将远程访问迁移到 Windows Server 2012
适用对象:Windows Server 2012
路由和远程访问服务 (RRAS) 是一种 Windows Server 操作系统中优先于 Windows Server 2012 的角色服务,可让你将计算机用作 IPv4 或 IPv6 路由器、IPv4 网络地址转换 (NAT) 路由器或托管远程客户端的拨号或虚拟专用网络 (VPN) 连接的远程访问服务器。 如今,该功能与 DirectAccess 结合使用,在 Windows Server 2012 中扮演远程访问服务器角色。该指南描述如何将托管路由和远程访问服务(在 Windows Server 2008 R2 及其他低端版本中)的服务器迁移到运行 Windows Server 2012 的计算机。
备注
你的详细反馈非常重要,可帮助我们使 Windows Server 迁移指南尽可能地可靠、完整和易于使用。 请花几分钟时间给本主题评分,并填写你给出此分数的原因。 描述你喜欢的内容、不喜欢的内容或希望在本主题的将来版本中看到的内容。 若要提交有关如何改进迁移指南或实用工具的其他建议,请将其发布在 Windows Server 迁移论坛上。
关于本指南
迁移文档和工具简化了将服务器角色设置和数据从现有服务器迁移到运行 Windows Server 2012 的目标服务器这一过程。 通过使用本指南中介绍的工具,你可以简化迁移过程,减少迁移时间,提高迁移过程的准确性,并帮助消除在迁移过程中可能出现的冲突。 有关如何在源服务器和目标服务器上安装和使用迁移工具的详细信息,请参阅 Windows Server 迁移工具安装、访问和删除指南 (https://go.microsoft.com/fwlink/?LinkId=247607)。
目标受众
本文档面向信息技术 (IT) 管理人员、IT 专业人士以及负责在托管环境中操作和部署远程访问服务器的其他知识工作者。 执行本指南中包含的某些迁移步骤可能需要一些脚本知识。
本指南未提供的内容
本指南不描述远程访问角色的体系结构或详细功能。 此迁移指南中不支持以下方案:
任何相关升级进程,在该进程中,使用 Upgrade 选项在安装期间在现有的服务器硬件上安装新的操作系统
群集和多站点方案
迁移多个服务器角色
如果服务器正在运行多个角色,建议你根据其他角色迁移指南中提供的信息设计一个特定于服务器环境的自定义迁移过程。
支持的迁移方案
本指南提供有关将现有服务器迁移到运行 Windows Server 2012 的服务器的说明。
警告
本指南不包含有关在源服务器运行多个角色时进行迁移的说明。 如果你的源服务器正在运行多个角色,则本指南中的某些迁移步骤(例如,那些用于迁移用户帐户和网络界面名称的步骤)可导致在源服务器上运行的其他角色失败。
支持的操作系统
本指南提供有关从一台现有服务器中迁移数据和设置的说明,该服务器将由一台新的安装了干净的操作系统的 64 位物理或虚拟服务器取代,如下表所述。
源服务器处理器 |
源服务器操作系统 |
目标服务器操作系统 |
目标服务器处理器 |
|---|---|---|---|
基于 x86 或基于 x64 |
带 Service Pack 2 的 Windows Server 2003 |
Windows Server 2012 |
基于 x64 |
基于 x86 或基于 x64 |
Windows Server 2003 R2 |
Windows Server 2012 |
基于 x64 |
基于 x86 或基于 x64 |
Windows Server 2008,仅限完全安装选项 |
Windows Server 2012 |
基于 x64 |
基于 x64 |
Windows Server 2008 R2,仅限完全安装选项 |
Windows Server 2012 |
基于 x64 |
基于 x64 |
Windows Server 2012 |
Windows Server 2012 |
基于 x64 |
显示在上表中的操作系统版本是所支持的操作系统和 Service Pack 的最旧组合。 支持较新的 Service Pack。
不支持迁移早已配置 DirectAccess 的目标服务器。
支持将 Foundation、Standard、Enterprise 和 Datacenter 版本的 Windows Server 操作系统作为源服务器或目标服务器。 这包括跨版本迁移。 例如,你可以将运行 Windows Server 2003 Standard 的服务器迁移到运行 Windows Server 2012 的服务器。
