Windows Server 2012 へのリモートアクセスの移行

[アーティクル]
06/12/2016

適用対象: Windows Server 2012

ルーティングとリモートアクセスサービス (RRAS) は、Windows Server 2012 より前の Windows Server オペレーティングシステムの役割サービスでした。このサービスにより、IPv4 ルーターまたは IPv6 ルーター、IPv4 ネットワークアドレス変換 (NAT) ルーター、リモートクライアントからのダイヤルアップ接続または仮想プライベートネットワーク (VPN) 接続をホストするリモートアクセスサーバーとしてコンピューターを使用できました。現在、この機能と DirectAccess が組み合わされて、Windows Server 2012 のリモートアクセスサーバーの役割が構成されています。このガイドでは、Windows Server 2008 R2 を実行しているコンピューターに、ルーティングとリモートアクセスサービスをホストしている (Windows Server 2012 および他のダウンレベルバージョンの) サーバーを移行する方法について説明します。

注意

皆様からの詳細なフィードバックはマイクロソフトにとって非常に重要です。Windows Server 移行ガイドを、より正確で完成度が高く、そして使いやすいドキュメントとするために、皆様から寄せられたフィードバックが活かされています。お手数ですが、このトピックの評価をお願いします。またそのように評価する理由をコメントとして追加していただければさいわいです。掲載内容について良かった点、悪かった点、または今後の改訂時に取り上げてほしい内容などをお書き添えください。他にも移行ガイドやユーティリティの品質向上のためのご提案がございましたら、Windows Server の移行に関するフォーラムまでお寄せください。

このガイドについて

移行に関するドキュメントと移行ツールを活用することによって、既存のサーバーから Windows Server 2012 を実行する移行先サーバーに、サーバーの役割設定とデータを効率よく移行することができます。このガイドで説明されているツールを使用すると、移行プロセスを簡素化すること、移行時間を短縮すること、移行プロセスの精度を高めること、および移行プロセス中に発生する可能性のある競合を取り除くことができます。移行元サーバーと移行先サーバーに移行ツールをインストールする方法、およびそれらのツールを使用する方法の詳細については、「Windows Server 移行ツールのインストール、使用、および削除」(https://go.microsoft.com/fwlink/?LinkId=247607) を参照してください。

対象読者

このドキュメントの対象読者は、情報技術 (IT) 管理者、IT 担当者など、管理された環境でリモートアクセスサーバーの運用と展開を担当するナレッジワーカーです。このガイドに記載されている移行手順の一部を実行するためには、スクリプトについてのある程度の知識が必要です。

このガイドで説明されていないもの

このガイドでは、リモートアクセスの役割のアーキテクチャと詳細な機能については説明しません。次に示すシナリオは、この移行ガイドではサポートされていません。

セットアップ中に Upgrade オプションを使用して既存のサーバーハードウェアに新しいオペレーティングシステムをインストールする、インプレースアップグレード
クラスタリングおよびマルチサイトのシナリオ
複数のサーバーの役割の移行

複数の役割がサーバーで実行されている場合は、このガイドや他の役割の移行ガイドで説明されている情報に基づいて、サーバー環境に合わせたカスタムの移行手順を設計することが推奨されます。

サポートされている移行のシナリオ

このガイドでは、既存のサーバーを、Windows Server 2012 を実行しているサーバーに移行する方法について説明します。

注意

移行元サーバーで複数の役割が実行されている場合の移行方法については取り上げていません。移行元サーバーで複数の役割が実行されている場合、ユーザーアカウントとネットワークインターフェイス名の移行手順など、このガイドで紹介している特定の移行手順を実行すると、移行元サーバーで実行されている他の役割に不具合が生じる場合があります。

サポートされているオペレーティングシステム

このガイドでは、次の表に示すとおり、既存のサーバーを、オペレーティングシステムがクリーンインストールされた新しい物理または仮想 64 ビットサーバーに置き換えるときに、既存のサーバーからデータと設定を移行するための手順を紹介します。

移行元サーバーのプロセッサ	移行元サーバーのオペレーティングシステム	移行先サーバーのオペレーティングシステム	移行先サーバーのプロセッサ
x86 または x64 ベース	Windows Server 2003 Service Pack 2	Windows Server 2012	x64 ベース
x86 または x64 ベース	Windows Server 2003 R2	Windows Server 2012	x64 ベース
x86 または x64 ベース	Windows Server 2008 (フルインストールオプションのみ)	Windows Server 2012	x64 ベース
x64 ベース	Windows Server 2008 R2 (フルインストールオプションのみ)	Windows Server 2012	x64 ベース
x64 ベース	Windows Server 2012	Windows Server 2012	x64 ベース

