Миграция удаленного доступа на Windows Server 2012

  • Статья

 

Применимо к:Windows Server 2012

Служба маршрутизации и удаленного доступа (RRAS) представляла собой службу ролей в операционных системах Windows Server до версии Windows Server 2012, которая позволяла использовать компьютер в качестве IPv4- или IPv6-маршрутизатора, маршрутизатора преобразования сетевых адресов (NAT) IPv4 или сервера удаленного доступа, через который выполнялись коммутируемые или VPN-подключения удаленных клиентов. Теперь этот компонент в сочетании с DirectAccess составляет роль сервера удаленного доступа в Windows Server 2012. В этом руководстве описывается миграция сервера, на котором размещается служба маршрутизации и удаленного доступа (версии Windows Server 2008 R2 и ниже), на компьютер под управлением Windows Server 2012.

Примечание

Подробные отзывы пользователей очень важны для нас: они помогают разрабатывать максимально надежные, исчерпывающие и простые в использовании руководства по миграции для Windows Server. Просим вас оценить этот раздел и добавить комментарии, обосновывающие вашу оценку. Опишите, что вам понравилось, а что нет, или что вы хотели бы увидеть в будущих версиях этого раздела. Дополнительные предложения о том, как улучшить руководства по миграции или служебные программы, отправляйте в форум по миграции Windows Server.

Информация о руководстве

Документация по миграции и средства миграции облегчают перенос параметров роли сервера и данных с существующего сервера на конечный сервер, работающий под управлением Windows Server 2012. Описанные в этом руководстве средства позволяют упростить процесс миграции, сократить его продолжительность, повысить точность и предотвратить конфликты, которые могут возникать в процессе переноса данных. Дополнительные сведения об установке и использовании средств миграции на исходном и конечном серверах см. в руководстве по установке, использованию и удалению средств миграции Windows Server (https://go.microsoft.com/fwlink/?LinkId=247607).

Целевая аудитория

Этот документ предназначен для ИТ-администраторов, ИТ-специалистов и других сотрудников, отвечающих за эксплуатацию и развертывание серверов удаленного доступа в управляемой среде. Для выполнения некоторых описанных в данном руководстве шагов миграции могут потребоваться определенные знания в области написания сценариев.

Чего в этом руководстве нет

В этом руководстве отсутствует описание архитектуры и подробное описание функций роли удаленного доступа. Данное руководство по миграции не поддерживает следующие сценарии:

  • процессы обновления "на месте", при которых новая операционная система устанавливается на имеющееся серверное оборудование с помощью варианта Upgrade, который выбирается при установке

  • кластеризация и многосайтовое развертывание

  • Перенос более одной роли сервера

    Если на сервере выполняется несколько ролей, рекомендуется разработать специальную процедуру миграции для конкретной серверной среды c использованием информации из этого и других руководств по миграции ролей.

Поддерживаемые сценарии миграции

В этом руководстве приведены инструкции по миграции существующего сервера на сервер под управлением Windows Server 2012.

Предупреждение

Руководство не содержит инструкций по миграции для случая, когда на исходном сервере выполняется несколько ролей. Если на исходном сервере выполняется несколько ролей, выполнение некоторых описанных в этом руководстве шагов по миграции, например миграция учетных записей пользователей и имен сетевых интерфейсов, может вызвать сбои в работе других ролей.

Поддерживаемые операционные системы

В этом руководстве приведены инструкции по переносу данных и параметров с существующего сервера, который заменяется новым физическим или виртуальным 64-разрядным сервером с вновь установленной операционной системой в соответствии со схемой, описанной в следующей таблице.

Процессор исходного сервера

Операционная система исходного сервера

Операционная система конечного сервера

Процессор конечного сервера

32-разрядный (x86) или 64-разрядный (x64)

Windows Server 2003 с пакетом обновления 2 (SP2)

Windows Server 2012

64-разрядный (x64)

32-разрядный (x86) или 64-разрядный (x64)

Windows Server 2003 R2

Windows Server 2012

64-разрядный (x64)

32-разрядный (x86) или 64-разрядный (x64)

Windows Server 2008, только полная установка

Windows Server 2012

64-разрядный (x64)

64-разрядный (x64)

Windows Server 2008 R2, только полная установка

Windows Server 2012

64-разрядный (x64)

64-разрядный (x64)

Windows Server 2012

Windows Server 2012

64-разрядный (x64)

  • Версии операционных систем, представленные в предыдущей таблице, являются самыми ранними поддерживаемыми сочетаниями ОС и пакетов обновления. Поддерживаются и более новые пакеты обновления.

