Migrieren der Integritätsregistrierungsstelle zu Windows Server "8" Beta
Gilt für: Windows Server 2012
Dieses Dokument stellt einen Leitfaden für die Migration des Integritätsregistrierungsstellen-Rollendienstes (Health Registration Authority, HRA) von einem x86- oder x64-basierten Server unter Windows Server® 2008, Windows Server® 2008 R2 oder Windows Server® 2012 zu einem neuen Server unter Windows Server 2012 bereit.
Informationen zum Handbuch
Hinweis
Ihr detailliertes Feedback ist sehr wichtig und hilft uns, Windows Server-Migrationshandbücher so zuverlässig, vollständig und einfach wie möglich zu machen. Nehmen Sie sich bitte einen Moment Zeit, um dieses Thema zu bewerten, indem Sie auf die Sterne in der rechten oberen Ecke der Seite klicken (1 = schlecht, 5 = hervorragend), und fügen Sie dann Kommentare zu Ihrer Bewertung hinzu. Beschreiben Sie, was Ihnen gefallen hat und was nicht oder welche Informationen Sie sich in zukünftigen Versionen des Themas wünschen. Über das Windows Server-Migrationsforum können Sie zusätzliche Vorschläge für die Verbesserung von Migrationshandbüchern oder Hilfsprogrammen einreichen.
In diesem Handbuch werden die Schritte zum Migrieren vorhandener HRA-Servereinstellungen zu einem Server unter Windows Server 2012 beschrieben. Mithilfe dieser Dokumentation können Sie die Migration vereinfachen, Serverdowntime reduzieren oder ausschließen und mögliche Konflikte verhindern, die andernfalls während der HRA-Migration auftreten können.
Zielgruppe
Dieses Handbuch richtet sich an IT-Administratoren, IT-Professionals und andere Büroanwender, die für den Betrieb und die Bereitstellung von HRA-Servern in einer verwalteten Umgebung zuständig sind.
Nicht in diesem Handbuch enthaltene Informationen
Dieses Handbuch enthält keine detaillierten Anweisungen zum Migrieren der Konfiguration anderer mit dem Netzwerkzugriffsschutz (Network Access Protection, NAP) verwendeter Dienste wie z. B. Netzwerkrichtlinienserver (Network Policy Server, NPS) oder Active Directory-Zertifikatdienste (Active Directory Certificate Services, AD CS). Diese Verfahren werden im Migrieren des Netzwerkrichtlinienservers zu Windows Server 2012 und im Handbuch für die Migration der Active Directory-Zertifikatdienste (https://go.microsoft.com/fwlink/p/?LinkID=156771) beschrieben. Anweisungen, bestimmte Verfahren in diesen anderen Handbüchern auszuführen, werden bereitgestellt, wenn dies für die Migration des HRA-Servers erforderlich ist.
Unterstützte Migrationsszenarios
Dieses Handbuch enthält Anweisungen für die Migration eines vorhandenen Servers, auf dem der HRA-Rollendienst ausgeführt wird, zu einem Server unter Windows Server 2012. Dies beinhaltet Anweisungen für die Installation der erforderlichen IIS-Serverrolle und des NPS-Rollendienstes. Wenn auf dem Server weitere Dienste ausgeführt werden, wird empfohlen, anhand der Informationen in anderen Handbüchern für die Migration von Rollen ein benutzerdefiniertes Migrationsverfahren für die Serverumgebung zu entwerfen. Migrationshandbücher für weitere Rollen sind im Windows Server 2008 R2 TechCenter (https://go.microsoft.com/fwlink/p/?LinkID=128554) verfügbar.
Warnung
Wenn der Quellserver neben HRA andere Rollen und Dienste bereitstellt, kann die Migration des Computernamens und der IP-Konfiguration zu Fehlern in diesen Diensten führen. Überprüfen Sie die Auswirkungen dieser Verfahren, bevor Sie sie während der HRA-Migration ausführen.
Unterstützte Betriebssysteme
Die folgende Tabelle enthält die Mindestanforderungen bezüglich des Betriebssystems.