上の表で示したオペレーティングシステムのバージョンは、サポートされている最も古い組み合わせでのオペレーティングシステムとサービスパックについてのものです。より新しいサービスパックがサポートされています。
移行先サーバーに DirectAccess が既に構成されている移行はサポートされません。
Windows Server オペレーティングシステムの Foundation、Standard、Enterprise、Datacenter の各エディションは、移行元または移行先のサーバーどちらとしてもサポートされています。これにはエディション間の移行も含まれます。たとえば、Windows Server 2003 Standard を実行しているサーバーから Windows Server 2012 を実行しているサーバーへの移行も可能です。
物理的なオペレーティングシステムと仮想化されたオペレーティングシステム間での移行はサポートされています。
移行元サーバーから、移行元サーバーとは異なるシステム UI 言語 (インストール言語) のオペレーティングシステムを実行している移行先サーバーへの移行はサポートされていません。たとえば、Windows Server 移行ツールを使用して、フランス語のシステム UI 言語で Windows Server 2008 R2 を実行しているコンピューターから、ドイツ語のシステム UI 言語で Windows Server 2012 を実行しているコンピューターに、役割、オペレーティングシステムの設定、データ、または共有リソースを移行することはできません。

注意

システム UI 言語とは、Windows オペレーティングシステムのセットアップに使用された、ローカライズ済みのインストールパッケージの言語のことです。
x86 ベースおよび x64 ベースの移行は、どちらも Windows Server 2003 および Windows Server 2008 でサポートされています。Windows Server 2008 R2 および Windows Server 2012 のすべてのエディションは x64 ベースです。

サポートされている役割の構成

次に、リモートアクセスでサポートされているさまざまな移行のシナリオを示します。これらのシナリオでは、すべての設定が移行されます。

DirectAccess (Windows Server 2012 から Windows Server 2012 への移行のみをサポート)
VPN サーバー
ダイヤルアップサーバー
ネットワークアドレス変換 (NAT)
次のオプションコンポーネントを使用したルーティング
- DHCP リレーエージェント
- ルーティング情報プロトコル (RIP)
- インターネットグループ管理プロトコル (IGMP)

移行では、上記のシナリオに加えて、サポートされなくなった機能に対処すると共に、Windows Server 2012 から導入された新機能をサポートするために、移行先サーバーの構成の自動調整も行われます。

移行の依存関係

認証、アカウンティング、またはポリシー管理用のローカルまたはリモート NPS サーバーも移行する必要がある場合は、リモートアクセスを移行する前に NPS サービスを移行します。詳細については、「Windows Server 2012 へのネットワークポリシーサーバーの移行」を参照してください。

Windows 2008 R2 DirectAccess から Windows Server 2012 にアップグレードする場合は、DirectAccess のすべての構成設定が Windows 2008 R2 サーバーで適用されていることを確認します。設定をコンソールから保存することはできますが、適用することはできません。アップグレードする前に、保存した設定が適用されていることを確認してください。

