Externe toegang migreren naar Windows Server 2012
Van toepassing op: Windows Server 2012
Routering en RAS (RRAS) was een functieservice in Windows Server-besturingssystemen vóór Windows Server 2012 waarmee u een computer kon gebruiken als IPv4- of IPv6-router, als IPv4-NAT-router (Network Address Translation) of als RAS-server die fungeert als host van inbel- of VPN-verbindingen (virtueel particulier netwerk) van externe clients. Deze functie is nu gecombineerd met DirectAccess, waarbij DirectAccess de RAS-functie vervult in Windows Server 2012. In deze handleiding wordt beschreven hoe u een server migreert die als host voor de Routering en Remote Access-service fungeert (in Windows Server 2008 R2 en lagere versies) op een computer waarop Windows Server 2012 wordt uitgevoerd.
Notitie
Uw gedetailleerde feedback is erg belangrijk en helpt ons om Windows Server-migratiehandleidingen zo betrouwbaar, volledig en gebruiksvriendelijk mogelijk te maken. Neem even de tijd om dit onderwerp te beoordelen en uw beoordeling toe te lichten. Beschrijf wat u er goed aan vindt, of juist niet, of wat u graag in toekomstige versies van het onderwerp zou willen zien. Als u aanvullende suggesties voor het verbeteren van de handleidingen of hulpprogramma's voor migratie hebt, kunt u deze plaatsen op het Windows Server-migratieforum.
Over deze handleiding
De documentatie en hulpprogramma's voor migratie zijn bedoeld om de migratie van serverfunctie-instellingen en gegevens van een bestaande server naar een doelserver met Windows Server 2012 te vereenvoudigen. Met behulp van de hulpprogramma's die in deze handleiding worden beschreven, kan het migratieproces eenvoudiger, sneller en nauwkeuriger worden uitgevoerd, en kunnen eventuele conflicten tijdens het migratieproces worden voorkomen. Zie de handleiding voor het installeren, openen en verwijderen van hulpprogramma's voor migratie van Windows-servers (https://go.microsoft.com/fwlink/?LinkId=247607) voor meer informatie over het installeren en gebruiken van de hulpprogramma's voor migratie op de bron- en doelservers.
Doelgroep
Dit document is bedoeld voor IT-beheerders, IT-professionals en andere informatiewerkers die verantwoordelijk zijn voor de bewerking en implementatie van de RAS-servers in een beheerde omgeving. Voor sommige migratiestappen in deze handleiding is enige kennis van scripts vereist.
Wat deze handleiding niet biedt
In deze handleiding wordt niet de architectuur of gedetailleerde functionaliteit van de functie voor externe toegang beschreven. De volgende scenario's worden niet ondersteund in deze migratiehandleiding:
Een proces voor een in-place upgrade, waarbij het nieuwe besturingssysteem wordt geïnstalleerd op de bestaande serverhardware met behulp van de optie Upgrade tijdens de installatie
Scenario’s met clustering en eerdere locaties
Meerdere serverfuncties migreren
Als op de server meerdere serverfuncties worden uitgevoerd, is het raadzaam een aangepaste migratieprocedure voor uw specifieke serveromgeving te ontwerpen op basis van de informatie in deze handleiding en andere functiemigratiehandleidingen.
Ondersteunde migratiescenario 's
Deze handleiding bevat instructies voor het migreren van een bestaande server naar een server met Windows Server 2012.
Waarschuwing
Deze handleiding bevat geen instructies voor migratie wanneer de bronserver meerdere functies uitvoert. Als op de bronserver meerdere functies worden uitgevoerd, kunnen sommige migratiestappen in deze handleiding, zoals die voor het migreren van gebruikersaccounts en netwerkinterfacenamen, ertoe leiden dat andere functies op de bronserver niet meer correct worden uitgevoerd.
