Migrando a Autoridade de Registro de Integridade para o Windows Server "8" Beta
Aplicável a: Windows Server 2012
Este documento fornece orientação para migrar o serviço de função HRA (Autoridade de Registro de Integridade) de um servidor baseado em x86 ou x64 que executa o Windows Server® 2008, Windows Server ® 2008 R2, ou o Windows Server ® 2012 para um novo servidor Windows Server 2012.
Sobre este guia
Dica
Seus comentários detalhados são muito importantes e nos ajudam a tornar os Guias de Migração do Windows Server os mais confiáveis, completos e fáceis de usar possíveis. Classifique este tópico clicando nas estrelas no canto superior direito da página (1=fraco, 5=excelente) e adicione comentários para dar suporte à sua classificação. Descreva o que você gostou, o que não gostou ou o que deseja ver em versões futuras do tópico. Para enviar sugestões adicionais sobre como melhorar os guias ou utilitários de migração, poste no fórum de migração do Windows Server.
Este guia descreve as etapas para a migração das configurações existentes do servidor HRA para um servidor que está executando o Windows Server 2012. Usando esta documentação, você pode simplificar a migração, reduzir ou eliminar o tempo de inatividade do servidor e ajudar a eliminar possíveis conflitos que possam ocorrer durante a migração de HRA.
Público-alvo
Este guia é dirigido a administradores de sistemas de informação (ITOS), profissionais de TI e outros profissionais de conhecimento, responsáveis pela operação e pela implantação de servidores HRA em um ambiente gerenciado.
O que este guia não contém
Este guia não fornece etapas detalhadas para migrar a configuração de outros serviços usados com o NAP, como Servidor de Diretivas de Rede (NPS) ou Serviços de Certificados do Active Directory (AD CS). Estes procedimentos estão localizados no Migrar o Servidor de Políticas de Rede para o Windows Server 2012 e no Guia de Migração dos Serviços de Certificados do Active Directory (https://go.microsoft.com/fwlink/? LinkID=156771). Instruções para executar procedimentos específicos destes outros guias são fornecidas conforme necessário para concluir a migração do servidor HRA.
Cenários de migração com suporte
Este guia fornece instruções para a migração de um servidor existente que está executando o serviço de função HRA para um servidor que está executando o Windows Server 2012. Inclui orientação para instalar a função de servidor IIS e o serviço de função NPS de pré-requisito. Se o servidor estiver executando funções adicionais, é recomendável criar um procedimento de migração personalizado específico para o ambiente do servidor com base nas informações fornecidas nos outros guias de migração de função. Os guias de migração para funções adicionais estão disponíveis no site do Windows Server 2008 R2 TechCenter (https://go.microsoft.com/fwlink/?LinkID=128554).
Aviso
Se o servidor de origem fornecer outras funções e serviços além de HRA, a migração do nome do computador e da configuração de IP pode provocar falha nesses serviços. Você deve verificar o impacto desses procedimentos antes dos executá-los durante a migração de HRA.
Sistemas operacionais com suporte
A tabela a seguir exibe os requisitos mínimos do sistema operacional.
Processador do servidor de origem |
Sistema operacional do servidor de origem |
Sistema operacional do servidor de destino |
Processador do servidor de destino |
|---|---|---|---|
Com base em x86 ou em x64 |
Windows Server 2008 |
Windows Server 2012 |
Com base em x64 |
Com base em x64 |
Windows Server 2008 R2 |
Windows Server 2012 |
Com base em x64 |
Com base em x64 |
Windows Server 2012 |
Windows Server 2012 |
Com base em x64 |
Os serviços de funções NPS e HRA não estão disponíveis em edições Server Core. As edições Foundation, Standard, Enterprise e Datacenter do Windows Server têm suporte para servidores de origem ou de destino. Porém, se você tiver configurado o AD CS no servidor de origem como uma autoridade de certificação (CA) corporativa, o servidor de Autoridade de Certificação de destino deverá estar executando as edições Enterprise ou Datacenter do Windows Server 2012.
Não há suporte para uma migração de um servidor de origem para um servidor de destino que está executando um sistema operacional com um idioma diferente. Por exemplo, não há suporte para a migração de funções de servidor de um computador que está executando o Windows Server 2008 com um idioma de sistema em francês para um computador que está executando o Windows Server 2012 com um idioma de sistema em alemão. O idioma do sistema é o idioma do pacote de instalação localizado que foi usado para configurar o sistema operacional Windows.
Há suporte para migrações baseadas em x86 e x64 para o Windows Server 2008. Todas as edições do Windows Server 2008 R2 e Windows Server 2012 são baseadas em x64.