  • Миграция в случае, когда на конечном сервере уже настроен DirectAccess, не поддерживается.

  • В качестве исходных или конечных серверов поддерживаются следующие версии ОС Windows Server: Foundation, Standard, Enterprise и Datacenter. Это относится и к миграции между выпусками. Например, можно осуществить миграцию с сервера под управлением Windows Server 2003 Standard на сервер под управлением Windows Server 2012.

  • Также поддерживается миграция между физическими и виртуальными операционными системами.

  • Не поддерживается миграция с исходного сервера на конечный сервер, работающий под управлением операционной системы, язык пользовательского интерфейса (то есть установленный язык) которой отличается от языка интерфейса исходного сервера. Например, Средства миграции Windows Server нельзя использовать для миграции ролей, параметров операционной системы, данных или общих ресурсов с компьютера под управлением Windows Server 2008 R2 с пользовательским интерфейсом на французском языке на компьютер под управлением Windows Server 2012 с пользовательским интерфейсом на немецком языке.

    Примечание

    Язык пользовательского интерфейса системы — это язык локализованного пакета установки, который использовался при установке операционной системы Windows.

  • Для операционных систем Windows Server 2003 и Windows Server 2008 поддерживается миграция между серверами на базе процессоров x86 и x64. Все выпуски Windows Server 2008 R2 и Windows Server 2012 основаны на архитектуре x64.

Поддерживаемые конфигурации ролей

Ниже приведен расширенный список сценариев миграции, которые поддерживаются для удаленного доступа. Переносятся все параметры для этих сценариев.

  • DirectAccess (поддерживается только при миграции с Windows Server 2012 на Windows Server 2012)

  • VPN-сервер

  • Сервер удаленного доступа

  • Преобразование сетевых адресов (NAT)

  • Маршрутизация со следующими необязательными компонентами:

    • агент DHCP-ретрансляции

    • протокол RIP

    • протокол управления группами Интернета (IGMP)

Помимо указанных выше сценариев, при миграции также автоматически корректируется настройка конечного сервера, чтобы учесть возможности, которые более не поддерживаются, и обеспечить поддержку возможностей, которые появились в Windows Server 2012 и не поддерживались в более ранних версиях Windows.

Зависимости миграции

Если требуется также выполнить миграцию локального или удаленного NPS-сервера, который используется для проверки подлинности, учета или управления политиками, то перенос службы NPS следует выполнять до миграции удаленного доступа. Дополнительные сведения см. в разделе Перенос сервера политики сети в Windows Server 2012.

При обновлении с Windows 2008 R2 DirectAccess до Windows Server 2012 убедитесь, что все параметры конфигурации DirectAccess были применены к серверу Windows 2008 R2. Возможно сохранить параметры через консоль и не применить их. Перед обновлением убедитесь, что сохраненные параметры также были применены.

Компоненты миграции, которые поддерживаются не во всех версиях операционных систем

Следующие компоненты удаленного доступа поддерживаются не во всех операционных системах:

Компонент

Диалоговое окно пользовательского интерфейса и параметры

Действие

Новые компоненты, недоступные в Windows Server 2003, Windows Server 2008 и Windows Server 2008 R2

Указание адаптера для получения DNS- или WINS-адресов

Свойства RAS — вкладка «IPv4» Адаптер

Этот компонент не поддерживается в Windows Server 2003. На конечном компьютере для этого параметра следует использовать значение по умолчанию.

SSTP

SSTP-порты

SSTP не поддерживается в Windows Server 2003. На конечном компьютере следует включить SSTP-порты. Число зависит от значения SKU по умолчанию на конечном компьютере.

IPv6

  1. Свойства RAS — вкладка «Общие» Флажок маршрутизатора IPv6 и соответствующие переключатели, сервер удаленного доступа IPv6

  1. Свойства RAS — вкладка «IPv6» Все параметры

  1. Свойства вызова по требованию (VPN/PPPoE) — вкладка "Сеть" — TCP/IPv6

  1. Вызов по требованию (VPN/PPPoE) — фильтры IPv6 для инициирования подключений

  1. IPv6-маршрутизатор

  • IPv6 не поддерживается в Windows Server 2003. Его следует отключить на конечном компьютере, если DirectAccess не развернут (устаревшая VPN). На вкладке "Общие" в свойствах RRAS нужно снять флажки "IPv6-маршрутизатор" и "IPv6-сервер удаленного доступа".