Prozessor des Quellservers |
Betriebssystem des Quellservers |
Betriebssystem des Zielservers |
Prozessor des Zielservers |
|---|---|---|---|
x86- oder x64-basiert |
Windows Server 2008 |
Windows Server 2012 |
x64-basiert |
x64-basiert |
Windows Server 2008 R2 |
Windows Server 2012 |
x64-basiert |
x64-basiert |
Windows Server 2012 |
Windows Server 2012 |
x64-basiert |
Die NPS- und HRA-Rollendienste sind in Server Core-Editionen nicht verfügbar. Die Foundation, Standard, Enterprise und Datacenter Editionen von Windows Server werden entweder als Quell- oder als Zielserver unterstützt. Wenn Sie AD CS auf dem Quellserver als Unternehmenszertifizierungsstelle konfiguriert haben, muss auf dem Zertifizierungsstellen-Zielserver jedoch die Enterprise oder Datacenter Edition von Windows Server 2012 ausgeführt werden.
Migrationen von einem Quellserver zu einem Zielserver, auf dem ein Betriebssystem mit einer anderen installierten Sprache ausgeführt wird, werden nicht unterstützt. So wird beispielsweise die Migration von Serverrollen von einem Computer unter Windows Server 2008 mit der Systemsprache Französisch zu einem Computer unter Windows Server 2012 mit der Systemsprache Deutsch nicht unterstützt. Bei der Systemsprache handelt es sich um die Sprache des lokalisierten Installationspakets, das zum Einrichten des Windows-Betriebssystems verwendet wurde.
Für Windows Server 2008 und werden sowohl x86- als auch x64-basierte Migrationen unterstützt. Alle Editionen von Windows Server 2008 R2 und Windows Server 2012 sind x64-basiert.
Unterstützte Rollenkonfigurationen
Dieses Handbuch stellt Verfahren für die Migration aller HRA-Servereinstellungen bereit, einschließlich benutzerdefinierter Zertifizierungsstellen- und Anforderungsrichtlinieneinstellungen. Es enthält auch Anweisungen für die Konfiguration der Mindestanforderungen für die IIS-Rolle auf dem Zielserver.
Migrieren erforderlicher Rollen
HRA ist ein Rollendienst unter der Serverrolle "Netzwerkrichtlinien- und Zugriffsdienste" (Network Policy and Access Services, NPAS). Zum Installieren von HRA müssen auch NPS und IIS auf dem gleichen Computer installiert werden. Wenn diese Dienste noch nicht installiert sind, werden sie beim Installieren von HRA automatisch vom Assistenten zum Hinzufügen von Rollen und Features hinzugefügt.
HRA erfordert außerdem eine Verbindung mit mindestens einem Server mit AD CS, der für die Bereitstellung von NAP-Integritätszertifikaten konfiguriert ist. AD CS kann auf dem gleichen Computer wie HRA oder auf einem anderen Computer installiert werden. Falls HRA-Server in der Organisation so konfiguriert sind, dass sie AD CS auf dem Quellserver für die Integritätszertifikatsanforderungen verwenden, müssen Sie AD CS auf dem HRA-Zielserver installieren und für die Bereitstellung von Integritätszertifikaten konfigurieren oder die Zertifizierungsstellenkonfiguration der HRA-Server ändern.
Berücksichtigen Sie die folgenden Informationen zu erforderlichen Rollen und Diensten auf dem HRA-Zielserver.
NPS. Der NPS-Rollendienst muss migriert werden, bevor Sie die Funktionalität von HRA auf dem Zielserver testen und überprüfen können. Für Szenarios, in denen NPS auf dem Quellserver nur mit HRA verwendet wird (als eigenständiger NAP-IPsec-Integritätsrichtlinienserver oder RADIUS-Proxy für einen anderen Integritätsrichtlinienserver), enthält dieses Handbuch Verweise auf spezifische Verfahren im Migrieren des Netzwerkrichtlinienservers zu Windows Server 2012, die zum Migrieren der erforderlichen NPS-Richtlinien und -Einstellungen durchgeführt werden müssen. Wenn die NPS-Rolle auf dem Quellserver für andere Zwecke als NAP-IPsec verwendet wird oder wenn der Quellserver ein Mitglied von RADIUS-Client- oder RADIUS-Remoteservergruppen auf anderen Servern in der Organisation ist, sollten Sie vor der Migration von HRA die ausführlichen Migrationsanweisungen im Migrieren des Netzwerkrichtlinienservers zu Windows Server 2012 lesen.
AD CS. Während der Installation von HRA können Sie wählen, ob Sie AD CS auf dem gleichen Computer installieren, eine vorhandene NAP-Zertifizierungsstelle auf einem anderen Computer verwenden oder später eine Zertifizierungsstelle auswählen möchten. Sie können auch angeben, dass AD CS als Unternehmenszertifizierungsstelle oder eigenständige Zertifizierungsstelle installiert werden soll.
