Экспорт (0) Печать
Развернуть все

Миграция удаленного доступа на Windows Server 2012

Опубликовано: Февраль 2012 г.

Обновлено: Февраль 2012 г.

Назначение: Windows Server 2012

Служба маршрутизации и удаленного доступа (RRAS) представляла собой службу ролей в операционных системах Windows Server до версии Windows Server 2012, которая позволяла использовать компьютер в качестве IPv4- или IPv6-маршрутизатора, маршрутизатора преобразования сетевых адресов (NAT) IPv4 или сервера удаленного доступа, через который выполнялись коммутируемые или VPN-подключения удаленных клиентов. Теперь этот компонент в сочетании с DirectAccess составляет роль сервера удаленного доступа в Windows Server 2012. В этом руководстве описывается миграция сервера, на котором размещается служба маршрутизации и удаленного доступа (версии Windows Server 2008 R2 и ниже), на компьютер под управлением Windows Server 2012.

noteПримечание
Подробные отзывы пользователей очень важны для нас: они помогают разрабатывать максимально надежные, исчерпывающие и простые в использовании руководства по миграции для Windows Server. Просим вас оценить этот раздел и добавить комментарии, обосновывающие вашу оценку. Опишите, что вам понравилось, что нет, и что бы вы хотели увидеть в будущих версиях этого раздела. Дополнительные предложения по улучшению руководств по миграции или служебных программ вы можете высказать на форуме по миграции Windows Server.

Документация по миграции и средства миграции облегчают процесс переноса параметров роли сервера и данных с существующего сервера на конечный сервер, работающий под управлением Windows Server 2012. Описанные в этом руководстве средства позволяют упростить процесс миграции, сократить его время, повысить точность и избежать конфликтов, которые могут возникать при миграции. Дополнительные сведения об установке и использовании средств миграции на исходном и конечном серверах см. в Руководстве по установке, использованию и удалению средств миграции Windows Server (http://go.microsoft.com/fwlink/?LinkId=247607).

Этот документ предназначен для ИТ-администраторов, ИТ-специалистов и других сотрудников, отвечающих за эксплуатацию и развертывание серверов удаленного доступа в управляемой среде. Для выполнения некоторых описанных в данном руководстве шагов миграции могут потребоваться определенные знания в области написания сценариев.

В этом руководстве отсутствует описание архитектуры и подробное описание функций роли удаленного доступа. Данное руководство по миграции не поддерживает следующие сценарии:

  • процессы обновления "на месте", при которых новая операционная система устанавливается на имеющееся серверное оборудование с помощью варианта Upgrade, который выбирается при установке

  • кластеризация и многосайтовое развертывание

  • миграция более одной роли сервера

    Если на сервере выполняется несколько ролей, рекомендуется разработать специальную процедуру миграции для конкретной серверной среды c использованием информации из этого и других руководств по миграции ролей.

В этом руководстве приведены инструкции по миграции существующего сервера на сервер под управлением Windows Server 2012.

CautionВнимание
Руководство не содержит инструкции по миграции для случая, когда на исходном сервере выполняется несколько ролей. Если на исходном сервере выполняется несколько ролей, выполнение некоторых описанных в этом руководстве шагов по миграции, например миграция учетных записей пользователей и имен сетевых интерфейсов, может вызвать сбои в работе других ролей.

В этом руководстве приведены инструкции по переносу данных и параметров с существующего сервера, который заменяется новым физическим или виртуальным 64-разрядным сервером с вновь установленной операционной системой в соответствии со схемой, описанной в следующей таблице.

 

Процессор исходного сервера Операционная система исходного сервера Операционная система конечного сервера Процессор конечного сервера

На базе архитектуры x86 или x64

Windows Server 2003 с пакетом обновления 2

Windows Server 2012

На базе архитектуры x64

На базе архитектуры x86 или x64

Windows Server 2003 R2

Windows Server 2012

На базе архитектуры x64

На базе архитектуры x86 или x64

Windows Server 2008, только полная установка

Windows Server 2012

На базе архитектуры x64

На базе архитектуры x64

Windows Server 2008 R2, только полная установка

Windows Server 2012

На базе архитектуры x64

На базе архитектуры x64

Windows Server 2012

Windows Server 2012

На базе архитектуры x64

  • Версии операционных систем, представленные в предыдущей таблице, являются самыми ранними поддерживаемыми сочетаниями ОС и пакетов обновления. Поддерживаются и более новые пакеты обновления.