Ondersteunde besturingssystemen
Deze handleiding bevat instructies voor het migreren van gegevens en instellingen van een bestaande server die wordt vervangen door een nieuwe fysieke of virtuele 64-bits server met een nieuwe installatie van het besturingssysteem, zoals beschreven in de volgende tabel.
Processor van bronserver |
Besturingssysteem van bronserver |
Besturingssysteem van doelserver |
Processor van doelserver |
|---|---|---|---|
x 86 - of x 64-systemen |
Windows Server 2003 met servicepack 2 |
Windows Server 2012 |
x64-systemen |
x 86 - of x 64-systemen |
Windows Server 2003 R2 |
Windows Server 2012 |
x64-systemen |
x 86 - of x 64-systemen |
Windows Server 2008, alleen optie voor volledige installatie |
Windows Server 2012 |
x64-systemen |
x64-systemen |
Windows Server 2008 R2, alleen optie voor volledige installatie |
Windows Server 2012 |
x64-systemen |
x64-systemen |
Windows Server 2012 |
Windows Server 2012 |
x64-systemen |
De weergegeven versies van besturingssystemen in de bovenstaande tabel zijn de oudste combinaties van besturingssystemen en servicepacks die worden ondersteund. Recentere servicepacks worden ondersteund.
Migratie naar een doelserver waarop DirectAccess al is geconfigureerd, wordt niet ondersteund.
De Foundation-, Standard-, Enterprise- en Datacenter-edities van het Windows Server-besturingssysteem worden ondersteund als bron- of doelservers. Migratie van de ene naar de andere editie is ook mogelijk. U kunt bijvoorbeeld een server met Windows Server 2003 Standard migreren naar een server met Windows Server 2012.
Migraties tussen fysieke en virtuele besturingssystemen worden ondersteund.
Migratie van een bronserver naar een doelserver met een besturingssysteem in een andere taal (dat wil zeggen, de geïnstalleerde taal van de gebruikersinterface) wordt niet ondersteund. U kunt Hulpprogramma's voor migratie van Windows-servers bijvoorbeeld niet gebruiken voor het migreren van functies, besturingssysteeminstellingen, gegevens of gedeelde bronnen van een computer waarop Windows Server 2008 R2 wordt uitgevoerd in het Frans naar een computer waarop Windows Server 2012 wordt uitgevoerd in het Duits.
Notitie
De taal van de gebruikersinterface van het systeem is de taal van het gelokaliseerde installatiepakket waarin het Windows-besturingssysteem is geïnstalleerd.
Zowel x 86 - als x 64-systeemmigraties worden ondersteund voor Windows Server 2003 en Windows Server 2008. Alle edities van Windows Server 2008 R2 en Windows Server 2012 zijn x 64-systemen.
Ondersteunde functieconfiguraties
De onderstaande lijst bevat de migratiescenario's die worden ondersteund voor externe toegang. Bij deze scenario’s worden alle instellingen gemigreerd.
DirectAccess (alleen ondersteund bij migratie van Windows Server 2012 naar Windows Server 2012)
VPN-server
Inbelserver
Netwerkadresomzetting (NAT)
Routering, met de volgende optionele onderdelen:
DHCP Relay-agent
Routing Information Protocol (RIP)
Internet Group Management Protocol (IGMP)
Naast de bovenstaande scenario's wordt bij het migreren ook automatisch de configuratie van de doelserver aangepast aan functies die niet meer worden ondersteund en aan functies die nieuw zijn in Windows Server 2012 en niet worden ondersteund in eerdere versies van Windows.
Afhankelijkheden van de migratie
Als een lokale of externe NPS-server die wordt gebruikt voor verificatie, accountbeheer of beleidsbeheer ook moet worden gemigreerd, migreert u de NPS-service vóór de Remote Access-service. Zie Network Policy Server migreren naar Windows Server 2012 voor meer informatie.
