Eseguire la migrazione di Accesso remoto a Windows Server 2012
Si applica a: Windows Server 2012
Il servizio Routing e Accesso remoto (RRAS) è una funzionalità dei sistemi operativi Windows Server delle versioni precedenti a Windows Server 2012 che consente di utilizzare un computer come un router IPv4 o IPv6, come router NAT IPv4 o come server di accesso remoto che ospita connessioni remote o VPN provenienti da client remoti. La funzionalità è stata ora combinata con DirectAccess per creare il ruolo server Accesso remoto in Windows Server 2012. In questa guida viene descritto come eseguire la migrazione di un server che ospita il servizio Routing e Accesso remoto (in Windows Server 2008 R2 e altre versioni di livello inferiore) a un computer che esegue Windows Server 2012.
Nota
Commenti e suggerimenti dettagliati degli utenti sono molto importanti e utili per rendere le guide alla migrazione di Windows Server più affidabili, complete e facili da utilizzare. Invitiamo gli utenti a esprimere una valutazione per questo argomento e quindi aggiungere un commento a supporto del voto assegnato. È possibile indicare quali elementi si ritengono validi e quali no o ciò che si desidera venga inserito nelle versioni future dell'argomento. Per inviare suggerimenti aggiuntivi per migliorare le utilità o le guide alla migrazione, inserire un post nel forum relativo alla migrazione di Windows Server.
Informazioni sulla guida
Gli strumenti e la documentazione per la migrazione semplificano il processo per i dati e le impostazioni dei ruoli server da un server esistente a un server di destinazione che esegue Windows Server 2012. Gli strumenti descritti in questa guida consentono di semplificare il processo di migrazione, ridurne i tempi, perfezionarlo ed eliminare possibili conflitti che potrebbero verificarsi durante il processo di migrazione. Per altre informazioni sull'installazione e l'utilizzo degli strumenti di migrazione nei server di origine e di destinazione, vedere Installare, utilizzare e rimuovere Strumenti di migrazione per Windows Server (https://go.microsoft.com/fwlink/?LinkId=247607).
Utenti interessati
Questo documento è destinato agli amministratori dei reparti IT, ai professionisti IT e ad altri knowledge worker responsabili del funzionamento e della distribuzione di server di Accesso remoto in un ambiente gestito. Per eseguire alcuni passaggi della migrazione illustrati in questa guida, è necessaria una certa conoscenza degli script.
Informazioni non contenute in questa guida
In questa guida non viene illustrata l'architettura o la funzionalità dettagliata del ruolo Accesso remoto. Gli scenari seguenti non sono supportati in questa guida alla migrazione:
Qualsiasi processo per un aggiornamento sul posto in cui il nuovo sistema operativo viene installato nei componenti hardware server esistenti scegliendo l'opzione Upgrade durante l'installazione
Scenari di clustering e multisito
Migrazione di più ruoli server
Se nel server vengono eseguiti più ruoli, è consigliabile progettare una procedura di migrazione personalizzata specifica dell'ambiente server in uso e basata sulle informazioni disponibili in questa e in altre guide alla migrazione dei ruoli.
Scenari di migrazione supportati
In questa guida vengono fornite istruzioni per eseguire la migrazione di un server esistente a un server che esegue Windows Server 2012.
Avviso
In questa guida non sono contenute le istruzioni per eseguire la migrazione quando il server di origine esegue più ruoli. Se nel server di origine vengono eseguiti più ruoli, alcuni passaggi di migrazione illustrati in questa guida, ad esempio quelli relativi alla migrazione di account utente e nomi di interfacce di rete, possono causare errori degli altri ruoli eseguiti nel server.
Sistemi operativi supportati
In questa guida vengono fornite le istruzioni relative alla migrazione di dati e impostazioni da un server esistente che verrà sostituito da un nuovo server a 64 bit fisico o virtuale con un sistema operativo privo di installazioni, come illustrato nella tabella seguente.
Processore del server di origine |
Sistema operativo del server di origine |
Sistema operativo del server di destinazione |
Processore del server di destinazione |
|---|---|---|---|
Basato su x86 o su x64 |
Windows Server 2003 con Service Pack 2 |
Windows Server 2012 |
Basato su x64 |
Basato su x86 o su x64 |
Windows Server 2003 R2 |
Windows Server 2012 |
Basato su x64 |
Basato su x86 o su x64 |
Windows Server 2008, solo l'opzione per l'installazione completa |
Windows Server 2012 |
Basato su x64 |
Basato su x64 |
Windows Server 2008 R2, solo l'opzione per l'installazione completa |
Windows Server 2012 |
Basato su x64 |
Basato su x64 |
Windows Server 2012 |
Windows Server 2012 |
Basato su x64 |
Le versioni dei sistemi operativi indicate nella tabella precedente corrispondono alle combinazioni più recenti di sistemi operativi e Service Pack supportate. Sono supportati anche Service Pack più recenti.
