Statusregistratie-instanties migreren naar Windows Server 2012
Is van toepassing op: Windows Server 2012
Dit document bevat richtlijnen voor het migreren van de functieservice Statusregistratie-instanties (HRA) van een x86- of x64-server met Windows Server® 2008, Windows Server® 2008 R2 of Windows Server® 2012 naar een nieuwe Windows Server 2012-server.
Over deze handleiding
Notitie
Uw gedetailleerde feedback is zeer belangrijk en helpt ons migratiehandleidingen voor Windows Server betrouwbaar, volledig en gemakkelijk in gebruik te maken. Neem even de tijd om dit onderwerp te beoordelen door te klikken op de sterren in de rechterbovenhoek van de pagina (1 = slecht, 5 = uitstekend) en voeg opmerkingen toe als toelichting bij uw beoordeling. Beschrijf wat u beviel, wat u niet beviel of wat u in toekomstige versies van het onderwerp graag zou willen zien. Post een bericht op het forum over de migratie van Windows Server als u aanvullende suggesties hebt voor de verbetering van de migratiehandleidingen of -hulpprogramma's.
In deze handleiding worden de stappen beschreven voor het migreren van bestaande HRA-serverinstellingen naar een server waarop Windows Server 2012 wordt uitgevoerd. Met behulp van deze documentatie kunt u de migratie vereenvoudigen, serveruitvaltijd beperken of voorkomen, en voorkomen dat er conflicten tijdens de migratie van HRA optreden.
Doelgroep
Deze handleiding is bedoeld voor IT-beheerders, IT-professionals en andere kenniswerkers die verantwoordelijk zijn voor de werking en implementatie van HRA-servers in een beheerde omgeving.
Wat deze handleiding niet biedt
Deze handleiding bevat geen gedetailleerde stapsgewijze procedures voor migratie van de configuratie van andere services die worden gebruikt in combinatie met NAP, zoals NPS (Network Policy Server) of AD CS (Active Directory Certificate Services) gebruikt. Deze procedures vindt u in de Network Policy Server migreren naar Windows Server 2012 en de Active Directory Certificate Services migratie Guide (Engelstalig) (https://go.microsoft.com/fwlink/p/?LinkID=156771). Instructies voor het uitvoeren van specifieke procedures in deze andere handleidingen zijn beschikbaar waar nodig om de migratie van de HRA-server te kunnen uitvoeren.
Ondersteunde migratiescenario 's
Deze handleiding bevat instructies voor het migreren van een bestaande server met de functieservice HRA naar een server met Windows Server 2012. Dit omvat aanwijzingen voor het installeren van de vereiste functieservices IIS en NPS. Als op uw server meerdere functies worden uitgevoerd, raden we u aan om een aangepaste migratieprocedure te ontwerpen die specifiek is afgestemd op uw serveromgeving en die is gebaseerd op de informatie in andere handleidingen over functiemigratie. Migratiehandleidingen voor aanvullende functies zijn beschikbaar op Windows Server 2008 R2 TechCenter (Engelstalig) (https://go.microsoft.com/fwlink/p/?LinkID=128554).
Waarschuwing
Als op de bronserver naast HRA andere functies en services worden uitgevoerd, ontstaan er bij het migreren van de computernaam en IP-configuratie mogelijk problemen met deze services. Ga na of deze procedures van invloed zijn voordat u ze uitvoert tijdens de migratie van HRA.
Ondersteunde besturingssystemen
De volgende tabel bevat de minimale besturingssysteemvereisten.
Processor van bronserver |
Besturingssysteem van bronserver |
Besturingssysteem van doelserver |
Processor van doelserver |
|---|---|---|---|
x86- of x64-systemen |
Windows Server 2008 |
Windows Server 2012 |
x64-systemen |
x64-systemen |
Windows Server 2008 R2 |
Windows Server 2012 |
x64-systemen |
x64-systemen |
Windows Server 2012 |
Windows Server 2012 |
x64-systemen |
De functieservices NPS en HRA zijn niet beschikbaar in Server Core-versies. De versies Foundation, Standard, Enterprise en Datacenter van Windows Server worden ondersteund als bron- of doelserver. Als u op de bronserver echter AD CS hebt geconfigureerd als certificeringsinstantie (CA) voor ondernemingen, moet de CA-doelserver een server met een Enterprise- of Datacenter-editie van Windows Server 2012 zijn.
De migratie van een bronserver naar een doelserver met een besturingssysteem met een andere taal wordt niet ondersteund. Voorbeeld: de migratie van serverfuncties vanaf een computer met Windows Server 2008 en met de systeemtaal Frans naar een computer met Windows Server 2012 en met de systeemtaal Duits wordt niet ondersteund. De systeemtaal is de taal van het gelokaliseerde installatiepakket dat is gebruikt voor het instellen van het Windows-besturingssysteem.
Migraties van x86- en x64-systemen worden ondersteund voor Windows Server 2008. Alle edities van Windows Server 2008 R2 en Windows Server 2012 zijn x64-systemen.