  • Миграция в случае, когда на конечном сервере уже настроен DirectAccess, не поддерживается.

  • В качестве исходных или конечных серверов поддерживаются следующие версии ОС Windows Server: Foundation, Standard, Enterprise и Datacenter. Это относится и к миграции между выпусками. Например, можно осуществить миграцию с сервера под управлением Windows Server 2003 Standard на сервер под управлением Windows Server 2012.

  • Также поддерживается миграция между физическими и виртуальными операционными системами.

  • Не поддерживается миграция с исходного сервера на конечный сервер, работающий под управлением операционной системы, язык пользовательского интерфейса (то есть установленный язык) которой отличается от языка интерфейса исходного сервера. Например, Средства миграции Windows Server нельзя использовать для миграции ролей, параметров операционной системы, данных или общих ресурсов с компьютера под управлением Windows Server 2008 R2 с пользовательским интерфейсом на французском языке на компьютер под управлением Windows Server 2012 с пользовательским интерфейсом на немецком языке.

    noteПримечание
    Язык пользовательского интерфейса системы — это язык локализованного установочного пакета, который использовался при установке операционной системы Windows.

  • Для операционных систем Windows Server 2003 и Windows Server 2008 поддерживается миграция между серверами на базе процессоров x86 и x64. Все выпуски Windows Server 2008 R2 и основаны на архитектуре x64.

Ниже приведен расширенный список сценариев миграции, которые поддерживаются для удаленного доступа. Переносятся все параметры для этих сценариев.

  • DirectAccess (поддерживается только при миграции с Windows Server 2012 на Windows Server 2012)

  • VPN-сервер

  • Сервер удаленного доступа

  • Преобразование сетевых адресов (NAT)

  • Маршрутизация со следующими необязательными компонентами:

    • агент DHCP-ретрансляции

    • протокол RIP

    • протокол управления группами Интернета (IGMP)

Помимо указанных выше сценариев, при миграции также автоматически корректируется настройка конечного сервера, чтобы учесть возможности, которые более не поддерживаются, и обеспечить поддержку возможностей, которые появились в Windows Server 2012 и не поддерживались в более ранних версиях Windows.

Если требуется также выполнить миграцию локального или удаленного NPS-сервера, который используется для проверки подлинности, учета или управления политиками, то перенос службы NPS следует выполнять до миграции удаленного доступа. Дополнительные сведения см. в разделе Перенос сервера политики сети на Windows Server "8" Beta.

При обновлении с Windows 2008 R2 DirectAccess до Windows Server 2012 убедитесь, что все параметры конфигурации DirectAccess были применены к серверу Windows 2008 R2. Возможно сохранить параметры через консоль и не применить их. Перед обновлением убедитесь, что сохраненные параметры также были применены.

Следующие компоненты удаленного доступа поддерживаются не во всех операционных системах:

 

Компонент

Диалоговое окно пользовательского интерфейса и параметры

Действие

Новые компоненты, недоступные в Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2

Указание адаптера для получения DNS- или WINS-адресов

Свойства RAS — вкладка "IPv4": адаптер

Этот компонент не поддерживается в Windows Server 2003. На конечном компьютере для этого параметра следует использовать значение по умолчанию.

SSTP

SSTP-порты

SSTP не поддерживается в Windows Server 2003. На конечном компьютере следует включить SSTP-порты. Число зависит от значения SKU по умолчанию на конечном компьютере.

IPv6

  1. Свойства RAS — вкладка "Общие": флажок "IPv6-маршрутизатор" и соответствующие переключатели, IPv6-сервер удаленного доступа

  1. Свойства RAS — вкладка "IPv6": все параметры

  1. Свойства вызова по требованию (VPN/PPPoE) — вкладка "Сеть" — TCP/IPv6

  1. Вызов по требованию (VPN/PPPoE) — фильтры IPv6 для инициирования подключений

  1. IPv6-маршрутизатор

  • IPv6 не поддерживается в Windows Server 2003. Его следует отключить на конечном компьютере, если DirectAccess не развернут (устаревшая VPN). На вкладке "Общие" в свойствах RRAS нужно снять флажки "IPv6-маршрутизатор" и "IPv6-сервер удаленного доступа".

