Migrar o acesso remoto para o Windows Server 2012
Aplica-se a: Windows Server 2012
O serviço RRAS (Roteamento e Acesso Remoto) era um recurso dos sistemas operacionais Windows Server® anteriores ao Windows Server 2012 que permitia usar um computador como se fosse um roteador IPv4 ou IPv6, um roteador NAT (conversão de endereços de rede) IPv4 ou um servidor de acesso remoto que hospedava conexões discadas ou VPN (rede virtual privada) de clientes remotos. Agora, esse recurso foi combinado com o DirectAccess para formar a função de servidor de Acesso Remoto no Windows Server 2012 Este guia descreve como migrar um servidor que está hospedando o serviço de Roteamento e Acesso Remoto (no Windows Server 2008 R2 e em outros sistemas operacionais de versão anterior) para um computador com o Windows Server 2012.
Dica
Seus comentários detalhados são muito importantes e nos ajudam a tornar os Guias de Migração do Windows Server os mais confiáveis, completos e fáceis de usar possíveis. Reserve alguns instantes para classificar este tópico e adicione comentários que justifiquem sua classificação. Descreva o que você gostou, o que não gostou ou o que deseja ver em versões futuras do tópico. Para enviar sugestões adicionais sobre como melhorar os guias ou utilitários de migração, poste no Fórum de migração do Windows Server.
Sobre este guia
A documentação e as ferramentas de migração facilitam a migração das configurações das funções e dados de um servidor existente para um servidor de destino que está executando o Windows Server 2012. Ao usar as ferramentas descritas neste guia, é possível simplificar o processo de migração, reduzir o tempo da migração, aumentar a precisão do processo de migração e ajudar a eliminar possíveis conflitos que poderiam ocorrer, de outra forma, durante o processo de migração. Para obter mais informações sobre como instalar e usar as ferramentas de migração nos servidores de origem e de destino, consulte o Guia de instalação, acesso e remoção de ferramentas de migração do Windows Server (https://go.microsoft.com/fwlink/?LinkId=247607).
Público-alvo
Este documento está destinado a administradores de TI (sistemas de informação), profissionais de TI e outros trabalhadores do conhecimento responsáveis pela operação e implantação de servidores de Acesso Remoto em um ambiente gerenciado. Algum conhecimento de script talvez seja necessário para a execução de algumas das etapas de migração contidas neste guia.
O que este guia não contém
Este guia não descreve a arquitetura ou a funcionalidade detalhada da função de Acesso Remoto. Os cenários a seguir não têm suporte neste guia de migração:
Qualquer processo para uma atualização in-loco, na qual o novo sistema operacional é instalado no hardware do servidor existente usando a opção Upgrade durante a instalação
Cenários de clustering e multissite
Migrando mais de uma função de servidor
Se o servidor estiver executando várias funções, recomendamos criar um procedimento de migração personalizado que seja específico ao ambiente do servidor e baseado nas informações fornecidas neste e em outros guias de migração de função.
Cenários de migração com suporte
Este guia apresenta instruções de migração de um servidor existente para um servidor com o Windows Server 2012.
Aviso
Este guia não contém instruções de migração quando o servidor de origem executa várias funções. Se o servidor de origem estiver executando várias funções, algumas etapas de migração deste guia, como as etapas de migração de contas de usuário e de nomes de interface de rede, podem provocar falha em outras funções que estejam sendo executadas no servidor de origem.
Sistemas operacionais compatíveis
Este guia fornece instruções para a migração de dados e configurações de um servidor existente que está sendo substituído por um novo servidor físico ou virtual de 64 bits com um sistema operacional limpo instalado, conforme descrito na tabela a seguir.
