Exporter (0) Imprimer
Développer tout

Guide de migration du HRA

Publication: novembre 2009

Mis à jour: novembre 2009

S'applique à: Windows Server 2008, Windows Server 2008 R2

Ce document fournit des conseils sur la migration du service de rôle Autorité HRA (Health Registration Authority) à partir d'un serveur x86 ou x64 exécutant Windows Server® 2008 ou Windows Server® 2008 R2 vers un nouveau serveur Windows Server 2008 R2.

À propos de ce guide

noteRemarque
Les commentaires détaillés que vous pouvez nous faire parvenir sont très importants et nous aident à rendre les guides de migration de Windows Server aussi fiables, complets et simples à utiliser que possible. Vous pouvez en quelques instants noter cette rubrique en cliquant sur les étoiles dans l'angle supérieur droit de la page (1=médiocre, 5=excellent), puis ajouter des commentaires à l'appui de votre évaluation. Décrivez ce que vous avez aimé, ce que vous n'avez pas aimé ou ce que vous souhaitez trouver dans les versions ultérieures de cette rubrique. Pour nous envoyer d'autres suggestions sur l'amélioration des guides ou utilitaires de migration, publiez vos commentaires sur le forum de migration de Windows Server (page éventuellement en anglais).

Ce guide décrit les étapes de migration des paramètres de serveurs HRA existants vers un serveur exécutant Windows Server 2008 R2. En utilisant cette documentation, vous pouvez simplifier la migration, réduire ou éliminer les temps morts du serveur, et contribuer à supprimer les conflits susceptibles de se produire pendant la migration de serveurs HRA.

Public visé

Ce guide s'adresse aux administrateurs informatiques, professionnels de l'informatique et autres travailleurs du savoir chargés de l'exploitation et du déploiement des serveurs HRA dans un environnement géré.

Ce que ce guide ne contient pas

Ce guide ne fournit pas d'étapes détaillées sur la migration de la configuration d'autres services utilisés avec la protection d'accès réseau (NAP), par exemple le serveur NPS (Network Policy Server) ou les services de certificats Active Directory (AD CS). Ces procédures se trouvent dans le Guide de migration du serveur NPS (Network Policy Server) et le Guide de migration des services de certificats Active Directory (http://go.microsoft.com/fwlink/?LinkID=156771). Les instructions d'exécution des procédures spécifiques incluses dans les autres guides sont fournies en fonction des besoins, pour vous permettre de mener à bien la migration du serveur HRA.

Scénarios de migration pris en charge

Ce guide vous fournit des instructions sur la migration d'un serveur existant qui exécute le service de rôle HRA vers un serveur qui exécute Windows Server 2008 R2. Cela inclut les conseils d'installation du rôle serveur IIS et du service de rôle NPS, qui sont requis au préalable. Si votre serveur exécute des services supplémentaires, il est recommandé de concevoir une procédure de migration personnalisée spécifique à votre environnement de serveur, en fonction des informations fournies dans les autres guides de migration des rôles. Des guides de migration concernant des rôles supplémentaires sont disponibles sur le TechCenter de Windows Server 2008 R2 (http://go.microsoft.com/fwlink/?LinkID=128554).

CautionAttention
Si votre serveur source fournit d'autres rôles et services en plus du service de rôle HRA (Health Registration Authority), la migration du nom d'ordinateur et de la configuration IP peut provoquer l'échec de ces services. Vous devez vérifier l'impact de ces procédures avant de les exécuter au cours de la migration de serveurs HRA.

Systèmes d'exploitation pris en charge

Le tableau suivant montre les configurations minimales requises en matière de systèmes d'exploitation.

 

Processeur du serveur source Système d'exploitation du serveur source Système d'exploitation du serveur de destination Processeur du serveur de destination

x86 ou x64

Windows Server 2008

Windows Server 2008 R2

x64

x64

Windows Server 2008 R2

Windows Server 2008 R2

x64

  • Les services de rôles NPS et HRA ne sont pas disponibles dans les éditions Server Core. Les éditions Foundation, Standard, Enterprise et Datacenter de Windows Server sont prises en charge en tant que serveurs source ou de destination. Toutefois, si vous avez configuré les services AD CS sur le serveur source en tant qu'autorité de certification d'entreprise, le serveur d'autorité de certification de destination doit exécuter les éditions Enterprise ou Datacenter de Windows Server 2008 R2.

  • La migration depuis un serveur source vers un serveur de destination qui exécute un système d'exploitation dans une autre langue n'est pas prise en charge. Par exemple, la migration des rôles serveur d'un ordinateur qui exécute Windows Server 2008 et utilise le français comme langue système vers un ordinateur qui exécute Windows Server 2008 R2 et utilise l'allemand comme langue système n'est pas prise en charge. La langue système est la langue du package d'installation localisé qui a été utilisé pour installer le système d'exploitation Windows.

  • Les migrations de systèmes x86 et x64 sont toutes prises en charge pour Windows Server 2008. Toutes les éditions de Windows Server 2008 R2 sont des éditions x64.