  • Параметр адаптера на вкладке "IPv6" в свойствах RAS был впервые введен в Windows Server 2008 R2 для IKEv2. В Windows Server 2008 он отсутствовал. Во время миграции для этого параметра на конечном компьютере следует установить значение по умолчанию для Windows Server 2008 и оставить как есть для Windows Server 2008 R2 и Windows Server 2012.

IP-фильтры в разделе "Ведение журналов и политики удаленного доступа"

Ведение журналов и политики удаленного доступа — IP-фильтры

В Windows Server 2003 и Windows Server 2008 нет возможности для создания IP-фильтров в разделе "Ведение журналов и политики удаленного доступа". Поэтому никакие фильтры не переносятся.

Автоматическое получение IPv6-адреса

Свойства вызова по требованию (VPN/PPPoE) — вкладка "Сеть" — Свойства IPv6 — переключатель "Получать IP-адрес автоматически"

В Windows Server 2008 этот параметр отсутствует. На конечном компьютере для этого параметра следует задать значение по умолчанию.

IKEv2

  1. IKEv2-порты

  1. Свойства RAS — вкладка "Безопасность": проверка подлинности сертификата компьютера для IKEv2

  1. Свойства RAS — вкладка "IKEv2": все параметры

  • IKEv2 не поддерживается в Windows Server 2003 и Windows Server 2008. На конечном компьютере следует включить IKEv2-порты. Число зависит от значения SKU по умолчанию на конечном компьютере.

  • На конечном компьютере для всех параметров IKEv2 следует использовать значения по умолчанию.

Сертификат SSTP Выбор

Свойства RAS — вкладка "Безопасность": флажок "Использовать HTTP", раскрывающийся список для выбора сертификата, параметры привязки с шифрованием

Этот компонент не поддерживается в Windows Server 2003 и Windows Server 2008. На конечном компьютере для всех этих параметров следует использовать значения по умолчанию.

Учет VPN

Ведение журналов и политики удаленного доступа — учет: параметры действия при сбое ведения журнала в разделах "Свойства ведения журнала SQL Server" и "Свойства файла журнала"

В Windows Server 2008 они отсутствуют. На конечном компьютере следует использовать значение по умолчанию.

Устаревшие возможности: недоступны в Windows Server 2008, Windows Server 2008 R2 и Windows Server 2012

Протоколы SPAP, MS-CHAP, EAP-MD5 и связанные с ними параметры

Свойства интерфейса вызова по требованию VPN/PPPoE — вкладка "Безопасность"

Параметры SPAP, EAP-MD5, MS-CHAP не поддерживаются в Windows Server 2008 R2 и Windows Server 2012 и не переносятся.

Настройка интерфейса подключения по локальной сети в разделе "Маршрутизация"

Маршрутизация — Общие — Свойства подключения по локальной сети — вкладка "Конфигурация"

Эта вкладка содержит параметры для настройки получения IP-адреса для данного интерфейса. Она присутствует только в Windows Server 2003 и не переносится.

Брандмауэр RAS (интегрирован с NAT)

  1. NAT — Интерфейс — вкладка "NAT/Основной брандмауэр"

  1. NAT — Интерфейс — вкладка "ICMP"

Windows Server 2003 поддерживала функции брандмауэра RAS, которые были удалены в Windows Server 2008. Эти параметры не переносятся.

Параметры слабого шифрования

Слабое шифрование поддерживается в Windows Server 2003, но в Windows Server 2008 и Windows Server 2008 R2 его можно включить только через реестр. Во время миграции с Windows Server 2003 параметры реестра не создаются автоматически. Если параметры реестра в Windows Server 2008 и более поздних версиях уже заданы, они переносятся.

Перечисленные ниже элементы и параметры удаленного доступа не переносятся с помощью командлетов Windows PowerShell, которые входят в состав средств миграции Windows Server. Вместо этого необходимо вручную настроить элемент или параметр на новом RRAS-сервере, как описано в разделе Выполнение вручную необходимых шагов миграции данного руководства.

ImportantВажно
Настраивайте эти элементы вручную только при наличии в этом руководстве соответствующих указаний.

  • Привязки сертификата SSL. Миграция параметров привязки сертификата SSL и привязки с шифрованием для SSTP выполняется следующим образом.