Processador do servidor de origem |
Sistema operacional do servidor de origem |
Sistema operacional do servidor de destino |
Processador do servidor de destino |
|---|---|---|---|
Com base em x86 ou x64 |
Windows Server 2003 com Service Pack 2 |
Windows Server 2012 |
Com base em x64 |
Com base em x86 ou x64 |
Windows Server 2003 R2 |
Windows Server 2012 |
Com base em x64 |
Com base em x86 ou x64 |
Windows Server 2008, somente opção de instalação completa |
Windows Server 2012 |
Com base em x64 |
Com base em x64 |
Windows Server 2008 R2, somente opção de instalação completa |
Windows Server 2012 |
Com base em x64 |
Com base em x64 |
Windows Server 2012 |
Windows Server 2012 |
Com base em x64 |
As versões dos sistemas operacionais mostradas na tabela anterior são as combinações mais antigas de sistemas operacionais e service packs com suporte. Há suporte para service packs mais recentes.
Não há suporte para a migração quando um servidor de destino já tem o DirectAccess configurado.
As edições Foundation, Standard, Enterprise e Datacenter do sistema operacional Windows Server têm suporte como servidores de origem ou de destino. Isso inclui a migração entre edições. Por exemplo, você pode migrar de um servidor com o Windows Server 2003 Standard para um servidor com o Windows Server 2012.
Também há suporte para migrações entre sistemas operacionais físicos e virtuais.
Não há suporte para uma migração de um servidor de origem para um servidor de destino que esteja executando um sistema operacional cujo idioma da interface do usuário do sistema (o idioma instalado) seja diferente do idioma do servidor de origem. Por exemplo, não é possível usar o recurso Ferramentas de Migração do Windows Server para migrar funções, configurações do sistema operacional, dados ou recursos compartilhados de um computador que esteja executando o Windows Server 2008 R2 com a interface do usuário do sistema em francês para outro que esteja executando o Windows Server 2012 com a interface do usuário do sistema em alemão.
Dica
O idioma da interface do usuário do sistema é o mesmo do pacote de instalação localizado que foi usado para configurar o sistema operacional Windows.
Há suporte para migrações com base em x86 e x64 no Windows Server 2003 e no Windows Server 2008. Todas as edições do Windows Server 2008 R2 e do Windows Server 2012 baseiam-se em x64.
Configurações de funções com suporte
Veja a seguir uma lista completa dos cenários de migração com suporte a Acesso Remoto. Todas as configurações nestes cenários são migradas.
DirectAccess (com suporte apenas na migração do Windows Server 2012 para o Windows Server 2012)
Servidor VPN
Servidor de conexão discada
Conversão de endereços de rede (NAT)
Roteamento, com os seguintes componentes opcionais:
Agente de Retransmissão DHCP
Protocolo RIP
Protocolo IGMP
Além dos cenários acima, a migração também ajusta automaticamente a configuração do servidor de destino para considerar recursos que não têm mais suporte e para dar suporte a recursos que são novos no Windows Server 2012 e que não tinham suporte em versões anteriores do Windows.
Dependências da migração
Se um servidor NPS local ou remoto que é usado para autenticação, contabilização ou gerenciamento de políticas também precisar ser migrado, migre o serviço NPS antes de migrar o Acesso Remoto. Para obter mais informações, consulte Migrar o Servidor de Políticas de Rede para o Windows Server 2012.
Se você estiver atualizando do Windows 2008 R2 DirectAccess para o Windows Server 2012, verifique se todas as definições de configuração foram aplicadas no servidor do Windows 2008 R2. É possível salvar as configurações por meio do console, mas não aplicá-las. Antes de atualizar, verifique se as configurações salvas também foram aplicadas.