La migrazione non è supportata quando nel server di destinazione è già configurato DirectAccess.
Le edizioni Foundation, Standard, Enterprise e Datacenter del sistema operativo Windows Server sono supportate sia nel server di origine sia nel server di destinazione. È inclusa la migrazione tra edizioni. È ad esempio possibile eseguire la migrazione da un server in cui viene eseguito Windows Server 2003 Standard a un server in cui viene eseguito Windows Server 2012.
Sono supportate le migrazioni tra sistemi operativi fisici e sistemi operativi virtuali.
Non è supportata la migrazione da un server di origine a un server di destinazione in cui viene eseguito un sistema operativo con una lingua dell'interfaccia utente, ovvero la lingua installata, diversa da quella del server di origine. Non è ad esempio possibile utilizzare Strumenti di migrazione per Windows Server per eseguire la migrazione di ruoli, impostazioni del sistema operativo, dati o risorse condivise da un computer che esegue Windows Server 2008 R2 con interfaccia utente del sistema operativo in lingua francese a un computer che esegue Windows Server 2012 con interfaccia utente del sistema operativo in lingua tedesca.
Nota
La lingua dell'interfaccia utente è la lingua del pacchetto di installazione localizzato utilizzato per installare il sistema operativo Windows.
Per Windows Server 2003 e Windows Server 2008 sono supportate sia le migrazioni basate su x86 che quelle basate su x64. Tutte le edizioni di Windows Server 2008 R2 e Windows Server 2012 sono basate su x64.
Configurazioni di ruoli supportate
Di seguito è riportato un lungo elenco di scenari di migrazione supportati per Accesso remoto. Viene eseguita la migrazione di tutte le impostazioni indicate in questi scenari.
DirectAccess (supportato solo nella migrazione da Windows Server 2012 a Windows Server 2012)
Server VPN
Server di connessione remota
Network Address Translation (NAT)
Routing, con i componenti facoltativi seguenti:
Agente di inoltro DHCP
RIP (Routing Information Protocol)
IGMP (Internet Group Management Protocol)
Oltre agli scenari precedenti, la migrazione regola automaticamente anche la configurazione del server di destinazione in base alle funzionalità non più supportate e per includere le nuove funzionalità di Windows Server 2012 non supportate nelle versioni precedenti di Windows.
Dipendenze della migrazione
Se è necessario eseguire la migrazione di un server NPS locale o remoto utilizzato per l'autenticazione, l'accounting o la gestione dei criteri, eseguire la migrazione del server NPS prima della migrazione di Accesso remoto. Per altre informazioni, vedere Eseguire la migrazione di Server dei criteri di rete a Windows Server 2012.
Se si esegue un aggiornamento da DirectAccess di Windows 2008 R2 a Windows Server 2012, verificare che tutte le impostazioni di configurazione di DirectAccess siano state applicate al server Windows 2008 R2. È possibile salvare le impostazioni tramite la console, ma non applicarle. Prima di eseguire l'aggiornamento, verificare che le impostazioni salvate siano anche state applicate.