Configurations de rôles prises en charge

Ce guide fournit des procédures pour migrer tous les paramètres de serveurs HRA, notamment les paramètres personnalisés d'autorité de certification et de stratégie de demande. Ce guide fournit également des instructions pour la configuration des exigences minimales requises en matière de rôles IIS sur le serveur de destination.

Migration des rôles prérequis

Le service de rôle HRA est situé sous le rôle serveur Services de stratégie et d'accès réseau. Pour installer l'autorité HRA, vous devez également installer le serveur NPS et IIS sur le même ordinateur. Si ces services ne sont pas déjà installés, ils sont ajoutés automatiquement par l'Assistant Ajout de rôles lorsque vous choisissez d'installer l'autorité HRA.

L'autorité HRA requiert également une connexion à un ou plusieurs serveurs exécutant des services AD CS configurés pour fournir des certificats d'intégrité NAP. Les services AD CS peuvent être installés sur le même ordinateur que l'autorité HRA, ou sur un autre ordinateur. Si des serveurs HRA de votre organisation sont configurés pour utiliser les services AD CS du serveur source pour les demandes de certificats d'intégrité, vous devez installer les services AD CS sur le serveur HRA de destination et configurer ce dernier pour qu'il fournisse des certificats d'intégrité ; sinon, vous pouvez modifier la configuration d'autorité de certification de vos serveurs HRA.

Tenez compte des informations suivantes concernant les rôles prérequis et les services requis sur le serveur HRA de destination.

  1. NPS. Vous devez migrer le service de rôle NPS avant de pouvoir tester et vérifier les fonctionnalités de l'autorité HRA sur le serveur de destination. Si le service de rôle NPS du serveur source est utilisé uniquement avec l'autorité HRA, en tant que serveur de stratégie d'intégrité IPsec NAP autonome ou en tant que proxy RADIUS d'un autre serveur de stratégie d'intégrité, ce guide fournit des références aux procédures spécifiques du Guide de migration du serveur NPS (Network Policy Server) qui sont obligatoires pour migrer les paramètres et stratégies NPS requis. Si le rôle NPS du serveur source est utilisé à d'autres fins que pour la stratégie IPsec NAP, ou si le serveur source est membre de clients RADIUS ou de groupes de serveurs RADIUS distants sur d'autres serveurs de votre organisation, consultez le Guide de migration du serveur NPS (Network Policy Server) pour obtenir des instructions de migration détaillées avant de migrer l'autorité HRA.

  2. AD CS. Pendant l'installation de l'autorité HRA, vous pouvez choisir d'installer les services AD CS sur le même ordinateur, d'utiliser une autorité de certification NAP déjà existante sur un autre ordinateur, ou de sélectionner une autorité de certification ultérieurement. Vous pouvez également choisir d'installer les services AD CS en tant qu'autorité de certification d'entreprise ou en tant qu'autorité de certification autonome.

    WarningAvertissement
    Après avoir installé les services AD CS sur le serveur HRA, vous ne pouvez pas modifier le nom du serveur HRA.

    • Si vous installez les services AD CS sur le même ordinateur que l'autorité HRA, vous devez configurer les services AD CS sur le serveur HRA de destination afin de fournir des certificats d'intégrité NAP.

      • Si les services AD CS sont installés en tant qu'autorité de certification d'entreprise, utilisez les procédures de ce guide pour configurer les paramètres d'autorisation de l'autorité de certification NAP. Consultez le Guide de migration des services de certificats Active Directory (http://go.microsoft.com/fwlink/?LinkID=156771) pour connaître les procédures de migration des modèles de certificats d'intégrité vers le serveur de destination.

      • Si les services AD CS sont installés en tant qu'autorité de certification autonome, ce guide fournit toutes les procédures de configuration d'autorisations requises pour configurer une autorité de certification NAP sur le serveur de destination. Si vous utilisez l'autorité de certification locale à d'autres fins que pour l'émission de certificats d'intégrité NAP, ou si vous disposez d'une configuration personnalisée, consultez le Guide de migration des services de certificats Active Directory (http://go.microsoft.com/fwlink/?LinkID=156771) pour obtenir des instructions détaillées sur la migration des paramètres d'autorité de certification.

    • Si vous utilisez une autorité de certification NAP existante sur un autre ordinateur, vous n'avez pas besoin de configurer les services AD CS sur le serveur de destination.

    • Si vous décidez de sélectionner une autorité de certification ultérieurement, vous n'avez pas besoin de configurer les services AD CS sur le serveur de destination. Si vous décidez d'installer ultérieurement les services AD CS sur le serveur HRA de destination, consultez Deploying NAP Certification Authorities.

    Si les services AD CS sur le serveur source sont également utilisés pour émettre des certificats autres que des certificats d'intégrité, consultez le Guide de migration des services de certificats Active Directory (http://go.microsoft.com/fwlink/?LinkID=156771) pour connaître les procédures de migration des services AD CS.