Warnung
Nachdem Sie AD CS auf dem HRA-Server installiert haben, kann der Name des HRA-Servers nicht mehr geändert werden.
Wenn Sie AD CS auf dem gleichen Computer wie HRA installieren, müssen Sie AD CS auf dem HRA-Zielserver für die Bereitstellung von NAP-Integritätszertifikaten konfigurieren.
Wenn AD CS als Unternehmenszertifizierungsstelle installiert wird, konfigurieren Sie die Berechtigungseinstellungen für die NAP-Zertifizierungsstelle anhand der Verfahren in diesem Handbuch. Verfahren für die Migration von Integritätszertifikatvorlagen zum Zielserver finden Sie im Handbuch für die Migration der Active Directory-Zertifikatdienste (https://go.microsoft.com/fwlink/p/?LinkID=156771).
Wenn AD CS als eigenständige Zertifizierungsstelle installiert wird, finden Sie in diesem Handbuch alle erforderlichen Verfahren für Berechtigungseinstellungen, die zum Konfigurieren einer NAP-Zertifizierungsstelle auf dem Zielserver erforderlich sind. Wenn Sie die lokale Zertifizierungsstelle zu anderen Zwecken als zum Ausstellen von NAP-Integritätszertifikaten nutzen oder eine benutzerdefinierte Konfiguration verwenden, finden Sie im Handbuch für die Migration der Active Directory-Zertifikatdienste (https://go.microsoft.com/fwlink/p/?LinkID=156771) ausführliche Anweisungen zum Migrieren der Zertifizierungsstelleneinstellungen.
Wenn Sie eine vorhandene NAP-Zertifizierungsstelle auf einem anderen Computer verwenden, müssen Sie AD CS nicht auf dem Zielserver konfigurieren.
Wenn Sie zu einem späteren Zeitpunkt eine Zertifizierungsstelle auswählen möchten, müssen Sie AD CS nicht auf dem Zielserver konfigurieren. Wenn Sie AD CS später auf dem HRA-Zielserver installieren möchten, finden Sie entsprechende Informationen im Thema zum Bereitstellen von NAP-Zertifizierungsstellen.
Wenn AD CS auf dem Quellserver auch zum Ausstellen von Zertifikaten verwendet wird, die keine Integritätszertifikate sind, finden Sie im Handbuch für die Migration der Active Directory-Zertifikatdienste (https://go.microsoft.com/fwlink/?LinkID=156771) eine Beschreibung der Verfahren zum Migrieren von AD CS.
IIS. Wenn die erforderliche IIS-Serverrolle zu anderen Zwecken als für die HRA verwendet oder mit angepassten Einstellungen ausgeführt wird, die über das Hinzufügen eines SSL-Zertifikats hinausgehen, folgen Sie vor dem Migrieren von HRA den entsprechenden Verfahren im Handbuch für die Migration der Internetinformationsdienste. Wenn die IIS-Serverrolle nur mit HRA verwendet wird, verwenden Sie die Verfahren in diesem Handbuch zum Migrieren von IIS.
Wichtig
Die maximale Anzahl gleichzeitiger Verbindungen muss in den standardmäßigen IIS-Verbindungseinstellungen erhöht werden, um die HRA-Leistung aufrechtzuerhalten. Anweisungen zum Ausführen dieses Verfahrens finden Sie im Abschnitt zum Konfigurieren von IIS-Verbindungseinstellungen im Thema zum Konfigurieren eines HRA-Servers für NAP.
Nicht behandelte Migrationsszenarios
Die folgenden Migrationsszenarios werden in diesem Dokument nicht behandelt:
Upgrade. Dieses Dokument enthält keine Anweisungen für Szenarios, in denen das neue Betriebssystem beim Setup mit der Option Upgrade auf vorhandener Serverhardware installiert wird.
Arbeitsgruppe. Dieses Dokument enthält keine Anweisungen für die Migration von HRA-Einstellungen zu oder von einem Server, der nicht Mitglied einer Domäne ist.
