Миграция центра регистрации работоспособности на бета-версии Windows Server "8"

  • Статья

 

Применимо к: Windows Server 2012

В этом документе представлены рекомендации по миграции службы роли центра регистрации работоспособности (HRA) с сервера на базе архитектуры x86 или x64 под управлением Windows Server® 2008, Windows Server® 2008 R2 или Windows Server® 2012 на новый сервер под управлением Windows Server 2012.

Об этом руководстве

Примечание

Подробные отзывы пользователей очень важны для нас: они помогают разрабатывать максимально надежные, исчерпывающие и простые в использовании руководства по миграции для Windows Server. Пожалуйста, оцените этот раздел, щелкнув звезды в правом верхнем углу страницы (1 — очень плохо, 5 — отлично), и добавьте комментарий к вашей оценке. Опишите, что вам понравилось, а что нет, или что вы хотели бы увидеть в будущих версиях этого раздела. Дополнительные предложения о том, как улучшить руководства по миграции или служебные программы, отправляйте на форум по миграции Windows Server.

В этом руководстве описаны действия при миграции имеющихся параметров HRA-сервера на сервер под управлением Windows Server 2012. Используя эту документацию, можно упростить миграцию, сократить или исключить отключение сервера и избежать конфликтов, которые могут возникнуть во время миграции HRA.

Целевая аудитория

Это руководство предназначено для ИТ-администраторов, ИТ-специалистов и других квалифицированных сотрудников, отвечающих за эксплуатацию и развертывание HRA-серверов в управляемой среде.

Чего в этом руководстве нет

В этом руководстве нет подробного описания действий при миграции конфигурации других служб, используемых с защитой доступа к сети (NAP), например сервера политики сети (NPS) или службы сертификации Active Directory (AD CS). Описание этих процедур можно найти в Перенос сервера политики сети в Windows Server 2012 и в Руководстве по миграции служб сертификации Active Directory (https://go.microsoft.com/fwlink/?LinkID=156771). В этих руководствах даны инструкции по выполнению конкретных процедур, необходимых для завершения миграции HRA-сервера.

Поддерживаемые сценарии миграции

Это руководство предоставляет инструкции по миграции существующего сервера, обеспечивающего службу роли HRA, на сервер под управлением Windows Server 2012. Сюда включены инструкции по установке предварительно требуемых роли сервера IIS и службы роли сервера политики сети. Если на сервере работают дополнительные службы, рекомендуется разработать специальную процедуру миграции для данной серверной среды с использованием сведений из других руководств по миграции ролей. Руководства по миграции для дополнительных ролей можно найти в документации Windows Server 2008 R2 TechCenter (https://go.microsoft.com/fwlink/?LinkID=128554).

Предупреждение

Если исходный сервер предоставляет другие роли и службы в дополнение к HRA, миграция имени компьютера и конфигурации IP может привести к сбою этих служб. Необходимо проверить эффект этих процедур перед их выполнением в ходе миграции HRA.

Поддерживаемые операционные системы

В следующей таблице описаны минимальные требования к операционным системам.

Процессор исходного сервера

Операционная система исходного сервера

Операционная система конечного сервера

Процессор конечного сервера

На базе архитектуры x86 или x64

Windows Server 2008

Windows Server 2012

На базе архитектуры x64

На базе архитектуры x64

Windows Server 2008 R2

Windows Server 2012

На базе архитектуры x64

На базе архитектуры x64

Windows Server 2012

Windows Server 2012

На базе архитектуры x64

  • В выпусках Server Core службы ролей сервера политики сети и HRA недоступны. Следующие выпуски Windows Server поддерживаются как в качестве исходных, так и в качестве конечных серверов: Foundation, Standard, Enterprise и Datacenter. Однако если служба сертификации Active Directory на исходном сервере настроена в качестве центра сертификации предприятия (ЦС), конечный сервер ЦС должен работать под управлением Windows Server 2012 выпуска Enterprise или Datacenter.

  • Не поддерживается миграция с исходного сервера на конечный сервер, работающий под управлением операционной системы, установленной с другим языком. Например, не поддерживается миграция ролей сервера с компьютера под управлением Windows Server 2008, на которой системный язык французский, на компьютер под управлением Windows Server 2012, где системным языком является немецкий. Системный язык — это язык локализованного установочного пакета, который использовался при установке операционной системы Windows.