Ondersteunde functieconfiguraties
Deze handleiding bevat procedures voor het migreren van alle HRA-serverinstellingen, inclusief eventuele aangepaste CA- en aanvraagbeleidsinstellingen. Deze handleiding bevat ook instructies voor het configureren van de minimale IIS-functievereisten op de doelserver.
Vereiste functies migreren
HRA is een functieservice van de serverfunctie Services voor netwerkbeleid en -toegang (NPAS, Network Policy and Access Services). Als u HRA wilt installeren, moet u op dezelfde computer ook NPS en IIS installeren. Als deze services nog niet zijn geïnstalleerd, worden ze automatisch toegevoegd wanneer u er in de wizard Functies en onderdelen toevoegen voor kiest om HRA te installeren.
Voor HRA is ook een verbinding vereist met een of meer servers met AD CS die zijn geconfigureerd voor het uitgeven van NAP-statuscertificaten. AD CS kan op de computer met HRA worden geïnstalleerd, maar ook op een andere computer. Als in uw organisatie HRA-servers zijn geconfigureerd voor het gebruik van AD CS op de bronserver voor statuscertificaataanvragen, moet u AD CS op de HRA-doelserver installeren en AD CS configureren voor het uitgeven van statuscertificaten, of de CA-configuratie van uw HRA-servers wijzigen.
Houd rekening met de volgende informatie over vereiste functies en services op de HRA-doelserver.
NPS. De functieservice NPS moet worden gemigreerd voordat u de functionaliteit van HRA op de doelserver kunt testen en controleren. Als u NPS op de bronserver alleen gebruikt in combinatie met HRA, als zelfstandige NAP IPsec-statusbeleidsserver of als RADIUS-proxy voor een andere statusbeleidsserver, kunt u deze handleiding raadplegen voor verwijzingen naar specifieke procedures in de Network Policy Server migreren naar Windows Server 2012 die nodig zijn voor het migreren van vereiste beleidsregels en instellingen voor NPS. Als de functie NPS op de bronserver wordt gebruikt voor andere doeleinden dan NAP IPsec, of als de bronserver lid is van RADIUS-clients of externe RADIUS-servergroepen op andere servers in uw organisatie, raadpleegt u de Network Policy Server migreren naar Windows Server 2012 voor gedetailleerde migratie-instructies voordat u HRA migreert.
AD CS. Tijdens de installatie van HRA kunt u AD CS installeren op dezelfde computer als u een bestaande NAP-certificeringsinstantie op een andere computer wilt gebruiken of later een certificeringsinstantie wilt selecteren. U kunt AD CS ook installeren als certificeringsinstantie voor ondernemingen of als zelfstandige certificeringsinstantie.
Waarschuwing
Nadat u AD CS op de HRA-server hebt geïnstalleerd, kunt u de naam van de HRA-server niet meer wijzigen.
Als u AD CS en HRA op dezelfde computer installeert, moet u AD CS op de HRA-doelserver configureren voor het uitgeven van NAP-statuscertificaten.
Als u AD CS installeert als certificeringsinstantie voor ondernemingen, gebruikt u de procedures in deze handleiding voor het configureren van machtigingsinstellingen voor de NAP-certificeringsinstantie. Zie Active Directory Certificate Services Migration Guide (Engelstalig) (https://go.microsoft.com/fwlink/p/?LinkID=156771) voor procedures voor het migreren van statuscertificaatsjablonen naar de doelserver.
Als u AD CS installeert als zelfstandige CA, gebruikt u de procedures in deze handleiding voor het configureren van alle benodigde machtigingsinstellingen voor een NAP-certificeringsinstantie op de doelserver. Als u de lokale CA gebruikt voor andere doeleinden dan het uitgeven van NAP-statuscertificaten, of als u een aangepaste configuratie hebt, raadpleegt u de Active Directory Certificate Services Migration Guide (Engelstalig) (https://go.microsoft.com/fwlink/p/?LinkID=156771) voor gedetailleerde instructies voor het migreren van CA-instellingen.
Als u een bestaande NAP-certificeringsinstantie op een andere computer gebruikt, hoeft u AD CS niet te configureren op de doelserver.
Als u later een certificeringsinstantie wilt selecteren, hoeft u AD CS niet te configureren op de doelserver. Zie Deploying NAP Certification Authorities (Engelstalig) als u ervoor kiest om AD CS later op de HRA-doelserver te installeren.
Als AD CS op de bronserver ook wordt gebruikt voor het uitgeven van certificaten die geen statuscertificaten zijn, raadpleegt u de Active Directory Certificate Services Migration Guide (Engelstalig) (https://go.microsoft.com/fwlink/?LinkID=156771) voor instructies voor het migreren van AD CS.
IIS. Als de vereiste IIS-serverfunctie anders wordt gebruikt dan als HRA, of wordt uitgevoerd met aangepaste instellingen voor andere doeleinden dan het toevoegen van een SSL-certificaat, volgt u de procedures in de migratiehandleiding voor IIS voordat u de HRA migreert. Als de IIS-serverfunctie alleen wordt gebruikt in combinatie met HRA, volgt u de procedures in deze handleiding om IIS te migreren.