  • Параметр адаптера на вкладке "IPv6" в свойствах RAS был впервые введен в Windows Server 2008 R2 для IKEv2. В Windows Server 2008 он отсутствовал. Во время миграции для этого параметра на конечном компьютере следует установить значение по умолчанию для Windows Server 2008 и оставить как есть для Windows Server 2008 R2 и Windows Server 2012.

IP-фильтры в разделе "Ведение журналов и политики удаленного доступа"

Ведение журналов и политики удаленного доступа — IP-фильтры

В Windows Server 2003 и Windows Server 2008 нет возможности для создания IP-фильтров в разделе "Ведение журналов и политики удаленного доступа". Поэтому никакие фильтры не переносятся.

Автоматическое получение IPv6-адреса

Свойства вызова по требованию (VPN/PPPoE) — вкладка "Сеть" — Свойства IPv6 — переключатель "Получать IP-адрес автоматически"

В Windows Server 2008 этот параметр отсутствует. На конечном компьютере для этого параметра следует задать значение по умолчанию.

IKEv2

  1. IKEv2-порты

  1. Свойства RAS — вкладка "Безопасность": проверка подлинности сертификата компьютера для IKEv2

  1. Свойства RAS — вкладка «IKEv2» Все параметры

  • IKEv2 не поддерживается в Windows Server 2003 и Windows Server 2008. На конечном компьютере следует включить IKEv2-порты. Число зависит от значения SKU по умолчанию на конечном компьютере.

  • На конечном компьютере для всех параметров IKEv2 следует использовать значения по умолчанию.

Сертификат SSTP Выбор

Свойства RAS — вкладка «Безопасность» Флажок «Использовать HTTP», раскрывающийся список для выбора сертификата, параметры привязки с шифрованием

Этот компонент не поддерживается в Windows Server 2003 и Windows Server 2008. На конечном компьютере для всех этих параметров следует использовать значения по умолчанию.

Учет VPN

Ведение журналов и политики удаленного доступа — учет: параметры действия при сбое ведения журнала в разделах «Свойства ведения журнала SQL Server» и «Свойства файла журнала»

В Windows Server 2008 они отсутствуют. На конечном компьютере следует использовать значение по умолчанию.

Устаревшие компоненты. Недоступен в Windows Server 2008, Windows Server 2008 R2 или Windows Server 2012

Протоколы SPAP, MS-CHAP, EAP-MD5 и связанные с ними параметры

Свойства интерфейса вызова по требованию VPN/PPPoE — вкладка "Безопасность"

Параметры SPAP, EAP-MD5, MS-CHAP не поддерживаются в Windows Server 2008 R2 и Windows Server 2012 и не переносятся.

Настройка интерфейса подключения по локальной сети в разделе "Маршрутизация"

Маршрутизация — Общие — Свойства подключения по локальной сети — вкладка "Конфигурация"

Эта вкладка содержит параметры для настройки получения IP-адреса для данного интерфейса. Она присутствует только в Windows Server 2003 и не переносится.

Брандмауэр RAS (интегрирован с NAT)

  1. NAT — Интерфейс — вкладка "NAT/Основной брандмауэр"

  1. NAT — Интерфейс — вкладка "ICMP"

Windows Server 2003 поддерживала функции брандмауэра RAS, которые были удалены в Windows Server 2008. Эти параметры не переносятся.

Параметры слабого шифрования

Слабое шифрование поддерживается в Windows Server 2003, но в Windows Server 2008 и Windows Server 2008 R2 его можно включить только через реестр. Во время миграции с Windows Server 2003 параметры реестра не создаются автоматически. Если параметры реестра в Windows Server 2008 и более поздних версиях уже заданы, они переносятся.

Компоненты, которые не переносятся автоматически

Перечисленные ниже элементы и параметры удаленного доступа не переносятся с помощью командлетов Windows PowerShell, которые входят в состав средств миграции Windows Server. Вместо этого необходимо вручную настроить элемент или параметр на новом RRAS-сервере, как описано в разделе Выполнение вручную необходимых шагов миграции данного руководства.

Важно!

Настраивайте эти элементы вручную только при наличии в этом руководстве соответствующих указаний.