  • Для операционной системы Windows Server 2008 поддерживается миграция для серверов на базе архитектуры x86 и x64. Все выпуски Windows Server 2008 R2 и Windows Server 2012 работают на базе архитектуры x64.

Поддерживаемые конфигурации ролей

В этом руководстве описаны процедуры миграции всех параметров HRA-сервера, включая пользовательские параметры ЦС и политики запросов. В руководстве также даны инструкции по настройке минимальных требований к роли IIS на конечном сервере.

Миграция предварительно требуемых ролей

HRA — это служба роли в рамках роли сервера служб политики сети и доступа (NPAS). Чтобы установить HRA, необходимо установить на тот же компьютер сервер политики сети и IIS. Если эти службы еще не установлены, они будут автоматически добавлены мастером добавления ролей и компонентов при установке HRA.

Для HRA также требуется подключение к одному или нескольким серверам, выполняющим службы сертификации Active Directory, настроенные для предоставления сертификатов работоспособности NAP. Служба сертификации Active Directory и HRA могут быть установлены как на одном, так и на разных компьютерах. Если HRA-серверы вашей организации настроены на создание запросов сертификатов работоспособности с использованием службы сертификации Active Directory на исходном сервере, необходимо установить службу сертификации Active Directory на конечный HRA-сервер и настроить ее на предоставление сертификатов работоспособности. Можно также изменить конфигурацию ЦС HRA-серверов.

Ознакомьтесь со следующей информацией о предварительно требуемых ролях и необходимых службах на конечном HRA-сервере.

  1. Сервер политики сети. Служба роли сервера политики сети должна быть перенесена до проверки работы HRA на конечном сервере. Если сервер политики сети на исходном сервере используется только с HRA как отдельный сервер политики работоспособности службы NAP IPsec или как прокси-сервер RADIUS для другого сервера политики работоспособности, в этом руководстве можно найти ссылки на конкретные процедуры в Перенос сервера политики сети в Windows Server 2012, необходимые для миграции соответствующих политик и параметров сервера политики сети. Если роль сервера политики сети на исходном сервере используется не для NAP IPsec или исходный сервер является членом группы RADIUS-клиентов или групп внешних RADIUS-серверов на других серверах в вашей организации, то перед выполнением миграции HRA ознакомьтесь с подробными инструкциями в Перенос сервера политики сети в Windows Server 2012.

  2. Служба сертификации Active Directory. Во время установки HRA можно установить службу сертификации Active Directory на тот же компьютер, использовать существующий ЦС NAP на другом компьютере или отложить выбор ЦС. Кроме того, можно установить службу сертификации Active Directory в качестве ЦС предприятия или автономного ЦС.

    Предупреждение

    После установки службы сертификации Active Directory на HRA-сервер изменить имя этого сервера нельзя.

    • Если служба сертификации Active Directory устанавливается на один компьютер с HRA, необходимо настроить ее на конечном HRA-сервере для предоставления сертификатов работоспособности NAP.

      • Если служба сертификатов Active Directory установлена в качестве ЦС предприятия, настройте параметры разрешений ЦС NAP в соответствии с инструкциями этого руководства. См. процедуры миграции шаблонов сертификатов работоспособности на конечный сервер в Руководстве по миграции служб сертификации Active Directory (https://go.microsoft.com/fwlink/p/?LinkID=156771).

      • Если служба сертификации Active Directory установлена в качестве автономного ЦС, в этом руководстве описаны все процедуры настройки разрешений, необходимые для конфигурации ЦС NAP на конечном сервере. Если вы используете локальный ЦС не для выдачи сертификатов работоспособности NAP или используете пользовательскую конфигурацию, подробные инструкции по миграции параметров ЦС см. в Руководстве по миграции служб сертификации Active Directory (https://go.microsoft.com/fwlink/?LinkID=156771).

    • Если используется существующий ЦС NAP на другом компьютере, то настраивать службу сертификации Active Directory на конечном сервере не требуется.

    • Если вы откладываете выбор ЦС, то настраивать службу сертификации Active Directory на конечном сервере не требуется. Если вы собираетесь устанавливать службу сертификации AD на конечный HRA-сервер позже, см. статью Развертывание служб сертификации защиты доступа к сети.

    Если служба сертификации Active Directory на исходном сервере также используется для выдачи сертификатов, которые не являются сертификатами работоспособности, см. описание процедур миграции в Руководстве по миграции служб сертификации Active Directory (https://go.microsoft.com/fwlink/?LinkID=156771).