Als u een upgrade uitvoert van Windows 2008 R2 DirectAccess naar Windows Server 2012, moet u ervoor zorgen dat alle configuratie-instellingen van DirectAccess zijn toegepast op de Windows 2008 R2-server. Via de console kunt u instellingen wel opslaan, maar niet toepassen. Zorg ervoor dat de opgeslagen instellingen zijn toegepast voordat u de upgrade uitvoert.
Migratie-onderdelen die niet in alle versies van de besturingssystemen worden ondersteund
De volgende RAS-onderdelen worden niet in alle besturingssystemen ondersteund:
Onderdeel |
Dialoogvenster/Instellingen van gebruikersinterface |
Actie |
Nieuwe onderdelen, niet beschikbaar in Windows Server 2003, Windows Server 2008 en Windows Server 2008 R2 |
||
Adapter om DNS- of WINS-adressen op te halen |
RAS-eigenschappen: tabblad IPv4: Adapter |
Dit onderdeel wordt niet ondersteund in Windows Server 2003. De standaardwaarde moet worden gebruikt voor deze instelling op de doelcomputer. |
SSTP |
SSTP-poorten |
SSTP wordt niet ondersteund in Windows Server 2003. SSTP-poorten moeten zijn ingeschakeld op de doelcomputer. Het nummer is afhankelijk van de standaardwaarde voor de SKU op de doelcomputer |
IPv6 |
|
|
IP-filters in Logboekregistratie en beleidsinstellingen voor Externe toegang |
Logboekregistratie en beleidsinstellingen voor Externe toegang – IP-filters |
Windows Server 2003 en Windows Server 2008 bevatten geen optie voor het maken van IP-filters in Logboekregistratie en beleidsinstellingen voor Externe toegang. Er zijn dus geen filters om te migreren. |
IPv6-adres automatisch ophalen |
Bellen-op-verzoek-eigenschappen (VPN/PPPoE) – tabblad Netwerken – IPv6-eigenschappen – Keuzerondje 'IP-adres automatisch verkrijgen' |
Deze instelling is niet aanwezig in Windows Server 2008. De waarde van deze instelling moet worden ingesteld op de standaardwaarde op de doelcomputer. |
IKEv2 |
|
|
SSTP-certificaat Selectie |
RAS-eigenschappen: tabblad Beveiliging: selectievakje 'HTTP gebruiken', vervolgkeuzelijst voor selectie van certificaat, instellingen voor Crypto-Binding |
Dit onderdeel wordt niet ondersteund in Windows Server 2003 en Windows Server 2008. Gebruik de standaardwaarden voor al deze instellingen op de doelcomputer. |
VPN-accounting |
Logboekregistratie en beleidsinstellingen voor Externe toegang – Accounting: Instellingen voor actie bij fout in logboekregistratie in 'Eigenschappen van SQL Server-logboekregistratie' en 'Eigenschappen van logboekbestand' |
Deze instellingen zijn niet aanwezig in Windows Server 2008. De standaardwaarde moet worden gebruikt op de doelcomputer. |
Afgeschafte functies: niet beschikbaar voor Windows Server 2008, Windows Server 2008 R2 of Windows Server 2012 |
||
SPAP-, MS-CHAP- en EAP-MD5-protocollen en gerelateerde instellingen |
Bellen-op-verzoek-interface-eigenschappen (VPN/PPPoE) – tabblad Beveiliging |
SPAP-, EAP-MD5- en MS-CHAP-instellingen worden niet ondersteund in Windows Server 2008 R2 of Windows Server 2012 en worden niet gemigreerd. |
Configuratie van LAN-verbindingsinterface in Routering |
Routering – Algemeen – Eigenschappen van LAN-verbinding – tabblad Configuratie |
Met de instellingen op dit tabblad kunt u configureren hoe een IP-adres voor deze interface moet worden verkregen. Deze instellingen zijn alleen beschikbaar in Windows Server 2003 en worden niet gemigreerd. |
RAS-firewall (geïntegreerd met NAT) |
|
De RAS-firewallfunctionaliteit van Windows Server 2003 wordt niet meer ondersteund in Windows Server 2008. Deze instellingen worden niet gemigreerd. |
Instellingen van Zwakke versleuteling |
Zwakke versleuteling wordt ondersteund in Windows Server 2003, maar in Windows Server 2008 en Windows Server 2008 R2 kan zwakke versleuteling alleen worden ingeschakeld via het register. Tijdens de migratie van Windows Server 2003 worden deze registerinstellingen niet automatisch gemaakt. Voor Windows Server 2008 en hogere versies worden deze registerinstellingen wel gemigreerd als deze aanwezig zijn. |
Migratie-onderdelen die niet automatisch worden gemigreerd
De volgende elementen en instellingen voor externe toegang worden niet gemigreerd door de Windows PowerShell-cmdlets die worden meegeleverd met de hulpprogramma’s voor migratie van Windows-servers. In plaats daarvan moet u het element of de instelling handmatig configureren op de nieuwe RRAS-server, zoals beschreven in De vereiste handmatige migratiestappen uitvoeren in deze handleiding.
