Migrar o Acesso Remoto para o Windows Server 2012
Aplica-se a: Windows Server 2012
O Serviço de Encaminhamento e Acesso Remoto (RRAS) foi um serviço de função nos sistemas operativos do Windows Server anteriores ao Windows Server 2012 que lhe permitiram utilizar um computador como um router IPv4 ou IPv6, como um router de tradução de endereços de rede (NAT) IPv4 ou um servidor de acesso remoto que alojou ligações de rede privada virtual (VPN) ou de marcação telefónica de clientes remotos. Agora, essa funcionalidade foi combinada com o DirectAccess para constituir a função de servidor de acesso remoto no Windows Server 2012. Este guia descreve como migrar um servidor que aloja o serviço de encaminhamento e acesso remoto (no Windows Server 2008 R2 e outras versões de nível baixo) num computador que com o Windows Server 2012.
Nota
O seu feedback detalhado é muito importante e ajuda-nos a tornar os Guias da Migração para o Windows Server tão fiáveis, completos e fáceis de usar quanto possível. Leve um momento para classificar este tópico e, em seguida, adicione comentários que suportam a sua classificação. Descreva o que gostou, o que não gostou ou o que quer ver em versões futuras do tópico. Para submeter sugestões adicionais sobre como melhorar os guias ou utilitários da Migração, publique no Fórum de Migração para o Windows Server.
Acerca deste guia
As ferramentas e a documentação de migração facilitam a migração das definições da função de servidor e dos dados de um servidor existente para um servidor de destino que está a executar o Windows Server 2012. Ao utilizar as ferramentas descritas neste guia, pode simplificar o processo de migração, reduzir o tempo de migração, aumentar a precisão do processo de migração e ajudar a eliminar possíveis conflitos que possam ocorrer durante o processo de migração. Para mais informações sobre como instalar e utilizar as ferramentas de migração nos servidores de origem e de destino, consulte Guia de Instalação, Acesso e Remoção de Ferramentas de Migração do Windows Server (https://go.microsoft.com/fwlink/?LinkId=247607).
Público-alvo
Este documento destina-se a administradores de tecnologia de informação (TI), profissionais de TI e outros funcionários que são responsáveis pela operação e implementação dos servidores de acesso remoto num ambiente gerido. Poderá ser necessário ter algum conhecimento de scripting para efetuar alguns dos passos de migração contidos neste guia.
O que este guia não fornece
Este guia não descreve a arquitetura ou funcionalidade detalhada da função do Acesso Remoto. Os cenários seguintes não são suportados neste guia de migração:
Qualquer processo para atualização no local em que o novo sistema operativo está instalado no hardware de servidor existente utilizando a opção Upgrade durante a configuração
Cenários de clustering e múltiplos sites
Migrar mais do que uma função de servidor
Se o servidor estiver a executar múltiplas funções, recomenda-se que crie um procedimento de migração personalizado que é específico para o seu ambiente de servidor e baseado nas informações que são fornecidas neste e noutros guias de migração de funções.
Cenários de migração suportados
Este guia fornece instruções para migrar um servidor existente para um servidor a executar o Windows Server 2012.
Aviso
Este guia não contém instruções de migração quando o servidor de origem está a executar várias funções. Se o seu servidor de origem executar múltiplas funções, alguns passos de migração neste guia, como os de migração de contas de utilizador e nomes de interfaces de rede, podem fazer com que outras funções em execução no servidor de origem falhem.
Sistemas operativos suportados
Este guia fornece instruções para migrar dados e definições de um servidor existente que vai ser substituído por um servidor de 64 bits físico ou virtual novo com um sistema operativo de instalação limpa, conforme descrito na seguinte tabela.