    1. Мастер миграции ищет исходный сертификат на конечном компьютере. Если поиск дал результат, SSTP использует найденный сертификат.

    2. Если исходный сертификат не найден, мастер миграции ищет допустимый сертификат с тем же доверенным корнем, что и у исходного сертификата.

    3. Если сертификат по-прежнему не найден, то на конечном компьютере используется настройка SSTP по умолчанию.

    4. Если используются самозаверяющие сертификаты (допустимо для Windows Server 2012), они будут автоматически созданы на конечном компьютере.

  • Учетные записи пользователей на локальном RRAS-сервере. Если вы используете учетные записи пользователей и групп на основе домена, а новый и старый RRAS-серверы входят в один и тот же домен, переносить учетные записи не требуется. Если на исходном RRAS-сервере настроен параметр Windows — проверка подлинности, можно использовать учетные записи локальных пользователей.

  • Перенос только маршрутизации, VPN или DirectAccess, если все службы установлены. Если конфигурация сервера удаленного доступа включает все доступные службы, то все службы должны переноситься вместе. Миграция на конечный сервер только одной из служб не поддерживается.

  • Локальный или удаленный сервер, на котором запущен сервер политики сети (NPS), обеспечивающий проверку подлинности, учет и управление политиками. Настоящее руководство не включает описание миграции сервера, на котором выполняется NPS. Чтобы выполнить миграцию сервера, на котором выполняется NPS, обратитесь к руководству Перенос сервера политики сети на Windows Server "8" Beta. Миграцию NPS следует выполнять при наличии в этом руководстве соответствующих указаний.

    noteПримечание
    Если сервер, на котором работает NPS, не используется, то параметры учета и политик удаленного доступа по умолчанию, автоматически создаваемые при настройке RRAS, не будут перенесены.

  • Подключения по требованию на базе коммутируемых соединений. На конечном сервере могут использоваться различные модемы и имеется множество параметров вызовов по требованию, связанных с конкретным модемом или устройством ISDN.

  • Сертификаты, используемые для проверки подлинности подключений IKEv2, SSTP и L2TP/IPSec.

  • Привязка сертификата SSL для протокола SSTP, если флажок Использовать HTTP снят.

  • VPN-подключения IKEv2, использующие сетевые адаптеры протокола IPv6. IKEv2 поддерживается только на тех RRAS-серверах, которые работают под управлением Windows Server 2008 R2. В консоли управления (MMC) RRAS в Windows Server 2008 R2 можно указать сетевой интерфейс для получения DHCP- и DNS-адресов IPv6, которые используются для VPN-клиентов IKEv2. В случае миграции RRAS с Windows Server 2008 R2 на другой сервер под управлением Windows Server 2008 R2 эти параметры переносятся. Но при миграции с предыдущей версии Windows параметры для переноса отсутствуют и для параметра Разрешить RAS выбирать адаптер используется значение по умолчанию.

  • Слабое шифрование. В Windows Server 2003 слабое шифрование включено, но в более поздних версиях Windows по умолчанию оно отключено. Слабое шифрование можно включить только путем изменения реестра. В процессе миграции с Windows Server 2003 необходимые для этого параметры реестра на новом сервере не создаются, и их нужно настраивать вручную. Если в более поздних версиях Windows эти параметры реестра уже заданы, они переносятся.

  • DLL-файлы администрирования и безопасности и соответствующие разделы реестра. Эти DLL-файлы доступны как в 32-, так и в 64-разрядных версиях, но они не работают при миграции с 32- на 64-разрядную версию.

  • Особые DLL-файлы, которые служат для установки коммутируемых подключений по требованию. Эти DLL-файлы доступны как в 32-, так и в 64-разрядных версиях, но они не работают при миграции с 32- на 64-разрядную версию. Соответствующие параметры реестра также не переносятся.

  • Профили диспетчера подключений. Пакет администрирования диспетчера подключений служит для создания профилей удаленного доступа VPN и коммутируемых подключений. Эти профили хранятся в соответствующих папках на RRAS-сервере. Профили, созданные в 32-разрядной версии Windows, не работают на компьютерах под управлением 64-разрядной версии Windows, и наоборот. Дополнительные сведения о профилях подключений см. в разделе Пакет администрирования диспетчера подключений (http://go.microsoft.com/fwlink/?linkid=55986).