すべてのオペレーティングシステムのバージョンでサポートされているとは限らない移行コンポーネント

次のリモートアクセスコンポーネントは、すべてのオペレーティングシステムでサポートされているとは限りません。

コンポーネント	UI ダイアログ/設定	操作
新規コンポーネント (Windows Server 2003、Windows Server 2008、Windows Server 2008 R2 では使用できません)
DNS/WINS アドレスを取得するためのアダプターの指定	RAS プロパティ - [IPv4] タブ: アダプタ	このコンポーネントは、Windows Server 2003 ではサポートされていません。ターゲットコンピューターでは、この設定に既定値を使用してください。
SSTP	SSTP ポート	Windows Server 2003 では SSTP はサポートされていません。ターゲットコンピューターで SSTP ポートを有効にする必要があります。数値は、ターゲットコンピューターの SKU の既定値によって決まります。
IPv6	RAS プロパティ – [全般] タブ: [IPv6 ルーター] チェックボックスと対応するラジオボタン、[IPv6 リモートアクセスサーバー] RAS プロパティ – [IPv6] タブ: すべての設定デマンドダイヤル (VPN/PPPoE) プロパティ – [ネットワーク] タブ – [TCP/IPv6] デマンドダイヤル (VPN/PPPoE) – 接続開始用の IPv6 フィルター IPv6 - ルーター	Windows Server 2003 では IPv6 はサポートされていません。 DirectAccess が展開されていない (従来の VPN の) 場合、ターゲットコンピューターで IPv6 を無効にする必要があります。 RRAS のプロパティの [全般] タブでは、[IPv6 ルーター] と [IPv6 リモートアクセスサーバー] は選択しないでください。 RAS プロパティの [IPv6] タブの [アダプター] 設定は、IKEv2 の Windows Server 2008 R2 で導入されました。この設定は Windows Server 2008 にはありません。移行中、Windows Server 2008 用のターゲットコンピューターではこの設定を既定値に設定し、Windows Server 2008 R2 と Windows Server 2012 用のターゲットコンピューターでは設定を "そのまま" にしてください。
[リモートアクセスのログとポリシー] での IP フィルター	[リモートアクセスのログとポリシー] – [IP フィルター]	Windows Server 2003 と Windows Server 2008 の [リモートアクセスのログとポリシー] には、IP フィルターを作成するオプションはありません。したがって、移行するフィルターはありません。
IPv6 アドレスの自動取得	デマンドダイヤル (VPN/PPPoE) プロパティ - [ネットワーク] タブ - [IPv6] プロパティ - [IP アドレスを自動的に取得する] ラジオボタン	この設定は、Windows Server 2008 にはありません。ターゲットコンピューターでは、この設定の値を既定値に設定してください。
IKEv2	IKEv2 ポート RAS プロパティ - [セキュリティ] タブ: IKEv2 用コンピューター証明書の認証 RAS プロパティ – [IKEv2] タブ: すべての設定	Windows Server 2003 と Windows Server 2008 では IKEv2 はサポートされていません。ターゲットコンピューターで IKEv2 ポートを有効にする必要があります。数値は、ターゲットコンピューターの SKU の既定値によって決まります。ターゲットコンピューターでは、IKEv2 のすべての設定に、既定値を使用してください。
SSTP 証明書選択	RAS プロパティ - [セキュリティ] タブ: [HTTP を使用する] チェックボックス、証明書を選択するドロップダウン、暗号化バインド設定	このコンポーネントは、Windows Server 2003 および Windows Server 2008 ではサポートされていません。ターゲットコンピューターでは、これらの設定すべてに、既定値を使用してください。
VPN アカウンティング	[リモートアクセスのログとポリシー] – [アカウンティング]: [SQL Server ログプロパティ] と [ログファイルプロパティ] の [ログが失敗した場合の処理] の設定	これらの設定は、Windows Server 2008 にはありません。ターゲットコンピューターでは、既定値を使用してください。
推奨されない機能:Windows Server 2008、Windows Server 2008 R2、または Windows Server 2012 では使用できません
SPAP、MS-CHAP、EAP-MD5 の各プロトコルと関連する設定	VPN/PPPoE デマンドダイヤルインターフェイスのプロパティ – [セキュリティ] タブ	Windows Server 2008 R2 または Windows Server 2012 では、SPAP、EAP-MD5、および MS-CHAP の設定はサポートされないため、移行対象となりません。
[ルーティング] のローカルエリア接続インターフェイスの構成	[ルーティング] - [全般] - [ローカルエリアの接続プロパティ] - [構成] タブ	このタブでは、対象のインターフェイスに対して IP アドレスをどのように取得するかを構成する設定を提供します。このタブは Windows Server 2003 でのみ用意されているため、移行されません。
RAS ファイアウォール (NAT と統合)	[NAT] – [インターフェイス] – [NAT/ベーシックファイアウォール] タブ [NAT] – [インターフェイス] – [ICMP] タブ	Windows Server 2003 では、Windows Server 2008 で削除された RAS ファイアウォール機能がサポートされていました。この設定は、移行されません。
弱い暗号化の設定		Windows Server 2003 では弱い暗号化がサポートされていますが、Windows Server 2008 と Windows Server 2008 R2 では、レジストリを使用した場合にのみ有効にできます。 Windows Server 2003 からの移行中、レジストリ設定は自動作成されません。Windows Server 2008 以降のバージョンの場合、これらのレジストリ設定が既に存在していると、設定が移行されます。

自動的に移行されない移行コンポーネント

Windows Server 移行ツールに用意されている Windows PowerShell コマンドレットを使用しても、次のリモートアクセス要素および設定は移行されません。そのため、このガイドの「手動による構成が必要な移行手順の完了」で説明されているとおりに、新しい RRAS サーバーで要素または設定を手動で構成する必要があります。