Processador do servidor de origem |
Sistema operativo do servidor de origem |
Sistema operativo do servidor de destino |
Processador do servidor de destino |
|---|---|---|---|
Com base em x86 ou x64 |
Windows Server 2003 Service Pack 2 |
Windows Server 2012 |
Com base em x64 |
Baseado em x86 ou x64 |
Windows Server 2003 R2 |
Windows Server 2012 |
Com base em x64 |
Com base em x86 ou x64 |
Windows Server 2008, apenas opção de instalação completa |
Windows Server 2012 |
Com base em x64 |
Com base em x64 |
Windows Server 2008 R2, apenas opção de instalação completa |
Windows Server 2012 |
Com base em x64 |
Com base em x64 |
Windows Server 2012 |
Windows Server 2012 |
Com base em x64 |
As versões dos sistemas de operativos apresentados na tabela anterior são as combinações mais antigas de sistemas operativos e service packs que são suportados. Service packs mais recentes são suportados.
A migração com o servidor de destino já com DirectAccess configurado não é suportada.
São suportadas as edições Foundation, Standard, Enterprise e Datacenter do Windows Server como servidores de origem ou de destino. Isto inclui migrar entre edições. Por exemplo, pode migrar de um servidor com o Windows Server 2003 Standard para um servidor com o Windows Server 2012.
Migrações entre sistemas operativos físicos e sistemas operativos virtuais são suportadas.
A migração de um servidor de origem para um servidor de destino que está a executar um sistema operativo num idioma de IU de sistema diferente (ou seja, o idioma instalado) do que o servidor de origem não é suportado. Por exemplo, não é possível utilizar Ferramentas de Migração do Windows Server para migrar funções, definições de sistema operativo, dados ou recursos partilhados de um computador com o Windows Server 2008 R2 na IU de sistema de idioma francês para um computador com o Windows Server 2012 na IU de sistema de idioma alemão.
Nota
O idioma do sistema de IU é o idioma do pacote de instalação localizado que foi utilizado para configurar o sistema operativo Windows.
As migrações com base em x86 e x64 são suportadas para o Windows Server 2003 e o Windows Server 2008. Todas as edições do Windows Server 2008 R2 e Windows Server 2012 são baseadas em x64.
Configurações de função suportadas
Segue-se uma lista abrangente dos cenários migração que são suportados para Acesso Remoto. Todas as definições nestes cenários são migradas.
DirectAccess (apenas suportado no Windows Server 2012 para migração Windows Server 2012)
Servidor VPN
Servidor de marcação telefónica
Tradução de endereços de rede (NAT)
Encaminhamento, com os seguintes componentes opcionais:
Agente de Reencaminhamento DHCP
Protocolo de Informações de Encaminhamento (RIP)
Protocolo de Gestão do Grupo de Internet (IGMP)
Para além dos cenários acima, a migração ajusta também automaticamente a configuração do servidor de destino para contabilizar funcionalidades que já não são suportadas e para suportar funcionalidades que são novidades no Windows Server 2012 e não suportadas em versões anteriores do Windows.
Dependências da migração
Se um servidor NPS local ou remoto que é utilizado para autenticação, gestão de contas ou política de gestão também tiverem de ser migrados, então, migre o serviço NPS antes de migrar o Acesso Remoto. Para obter mais informações, consulte Migrar o Servidor de Políticas de Rede para o Windows Server 2012.
Se estiver a atualizar do Windows 2008 R2 DirectAccess para o Windows Server 2012, certifique-se de que todas as definições de configuração do DirectAccess foram aplicadas no servidor do Windows 2008 R2. É possível guardar definições através da consola, mas não aplicá-las. Antes de atualizar, certifique-se de que as definições guardadas também foram aplicadas.