Übersicht über den Migrationsvorgang für diese Rolle
Die HRA-Servermigration ist in die folgenden Hauptabschnitte unterteilt:
Die vor der Migration durchzuführenden Aufgaben umfassen das Einrichten eines Speicherorts für Migrationsdaten, das Sammeln von Informationen für die Durchführung der Servermigration und das Installieren des Betriebssystems auf dem Zielserver. Der HRA-Migrationsvorgang beinhaltet das Abrufen der erforderlichen HRA-Einstellungen mithilfe Befehlszeilen-Hilfsprogramms Network Shell (netsh) auf dem Quellserver und die die Durchführung von Verfahren auf dem Zielserver, um die erforderlichen Rollen zu installieren und die HRA-Einstellungen zu migrieren. In den Überprüfungsverfahren wird durch Tests sichergestellt, dass der Zielserver einwandfrei funktioniert. Zu den nach der Migration durchzuführenden Verfahren zählen das Deaktivieren des Quellservers oder Festlegen eines neuen Verwendungszwecks für den Quellserver.
Auswirkungen der Migration
Wenn der Migrationsplan vorsieht, dass der Zielserver mit einem vom Quellserver abweichenden Hostnamen konfiguriert wird, müssen die Einstellungen für die vertrauenswürdige Servergruppe auf NAP-Clientcomputern, die den HRA-Quellserver verwenden, so aktualisiert werden, dass der HRA-Zielserver verwendet wird. Diese Methode bietet den Vorteil, dass die HRA-Quell- und -Zielserver gleichzeitig ausgeführt werden können, bis die Tests und Überprüfungen abgeschlossen wurden.
Wenn der Migrationsplan vorsieht, dass der Zielserver mit dem gleichen Namen wie der Quellserver konfiguriert wird, muss der Quellserver außer Betrieb gesetzt und offline geschaltet werden, bevor der Zielserver mit demselben Hostnamen zur gleichen Domäne hinzugefügt wird. In diesem Szenario müssen NAP-Clientcomputer zusätzlich zu den Quell- und Zielservern Zugriff auf einen sekundären HRA-Server haben, um Downtime zu vermeiden. Verwenden Sie auf dem Quell- und Zielserver die gleiche IP-Adresskonfiguration, um kurzfristige Probleme bei der Namensauflösung zu verhindern.
Wenn die NPS-Rolle auf dem Quellserver zu anderen Zwecken als für NAP-IPsec verwendet wird, können Clientcomputer während des Servermigrationsvorgangs möglicherweise nicht auf das Netzwerk zugreifen. Wenn der Quellserver z. B. zur VPN-Clientauthentifizierung verwendet wird, sollten Sie vor dem Migrieren von HRA die ausführlichen Migrationsanweisungen im Migrieren des Netzwerkrichtlinienservers zu Windows Server 2012 lesen.
Auswirkungen der Migration auf den Quellserver
Wenn Sie den Zielserver mit einem anderen Hostnamen bereitstellen, hat die Migration keine Auswirkungen auf den Quellserver.
Wenn Sie den Zielserver mit dem gleichen Hostnamen bereitstellen, muss der Quellserver außer Betrieb gesetzt und offline geschaltet werden, bevor der Zielserver zur Domäne hinzugefügt wird.
Auswirkungen der Migration auf andere Computer im Unternehmen
Wenn Sie den Zielserver mit einem anderen Hostnamen bereitstellen, müssen die NAP-Clienteinstellungen für alle Computer aktualisiert werden, die für die Verwendung der HRA konfiguriert sind. Bei diesem Szenario entstehen nur geringe oder keine Downtime, wenn die Verfahren in diesem Handbuch befolgt werden.
Wenn Sie den Zielserver mit dem gleichen Hostnamen bereitstellen, können Clients kurz nach dem Außerbetriebsetzen des Quellservers kein Integritätszertifikat abrufen, sofern kein sekundärer HRA-Server bereitgestellt wird.
Erforderliche Berechtigungen zum Durchführen der Migration
Die folgenden Berechtigungen sind auf dem Quellserver und dem Zielserver erforderlich:
Zum Konfigurieren und Autorisieren des HRA-Servers und zum Konfigurieren von Gruppenrichtlinieneinstellungen für NAP-Clients sind Domänenadministratorrechte erforderlich.
Zum Installieren oder Verwalten des Servers, auf dem HRA ausgeführt wird, sind lokale Administratorrechte erforderlich.
Geschätzte Dauer
Die Migration kann einschließlich der Tests zwei bis drei Stunden in Anspruch nehmen.
Siehe auch
HRA-Servermigration: Vorbereiten der Migrations
HRA-Servermigration: Migrieren des HRA-Servers
HRA-Servermigration: Überprüfen der Migration
HRA-Servermigration: Aufgaben nach der Migration
Entwurfshandbuch zum Netzwerkzugriffsschutz
Bereitstellungshandbuch zum Netzwerkzugriffsschutz