Windows Server 2012 へのネットワーク ポリシー サーバーの移行

適用対象: Windows Server 2012

このドキュメントでは、Windows Server 2003、Windows Server® 2008、Windows Server ® 2008 R2、Windows Server® 2012 のいずれかを実行する x86 ベースまたは x64 ベースのサーバーから新しい Windows Server® 2012 サーバーに、ネットワーク ポリシー サーバー (NPS) またはインターネット認証サーバー (IAS) の役割サービスを移行するためのガイダンスを紹介しています。

このガイドについて

NPS の移行に関するドキュメントと移行ツールを活用することによって、既存のサーバーから Windows Server 2012 を実行する移行先サーバーに、NPS 役割サービスの設定とデータを効率よく移行することができます。 このガイドで説明されているツールを使用すると、IAS/NPS の移行プロセスを簡素化すること、移行時間を短縮すること、移行プロセスの精度を高めること、および IAS/NPS の移行プロセス中に発生する可能性のある競合を取り除くことができます。

対象読者

このガイドの対象読者は、次の IT 担当者です。

• 組織全体のコンピューター管理およびセキュリティに責任を負う IT アーキテクト

• ネットワーク、サーバー、クライアント コンピューター、オペレーティング システム、またはアプリケーションの日常的な管理およびトラブルシューティングを行う IT 運用エンジニア

• ネットワークおよびサーバー管理を担当する IT 運用マネージャー

このガイドで説明されていないもの

移行元サーバーには他のサービスが実行されている可能性もありますが、そのようなサービスの構成を移行するための詳細な手順は、このガイドには書かれていません。

セットアップ中に "アップグレード" オプションを使用し、既存のサーバー ハードウェアに新しいオペレーティング システムをインストールするシナリオのガイダンスは記載されていません。

サポートされている移行のシナリオ

このガイドでは、NPS または IAS を実行している既存のサーバーを、Windows Server 2012 を実行しているサーバーに移行する方法について説明します。 移行元サーバーで複数の役割が実行されている場合のネットワーク ポリシー サーバーの移行方法については取り上げていません。 サーバーで複数の役割が実行されている場合は、他の役割の移行ガイドで説明されている情報に基づいて、サーバー環境に合わせたカスタムの移行手順を設計することが推奨されます。 他の役割の移行ガイドは、Windows Server 2008 R2 TechCenter (https://go.microsoft.com/fwlink/?LinkID=128554) から入手できます。

サポートされているオペレーティング システム

次の表は、このガイドでサポートされているオペレーティング システムの最小要件の一覧です。

• NPS 役割サービスは、Server Core エディションでは利用できません。 Windows Server の Foundation、Standard、Enterprise、Datacenter の各エディションは、移行元または移行先のどちらのサーバーとしてもサポートされています。 Windows Server 2003 には、Windows Server Foundation エディションはありません。

• オペレーティング システムにインストールされている言語が異なるサーバー間での移行はサポートされません。 たとえば、システム言語がフランス語の Windows Server 2008 を実行するコンピューターから、システム言語がドイツ語の Windows Server 2012 を実行するコンピューターにサーバー役割を移行することはできません。 システム言語とは、Windows オペレーティング システムのセットアップに使用された、ローカライズされたインストール パッケージの言語のことです。

• x86 ベースおよび x64 ベースの移行は、どちらも Windows Server 2003 および Windows Server 2008 でサポートされています。 すべてのエディションの Windows Server 2012 は、x64 ベースです。

サポートされている NPS 役割の構成

このガイドでは、次の NPS 設定の移行がサポートされます。

1. ポリシー。 このガイドでは、接続要求ポリシー、ネットワーク ポリシー、正常性ポリシーを始めとする NPS ポリシー構成の移行がサポートされます。

2. 認証方法。 サポートされる認証方法の設定はすべて、このガイドを使用して移行することができます。 認証方法の詳細については、「NPS の認証方法」 (https://go.microsoft.com/fwlink/?LinkId=169629) を参照してください。

3. システム正常性検証ツール (SHV)。 マイクロソフトによって公開された SDK を使用して実行された SHV 構成設定については、移行がサポートされます。

4. NPS テンプレート。 テンプレートの設定は、NPS のユーザー インターフェイスのエクスポートおよびインポート機能を使用して移行します。 コマンド ラインを使用してテンプレートの設定を移行することはできません。

5. RADIUS クライアントおよびリモート RADIUS サーバー。 RADIUS クライアントおよびリモート RADIUS サーバーの構成設定 (共有シークレットを含む) は、このガイドを使用して移行することができます。

6. SQL アカウンティング。 SQL パラメーターの構成 (接続、説明、アカウンティング、認証、定期的なアカウンティングの状態、定期的な認証の状態、最大セッション数の設定など) は、このガイドを使用して移行することができます。 SQL 接続文字列設定は手動で構成することをお勧めします。 詳細については、「NPS に SQL Server ログを構成する方法」 (https://go.microsoft.com/fwlink/?LinkId=169631) を参照してください。

IP アドレスとホスト名の構成

このガイドでサポートされるシナリオを次に示します。

1. 移行元サーバーと同じホスト名または IP アドレスで移行先サーバーを構成する。

2. 移行元サーバーとは異なるホスト名または IP アドレスで移行先サーバーを構成する。

サポートされていない移行シナリオ

次に示す移行のシナリオは、このドキュメントでは取り上げていません。

• アップグレード。 セットアップ中に "アップグレード" オプションを使用し、既存のサーバー ハードウェアに新しいオペレーティング システムをインストールするシナリオのガイダンスは記載されていません。