Os componentes de migração que não são suportados em todas as versões de sistema operativo
Os seguintes componentes de acesso remoto não são suportados por todos os sistemas operativos:
Componente |
Diálogo/Definições da IU |
Ação |
Componentes Novos, não disponíveis no Windows Server 2003, Windows Server 2008 e Windows Server 2008 R2 |
||
Especificar o adaptador para obter endereços DNS/WINS |
Propriedades RAS – Separador IPv4: Adaptador |
Este componente não é suportado no Windows Server 2003. O valor predefinido deve ser utilizado para esta definição no computador de destino. |
SSTP |
Portas SSTP |
SSTP não é suportado no Windows Server 2003. Portas SSTP devem ser ativadas no computador de destino. O número depende do valor predefinido para o SKU no computador de destino |
IPv6 |
|
|
Filtros IP em Registo e Políticas RA |
Registo e Políticas de Acesso Remoto – Filtros IP |
Windows Server 2003 e Windows Server 2008 não tem uma opção para criar filtros IP em Registo e Políticas de Acesso Remoto. Por este motivo, não existiriam filtros para migrar. |
Obter automaticamente o endereço IPv6 |
Propriedades de marcação a pedido (VPN/PPPoE) – Separador Redes- Propriedades IPv6 - Botão de opção "Obter automaticamente endereço IP" |
Esta definição não está presente no Windows Server 2008. O valor desta definição deve ser definido como predefinido no computador de destino. |
IKEv2 |
|
|
Certificado SSTP. Seleção |
Propriedades RAS - Separador Segurança: selecione a caixa de verificação pendente "Utilizar HTTP" para selecionar as definições de certificado e enlace criptográfico |
Este componente não é suportado no Windows Server 2003 e Windows Server 2008. Os valores predefinidos devem ser utilizados para todas estas definições no computador de destino. |
Gestão de Contas VPN |
Registo e Políticas de Acesso Remoto – Gestão de Contas: definições de ação de falha de registo em "Propriedades de Registo de Servidor SQL" e "Propriedades do Ficheiro de Registo" |
Estes não estão presentes no Windows Server 2008. O valor predefinido deve ser utilizado no computador de destino. |
Funcionalidades Preteridas: não está disponível no Windows Server 2008, Windows Server 2008 R2, nem Windows Server 2012 |
||
SPAP, MS-CHAP, protocolos EAP-MD5 e definições relacionadas |
Propriedades de interface de marcação a pedido VPN/PPPoE - Separador Segurança |
As definições SPAP, EAP-MD5 e MS-CHAP não são suportadas no Windows Server 2008 R2 nem Windows Server 2012 e não serão migradas. |
Configuração de interface de Ligação de Área Local em Encaminhamento |
Encaminhamento – Geral – Propriedades de Ligação de Área Local – Separador Configuração |
Este separador permite definições para configurar a forma como um endereço IP deve ser obtido para esta interface. Só está presente no Windows Server 2003 e não será migrado. |
Firewall RAS (integrado com NAT) |
|
Windows Server 2003 suportava a funcionalidade de firewall do RAS que foi removida no Windows Server 2008. Estas definições não serão migradas. |
Definições de Fraca Encriptação |
A fraca encriptação é suportada no Windows Server 2003, mas no Windows Server 2008 e Windows Server 2008 R2 só pode ser ativada através do registo. Durante a migração do Windows Server 2003 as definições de registo não serão criadas automaticamente. Para Windows Server 2008 e versões superiores, se acontecer estas definições de registo já estarem presentes, estas serão migradas. |
Componentes de migração que não são migrados automaticamente
Os elementos de acesso remoto e definições seguintes não são migradas pelos cmdlets do Windows PowerShell que são fornecidos com as ferramentas de migração do Windows Server. Em vez disso, deve configurar manualmente o elemento ou definição no novo servidor RRAS conforme descrito em Concluir os passos necessários de migração manual neste guia.
Importante
Execute a configuração manual destes elementos apenas quando lhe for indicado mais tarde neste guia.
Enlaces de certificado SSL. Enlace de certificado SSL e definições de enlace criptográfico para SSTP são migrados da seguinte forma:
O Assistente de migração procura um certificado de origem no computador de destino. Se for encontrado um, o SSTP utiliza esse certificado.
Se um certificado de origem não for encontrado, o assistente de migração irá procurar um certificado válido com a mesma raiz fidedigna que o certificado de origem.
Se ainda assim não for encontrado qualquer certificado, a configuração de SSTP no computador de destino é "Predefinida".
Se estão a ser utilizados certificados autoassinados (válido para Windows Server 2012), estes irão ser automaticamente criados no computador de destino.
Contas de utilizador no servidor RRAS local. Se utilizar contas de grupo e de utilizadores com base no domínio, e ambos os servidores RRAS antigos e novos fizerem parte do mesmo domínio, não é necessária nenhuma migração das contas. Contas de utilizador local podem ser utilizadas se a Autenticação do Windows estiver configurada no servidor de origem RRAS.