Componenti di migrazione non supportati in tutte le versioni del sistema operativo
I componenti di Accesso remoto seguenti non sono supportati in tutti i sistemi operativi:
Componente |
Finestra di dialogo/impostazioni dell'interfaccia utente |
Azione |
Nuovi componenti, non disponibili in Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 |
||
Indicazione della scheda per ottenere indirizzi DNS/WINS |
Proprietà del server di Accesso remoto - Scheda IPv4: Scheda |
Questo componente non è supportato in Windows Server 2003. Per questa impostazione è consigliabile utilizzare il valore predefinito nel computer di destinazione. |
SSTP |
Porte SSTP |
SSTP non è supportato in Windows Server 2003. Le porte SSTP devono essere abilitate nel computer di destinazione. Il numero dipende dal valore predefinito per lo SKU nel computer di destinazione |
IPv6 |
|
|
Filtri IP in Criteri e registrazione di Accesso remoto |
Criteri e registrazione di Accesso remoto - Filtri IP |
In Windows Server 2003 e Windows Server 2008 non è disponibile un'opzione per creare filtri IP in Criteri e registrazione di Accesso remoto. Di conseguenza, non sono presenti filtri di cui eseguire la migrazione. |
Recupero automatico dell'indirizzo IPv6 |
Proprietà della connessione a richiesta (VPN/PPPoE) - Scheda Rete - Proprietà IPv6 - Pulsante di opzione Ottieni automaticamente un indirizzo IP |
Questa impostazione non è disponibile in Windows Server 2008. È consigliabile assegnare a questa impostazione il valore predefinito nel computer di destinazione. |
IKEv2 |
|
|
Certificato SSTP Selezione |
Proprietà del server di Accesso remoto - Scheda Sicurezza: casella di controllo "Usa HTTP", elenco a discesa per selezionare il certificato, impostazioni di cryptobinding |
Questo componente non è supportato in Windows Server 2003 e Windows Server 2008. Per tutte queste impostazioni nel computer di destinazione è consigliabile utilizzare i valori predefiniti. |
Accounting VPN |
Criteri e registrazione di Accesso remoto - Accounting: impostazioni Azione esito negativo registrazione in "Proprietà registrazione in SQL Server" e "Proprietà file di registro" |
Queste impostazioni non sono presenti in Windows Server 2008. È consigliabile utilizzare il valore predefinito nel computer di destinazione. |
Funzionalità deprecate: Non disponibile in Windows Server 2008, Windows Server 2008 R2 o Windows Server 2012 |
||
Protocolli SPAP, MS-CHAP, EAP-MD5 e impostazioni correlate |
Proprietà dell'interfaccia di gestione connessione a richiesta VPN/PPPoE - Scheda Sicurezza |
Le impostazioni SPAP, EAP-MD5 e MS-CHAP non sono supportate in Windows Server 2008 R2 o Windows Server 2012 e non verranno migrate. |
Configurazione dell'interfaccia di connessione alla rete locale (LAN) in Routing |
Routing - Generale - Proprietà connessione alla rete locale (LAN) - Scheda Configurazione |
Questa scheda include le impostazioni per configurare il modo in cui ottenere un indirizzo IP per l'interfaccia. La scheda è presente solo in Windows Server 2003 e non verrà migrata. |
Firewall del server di Accesso remoto (integrato con NAT) |
|
Windows Server 2003 supporta la funzionalità del firewall del server di Accesso remoto, che è stata rimossa in Windows Server 2008. Queste impostazioni non verranno migrate. |
Impostazioni di crittografia debole |
La crittografia debole è supportata in Windows Server 2003, ma in Windows Server 2008 e Windows Server 2008 R2 può essere abilitata solo tramite il Registro di sistema. Durante la migrazione da Windows Server 2003 le impostazioni del Registro di sistema non verranno create automaticamente. Per Windows Server 2008 e versioni successive, verrà eseguita la migrazione di queste impostazioni del Registro di sistema se sono già presenti. |
Componenti la cui migrazione non viene eseguita automaticamente
Non è possibile eseguire la migrazione degli elementi e delle impostazioni di Accesso remoto indicate di seguito tramite i cmdlet di Windows PowerShell disponibili con Strumenti di migrazione per Windows Server. In alternativa, è necessario configurare manualmente l'elemento o l'impostazione nel nuovo server RRAS come illustrato in Completamento dei passaggi manuali necessari per eseguire la migrazione in questa guida.
Importante
Eseguire la configurazione manuale di questi elementi solo quando verrà indicato più avanti in questa guida.
Binding a certificati SSL. La migrazione delle impostazioni di binding a certificati SSL e di cryptobinding per SSTP viene eseguita nel modo seguente:
Tramite la Migrazione guidata viene cercato un certificato nel computer di destinazione. Se ne viene trovato uno, questo viene utilizzato da SSTP.
Se non viene trovato alcun certificato di origine, tramite la Migrazione guidata viene cercato un certificato valido con la stessa radice attendibile del certificato di origine.
Se non viene comunque trovato alcun certificato, la configurazione SSTP nel computer di destinazione è quella predefinita.
Se si utilizzano certificati autofirmati (opzione valida per Windows Server 2012), questi verranno automaticamente creati nel computer di destinazione.