• 拡張 DLL。 このガイドでは、拡張 DLL レジストリ キーの設定の移行はサポートされません。 拡張 DLL レジストリ キーの移行の詳細については、「拡張 DLL のセットアップ」 (https://go.microsoft.com/fwlink/?LinkId=169632) を参照してください。

• マイクロソフト以外の認証方法。 マイクロソフト以外の認証方法については、設定の移行はサポートされません。 これらの設定を移行するには、製造元のドキュメントを参照してください。

• マイクロソフト以外の SHV。 マイクロソフト以外の SHV については、NAP SHA/SHV SDK のガイダンスに沿って開発されたものに限って、設定の移行がサポートされます。 これらの設定を移行するには、製造元のドキュメントを参照してください。

この役割の移行プロセスの概要

ネットワーク ポリシー サーバー (NPS) は、リモート認証ダイヤルイン ユーザー サービス (RADIUS) のサーバーとプロキシのマイクロソフトによる実装であり、Windows Server 2012 で導入されました。 NPS は Windows Server 2003 のインターネット認証サービス (IAS) の後継です。

このトピックでは、NPS 移行プロセスの概要を紹介します。 NPS 移行ガイドには、他にも次の主要なセクションが含まれます。

• NPS サーバーの移行: 移行の準備

• NPS サーバーの移行: NPS サーバーへの移行

• NPS サーバーの移行: 移行の検証

• NPS サーバーの移行: 移行後のタスク

移行前のプロセスには、移行データの保存場所の確保、サーバーの移行に必要な情報の収集、移行先サーバーへのオペレーティング システムのインストールなどがあります。 移行元サーバーで Windows Server 2003 が実行されている場合、NPS の移行プロセスで iasmigreader というツールを使用します。 移行元サーバーで Windows Server 2008 または Windows Server 2008 R2 が実行されている場合は、ネットワーク シェル (netsh) ユーティリティを使用して、NPS の設定を取得します。Windows Server 2012 が実行されている移行元サーバーを移行する場合は、netsh か Windows PowerShell® を使用できます。 その後、移行先サーバーで、必要な役割をインストールし、NPS の設定を移行するための手順を実施します。 検証プロセスでは、移行先サーバーが正常に機能するかどうかをテストします。 移行後の手順は、移行元サーバーの使用を中止したり、他の目的に再利用したりする作業が中心となります。

プロセス図

次の図は、移行プロセスの概要を示しています。

図 1: NPS サーバーの移行の概要

移行の影響

移行先サーバーに移行元サーバーと同じホスト名と IP アドレスを割り当てるのが推奨される構成です。 このシナリオでは、移行プロセスが完了するまでの間 (推定所要時間は 1 ～ 2 時間) は、移行元サーバーがネットワーク アクセス要求を処理できなくなります。

このガイドでは、移行元サーバーとは異なるホスト名または IP アドレスの移行先サーバーに NPS サーバーの構成を移行する手順も取り上げています。 すべてのテストと検証が完了するまでの間、移行元と移行先の NPS サーバーを同時に実行できるため、サービスの中断を防ぐことができます。 NPS を実行するサーバーの名前または IP アドレスを変更した場合、RADIUS クライアントも、新しい NPS サーバー名および IP アドレスで更新する必要があります。

移行元サーバーに波及する移行の影響

• 移行元サーバーと同じホスト名および IP アドレスで移行先サーバーを展開する場合、移行先サーバーの名前を tempNPS から移行元サーバーのホスト名に変更するには、あらかじめ移行元サーバーを使用停止にし、オフラインにしておく必要があります。

• 異なるホスト名および IP アドレスで移行先サーバーを展開する場合、移行元サーバーに波及する影響はありません。

企業内の他のコンピューターに波及する移行の影響

• 移行元サーバーと同じホスト名および IP アドレスで移行先サーバーを展開する場合、移行元サーバーがオフラインの間 (移行先サーバーが同じ名前および IP アドレスでオンライン状態になるまで)、NPS はネットワーク アクセス要求を評価できなくなります。 この期間は、クライアント コンピューターがネットワーク アクセスを要求しても、認証されずにアクセスは拒否されます。

• 異なるホスト名および IP アドレスで移行先サーバーを展開する場合、移行元サーバーを使用するように構成されたすべてのネットワーク アクセス サーバーの RADIUS クライアントの設定を更新する必要があります。

移行を完了するために必要なアクセス許可

移行元サーバーおよび移行先サーバーには次のアクセス許可が必要です。

• NPS を実行するサーバーのインストールと構成には、Administrators グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。

• SQL 設定の移行には、SQL データベースの権限のメンバーシップが必要です。

• 移行先サーバーがドメインのメンバーである場合、NPS サーバーを承認するには、Domain Admins グループのメンバーシップ、またはそれと同等のメンバーシップが最低限必要です。

推定所要時間

移行元サーバーから移行先サーバーに NPS の設定を移行するために必要な作業 (テストを含む) には、1 ～ 2 時間を要する場合があります。 マイクロソフト以外の認証方法、SHV、または拡張 DLL を移行する場合は、さらに時間がかかることがあります。

参照

NPS サーバーの移行: 移行の準備
NPS サーバーの移行: NPS サーバーへの移行
NPS サーバーの移行: 移行の検証
NPS サーバーの移行: 移行後のタスク
NPS サーバーの移行: 付録 A - データ収集ワークシート