Configurações de funções com suporte
Este guia fornece procedimentos para migrar todas as configurações de servidor HRA, inclusive quaisquer configurações de Autoridade de Certificação personalizada e de diretiva de solicitação. Este guia também fornece instruções para configurar os requisitos mínimos da função de IIS no servidor de destino.
Migrando funções de pré-requisito
O HRA é um serviço de função sob a função de servidor Serviços de Acesso e Diretiva de Rede (NPAS). Para instalar o HRA, o NPS e o IIS também devem ser instalados no mesmo computador. Se esses serviços ainda não estiverem instalados, eles serão adicionados automaticamente pelo Assistente para Adicionar Funções e Recursos quando você escolher a instalação do HRA.
O HRA também requer uma conexão a um ou mais servidores que executem o AD CS que estejam configurados para fornecer certificados de integridade NAP. O AD CS pode ser instalado no mesmo computador que o HRA ou em outro computador. Se qualquer servidor HRA da organização estiver configurado para usar o AD CS no servidor de origem para solicitações de certificado de integridade, você deverá instalar o AD CS no servidor HRA de destino e configurá-lo para fornecer certificados de integridade ou poderá alterar a configuração da Autoridade de Certificação dos servidores HRA.
Considere as seguintes informações sobre funções de pré-requisito e serviços exigidos no servidor HRA de destino.
NPS. O serviço de função NPS deve ser migrado para que você possa testar e verificar a funcionalidade de HRA no servidor de destino. Se o NPS no servidor de origem for usado apenas com HRA ou como um servidor de diretiva de integridade IPsec para NAP ou como um proxy RADIUS para outro servidor de diretiva de integridade, este guia fornecerá referências para procedimentos específicos no Migrar o Servidor de Políticas de Rede para o Windows Server 2012, que são necessários para migrar as diretivas e configurações necessárias do NPS. Se a função de NPS no servidor de origem for usada para finalidades diferentes de NAP para IPsec ou se o servidor de origem for membro de clientes RADIUS ou de grupos de servidores remotos RADIUS em outros servidores da organização, consulte o Migrar o Servidor de Políticas de Rede para o Windows Server 2012 para obter instruções de migração detalhadas antes de migrar a HRA.
AD CS. Durante a instalação da HRA, você pode escolher instalar o AD CS no mesmo computador, usar uma Autoridade de Certificação da NAP existente em um computador diferente ou selecionar uma Autoridade de Certificação posteriormente. Também é possível escolher instalar o AD CS como uma Autoridade de Certificação corporativa ou uma Autoridade de Certificação autônoma.
Aviso
Depois da instalação do AD CS no servidor HRA, não é possível alterar o nome do servidor HRA.
Se você instalar o AD CS no mesmo computador que a HRA, deverá configurar o AD CS no servidor HRA de destino para fornecer certificados de integridade do NAP.
Se o AD CS for instalado como uma Autoridade de Certificação corporativa, use os procedimentos deste guia para definir configurações de permissão para a Autoridade de Certificação da NAP. Consulte o Guia de Migração dos Serviços de Certificados do Active Directory (https://go.microsoft.com/fwlink/? LinkID=156771) para obter os procedimentos para migrar modelos de certificado de integridade para o servidor de destino.
Se o AD CS for instalado como uma Autoridade de Certificação autônoma, esse guia fornecerá todos os procedimentos de configuração de permissão que são necessários para configurar uma Autoridade de Certificação da NAP no servidor de destino. Se você usar a Autoridade de Certificação local para outras finalidades além da emissão de certificados de integridade de NAP, ou se você tiver uma configuração personalizada, consulte o Guia de Migração dos Serviços de Certificados do Active Directory (https://go.microsoft.com/fwlink/? LinkID=156771) para obter instruções detalhadas para a migração de configurações da Autoridade de Certificação.
Se você usar uma Autoridade de Certificação da NAP existente em um computador diferente, não será necessário configurar o AD CS no servidor de destino.
Se você escolher selecionar uma Autoridade de Certificação mais tarde, não será necessário configurar o AD CS no servidor de destino. Se você escolher instalar o AD CS no servidor HRA de destino mais tarde, consulte Implantando Autoridades de Certificação de NAP.
Se um AD CS no servidor de origem também for usado para emitir certificados que não sejam certificados de integridade, consulte o Guia de Migração dos Serviços de Certificados do Active Directory(https://go.microsoft.com/fwlink/?LinkID=156771) para obter os procedimentos para migração do AD CS.