Belangrijk
Als u de HRA-functionaliteit wilt behouden, moeten de standaardinstellingen voor IIS-verbindingen worden gewijzigd om het maximum aantal gelijktijdige verbindingen te verhogen. Zie de sectie Configure IIS connection settings in Configure an HRA server for NAP (Engelstalig) voor informatie over het uitvoeren van deze procedure.
Migratiescenario's die niet worden ondersteund
De volgende scenario's voor migratie worden niet in dit document behandeld:
Upgrade. Er worden geen richtlijnen gegeven voor scenario's waarin het nieuwe besturingssysteem is geïnstalleerd op bestaande serverhardware met behulp van de optie Upgrade tijdens de installatie.
Werkgroep. Er worden geen richtlijnen gegeven voor de migratie van HRA-instellingen naar of van een server die geen lid is van een domein.
Overzicht van het migratieproces voor deze functie
De migratie van een HRA-server bestaat uit de volgende hoofdonderdelen:
Het proces vóór de migratie omvat het tot stand brengen van een opslaglocatie voor migratiegegevens, het verzamelen van informatie die wordt gebruikt voor het uitvoeren van de servermigratie en de installatie van het besturingssysteem op de doelserver. Het HRA-migratieproces omvat het gebruik van het hulpprogramma Network Shell (netsh) vanaf de opdrachtregel op de bronserver om de vereiste instellingen voor HRA op te halen, en de uitvoering van procedures op de doelserver om de vereiste functies te installeren en de instellingen voor HRA te migreren. Verificatieprocedures omvatten het testen van de doelserver om te controleren of deze correct werkt. Procedures na de migratie omvatten het buiten gebruik stellen of opnieuw in gebruik nemen van de bronserver.
De invloed van de migratie
Als u van plan bent de doelserver te configureren met een andere hostnaam dan de bronserver, moeten de instellingen voor de vertrouwde servergroep op NAP-clientcomputers die zijn geconfigureerd voor gebruik van de HRA-bronserver, worden geconfigureerd voor gebruik van de HRA-doelserver. Het voordeel hiervan is dat de HRA-bron- en -doelserver tegelijkertijd kunnen worden uitgevoerd totdat het testen en verifiëren is voltooid.
Als u van plan bent de doelserver te configureren met dezelfde naam als de bronserver, moet de bronserver buiten gebruik worden gesteld en offline worden genomen voordat u de doelserver met dezelfde hostnaam lid maakt van hetzelfde domein. Om uitvaltijd in dit scenario te voorkomen, moeten NAP-clientcomputers toegang hebben tot een secundaire HRA-server naast de bron- en doelserver. Om kortetermijnproblemen met naamomzetting te voorkomen, gebruikt u dezelfde IP-adresconfiguratie op de bron- en doelserver.
Als de functie NPS op de bronserver wordt gebruikt voor andere doeleinden dan NAP IPsec, hebben clientcomputers mogelijk geen toegang meer tot het netwerk tijdens het servermigratieproces. Als bijvoorbeeld de bronserver wordt gebruikt voor VPN-clientauthenticatie, raadpleegt u de Network Policy Server migreren naar Windows Server 2012 voor gedetailleerde migratie-instructies voor het migreren van HRA.
De invloed van de migratie op de bronserver
Wanneer u de doelserver implementeert met een andere hostnaam, is dit niet van invloed op de bronserver.
Bij het implementeren van de doelserver met dezelfde hostnaam, moet de bronserver buiten gebruik worden gesteld en offline worden genomen voordat u de doelserver lid maakt van het domein.
De invloed van de migratie op andere computers binnen de onderneming
Bij het implementeren van de doelserver met een andere hostnaam, moeten de NAP-clientinstellingen worden bijgewerkt voor alle computers die zijn geconfigureerd voor gebruik van de HRA. Er is weinig tot geen uitvaltijd in dit scenario als de procedures in deze handleiding worden gevolgd.
Bij het implementeren van de doelserver met dezelfde hostnaam, kunnen er kort nadat de bronserver buiten gebruik is gesteld geen certificaten meer worden uitgegeven aan clients, tenzij een secundaire HRA-server is geïmplementeerd.
Vereiste machtigingen voor het uitvoeren van de migratie
De volgende machtigingen zijn vereist op de bronserver en de doelserver:
Domeinbeheerdersrechten zijn vereist voor het configureren en machtigen van de HRA-server en voor het configureren van groepsbeleidsinstellingen voor NAP-clients.
Lokale beheerdersrechten zijn vereist voor het installeren of beheren van de HRA-server.
Geschatte duur
De migratie kan twee of drie uur duren, inclusief het testen.
Zie ook
Migratie van HRA-server: migratie voorbereiden
HRA-servermigratie: de HRA-server migreren
Migratie van HRA-server: de migratie controleren
HRA-servermigratie: taken na de migratie
Ontwerphandleiding voor netwerktoegangsbeveiliging (NAP)
Implementatiehandleiding voor netwerktoegangsbeveiliging (NAP)Network Access Protection