将网络策略服务器迁移到 Windows Server 2012 R2

适用于： Windows Server 2012 R2

本文档提供了从运行 Windows Server 2003、Windows Server 2008、Windows Server® 2008 R2 或 Windows Server® 2012 的基于 x86 或基于 x64 的服务器向新 Windows Server® 2012 服务器迁移网络策略服务器 (NPS) 或 Internet 验证服务器 (IAS) 的指南。

关于本指南

NPS 迁移文档和工具简化了将 NPS 角色服务设置和数据从现有服务器迁移到运行 Windows Server 2012 的目标服务器这一过程。 通过使用本指南中描述的工具，可简化 IAS/NPS 迁移过程、减少迁移时间、提高 IAS/NPS 迁移过程的准确性并帮助缓解迁移过程中可能发生的冲突。

目标受众

本指南专供以下 IT 专业人员使用：

• 负责整个组织中的计算机管理和安全的 IT 架构师。

• 负责网络、服务器、客户端计算机、操作系统或应用程序的日常管理和故障排除的 IT 操作工程师。

• 负责网络和服务器管理的 IT 运营经理。

本指南未提供的内容

本指南不提供用于迁移可能在源服务器上运行的其他服务的配置的详细步骤。

对于通过在安装过程中使用升级选项来在现有服务器硬件上安装新的操作系统这一方案，不提供任何指导。

支持的迁移方案

本指南提供有关将运行 NPS 或 IAS 的现有服务器迁移到运行 Windows Server 2012 的服务器的说明。 本指南不包含有关在源服务器正在运行多个角色时进行网络策略服务器迁移的说明。 如果你的服务器运行了多个角色，建议你根据其他角色迁移指南中提供的信息设计特定于你的服务器环境的自定义迁移过程。 如需有关其他角色的迁移指南，请参阅 Windows Server 上的迁移角色和功能。

支持的操作系统

下表显示了本指南支持的最低操作系统要求。

• NPS 角色服务在服务器核心版本中不可用。 支持将 Foundation、Standard、Enterprise 和 Datacenter 版本的 Windows Server 作为源服务器或目标服务器。 Windows Server Foundation 版本对 Windows Server 2003 不可用。

• 不支持从源服务器迁移到运行其他安装语言的操作系统的目标服务器。 例如，不支持将服务器角色从运行系统语言为法语的 Windows Server 2008 的计算机迁移到运行系统语言为德语的 Windows Server 2012 R2 的计算机。 系统语言是用于设置 Windows 操作系统的本地化安装程序包的语言。

• Windows Server 2003 和 Windows Server 2008 都支持基于 x86 的迁移和基于 x64 的迁移。Windows Server 2012 R2 的所有版本都是基于 x64 的。

支持的 NPS 角色配置

本指南支持以下 NPS 设置迁移：

1. 策略。 通过使用本指南可支持 NPS 策略配置的迁移，包括连接请求策略、网络策略以及运行状况策略。

2. 身份验证方法。 使用本指南可迁移所有支持的身份验证方法设置。 有关身份验证方法的更多信息，请参阅 NPS 身份验证方法 (https://go.microsoft.com/fwlink/?LinkId=169629)。

3. 系统健康验证程序 (SHV)。 支持迁移使用 Microsoft 发布的 SDK 实现的 SHV 配置设置。

4. NPS 模板。 使用 NPS UI 导出和导入功能迁移模板设置。 不能使用命令行迁移模板设置。

5. RADIUS 客户端和远程 RADIUS 服务器。 RADIUS 客户端和远程 RADIUS 服务器配置设置，包括可使用本指南迁移的共享机密。

6. SQL 记帐。 可使用本指南迁移 SQL 参数的配置，包括连接、描述、记帐、身份验证、定期记帐状态、定期身份验证状态和最大会话数设置。 建议手动配置 SQL 连接字符串设置。 有关详细信息，请参阅 配置登录 NPS 的 SQL Server (https://go.microsoft.com/fwlink/?LinkId=169631)。