  3. IIS. Если предварительно требуемая роль сервера IIS используется для какой-либо еще цели кроме HRA или выполняется с пользовательскими настройками, выходящими за рамки добавления сертификата SSL, перед миграцией HRA выполните процедуры руководства по миграции Internet Information Services (IIS). Если роль сервера IIS используется только с HRA, для миграции IIS следуйте процедурам этого руководства.

    Важно!

    Для поддержания производительности HRA следует изменить параметры подключения IIS по умолчанию, увеличив максимальное число одновременных подключений. Описание этой процедуры см. в разделе "Настройка параметров подключения IIS" статьи Настройка HRA-сервера для защиты сетевого доступа.

Неописанные сценарии миграции

Этот документ не описывает следующие сценарии миграции.

  • Обновление с более ранней версии. Не описаны сценарии, когда новая операционная система устанавливается на имеющееся серверное оборудование с использованием параметра Обновить при установке.

  • Рабочая группа. Не описана процедура миграции параметров HRA с сервера, не включенного в домен, или на него.

Обзор процесса миграции для данной роли

Миграция HRA-сервера разделена на следующие основные этапы.

Процесс подготовки к миграции включает организацию размещения хранилища для данных миграции, сбор информации, необходимой для миграции сервера, и установку операционной системы на конечный сервер. Процесс миграции HRA включает использование служебной программы сетевой оболочки (netsh) из командной строки для получения необходимых параметров HRA и процедуры установки необходимых ролей и миграции параметров HRA. Процедуры проверки включают тестирование правильной работы конечного сервера. Процедуры после миграции включают вывод из эксплуатации или изменение назначения исходного сервера.

Влияние миграции

Если план миграции предусматривает присвоение конечному серверу имени узла, не совпадающего с именем исходного сервера, параметры группы доверенных серверов на компьютерах-клиентах NAP, использующих исходный HRA-сервер, следует обновить таким образом, чтобы они использовали конечный HRA-сервер. Преимущество этого подхода в том, что он допускает одновременную работу исходного и конечного HRA-серверов до завершения тестирования и проверки.

Если план миграции предусматривает присвоение конечному серверу имени узла, совпадающего с именем исходного сервера, то исходный сервер следует отключить от сети и вывести из эксплуатации до подключения к домену конечного сервера с таким же именем узла. Чтобы избежать в этом сценарии отключения компьютеров-клиентов NAP, следует предоставить им доступ к еще одному HRA-серверу в дополнение к исходному и конечному серверам. Чтобы избежать кратковременных проблем с разрешением имен, используйте одинаковые конфигурации IP-адресов на исходном и конечном серверах.

Если роль сервера политики сети на исходном сервере используется не для IPsec NAP, клиентские компьютеры могут потерять доступ к сети во время процесса миграции сервера. Например, если исходный сервер используется для проверки подлинности клиента VPN, то перед миграцией HRA ознакомьтесь с подробными инструкциями по миграции в Перенос сервера политики сети в Windows Server 2012.

Влияние миграции на исходный сервер

  • Развертывание конечного сервера с другим именем узла не влияет на исходный сервер.

  • Если имя узла развертываемого конечного сервера совпадает с исходным сервером, исходный сервер следует отключить от сети и вывести из эксплуатации до подключения конечного сервера к домену.

Влияние миграции на другие компьютеры предприятия

  • Если выполняется развертывание конечного сервера с другим именем узла, необходимо обновить параметры клиента NAP для всех компьютеров, использующих HRA. Если следовать инструкциям этого руководства, в этом сценарии отключения клиентов не будет или оно будет кратковременным.

  • При развертывании конечного сервера с совпадающим именем узла клиенты не смогут получать сертификат работоспособности в течение короткого времени после отключения исходного сервера, если не будет развернут дополнительный HRA-сервер.

Разрешения, необходимые для завершения миграции

На исходном и конечном серверах требуются следующие разрешения.

  • Для настройки и авторизации HRA-сервера и для настройки параметров групповой политики клиентов NAP требуются права администратора домена.

  • Для установки HRA-сервера и управления им требуются права локального администратора.

Ожидаемая продолжительность

Миграция может занять от двух до трех часов (включая тестирование).

См. также

Миграция HRA-сервера: подготовка
Миграция HRA-сервера: выполнение
Миграция HRA-сервера: проверка
Миграция HRA-сервера: задачи после миграции
Руководство по разработке защиты сетевого доступа
Руководство по развертыванию защиты сетевого доступа