重要

これらの要素の手動構成は、このガイドで指示がある場合にのみ行ってください。

SSL 証明書のバインド SSTP の SSL 証明書バインドと暗号化バインドの設定は次のように移行されます。
1. 移行ウィザードによって、移行先コンピューターのソース証明書が検索されます。証明書が見つかると、SSTP によってその証明書が使われます。
2. ソース証明書が見つからない場合、ソース証明書と同じ信頼されたルートを持つ有効な証明書を、移行ウィザードが検索します。
3. それでも証明書が見つからない場合は、移行元コンピューターの SSTP 構成は [既定] になります。
4. 自己署名証明書を使用している場合 (Windows Server 2012 の場合に有効)、移行先コンピューターで自動的に作成されます。
ローカル RRAS サーバー上のユーザーアカウント。ドメインベースのユーザーおよびグループアカウントを使用しており、新旧両方の RRAS サーバーが同じドメインに属している場合は、アカウントの移行は不要です。移行元 RRAS サーバーで Windows 認証が構成されている場合は、ローカルユーザーアカウントを使用できます。
すべてがインストールされているときは、ルーティング/VPN/DirectAccess のみ。リモートアクセスサーバーの構成に使用可能なすべてのサービスが含まれている場合は、すべてのサービスを一緒に移行する必要があります。どちらか一方のサービスだけを移行先サーバーに移行することはできません。
認証、アカウンティング、およびポリシー管理用のネットワークポリシーサーバー (NPS) を実行しているローカルまたはリモートサーバー。このガイドでは、NPS を実行しているサーバーの移行に必要な手順は取り上げません。 NPS を実行しているサーバーの移行については、「Windows Server 2012 へのネットワークポリシーサーバーの移行」を参照してください。 NPS の移行は、このガイドで指示がある場合に行ってください。

注意

NPS を実行しているサーバーがない場合は、RRAS の構成時に自動的に作成された既定のリモートアクセスポリシーとアカウンティングの設定は移行されません。
ダイヤルアップベースのデマンドダイヤル接続。移行先サーバーにはさまざまなモデムが接続される可能性があります。選択されるモデムまたは ISDN デバイスごとに、多数のデマンドダイヤル設定が存在します。
IKEv2、SSTP、および L2TP/IPsec 接続の認証に使用される資格情報。
[HTTP を使用する] チェックボックスをオフにした場合の、SSTP 用の SSL 証明書バインディング。
IPv6 ネットワークアダプターを使用する IKEv2 VPN 接続。 IKEv2 は、Windows Server 2008 R2 を実行している RRAS サーバーでのみサポートされます。Windows Server 2008 R2 上の RRAS Microsoft 管理コンソール (MMC) で、IKEv2 VPN クライアントで使用する IPV6 DHCP および DNS アドレスを取得するためのネットワークインターフェイスを指定できます。Windows Server 2008 R2 から Windows Server 2008 R2 を実行している別のサーバーに RRAS を移行する場合、設定は移行されます。ただし、移行元が以前のバージョンの Windows である場合、設定は移行されず、[RAS でアダプターを選択できるようにする] の既定値が使用されます。
弱い暗号化。 Windows Server 2003 では弱い暗号化が有効になっていますが、それ以降の Windows バージョンでは、弱い暗号化が既定で無効になっています。弱い暗号化を有効にするには、レジストリを変更する以外の方法はありません。 Windows Server 2003 からの移行処理において、必要なレジストリ設定は移行プロセスによって新しいサーバー上に作成されないため、手動で構成する必要があります。これより後のバージョンの Windows では、これらのレジストリ設定が存在する場合、設定が移行されます。
管理 DLL、セキュリティ DLL、およびこれらに対応するレジストリキー。これらの DLL には 32 ビットバージョンと 64 ビットバージョンがあり、これらは 32 ビットから 64 ビットへの移行において動作しません。
デマンドダイヤル接続のダイヤルに使用されるカスタム DLL。これらの DLL には 32 ビットバージョンと 64 ビットバージョンがあり、これらは 32 ビットから 64 ビットへの移行において動作しません。これらに対応するレジストリ設定も移行されません。
接続マネージャーのプロファイル。 VPN およびダイヤルアップリモートアクセスプロファイルは、接続マネージャー管理キットを使用して作成されます。作成されたプロファイルは、RRAS サーバー上の特定のフォルダーに格納されます。 32 ビットバージョンの Windows で作成されたプロファイルは、64 ビットバージョンの Windows を実行しているコンピューターでは機能しません。逆も同様です。接続プロファイルの詳細については、「Connection Manager Administration Kit (接続マネージャー管理キット)」(https://go.microsoft.com/fwlink/?linkid=55986) を参照してください。
NAT 上のグループ転送されたフラグメント設定。この設定は、Windows オペレーティングシステム上で実行されている NAT ルーターの内側に RRAS サーバーが展開されている場合に有効にします。この操作は、コンピューター証明書認証を使用している L2TP/IPsec 接続が成功するために必要です。 RRAS の既知の問題を回避するために、この値を有効にすることをお勧めします。
[ログ] タブの [ルーティングとリモートアクセスのプロパティ] ダイアログボックスの [追加のルーティングとリモートアクセス情報のログを記録する (デバッグに使用)] の設定。