Apenas encaminhamento/VPN/DirectAccess quando estiverem todos instalados. Se a configuração do servidor de acesso remoto inclui todos os serviços disponíveis, então, todos os serviços têm de ser migrados em conjunto. Migrar apenas um dos serviços para o servidor de destino não é suportado.
Um servidor local ou remoto que está a executar o Servidor de Políticas de Rede (NPS) que fornece a autenticação, gestão de contas e a política de gestão. Este guia não inclui os passos necessários para migrar um servidor que executa o NPS. Para migrar um servidor que executa o NPS, utilize Migrar o Servidor de Políticas de Rede para o Windows Server 2012. Migração NPS deve ser efetuada quando for indicado, mais tarde, neste guia.
Nota
Se não estiver a utilizar um servidor que executa o NPS, as políticas de acesso remoto predefinidas e as definições de gestão de conta que são criadas automaticamente ao configurar os RRAS não são migradas.
Ligações de marcação a pedido baseadas em acesso telefónico. O servidor de destino poderá ter modems diferentes e existem muitas definições de marcação a pedido que são específicas do modem ou dispositivo ISDN que está selecionado.
Certificados utilizados para autenticação de ligações IKEv2, SSTP e L2TP/IPsec.
Enlace de Certificado de SSL para SSTP quando a caixa de verificação Utilizar HTTP não estiver selecionada.
Ligações VPN IKEv2 que utilizam adaptadores de rede IPv6. IKEv2 é suportado em servidores RRAS que executam apenas o Windows Server 2008 R2. Na Consola de Gestão da Microsoft RRAS (MMC) no Windows Server 2008 R2, pode especificar a interface de rede utilizada para adquirir endereços IPV6 DHCP e DNS que são utilizados para clientes de VPN IKEv2. Se migrar RRAS de Windows Server 2008 R2 para outro servidor com o Windows Server 2008 R2, a definição é migrada. No entanto, se migrar de uma versão anterior do Windows, não existe nenhuma definição para migrar e o valor predefinido de Permitir que RAS selecione o adaptador é utilizado.
Fraca encriptação. No Windows Server 2003, a fraca encriptação está ativada, mas em versões posteriores do Windows está desativada por predefinição. Pode ativar a fraca encriptação apenas ao modificar o registo. Durante a migração do Windows Server 2003 as definições de registo necessárias não são criadas no novo servidor pelo processo de migração e têm de ser configuradas manualmente. Para obter versões posteriores do Windows, se estas definições de registo estiverem presentes, são migradas.
DLLs de Administração e DLLs de Segurança e as correspondentes chaves de registo. Estes DLLs estão disponíveis em versões de 32 bits e 64 bits e não funcionam numa migração de 32 bits para 64 bits.
DLLs personalizados utilizados para marcar uma ligação de marcação a pedido. Estes DLLs estão disponíveis em versões de 32 bits e 64 bits e não funcionam numa migração de 32 bits para 64 bits. Quaisquer definições de registo também não são migradas.
Perfis do Gestor de Ligações. O Kit de Administração do Gestor de Ligações é utilizado para criar perfis de VPN marcação telefónica de acesso remoto. Perfis criados são armazenados em pastas específicas no servidor RRAS. Perfis que são criados numa versão de 32 bits do Windows não funcionam em computadores que estejam a executar uma versão de 64 bits do Windows, e vice-versa. Para mais informações sobre perfis de ligação, consulte Kit de Administração do Gestor de Ligações (https://go.microsoft.com/fwlink/?linkid=55986).
A definição de Fragmentos Reencaminhados de Grupo no NAT. Esta definição é ativada se o servidor RRAS for implementado por trás de um router NAT em execução no sistema operativo Windows. Isto é necessário para ligações L2TP/IPsec que estão a utilizar autenticação de certificados de computador para êxito. Recomendamos que ative este valor para contornar um problema conhecido no RRAS.
