manager-Verwaltungskit wird verwendet, um VPN- und DFÜ-Remotezugriffsprofile zu erstellen. Erstellte Profile werden in bestimmten Ordnern auf dem RRAS-Server gespeichert. Auf einer 32-Bit-Version von Windows erstellte Profile funktionieren nicht auf Computern mit einer 64-Bit-Version von Windows und umgekehrt. Weitere Informationen zu Verbindungsprofilen finden Sie im Thema zum Verbindungs-Manager-Verwaltungskit (https://go.microsoft.com/fwlink/?linkid=55986).
Die Einstellung für Gruppenweiterleitungsfragmente für NAT. Diese Einstellung ist aktiviert, wenn der RRAS-Server hinter einem NAT-Router bereitgestellt wird, der unter dem Windows-Betriebssystem ausgeführt wird. Dies ist für L2TP/IPSec-Verbindungen erforderlich, für deren erfolgreiche Ausführung die Computerzertifikatauthentifizierung verwendet wird. Es wird empfohlen, diesen Wert zu aktivieren, um ein bekanntes Problem in RRAS zu umgehen.
Die Einstellung Zusätzliche Routing- und RAS-Informationen protokollieren (für Debugzwecke) im Dialogfeld Eigenschaften von Routing und RAS auf der Registerkarte Protokollierung.
Übersicht über den Migrationsvorgang für den Routing- und RAS-Dienst
Die Vorbereitung der Migration umfasst das manuelle Sammeln von Daten und anschließende Ausführen von Verfahren auf den Ziel- und Quellservern. Der Migrationsvorgang umfasst Verfahren auf den Quell- und Zielservern, bei denen mit den Export- und Import-Cmdlets automatisch Serverrolleneinstellungen gesammelt, gespeichert und migriert werden. In den nach der Migration auszuführenden Verfahren wird überprüft, ob der Quellserver erfolgreich durch den Zielserver ersetzt wurde, und anschließend wird der Quellserver zurückgezogen oder einem anderen Verwendungszweck zugewiesen. Wenn das Überprüfungsverfahren ergibt, dass die Migration fehlgeschlagen ist, beginnt die Problembehandlung. Falls die Problembehandlung fehlschlägt, können Sie anhand der Anweisungen zum Zurücksetzen den ursprünglichen Quellserver im Netzwerk wiederherstellen.
Auswirkungen der Migration
Während der Migration ist der RAS-Server nicht verfügbar, um eingehende Verbindungen anzunehmen oder Datenverkehr weiterzuleiten.
Neue Remoteclients können über DirectAccess, DFÜ- oder VPN-Verbindungen keine Verbindung mit dem Server herstellen. Vorhandene Verbindungen auf dem Server werden getrennt. Wenn Sie mehrere RAS-Server verwenden, führt die Nichtverfügbarkeit dieses Servers zu einer Verringerung der Kapazität, bis der neue Server wieder funktionsfähig ist. Für bei Bedarf herzustellende Wählverbindungen müssen Sie eine alternative Verbindung zwischen Zweigstellen bereitstellen oder die Verbindungen neu konfigurieren, sodass sie auf einen alternativen Server zeigen.
Routing- und NAT-Funktionen sind nicht verfügbar. Wenn die Funktion während der Migration benötigt wird, kann ein alternativer Router bereitgestellt werden, bis der neue Zielserver verfügbar ist.
Auswirkungen nach der Migration:
Wenn Sie vorhaben, den Namen des Quellservers für den Zielserver wiederzuverwenden, kann der Name auf dem Zielserver konfiguriert werden, nachdem der Quellserver vom Netzwerk getrennt wurde. Andernfalls entsteht einen Namenskonflikt, der sich auf die Verfügbarkeit auswirken kann. Wenn Sie vorhaben, beide Server auszuführen, muss dem Zielserver ein eindeutiger Name zugewiesen werden.
Ein VPN-Server kann direkt mit dem Internet verbunden oder in einem Umkreisnetzwerk hinter einer Firewall oder einem NAT-Router platziert werden. Wenn sich die IP-Adresse oder der DNS-Name des Zielservers während oder nach der Migration ändert, müssen die Zuordnungen in der Firewall oder im NAT-Gerät neu konfiguriert werden, damit sie auf die richtige Adresse bzw. den richtigen Namen zeigen. Alle Intranet- oder Internet-DNS-Server müssen ebenfalls mit dem neuen Namen und der IP-Adresse aktualisiert werden. Stellen Sie die Informationen zu allen Servernamen- oder IP-Adressänderungen auch für die Benutzer bereit, damit sie eine Verbindung mit dem richtigen Server herstellen können. Wenn Sie mit dem Verbindungs-Manager-Verwaltungskit erstellte Verbindungsprofile verwenden, stellen Sie ein neues Profil mit den aktualisierten Serveradressinformationen bereit.
Hinweis
Für DirectAccess müssen der Quell- und Zielcomputer die gleichen IP-Adressen und Schnittstellennamen haben.
Es wird empfohlen, das voraussichtliche Datum und die Uhrzeit der Migration anzukündigen, damit Benutzer entsprechend planen und bei Bedarf Vorkehrungen treffen können.
Erforderliche Berechtigungen zum Durchführen der Migration
Die folgenden Berechtigungen sind auf dem RAS-Quellserver und -Zielserver erforderlich:
Zum Hinzufügen des neuen Servers zur Domäne sind Domänenbenutzerrechte erforderlich.
Zum Installieren und Verwalten der Remotezugriffsrolle sind lokale Administratorrechte erforderlich.
Für DirectAccess-GPOs sind den auf dem Quellcomputer konfigurierten Berechtigungen entsprechende Administratorberechtigungen erforderlich.
Für den Speicherort des Migrationsspeichers sind Schreibberechtigungen erforderlich. Weitere Informationen finden Sie unter Remotezugriff: Vorbereiten der Migration in dieser Anleitung.
Geschätzte Dauer
Die Migration kann einschließlich der Tests zwei bis drei Stunden in Anspruch nehmen.
Siehe auch
Remotezugriff: Vorbereiten der Migration
Remotezugriff: Migrieren des Remotezugriffs
Remotezugriff: Überprüfen der Migration
Remotezugriff: Aufgaben nach der Migration