  • Привязки сертификата SSL. Миграция параметров привязки сертификата SSL и привязки с шифрованием для SSTP выполняется следующим образом.

    1. Мастер миграции ищет исходный сертификат на конечном компьютере. Если поиск дал результат, SSTP использует найденный сертификат.

    2. Если исходный сертификат не найден, мастер миграции ищет допустимый сертификат с тем же доверенным корнем, что и у исходного сертификата.

    3. Если сертификат по-прежнему не найден, то на конечном компьютере используется настройка SSTP по умолчанию.

    4. Если используются самозаверяющие сертификаты (допустимо для Windows Server 2012), они будут автоматически созданы на конечном компьютере.

  • Учетные записи пользователей на локальном RRAS-сервере. Если вы используете учетные записи пользователей и групп на основе домена, а новый и старый RRAS-серверы входят в один и тот же домен, переносить учетные записи не требуется. Если на исходном RRAS-сервере настроен параметр Windows — проверка подлинности, можно использовать учетные записи локальных пользователей.

  • Перенос только маршрутизации, VPN или DirectAccess, если все службы установлены. Если конфигурация сервера удаленного доступа включает все доступные службы, то все службы должны переноситься вместе. Миграция на конечный сервер только одной из служб не поддерживается.

  • Локальный или удаленный сервер, на котором запущен сервер политики сети (NPS), обеспечивающий проверку подлинности, учет и управление политиками. Настоящее руководство не включает описание миграции сервера, на котором выполняется NPS. Чтобы выполнить миграцию сервера, на котором выполняется NPS, используйте Перенос сервера политики сети в Windows Server 2012. Миграцию NPS следует выполнять при наличии в этом руководстве соответствующих указаний.

    Примечание

    Если сервер, на котором работает NPS, не используется, то параметры учета и политик удаленного доступа по умолчанию, автоматически создаваемые при настройке RRAS, не будут перенесены.

  • Подключения по требованию на базе коммутируемых соединений. На конечном сервере могут использоваться различные модемы и имеется множество параметров вызовов по требованию, связанных с конкретным модемом или устройством ISDN.

  • Сертификаты, используемые для проверки подлинности подключений IKEv2, SSTP и L2TP/IPSec.

  • Привязка сертификата SSL для протокола SSTP, если флажок Использовать HTTP снят.

  • VPN-подключения IKEv2, использующие сетевые адаптеры протокола IPv6. IKEv2 поддерживается только на тех RRAS-серверах, которые работают под управлением Windows Server 2008 R2. В консоли управления (MMC) RRAS в Windows Server 2008 R2 можно указать сетевой интерфейс для получения DHCP- и DNS-адресов IPv6, которые используются для VPN-клиентов IKEv2. В случае миграции RRAS с Windows Server 2008 R2 на другой сервер под управлением Windows Server 2008 R2 эти параметры переносятся. Но при миграции с предыдущей версии Windows параметры для переноса отсутствуют и для параметра Разрешить RAS выбирать адаптер используется значение по умолчанию.

  • Слабое шифрование. В Windows Server 2003 слабое шифрование включено, но в более поздних версиях Windows по умолчанию оно отключено. Слабое шифрование можно включить только путем изменения реестра. В процессе миграции с Windows Server 2003 необходимые для этого параметры реестра на новом сервере не создаются, и их нужно настраивать вручную. В более поздних версиях Windows, если эти параметры реестра уже заданы, они переносятся.

  • DLL-файлы администрирования и безопасности и соответствующие разделы реестра. Эти DLL-файлы доступны как в 32-, так и в 64-разрядных версиях, но они не работают при миграции с 32- на 64-разрядную версию.

  • Особые DLL-файлы, которые служат для установки коммутируемых подключений по требованию. Эти DLL-файлы доступны как в 32-, так и в 64-разрядных версиях, но они не работают при миграции с 32- на 64-разрядную версию. Соответствующие параметры реестра также не переносятся.

  • Профили диспетчера подключений. Пакет администрирования диспетчера подключений служит для создания профилей удаленного доступа VPN и коммутируемых подключений. Эти профили хранятся в соответствующих папках на RRAS-сервере. Профили, созданные в 32-разрядной версии Windows, не работают на компьютерах под управлением 64-разрядной версии Windows, и наоборот. Дополнительные сведения о профилях подключений см. в разделе Пакет администрирования диспетчера подключений (https://go.microsoft.com/fwlink/?linkid=55986).