  3. IIS. Si le rôle serveur IIS prérequis est utilisé à d'autres fins que pour l'autorité HRA, ou s'il est exécuté avec des paramètres personnalisés en plus de l'ajout d'un certificat SSL, suivez les procédures du guide de migration d'Internet Information Services avant de migrer l'autorité HRA. Si le rôle serveur IIS est utilisé uniquement avec l'autorité HRA, suivez les procédures de ce guide pour migrer les services Internet (IIS).

    ImportantImportant
    Pour maintenir les performances de l'autorité HRA, les paramètres de connexion IIS par défaut doivent être modifiés pour augmenter le nombre maximal de connexions simultanées. Pour effectuer cette procédure, consultez la section relative à la configuration des paramètres de connexion IIS dans Configurer un serveur HRA pour NAP (page éventuellement en anglais).

Scénarios de migration non couverts

Les scénarios de migration suivants ne sont pas traités dans ce document :

  • Mise à niveau. Aucune aide n'est fournie pour les scénarios où le nouveau système d'exploitation est installé sur le matériel serveur existant à l'aide de l'option Mise à niveau pendant l'installation.

  • Groupe de travail. Aucune aide n'est fournie pour la migration de paramètres HRA à destination ou en provenance d'un serveur qui n'est pas membre d'un domaine.

Vue d'ensemble du processus de migration pour ce rôle

La migration de serveur HRA est divisée en fonction des sections principales suivantes :

Le processus de prémigration implique l'établissement d'un emplacement de stockage pour les données de migration, la collecte des informations qui seront utilisées pour exécuter la migration du serveur, ainsi que l'installation du système d'exploitation sur le serveur de destination. Le processus de migration de serveur HRA inclut l'utilisation de l'utilitaire netsh (Network Shell) à partir d'une ligne de commande sur le serveur source pour obtenir les paramètres HRA obligatoires, ainsi que l'exécution de procédures sur le serveur de destination pour installer les rôles requis et migrer les paramètres HRA. Les procédures de vérification incluent le test du serveur de destination afin de garantir son bon fonctionnement. Les procédures de post-migration incluent le retrait ou la réaffectation du serveur source.

Impact de la migration

Si votre plan de migration implique la configuration du serveur de destination avec un autre nom d'hôte que celui du serveur source, les paramètres du groupe de serveurs approuvés sur les ordinateurs clients NAP qui utilisent le serveur source HRA doivent être mis à jour pour permettre l'utilisation du serveur HRA de destination. Cette approche a l'avantage de permettre aux serveurs HRA source et de destination de fonctionner simultanément jusqu'à la fin des tests et de la vérification.

Si votre plan de migration implique la configuration du serveur de destination avec un nom identique à celui du serveur source, ce dernier doit alors être désaffecté et mis hors connexion avant que le serveur de destination ne soit joint au même domaine avec le même nom d'hôte. Pour éliminer tout temps mort dans ce scénario, les ordinateurs clients NAP doivent avoir accès à un serveur HRA secondaire en plus des serveurs source et de destination. Pour éliminer les problèmes de résolution de noms à court terme, utilisez la même configuration d'adresse IP sur les serveurs source et de destination.

Si le rôle NPS du serveur source est utilisé à d'autres fins que pour la stratégie NAP IPsec, les ordinateurs clients risquent de ne pas pouvoir accéder au réseau pendant le processus de migration du serveur. Par exemple, si le serveur source est utilisé pour l'authentification des clients VPN, consultez le Guide de migration du serveur NPS (Network Policy Server) pour obtenir des instructions détaillées sur la migration avant de migrer le serveur HRA.

Impact de la migration sur le serveur source

  • Lors du déploiement du serveur de destination avec un autre nom d'hôte, il n'y a aucun impact sur le serveur source.

  • Lors du déploiement du serveur de destination avec un nom d'hôte identique, le serveur source doit être désaffecté et mis hors connexion avant que le serveur de destination ne soit joint au domaine.

Impact de la migration sur les autres ordinateurs de l'entreprise

  • Lors du déploiement du serveur de destination avec un autre nom d'hôte, les paramètres clients NAP de tous les ordinateurs configurés pour utiliser l'autorité HRA doivent être mis à jour. Il y a peu ou pas de temps mort dans ce scénario, si les procédures de ce guide sont respectées.

  • Lors du déploiement du serveur de destination avec le même nom d'hôte, les clients ne sont pas en mesure d'obtenir un certificat d'intégrité peu de temps après que le serveur source a été désaffecté, à moins qu'un serveur HRA secondaire ne soit déployé.

Autorisations requises pour effectuer la migration

Les autorisations suivantes sont requises sur le serveur source et le serveur de destination :

  • Des droits d'administration de domaine sont requis pour configurer et autoriser le serveur HRA, ainsi que pour configurer les paramètres de stratégie de groupe des clients NAP.

  • Des droits d'administration locaux sont requis pour installer ou gérer le serveur exécutant l'autorité HRA.

Durée estimée

La migration peut prendre deux à trois heures, test inclus.

Voir aussi

Cela vous a-t-il été utile ?
(1500 caractères restants)
Merci pour vos suggestions.

Ajouts de la communauté

AJOUTER
Afficher:
© 2014 Microsoft