Belangrijk
Voer de handmatige configuratie van deze elementen pas uit wanneer dat verderop in deze handleiding wordt aangegeven.
SSL-certificaatbindingen. SSL-certificaatbindingsinstellingen- en crypto-bindingsinstellingen voor SSTP worden als volgt gemigreerd:
Vanuit de migratiewizard wordt gezocht naar een broncertificaat op de doelcomputer. Als er een wordt gevonden, wordt dat certificaat gebruikt voor SSTP.
Als er geen broncertificaat wordt gevonden, wordt gezocht naar een geldig certificaat met hetzelfde vertrouwde basiscertificaat als het broncertificaat.
Als ook dat niet wordt gevonden, wordt de SSTP-configuratie op de doelcomputer ingesteld op 'Standaard'.
Als zelfondertekende certificaten worden gebruikt (die geldig zijn voor Windows Server 2012), worden deze automatisch gemaakt op de doelcomputer.
Gebruikersaccounts op de lokale RRAS-server. Als u een domeinaccounts voor gebruikers en groepen gebruikt en de oude en de nieuwe RRAS-server deel uitmaken van hetzelfde domein, hoeven de accounts niet te worden gemigreerd. Lokale gebruikersaccounts kunnen worden gebruikt als Windows-verificatie op de RRAS-bronserver is geconfigureerd.
Alleen routering/VPN/DirectAccess wanneer deze allemaal zijn geïnstalleerd. Als uw RAS-serverconfiguratie alle beschikbare services bevat, moeten alle services samen worden gemigreerd. Migratie van slechts één van de services naar de doelserver wordt niet ondersteund.
Een lokale of externe server waarop NPS (Network Policy Server) wordt uitgevoerd voor verificatie, accounting en beleidsbeheer. Deze handleiding bevat niet de stappen die nodig zijn voor het migreren van een server waarop NPS wordt uitgevoerd. Voor het migreren van een server waarop NPS wordt uitgevoerd, gebruikt u Network Policy Server migreren naar Windows Server 2012. Migreer NPS wanneer dat verderop in deze handleiding wordt aangegeven.
Notitie
Als u geen server met NPS gebruikt, worden de standaardbeleidsregels voor externe toegang en de standaardinstellingen voor accounting die automatisch worden gemaakt tijdens het configureren van RRAS, niet gemigreerd.
Bellen-op-verzoek-inbelverbindingen. De doelserver kan zijn geconfigureerd voor meerdere modems en er zijn veel bellen-op-verzoek-instellingen die specifiek zijn voor de modem of het ISDN-apparaat dat is geselecteerd.
Certificaten voor het verifiëren van IKEv2-, SSTP- en L2TP/IPSec-verbindingen.