A definição Registar informações adicionais de Encaminhamento e Acesso Remoto (utilizado para depuração) na caixa de diálogo Propriedades de Encaminhamento e Acesso Remoto no separador Registos.
Descrição geral do processo de migração do serviço de Encaminhamento e Acesso Remoto
O processo de pré-migração envolve a recolha manual de dados, seguido pela execução de procedimentos nos servidores de destino e origem. O processo de migração inclui procedimentos de servidor de origem e destino que utilizam os cmdlets Export e Import para recolher, armazenar e migrar automaticamente as definições de função de servidor. Procedimentos de pós-migração incluem verificar se o servidor de destino substituiu com êxito o servidor de origem e, em seguida, extinguir ou reobjetivar o servidor de origem. Se o procedimento de verificação indica que a migração falhou, a resolução de problemas começa. Se a falha de resolução de problemas, são fornecidas instruções de reversão para devolver a rede para a utilização de servidor de origem original.
Impacto da migração
Durante a migração, o servidor de Acesso Remoto não está disponível para aceitar ligações de entrada ou para encaminhar o tráfego.
Novos clientes remotos não podem ligar ao servidor utilizando marcação telefónica, ligações VPN ou DirectAccess. As ligações existentes no servidor são desligadas. Se possui vários servidores de acesso remoto, então, a perda de disponibilidade deste servidor resulta numa redução de capacidade até que o novo servidor esteja operacional novamente. Para ligações de marcação a pedido, tem de fornecer ligação alternativa entre escritórios ou reconfigurar as ligações para apontarem para um servidor alternativo.
Funcionalidades de encaminhamento e NAT não estão disponíveis. Se a funcionalidade for necessária durante a migração, um router alternativo pode ser implementado até que o novo servidor de destino esteja disponível.
Os impactos de pós-migração incluem o seguinte:
Se pretender reutilizar o nome do servidor de origem como o nome do servidor de destino, o nome pode ser configurado no servidor de destino depois do servidor de origem ser desligado da rede. Caso contrário, existe um conflito de nomes que pode afetar a disponibilidade. Se planear executar ambos os servidores, então, o servidor de destino tem de ter um nome exclusivo.
Um servidor VPN pode ser diretamente ligado à Internet ou esta pode ser colocada numa rede de perímetro por trás de uma firewall ou router NAT. Se o endereço IP ou nome DNS do servidor de destino for alterado como parte da migração ou após a migração estar concluída, então, os mapeamentos na firewall ou dispositivo NAT têm de ser reconfigurados para apontar para o endereço correto ou nome. Tem também de atualizar quaisquer servidores DNS de intranet ou Internet com o novo nome e endereço IP. Além disso, lembre-se de fornecer informações sobre quaisquer alterações de nome de servidor ou endereço IP aos seus utilizadores para que estes possam ligar ao servidor correto. Se utilizar perfis de ligação que são criados utilizando o Kit de Administração do Gestor de Ligações, então, implemente um novo perfil com as informações de endereço do servidor atualizado.
Nota
Para o DirectAccess, o computador de origem e o computador de destino têm de ter os mesmos endereços IP e nomes de interface.
Recomendamos que anuncie a data e hora previstas para a migração para que os utilizadores possam planear em conformidade e efetuar outras disposições conforme necessário.
Permissões necessárias para concluir a migração
As seguintes permissões são necessárias no servidor de origem e nos servidores de destino do Acesso Remoto:
Direitos de utilizador de domínio têm de estar associados ao novo servidor para o domínio.
Direitos administrativos locais são necessários para instalar e gerir a função de acesso remoto.
Permissões de administrador equivalentes para GPOs do DirectAccess tal como foram configurados no computador de origem.
Permissões de escrita são necessários para a localização de arquivo de migração. Para mais informações, consulte Acesso Remoto: Preparar para Migrar neste guia.
Duração estimada
A migração poderá demorar 2 ou 3 horas, incluindo o teste.
Consultar Também
Acesso Remoto: Preparar para Migrar
Acesso Remoto: Migrar o Acesso Remoto
Acesso Remoto: Verificar a Migração
Acesso Remoto: Tarefas Pós-migração