Account utente nel server RRAS locale. Se si utilizzano account utente e di gruppo basati su dominio e sia il nuovo server RRAS sia quello sostituito appartengono allo stesso dominio, non è necessario eseguire la migrazione degli account. Se l'impostazione Autenticazione di Windows è configurata nel server di origine RRAS, è possibile utilizzare account utente locali.
Solo routing/VPN/DirectAccess quando sono installati tutti i servizi. Se la configurazione del server di Accesso remoto include tutti i servizi disponibili, è necessario eseguire la migrazione dei servizi tutti insieme. La migrazione di uno solo dei servizi nel server di destinazione non è supportata.
Server locale o remoto in cui viene eseguito il Server dei criteri di rete che consente di eseguire l'autenticazione, l'accounting e la gestione dei criteri. In questa guida non sono inclusi i passaggi necessari per eseguire la migrazione di un server in cui viene eseguito il Server dei criteri di rete. Per la migrazione di un server che esegue Server dei criteri di rete, usare Eseguire la migrazione di Server dei criteri di rete a Windows Server 2012. La migrazione del Server dei criteri di rete deve essere eseguita quando verrà indicato più avanti in questa guida.
Nota
Se non si utilizza un server che esegue il Server dei criteri di rete, non viene eseguita la migrazione delle impostazioni di accounting e dei criteri predefinite di Accesso remoto create automaticamente durante la configurazione di RRAS.
Connessioni a richiesta remote. Al server di destinazione potrebbero essere collegati modem diversi a cui sono associate diverse impostazioni di connessione a richiesta specifiche del modem o del dispositivo ISDN selezionato.
Certificati utilizzati per l'autenticazione di connessioni IKEv2, SSTP e L2TP/IPsec.
Binding a certificati SSL per SSTP quando la casella di controllo Usa HTTP non è selezionata.
Connessioni VPN IKEv2 che utilizzano schede di rete IPv6. IKEv2 è supportato nei server RRAS in cui viene eseguito solo Windows Server 2008 R2. In Microsoft Management Console (MMC) di RRAS in Windows Server 2008 R2 è possibile specificare l'interfaccia di rete utilizzata per acquisire gli indirizzi DHCP e DNS IPv6 utilizzati per i client VPN IKEv2. Se si esegue la migrazione di RRAS da Windows Server 2008 R2 a un altro server in cui viene eseguito Windows Server 2008 R2, l'impostazione viene migrata. Se tuttavia si esegue la migrazione da una versione precedente di Windows, non vi sono impostazioni da migrare e viene utilizzato il valore predefinito di Consenti a RAS di selezionare la scheda.
Crittografia debole. In Windows Server 2003 la crittografia debole è abilitata, mentre nelle versioni successive di Windows è disabilitata per impostazione predefinita. È possibile abilitare la crittografia debole solo modificando il Registro di sistema. Durante la migrazione da Windows Server 2003, le impostazioni del Registro di sistema obbligatorie non vengono create nel nuovo server tramite il processo di migrazione e devono essere configurate manualmente. Per le versioni successive di Windows, se queste impostazioni del Registro di sistema sono presenti, esse vengono migrate.
DLL di amministrazione e DLL di sicurezza e chiavi del Registro di sistema corrispondenti. Queste DLL sono disponibili nelle versioni a 32 e a 64 bit e non funzionano in una migrazione dalla versione a 32 bit a quella a 64 bit.
DLL personalizzate utilizzate per stabilire una connessione a richiesta. Queste DLL sono disponibili nelle versioni a 32 e a 64 bit e non funzionano in una migrazione dalla versione a 32 bit a quella a 64 bit. Anche le impostazioni del Registro di sistema corrispondenti non vengono migrate.
Profili di Connection Manager. Connection Manager Administration Kit consente di creare profili di accesso remoto e VPN. I profili creati vengono archiviati in cartelle specifiche nel server RRAS. I profili creati in una versione a 32 bit di Windows non funzionano nei computer che eseguono una versione a 64 bit di Windows e viceversa. Per altre informazioni sui profili di connessione, vedere Connection Manager Administration Kit (https://go.microsoft.com/fwlink/?linkid=55986).
Impostazione Frammenti inoltrati in gruppo in NAT. Questa impostazione è abilitata se il server RRAS viene distribuito dietro a un router NAT in esecuzione nel sistema operativo Windows. Questa operazione è necessaria per la buona riuscita delle connessioni L2TP/IPsec che utilizzano l'autenticazione dei certificati del computer. È consigliabile abilitare questo valore come soluzione alternativa a un problema noto in RRAS.