  • Параметр "Фрагменты групповой пересылки" для преобразования сетевых адресов. Этот параметр включен, если RRAS-сервер развертывается за маршрутизатором NAT, работающим под управлением ОС Windows. Он требуется для подключений L2TP/IPsec, которые используют проверку подлинности сертификатов компьютера. Рекомендуется включить этот параметр, чтобы избежать известных проблем, связанных с RRAS.

  • Параметр Записывать дополнительные сведения о маршрутизации и удаленном доступе (используется для отладки) в диалоговом окне Свойства маршрутизации и удаленного доступа на вкладке Ведение журнала.

При подготовке к миграции требуется выполнить ручной сбор данных, а затем — процедуры на конечном и исходном серверах. Процесс миграции включает в себя выполняемые на исходном и конечном серверах процедуры, в рамках которых для автоматического сбора, хранения и переноса параметров ролей сервера используются командлеты Export и Import. После миграции выполняется проверка замены исходного сервера конечным сервером, а затем исходный сервер выводится из эксплуатации или проводится его переналадка. Если в результате проверки обнаруживаются ошибки миграции, начинается процедура устранения неполадок. Если устранить неполадки не удается, предоставляются инструкции по откату, позволяющие вернуть сеть к использованию исходного сервера.

Во время миграции сервер удаленного доступа не принимает входящие подключения и недоступен для маршрутизации трафика.

  • Новые удаленные клиенты не могут подключиться к серверу с помощью коммутируемых и VPN-подключений или подключений DirectAccess. Существующие подключения сервера отключаются. Если серверов удаленного доступа несколько, то в результате отключения сервера пропускная способность снижается, пока новый сервер не вернется в работу. Для подключений по требованию нужно обеспечить альтернативные каналы связи между офисами или перенастроить подключения, чтобы они указывали на другой сервер.

  • Функции маршрутизации и преобразования сетевых адресов недоступны. Если эти функции должны быть доступны во время миграции, можно временно развернуть дополнительный маршрутизатор, пока новый конечный сервер не станет доступен.

Последствия миграции включают следующее:

  • Если планируется использовать имя исходного сервера в качестве имени конечного сервера, это имя можно задать на конечном сервере после отключения исходного сервера от сети. В противном случае конфликт имен может сказаться на доступности сервера. Если планируется использовать оба сервера, для конечного сервера нужно задать уникальное имя.

  • VPN-сервер можно подключить к Интернету напрямую или поместить в сеть периметра, защищенную брандмауэром или маршрутизатором с преобразованием сетевых адресов (NAT). Если в ходе миграции или после ее завершения IP-адрес или DNS-имя конечного сервера изменяются, сопоставление в брандмауэре или NAT-устройстве нужно изменить в соответствии с новым адресом или именем. Кроме того, необходимо обновить DNS-серверы интрасети и Интернета, указав новое имя и IP-адрес. Также не забудьте передать сведения обо всех изменениях имен и IP-адресов серверов пользователям, чтобы они подключались к правильному серверу. В случае использования профилей подключения, созданных с помощью пакета администрирования диспетчера подключений, разверните новый профиль, содержащий обновленные сведения об адресе сервера.

noteПримечание
Для подключений DirectAccess исходный компьютер и конечный компьютер должны иметь одинаковые IP-адреса и имена интерфейсов.

Рекомендуется заранее распространить информацию о планируемом времени миграции, чтобы пользователи могли при необходимости скорректировать свои планы, а также выполнить прочие приготовления.

На исходном сервере и конечных серверах удаленного доступа требуются следующие разрешения:

  • для присоединения нового сервера к домену требуются права пользователя домена;

  • для установки роли удаленного доступа и управления ею требуются права локального администратора;

  • для объектов групповой политики DirectAccess требуются такие же права администратора, какие были настроены на исходном компьютере;

  • для расположения хранилища миграции требуются разрешения на запись. Дополнительные сведения см. в разделе Удаленный доступ: подготовка к переносу в этом руководстве.

Миграция (включая тестирование) может занять от двух до трех часов.

См. также

Была ли вам полезна эта информация?
(1500 символов осталось)
Спасибо за ваш отзыв

Добавления сообщества

ДОБАВИТЬ
Показ:
© 2014 Microsoft