Componentes de migração que não têm suporte em todas as versões dos sistema operacionais
Os seguintes componentes de Acesso Remoto não têm suporte em todos os sistemas operacionais:
Componente |
Caixa de diálogo da interface do usuário/configurações |
Ação |
Novos Componentes, não disponíveis no Windows Server 2003, Windows Server 2008, e Windows Server 2008 R2 |
||
Especificando adaptador para obter endereços DNS/WINS |
Propriedades de RAS – Guia IPv4: Adaptador |
Esse componente não tem suporte no Windows Server 2003. O valor padrão deve ser usado para essa configuração no computador de destino. |
SSTP |
Portas SSTP |
O SSTP não tem suporte no Windows Server 2003. As portas SSTP devem ser habilitadas no computador de destino. O número depende do valor padrão do SKU no computador de destino |
IPv6 |
|
|
Filtros IP em Registro de Acesso Remoto e Políticas |
Registro de Acesso Remoto e Políticas – Filtros IP |
O Windows Server 2003 e o Windows Server 2008 não têm a opção de criar filtros IP em Registro de Acesso Remoto e Políticas. Por isso, não há filtros para migrar. |
Obtendo endereços IPv6 automaticamente |
Propriedades de discagem por demanda (VPN/PPPoE) - guia Rede - Propriedades de IPv6 – Botão de opção "Obter endereços IP automaticamente" |
Essa configuração não está presente no Windows Server 2008. O valor dessa configuração deve ser definido como padrão no computador de destino. |
IKEv2 |
|
|
Cert. SSTP Seleção |
Propriedades de RAS - guia Segurança: Caixa de seleção "Usar HTTP", lista suspensa para selecionar configurações de associação de criptografia e certificado |
Não há suporte para esse componente no Windows Server 2003 e no Windows Server 2008. Os valores padrão devem ser usados para todas essas configurações no computador de destino. |
Contabilização de VPN |
Registro e políticas de acesso remoto – Contabilização: Configurações de ação de falha de registro em "Propriedades de log do SQL Server" e "Propriedades do arquivo de log" |
Isto não está presente no Windows Server 2008. O valor padrão deve ser usado no computador de destino. |
Recursos preteridos: Não disponível em Windows Server 2008, Windows Server 2008 R2, ou Windows Server 2012. |
||
Protocolos SPAP, MS-CHAP, EAP-MD5 e configurações relacionadas |
Propriedades da interface de discagem sob demanda VPN/PPPoE - guia Segurança |
Não há suporte a configurações SPAP, EAP-MD5 e MS-CHAP no Windows Server 2008 R2 ou no Windows Server 2012, e elas não serão migradas. |
Configuração da interface de Conexão Local em Roteamento |
Roteamento – Geral – Propriedades da Conexão Local – guia Configuração |
Nessa guia, você pode configurar a forma como um endereço IP deve ser obtido para essa interface. Ela existe apenas no Windows Server 2003 e não deverá ser migrada. |
Firewall de RAS (integrado ao NAT) |
|
O Windows Server 2003 dava suporte à funcionalidade de firewall de RAS, que foi removida do Windows Server 2008. Essas configurações não serão migradas. |
Configurações de criptografia fraca |
Há suporte para criptografia fraca no Windows Server 2003, mas no Windows Server 2008 e no Windows Server 2008 R2, ela só pode ser habilitada pelo Registro. Durante a migração do Windows Server 2003, as configurações do Registro não serão criadas automaticamente. No Windows Server 2008 e em versões superiores, essas configurações de Registro serão migradas se já estiverem presentes. |
Componentes da migração que não são migrados automaticamente
Os seguintes elementos e configurações de Acesso Remoto não são migrados pelos cmdlets do Windows PowerShell que são fornecidos com as Ferramentas de Migração do Windows Server. Em vez disso, você deve configurar o elemento ou a configuração manualmente no novo servidor RRAS, conforme descrito em Executando as etapas de migração manuais necessárias neste guia.
Importante
Execute a configuração manual destes elementos apenas quando instruído posteriormente neste guia.
Associações de certificados SSL. As configurações de crypto-binding e associação de Certificados SSL do SSTP são migradas da seguinte forma:
O Assistente de Migração procura um certificado de origem no computador de destino. Se ele encontrar, o SSTP usará esse certificado.
Se nenhum certificado de origem for encontrado, o assistente de migração buscará um certificado válido com a mesma raiz confiável que o certificado de origem.
Se, ainda assim, nenhum certificado for encontrado, a configuração do SSTP no computador de destino será "Padrão".
Quando estão sendo usados, os certificados autoassinados (válidos para o Windows Server 2012) são automaticamente criados no computador de destino.
Contas de usuário no servidor RRAS local. Se você usar contas de usuário e de grupo baseadas em domínio e os servidores RRAS antigo e novo fizerem parte do mesmo domínio, nenhuma migração das contas será necessária. As contas de usuário local poderão ser usadas se a Autenticação do Windows estiver configurada no servidor RRAS de origem.