Impostazione Registra informazioni aggiuntive di Routing e Accesso remoto (utilizzate per il debug) nella pagina delle proprietà di Routing e Accesso remoto nella scheda Registrazione.
Panoramica del processo di migrazione del servizio Routing e Accesso remoto
Il processo di pre-migrazione include la raccolta manuale di dati, quindi l'esecuzione di procedure nei server di origine e di destinazione. Il processo di migrazione prevede l'esecuzione di procedure nei server di origine e di destinazione basate sull'utilizzo dei cmdlet Export e Import per la raccolta, l'archiviazione e la migrazione automatiche delle impostazioni dei ruoli server. Le procedure post-migrazione includono la verifica della corretta sostituzione del server di origine con il server di destinazione e quindi il ritiro o il reimpiego del server di origine. Se la procedura di verifica indica che la migrazione non è riuscita, è necessario avviare la risoluzione di problemi. Se anche la risoluzione dei problemi non riesce, vengono fornite istruzioni di rollback per ripristinare l'utilizzo del server di origine originale nella rete.
Impatto della migrazione
Durante la migrazione, il server di Accesso remoto non può accettare connessioni in ingresso o indirizzare il traffico.
I nuovi client remoti non possono connettersi al server tramite connessioni remote, VPN o DirectAccess. Le connessioni esistenti nel server vengono disconnesse. Se si dispone di più server di Accesso remoto, la perdita di disponibilità di questo server comporta una riduzione della capacità finché il nuovo server non sarà operativo. Per le connessioni a richiesta, è necessario fornire una connettività alternativa tra uffici o riconfigurare le connessioni affinché puntino a un server alternativo.
Le funzionalità NAT e di routing non sono disponibili. Se durante la migrazione è necessaria la funzionalità, è possibile distribuire un router alternativo finché il nuovo server di destinazione non sarà disponibile.
Impatto delle procedure post-migrazione:
Se si intende riutilizzare il nome del server di origine come nome del server di destinazione, è possibile riconfigurare il nome nel server di destinazione dopo aver disconnesso il server di origine dalla rete. In caso contrario, si verificherà un conflitto di nomi che può influire sulla disponibilità. Se si intende eseguire entrambi i server, al server di destinazione è necessario assegnare un nome univoco.
È possibile connettere direttamente un server VPN a Internet oppure inserirlo in una rete perimetrale dietro un firewall o un router NAT. Se l'indirizzo IP o il nome DNS del server di destinazione cambia durante o dopo il processo di migrazione, è necessario riconfigurare i mapping nel firewall o nel dispositivo NAT affinché puntino al nome o all'indirizzo corretto. È inoltre necessario aggiornare eventuali server DNS Intranet o Internet con il nome e l'indirizzo IP nuovi. Ricordare inoltre di fornire informazioni su qualsiasi modifica del nome o dell'indirizzo IP del server agli utenti affinché possano connettersi al server corretto. Se si utilizzano profili di connessione creati tramite Connection Manager Administration Kit, distribuire un nuovo profilo con le informazioni sull'indirizzo del server aggiornate.
Nota
Per DirectAccess, il computer di origine e quello di destinazione devono avere gli stessi indirizzi IP e nomi di interfaccia.
È consigliabile annunciare la data e l'ora previste per la migrazione in modo che gli utenti possano organizzarsi di conseguenza.
Autorizzazioni necessarie per completare la migrazione
Le autorizzazioni seguenti sono necessarie nei server di origine e nei server di Accesso remoto di destinazione:
Sono necessari diritti utente del dominio per l'aggiunta del nuovo server al dominio.
Sono necessari diritti amministrativi locali per installare e gestire il ruolo Accesso remoto.
Autorizzazioni di amministratore per oggetti Criteri di gruppo di DirectAccess equivalenti a quelli configurati nel computer di origine.
Sono necessarie autorizzazioni in scrittura per il percorso dell'archivio delle migrazioni. Per ulteriori informazioni vedere la sezione relativa ai percorsi per la migrazione a un cluster di failover che esegue Windows Server 2008 R2Accesso remoto: Preparare la migrazione in questa guida.
Durata stimata
La migrazione può richiedere da due a tre ore, inclusi i test.
Vedere anche
Accesso remoto: Preparare la migrazione
Accesso remoto: eseguire la migrazione di Accesso remoto
Accesso remoto: Verificare la migrazione
Accesso remoto: attività post-migrazione