SSL-certificaatbinding voor SSTP wanneer het selectievakje HTTP gebruiken niet is ingeschakeld.
IKEv2 VPN-verbindingen die gebruikmaken van IPv6-netwerkadapters. IKEv2 wordt alleen ondersteund op RRAS-servers waarop Windows Server 2008 R2 wordt uitgevoerd. In de RRAS-Microsoft Management Console (MMC) op Windows Server 2008 R2 kunt u de netwerkinterface voor het verkrijgen van IPV6 DHCP- en DNS-adressen voor IKEv2 VPN-clients opgeven. Als u RRAS migreert van Windows Server 2008 R2 naar een andere server waarop Windows Server 2008 R2 wordt uitgevoerd, wordt de instelling gemigreerd. Bij migratie vanuit een vorige versie van Windows is er echter geen instelling om te migreren en wordt de standaardwaarde van RAS mag de adapter selecteren gebruikt.
Zwakke codering. In Windows Server 2003 is zwakke codering standaard ingeschakeld, maar in latere versies van Windows is zwakke codering standaard uitgeschakeld. U kunt zwakke codering alleen inschakelen door het register te wijzigen. Tijdens het Windows Server 2003-migratieproces worden de vereiste registerwijzigingen niet op de nieuwe server aangebracht. Deze instellingen moeten handmatig worden geconfigureerd. In recentere versies van Windows worden deze registerinstellingen (indien aanwezig) wel gemigreerd.
DLL-bestanden voor beheer en beveiliging en de bijbehorende registersleutels. Deze DLL-bestanden zijn beschikbaar in 32-bits en 64-bits versies en werken niet bij migratie van een 32-bits systeem naar een 64-bits systeem.
Aangepaste DLL-bestanden voor het kiezen van een bellen-op-verzoek-verbinding. Deze DLL-bestanden zijn beschikbaar in 32-bits en 64-bits versies en werken niet bij migratie van een 32-bits systeem naar een 64-bits systeem. Eventuele bijbehorende registerinstellingen worden ook niet gemigreerd.
Verbindingsbeheer-profielen. De Administration Kit voor Verbindingsbeheer wordt gebruikt voor het maken van profielen voor externe toegang voor VPN- en inbelverbindingen. Gemaakte profielen worden in specifieke mappen op de RRAS-server opgeslagen. Profielen die zijn gemaakt in een 32-bits versie van Windows, werken niet op computers waarop een 64-bits versie van Windows wordt uitgevoerd, en omgekeerd. Zie Administration Kit voor Verbindingsbeheer (https://go.microsoft.com/fwlink/?linkid=55986) voor meer informatie over verbindingsprofielen.
De instelling 'Doorgestuurde fragmenten groeperen' voor NAT. Deze instelling wordt ingeschakeld als de RRAS-server wordt geïmplementeerd achter een NAT-router in het Windows-besturingssysteem. Dit is vereist voor L2TP-/IPSec-verbindingen waarvoor verificatie met een computercertificaat vereist is. U wordt aangeraden deze instelling in te schakelen om een bekend probleem in RRAS te omzeilen.
De instelling Informatie over routering en externe toegang registreren (ten behoeve van foutopsporing) op het tabblad Logboekregistratie van het dialoogvenster Eigenschappen van Routering en RAS.
Overzicht van het migratieproces voor de service Routering en RAS
Het proces vóór de migratie omvat het handmatig verzamelen van gegevens, gevolgd door het uitvoeren van procedures op de bronserver en de doelserver. Het migratieproces omvat het uitvoeren van procedures op de bronserver en de doelserver met de Export- en Import-cmdlets voor het automatisch verzamelen, opslaan en migreren van serverfunctie-instellingen. Het proces na de migratie omvat het uitvoeren van procedures om te verifiëren of de doelserver correct functioneert als vervanging voor de bronserver, waarna de bronserver buiten gebruik wordt gesteld of een andere bestemming krijgt. Als tijdens de verificatieprocedure blijkt dat de migratie is mislukt, wordt het probleemoplossingsproces gestart. Als het oplossen van problemen mislukt, worden er terugdraai-instructies weergegeven om het netwerk weer in te stellen op de oorspronkelijke bronserver.