IP 地址和主机名配置

本指南支持以下方案：

1. 使用与源服务器相同的主机名或 IP 地址配置目标服务器。

2. 使用与源服务器不同的主机名或 IP 地址配置目标服务器。

不支持的迁移方案

本文档未涵盖以下迁移方案：

• 升级。 本文档未提供以下方案的指南：在安装期间，使用**“升级”**选项在现有服务器硬件上安装新操作系统。

• 扩展 DLL。 本指南不支持扩展 DLL 注册表项设置的迁移。 有关扩展 DLL 注册表项迁移的详细信息，请参阅 设置扩展 Dll (https://go.microsoft.com/fwlink/?LinkId=169632)。

• 非 Microsoft 身份验证方法。 不支持针对非 Microsoft 身份验证方法的设置的迁移。 若要迁移这些设置，请参见供应商文档。

• 非 Microsoft SHV。 仅在使用 NAP SHA/SHV SDK 中的指南开发 SHV 时才支持针对非 Microsoft SHV 的设置的迁移。 若要迁移这些设置，请参见供应商文档。

针对此角色的迁移过程的概述

网络策略服务器 (NPS) 是 Microsoft 在 Windows Server 2012 R2 中的远程身份验证拨入用户服务 (RADIUS) 服务器和代理的实现。 NPS 取代了 Windows Server 2003 中的 Internet 身份验证服务 (IAS)。

当前主题提供了 NPS 迁移过程的概述。 NPS 迁移指南还包括以下主要部分：

• 准备迁移

• 迁移 NPS 服务器

• 验证 NPS 服务器迁移

• 迁移后任务

• 附录 A - 数据收集工作表

预迁移过程包含创建迁移数据的存储位置、收集用于执行服务器迁移的信息以及在目标服务器上安装操作系统。 如果源服务器正在运行 Windows Server 2003，NPS 迁移过程将包括使用 iasmigreader工具。 如果源服务器正在运行 Windows Server 2008 或 Windows Server 2008 R2，则需要 Network Shell (netsh) 实用工具来获得 NPS 设置。 迁移正在运行的 Windows Server 2012 或 Windows Server 2012 R2 的源服务器时，你可以使用 netsh 或 Windows PowerShell®。 然后，在目标服务器上执行这些过程以安装所需的角色并迁移 NPS 设置。 验证过程包括测试目标服务器，确保其正常运行。 迁移后过程包括停用或重用源服务器。

迁移的影响

在其建议的配置中，目标服务器具有与源服务器相同的主机名和 IP 地址。 在此方案中，源服务器将在迁移过程持续时间（预计为 1 到 2 小时）内对过程网络访问请求不可用。

本指南还包括将 NPS 服务器配置从源服务器迁移到带其他主机名或 IP 地址的目标服务器的过程。 这将允许同时运行源 NPS 服务器和目标 NPS 服务器，直到所有测试和验证完成，并将减少服务中断。 如果更改运行 NPS 的服务器的名称或 IP 地址，则还必须使用新的 NPS 服务器名称和 IP 地址更新 RADIUS 客户端。

迁移对源服务器的影响

• 在部署具有与源服务器相同的主机名和 IP 地址的目标服务器时，必须先停止使用源服务器并使其脱机，然后再将目标服务器从 tempNPS 重命名为源服务器的主机名。

• 在使用其他主机名和 IP 地址部署目标服务器时，不会对源服务器产生任何影响。

迁移对企业中的其他计算机的影响

• 若使用同一主机名和 IP 地址部署目标服务器，则在源服务器脱机的情况下，在使用同一主机名和 IP 地址将目标服务器联机之前，NPS 无法评估网络访问请求。 在此期间，无法对请求访问网络的客户端计算机进行身份验证，并将拒绝这些计算机对网络的访问。

• 在使用其他主机名和 IP 地址部署目标服务器时，必须对配置为使用源服务器的所有网络访问服务器的 RADIUS 客户端设置进行更新。

完成迁移所需的权限

源服务器和目标服务器上需要以下权限：

• Administrators 组中的成员身份或同等身份是安装和配置运行 NPS 的服务器的最低要求。

• SQL 数据库权限中的成员身份是 SQL 设置迁移所必需的。

• 如果目标服务器是一个域成员，则 Domain Admins 组中的成员身份或同等身份是对 NPS 服务器进行授权的最低要求。

估计持续时间

将 NPS 设置从源服务器迁移到目标服务器（包括测试）所需的工作可能要花费 1 到 2 小时。 针对非 Microsoft 身份验证方法、SHV 或扩展 DLL 的迁移可能要花费更多时间。