  • Параметр "Фрагменты групповой пересылки" для преобразования сетевых адресов. Этот параметр включен, если RRAS-сервер развертывается за маршрутизатором NAT, работающим под управлением ОС Windows. Он требуется для подключений L2TP/IPsec, которые используют проверку подлинности сертификатов компьютера. Рекомендуется включить этот параметр, чтобы избежать известных проблем, связанных с RRAS.

  • Параметр Записывать дополнительные сведения о маршрутизации и удаленном доступе (используется для отладки) в диалоговом окне Свойства маршрутизации и удаленного доступа на вкладке Ведение журнала.

Обзор процесса миграции службы маршрутизации и удаленного доступа

При подготовке к миграции требуется выполнить ручной сбор данных, а затем — процедуры на конечном и исходном серверах. Процесс миграции включает в себя выполняемые на исходном и конечном серверах процедуры, в рамках которых для автоматического сбора, хранения и переноса параметров ролей сервера используются командлеты Export и Import. После миграции выполняется проверка замены исходного сервера конечным сервером, а затем исходный сервер выводится из эксплуатации или проводится его переналадка. Если в результате проверки обнаруживаются ошибки миграции, начинается процедура устранения неполадок. Если устранить неполадки не удается, предоставляются инструкции по откату, позволяющие вернуть сеть к использованию исходного сервера.

Воздействие миграции

Во время миграции сервер удаленного доступа не принимает входящие подключения и недоступен для маршрутизации трафика.

  • Новые удаленные клиенты не могут подключиться к серверу с помощью коммутируемых и VPN-подключений или подключений DirectAccess. Существующие подключения сервера отключаются. Если серверов удаленного доступа несколько, то в результате отключения сервера пропускная способность снижается, пока новый сервер не вернется в работу. Для подключений по требованию нужно обеспечить альтернативные каналы связи между офисами или перенастроить подключения, чтобы они указывали на другой сервер.

  • Функции маршрутизации и преобразования сетевых адресов недоступны. Если эти функции должны быть доступны во время миграции, можно временно развернуть дополнительный маршрутизатор, пока новый конечный сервер не станет доступен.

Последствия миграции включают следующее:

  • Если планируется использовать имя исходного сервера в качестве имени конечного сервера, это имя можно задать на конечном сервере после отключения исходного сервера от сети. В противном случае конфликт имен может сказаться на доступности сервера. Если планируется использовать оба сервера, для конечного сервера нужно задать уникальное имя.

  • VPN-сервер можно подключить к Интернету напрямую или поместить в сеть периметра, защищенную брандмауэром или маршрутизатором с преобразованием сетевых адресов (NAT). Если в ходе миграции или после ее завершения IP-адрес или DNS-имя конечного сервера изменяются, сопоставление в брандмауэре или NAT-устройстве нужно изменить в соответствии с новым адресом или именем. Кроме того, необходимо обновить DNS-серверы интрасети и Интернета, указав новое имя и IP-адрес. Также не забудьте передать сведения обо всех изменениях имен и IP-адресов серверов пользователям, чтобы они подключались к правильному серверу. В случае использования профилей подключения, созданных с помощью пакета администрирования диспетчера подключений, разверните новый профиль, содержащий обновленные сведения об адресе сервера.

Примечание

Для подключений DirectAccess исходный компьютер и конечный компьютер должны иметь одинаковые IP-адреса и имена интерфейсов.

Рекомендуется заранее распространить информацию о планируемом времени миграции, чтобы пользователи могли при необходимости скорректировать свои планы, а также выполнить прочие приготовления.

Разрешения, необходимые для выполнения миграции

На исходном сервере и конечных серверах удаленного доступа требуются следующие разрешения:

  • для присоединения нового сервера к домену требуются права пользователя домена;

  • для установки роли удаленного доступа и управления ею требуются права локального администратора;

  • для объектов групповой политики DirectAccess требуются такие же права администратора, какие были настроены на исходном компьютере;

  • для расположения хранилища миграции требуются разрешения на запись. Дополнительные сведения см. в разделе Удаленный доступ: подготовка к переносу данного руководства.

Ожидаемая продолжительность

Миграция может занять от двух до трех часов (включая тестирование).

См. также

Удаленный доступ: подготовка к переносу
Удаленный доступ: миграция удаленного доступа
Удаленный доступ: проверка миграции
Удаленный доступ: задачи по завершении миграции