Somente roteamento/VPN/DirectAccess quando tudo estiver instalado. Se a configuração do servidor de Acesso Remoto incluir todos os serviços disponíveis, todos os serviços deverão ser migrados juntos. Não há suporte para a migração de apenas um dos serviços para o servidor de destino.
Um servidor local ou remoto que esteja executando o NPS (Servidor de Políticas de Rede) que fornece autenticação, contabilização e gerenciamento de políticas. Este guia não inclui as etapas necessárias para migrar um servidor que executa o NPS. Para migrar um servidor que executa o NPS, use Migrar o Servidor de Políticas de Rede para o Windows Server 2012. A migração do NPS deve ser executada quando instruído posteriormente neste guia.
Dica
Se você não estiver usando um servidor que esteja executando o NPS, as configurações de políticas e contabilização padrão do Acesso Remoto que são criadas automaticamente ao configurar o RRAS não serão migradas.
Conexões discadas por demanda baseadas em conexão discada. O servidor de destino talvez tenha modems diferentes. Além disso, há muitas configurações discadas por demanda que são específicas ao modem ou dispositivo ISDN que está selecionado.
Certificados usados para autenticação de conexões IKEv2, SSTP e L2TP/IPsec.
Associação de Certificados SSL para SSTP quando a caixa de seleção Usar HTTP não está marcada.
Conexões VPN IKEv2 que usam adaptadores de rede IPv6. O IKEv2 tem suporte em servidores RRAS que executam apenas o Windows Server 2008 R2. No MMC (Console de Gerenciamento Microsoft) do RRAS no Windows Server 2008 R2, é possível especificar a interface de rede usada para obter endereços DHCP e DNS IPV6 que são usados para clientes VPN IKEv2. Se você migrar o RRAS de Windows Server 2008 R2 para outro servidor que executa o Windows Server 2008 R2, a configuração será migrada. No entanto, se você migrar de uma versão anterior do Windows, não haverá nenhuma configuração para migrar, e o valor padrão de Permitir que o RAS selecione o adaptador será usado.
Criptografia fraca. No Windows Server 2003, a criptografia fraca está habilitada, mas, por padrão, em versões posteriores do Windows, ela está desabilitada. É possível habilitar a criptografia fraca apenas por meio de modificação do Registro. Durante a migração do Windows Server 2003, as configurações necessárias do Registro não são criadas no novo servidor pelo processo de migração e devem ser configuradas manualmente. Em versões posteriores do Windows, se essas configurações do Registro estiverem presentes, elas serão migradas.
DLLs de Administração e DLLs de Segurança e as chaves correspondentes do Registro. Essas DLLs estão disponíveis em versões de 32 bits e de 64 bits e não funcionam em uma migração de 32 bits para 64 bits.
DLLs personalizadas usadas para discar uma conexão discadas por demanda. Essas DLLs estão disponíveis em versões de 32 bits e de 64 bits e não funcionam em uma migração de 32 bits para 64 bits. Nenhuma configuração correspondente no Registro será migrada.
Perfis do Gerenciador de Conexões. O Kit de Administração do Gerenciador de Conexões é usado para criar perfis de acesso remoto de conexão discada ou VPN. Os perfis criados são armazenados em pastas específicas no servidor RRAS. Os perfis criados em uma versão de 32 bits do Windows não funcionam em computadores que estão executando uma versão de 64 bits do Windows e vice-versa. Para obter mais informações sobre perfis de conexão, consulte o artigo sobre o Connection Manager Administration Kit (Kit de administração do gerenciador de conexões) (https://go.microsoft.com/fwlink/?linkid=55986).
A configuração Fragmentos de Grupo Encaminhados no NAT. Esta configuração é habilitada quando o servidor RRAS é implantado atrás de um roteador NAT executado no sistema operacional Windows. Isso é necessário para as conexões L2TP/IPsec que estão usando autenticação de certificado de computador para obterem êxito. É recomendável habilitar esse valor para solucionar um problema conhecido no RRAS.