IIS. Se o servidor IIS de pré-requisito for usado para qualquer finalidade diferente de HRA ou executado com configurações personalizadas além de adicionar um certificado de SSL, siga os procedimentos do Guia de Migração dos Serviços de Informações da Internet antes de migrar a HRA. Se a função de servidor IIS só for usada com HRA, use os procedimentos nesse guia para migrar o IIS.
Importante
Para manter o desempenho da HRA, as configurações de conexão do IIS padrão devem ser modificadas para aumentar o número máximo de conexões simultâneas. Para executar esse procedimento, consulte a seção sobre como definir configurações de conexão do IIS no tópico sobre como configurar um servidor HRA para NAP.
Cenários de migração que não são abordados
Os cenários de migração a seguir não são abordados neste documento:
Atualização. Não são fornecidas diretrizes para cenários nos quais o novo sistema operacional é instalado em hardware de servidor existente usando a opção Atualizar durante a instalação.
Grupo de Trabalho. Não são fornecidas orientações para migração de configurações de HRA para um servidor agregado que não pertence ao domínio ou vice-versa.
Visão geral de processo de migração para esta função
A migração do servidor HRA é dividida nas seguintes seções principais:
O processo de pré-migração envolve o estabelecimento de um local de armazenamento para os dados da migração, a coleta de informações que serão usadas para executar a migração do servidor e a instalação do sistema operacional no servidor de destino. O processo de migração de HRA inclui o uso do utilitário Netsh (Shell de Rede) em uma linha de comando no servidor de origem para obter as configurações de HRA necessárias e os procedimentos no servidor de destino para instalar as funções necessárias e migrar as configurações de HRA. Os procedimentos de verificação incluem testar o servidor de destino para verificar se está funcionando corretamente. Os procedimentos de pós-migração incluem a desativação ou realocação do servidor de origem.
Impacto da migração
Se o plano de migração envolver a configuração do servidor de destino com um nome de host diferente do servidor de origem, as configurações do grupo de servidores confiáveis nos computadores cliente da NAP que usam o servidor HRA de origem deverão ser atualizadas para usar o servidor HRA de destino. Essa abordagem tem a vantagem de permitir que os servidores HRA de origem e de destino sejam executados simultaneamente até que o teste e a verificação sejam concluídos.
Se o plano de migração envolver a configuração do servidor de destino com o mesmo nome que o servidor de origem, o servidor de origem deverá ser encerrado e colocado offline antes do ingresso do servidor de destino no mesmo domínio com o mesmo nome de host. Para eliminar tempo de inatividade neste cenário, os computadores cliente de NAP devem ter acesso a um servidor HRA secundário além do acesso aos servidores de origem e de destino. Para eliminar problemas de resolução de nome a curto prazo, use a mesma configuração de endereço IP nos servidores de origem e de destino.
Se a função NPS no servidor de origem for usada para finalidades diferentes de NAP para IPsec, os computadores cliente não poderão acessar a rede durante o processo de migração de servidor. Por exemplo, se o servidor de origem for usado para autenticação de cliente VPN, consulte o Migrar o Servidor de Políticas de Rede para o Windows Server 2012 para obter instruções detalhadas de migração antes de migrar a HRA.
Impacto da migração no servidor de origem
A implantação do servidor de destino com um nome de host diferente não provoca nenhum impacto no servidor de origem.
Ao implantar o servidor de destino com o mesmo nome que o nome do host, o servidor de origem deverá ser encerrado e colocado offline antes do ingresso do servidor de destino no domínio.
Impacto da migração em outros computadores da empresa
Ao implantar o servidor de destino com um nome de host diferente, as configurações de cliente NAP de todos os computadores configurados para usar a HRA devem ser atualizadas. Haverá pouco ou nenhum tempo de inatividade neste cenário se os procedimentos deste guia forem seguidos.
Ao implantar o servidor de destino com o mesmo nome de host, os clientes não poderão obter um certificado de integridade imediatamente após o servidor de origem ser encerrado, a menos que um servidor HRA secundário esteja implantado.
Permissões necessárias para a conclusão da migração
As seguintes permissões são necessárias no servidor de origem e no servidor de destino:
Direitos administrativos de domínio são necessários para configurar e autorizar o servidor HRA e definir as configurações de diretiva de grupo para clientes NAP.
Direitos administrativos locais são necessários para instalar ou gerenciar o servidor que executa a HRA.
Duração estimada
A migração pode levar de duas a três horas, incluindo testes.
Confira Também
Migração de servidor HRA: preparando-se para migrar
Migração do Servidor HRA: Migrando o Servidor HRA
Migração do servidor de HRA: verificando a migração
Migração do servidor HRA: tarefas pós-migração
Guia de Design de Proteção de Acesso à Rede
Guia de Implantação de Proteção de Acesso à Rede