De invloed van de migratie
Tijdens de migratie is de RAS-server niet beschikbaar voor het accepteren van binnenkomende verbindingen of het routeren van verkeer.
Nieuwe externe clients kunnen geen verbinding met de server maken via inbel-, VPN- of DirectAccess-verbindingen. Bestaande verbindingen met de server worden verbroken. Als u meerdere servers voor externe toegang hebt, resulteert het verlies van beschikbaarheid van deze server in een lagere capaciteit totdat de nieuwe server weer operationeel is. Voor bellen-op-verzoek-verbindingen moet u andere connectiviteit tussen kantoren bieden, of de verbindingen zo configureren dat er verbinding wordt gemaakt met een andere server.
Routering en NAT-functionaliteit is niet beschikbaar. Als deze functionaliteit tijdens de migratie vereist is, kan een alternatieve router worden geïmplementeerd totdat de nieuwe doelserver beschikbaar is.
Het proces na de migratie is van invloed op het volgende:
Als u van plan bent om de naam van de bronserver opnieuw als de naam van de doelserver te gebruiken, kan de naam worden geconfigureerd op de doelserver nadat de bronserver is losgekoppeld van het netwerk. Anders treedt een naamconflict op dat de beschikbaarheid kan beïnvloeden. Als u beide servers wilt gebruiken, moet u een unieke naam opgeven voor de doelserver.
Een VPN-server kan rechtstreeks worden verbonden met internet of in een perimeternetwerk achter een firewall of NAT-router worden geplaatst. Als het IP-adres of de DNS-naam van de doelserver tijdens of na de migratie wordt gewijzigd, moeten de toewijzingen in de firewall of het NAT-apparaat zo worden geconfigureerd dat deze naar het juiste adres of de juiste naam verwijzen. U moet ook eventuele DNS-servers voor een intranet of voor internet bijwerken met de nieuwe naam en het nieuwe IP-adres. Vergeet niet informatie over wijzigingen in namen of IP-adressen van servers door te geven aan uw gebruikers zodat ze verbinding met de juiste server kunnen maken. Als u verbindingsprofielen gebruikt die zijn gemaakt met behulp van de Administration Kit voor Verbindingsbeheer, moet u een nieuw profiel met de bijgewerkte serveradresinformatie implementeren.
Notitie
Voor DirectAccess moeten de bron- en doelcomputer hetzelfde IP-adres en dezelfde interfacenaam hebben.
Het is raadzaam de verwachte datum en tijd van de migratie bijtijds aan te kondigen, zodat gebruikers hiermee rekening kunnen houden in hun planning en zo nodig andere maatregelen kunnen treffen.
Vereiste machtigingen voor voltooiing van de migratie
De volgende machtigingen zijn vereist voor de bron- en doelservers voor externe toegang:
Domeingebruikersrechten zijn vereist voor het toevoegen van de nieuwe server aan het domein.
Lokale beheerrechten zijn vereist voor het installeren en beheren van de functie voor externe toegang.
Gelijkwaardige beheerdersmachtigingen voor DirectAccess-groepsbeleidsobjecten als de beheerdersmachtigingen die zijn geconfigureerd op de broncomputer.
Schrijfmachtigingen zijn vereist voor de opslaglocatie van de migratie. Zie Externe toegang: migratie voorbereiden in deze handleiding voor meer informatie.
Geschatte duur
De migratie kan, inclusief het testen, twee of drie uur duren.
Zie ook
Externe toegang: migratie voorbereiden
Remote Access: Remote Access migreren
Externe toegang: de migratie controleren
Externe toegang: Taken na migratie