A configuração Registrar informações de roteamento e acesso remoto (usadas para depuração) na caixa de diálogo Propriedades de Roteamento e Acesso Remoto na guia Log.
Visão geral do processo de migração do serviço Roteamento e Acesso Remoto
O processo de pré-migração envolve a coleta manual de dados, seguida pela execução de procedimentos nos servidores de destino e de origem. O processo de migração inclui procedimentos no servidor de origem e de destino que usam os cmdlets Export e Import para coletar, armazenar e migrar automaticamente configurações de função de servidor. Os procedimentos pós-migração incluem verificar se o servidor de destino substituiu com êxito o servidor de origem e desativar ou realocar o servidor de origem. Se o procedimento de verificação indicar que houve falha na migração, a solução de problemas será iniciada. Se houver falha na solução de problemas, serão fornecidas instruções de reversão para retornar a rede para o uso do servidor de origem original.
Impacto da migração
Durante a migração, o servidor de Acesso Remoto não está disponível para aceitar conexões de entrada ou rotear tráfego.
Novos clientes remotos não podem se conectar ao servidor usando conexões discadas, de VPN ou DirectAccess. As conexões existentes no servidor são desconectadas. Se você tiver vários servidores de acesso remoto, a perda de disponibilidade deste servidor resultará em uma redução de capacidade até que o novo servidor esteja operacional novamente. Para conexões discadas por demanda, você deve fornecer conectividade alternativa entre escritórios ou reconfigurar as conexões para apontar para um servidor alternativo.
As funcionalidades de roteamento e de NAT não estão disponíveis. Se a funcionalidade for necessária durante a migração, um roteador alternativo poderá ser implantado até que o novo servidor de destino esteja disponível.
Os impactos de pós-migração incluem o seguinte:
Se você planejar reutilizar o nome do servidor de origem como o nome do servidor de destino, o nome poderá ser configurado no servidor de destino depois que o servidor de origem for desconectado da rede. Caso contrário, haverá um conflito de nomes que poderá afetar a disponibilidade. Se você planejar executar os dois servidores, o servidor de destino deverá receber um nome exclusivo.
Um servidor VPN pode ser conectado diretamente à Internet ou colocado em uma rede de perímetro protegida por firewall ou roteador NAT. Se o endereço IP ou nome DNS do servidor de destino for alterado como parte da migração, ou depois que a migração for concluída, os mapeamentos no firewall ou dispositivo NAT deverão ser reconfigurados para apontar para o endereço ou para o nome correto. É necessário também atualizar todos os servidores DNS da intranet ou de Internet com o novo nome e endereço IP. Além disso, lembre-se de fornecer informações sobre qualquer alteração de nome ou endereço IP do servidor aos usuários para que eles possam se conectar ao servidor correto. Se você usar perfis de conexão criados com o Kit de Administração do Gerenciador de Conexões, implante um novo perfil com as informações de endereço de servidor atualizadas.
Dica
Para DirectAccess, os computadores de origem e destino devem ter os mesmos endereços IP e nomes de interface.
É recomendável anunciar a data e a hora esperadas da migração para os usuários se planejarem adequadamente e fazerem outras disposições, conforme necessário.
Permissões necessárias para a conclusão da migração
As seguintes permissões são necessárias no servidor de origem e nos servidores de Acesso Remoto de destino:
Direitos de usuário de domínio são necessários para adicionar o novo servidor ao domínio.
Direitos administrativos locais são necessários para instalar e gerenciar a função de Acesso Remoto.
Permissões de administrador equivalentes para GPOs do DirectAccess conforme configuradas no computador de origem.
Permissões de gravação são necessárias para o local do repositório de migração. Para obter mais informações, consulte Acesso remoto: preparar para migrar neste guia.
Duração estimada
A migração pode levar de duas a três horas, incluindo testes.
Consulte também
Acesso remoto: preparar para migrar
Acesso remoto: migrar o acesso remoto
Acesso remoto: verificar a migração
Acesso remoto: tarefas pós-migração