ルーティングとリモートアクセスサービスの移行プロセスの概要

移行前のプロセスでは、データを手動で収集してから、移行先サーバーと移行元サーバーで一連の手順を実行します。移行プロセスでは、移行元サーバーと移行先サーバーで、Export コマンドレットと Import コマンドレットを使用してサーバーの役割設定を自動的に収集、保存、および移行します。移行後の手順では、移行元サーバーが移行先サーバーに正常に置き換えられたことを確認し、移行元サーバーの使用を中止したり、他の目的に再利用したりします。検証手順で移行の失敗が明らかになった場合は、トラブルシューティングを行います。トラブルシューティングに失敗した場合は、ロールバックの手順を実行して、ネットワークで元の移行元サーバーが使用されるようにします。

移行の影響

移行中には、リモートアクセスサーバーで受信接続を受け入れたり、トラフィックをルーティングしたりできません。

新しいリモートクライアントは、ダイヤルアップ接続、VPN 接続、または DirectAccess 接続を使用してサーバーに接続できません。サーバー上の既存の接続は切断されます。リモートアクセスサーバーが複数ある場合、新しいサーバーの可用性が失われると、そのサーバーが復帰するまではパフォーマンスが低下します。デマンドダイヤル接続の場合は、オフィス間で代替の接続を確立するか、代替サーバーをポイントするように接続を再構成する必要があります。
ルーティング機能と NAT 機能は使用できません。移行中にこの機能が必要な場合は、新しい移行先サーバーが利用できるようになるまでの間、代替ルーターを展開してください。

移行後の影響には次のものがあります。

移行元サーバーの名前を移行先サーバーの名前として再利用する場合は、移行元サーバーがネットワークから切断された後に、移行先サーバーでこの名前を構成できます。切断後に行わないと名前の競合が生じ、可用性に影響を及ぼす可能性があります。両方のサーバーを同時に実行する場合は、移行先サーバーに一意の名前を付ける必要があります。
VPN サーバーは、インターネットに直接接続することも、ファイアウォールまたは NAT ルーターの内側にある境界ネットワーク上に配置することもできます。移行中または移行の完了後に移行先サーバーの IP アドレスまたは DNS 名を変更した場合、適切なアドレスまたは名前をポイントするように、ファイアウォールまたは NAT デバイスのマッピングを再構成する必要があります。イントラネットまたはインターネット DNS サーバーも更新し、新しい名前と IP アドレスを登録する必要があります。さらに、ユーザーが適切なサーバーに接続できるように、サーバー名と IP アドレスの変更をユーザーに知らせてください。接続マネージャー管理キットで作成された接続プロファイルを使用する場合は、サーバーアドレス情報が更新された新しいプロファイルを展開します。

注意

DirectAccess の場合、移行元コンピューターと移行先コンピューターは、同じ IP アドレスおよびインターフェイス名を持っている必要があります。

ユーザーが移行に備えられるように、移行の実施予定日時を通知すると共に、必要に応じてその他の段取りを決めておくことをお勧めします。

移行を完了するために必要なアクセス許可

移行元サーバーおよび移行先リモートアクセスサーバーには次のアクセス許可が必要です。

ドメインユーザー権限。新しいサーバーをドメインに追加する際に必要です。
ローカル管理者権限。リモートアクセスの役割のインストールと管理に必要です。
移行元コンピューターで構成されていたものと同等の、DirectAccess GPO に対する管理者アクセス許可。
移行ストアの場所に対する書き込みアクセス許可。詳細については、このガイドの「リモートアクセス: 移行の準備を行う」を参照してください。

推定所要時間

テストも含め、移行作業には 2 ～ 3 時間かかります。

参照

リモートアクセス: 移行の準備を行う
 リモートアクセス: リモートアクセスを移行する
 リモートアクセス: 移行を検証する
 リモートアクセス: 移行後のタスク

Windows Server 2012 へのリモート アクセスの移行