支持在物理操作系统和虚拟操作系统之间迁移。
不支持从源服务器迁移到运行与源服务器不同的系统 UI 语言(即已安装语言)的操作系统的目标服务器。 例如,无法使用 Windows Server 迁移工具 从正使用法语系统 UI 语言运行 Windows Server 2008 R2 的计算机将角色、操作系统设置、数据或共享资源迁移到正使用德语系统 UI 语言运行 Windows Server 2012 的计算机。
备注
系统 UI 语言是用于设置 Windows 操作系统的本地化安装程序包的语言。
Windows Server 2003 和 Windows Server 2008 支持基于 x86 和基于 x64 的迁移。Windows Server 2008 R2 和 Windows Server 2012 的所有版本都是基于 x64 的。
支持的角色配置
以下是远程访问服务支持的迁移方案的广泛列表。 迁移这些方案下的所有设置。
DirectAccess(仅支持从 Windows Server 2012 迁移到 Windows Server 2012)
VPN 服务器
拨号服务器
网络地址转换 (NAT)
路由,具有以下可选组件:
DHCP 中继代理
路由信息协议 (RIP)
Internet 组管理协议 (IGMP)
除上述方案外,迁移还自动调节目标服务器的配置,以考虑不再受支持的功能,并支持 Windows Server 2012 中新增但不受 Windows 早期版本支持的功能。
迁移依赖关系
如果还必须迁移用于身份验证、记帐或策略管理的本地或远程 NPS 服务器,则在迁移远程访问前迁移 NPS 服务。 有关详细信息,请参阅 将网络策略服务器迁移到 Windows Server 2012。
如果要从 Windows 2008 R2 DirectAccess 升级到 Windows Server 2012,则应确保已将所有 DirectAccess 配置设置应用到 Windows 2008 R2 服务器。 可以通过控制台保存设置,但不应用它们。 在升级前,还要确保已应用保存的设置。
所有操作系统版本都不支持的迁移组件
以下远程访问组件不受任何操作系统支持:
组件 |
UI 拨号/设置 |
操作 |
新组件,在 Windows Server 2003、Windows Server 2008 和 Windows Server 2008 R2 中不可用 |
||
指定适配器以获得 DNS/WINS 地址 |
RAS 属性 — IPv4 选项卡:适配器 |
Windows Server 2003 不支持此组件。 默认值应用于目标计算机的此设置。 |
SSTP |
SSTP 端口 |
Windows Server 2003 不支持 SSTP。 应在目标计算机上启用 SSTP 端口。 数字随目标计算机上 SKU 的默认值的不同而不同 |
IPv6 |
|
|
RA 日志和策略下的 IP 筛选器 |
远程访问日志与策略 – IP 筛选器 |
Windows Server 2003 和 Windows Server 2008 没有在远程访问日志和策略下创建 IP 筛选器的选项。 因此,将没有筛选器需要迁移。 |
自动获取 IPv6 地址 |
请求拨号 (VPN/PPPoE) 属性 - 网络选项卡 - IPv6 属性 – “自动获取 IP 地址”单选按钮 |
Windows Server 2008 中不存在此设置。 应将此设置的值设置为目标计算机上的默认值。 |
IKEv2 |
|
|
SSTP Cert. 选择 |
RAS 属性 — 安全选项卡:“使用 HTTP”复选框,下拉以选择证书,并加密绑定设置 |
Windows Server 2003 和 Windows Server 2008 不支持此组件。 默认值应用于目标计算机上所有这些设置。 |
VPN 记帐 |
远程访问日志记录和策略 — 计帐:在“SQL Server 日志记录属性”和“日志文件属性”下面记录失败操作设置 |
这些设置不存在于 Windows Server 2008 中。 默认值应用于目标计算机上。 |
已弃用的功能:在 Windows Server 2008、Windows Server 2008 R2 或 Windows Server 2012 上不可用 |
||
SPAP、MS-CHAP、EAP-MD5 协议和相关设置 |
VPN/PPPoE 请求拨号界面属性 — 安全选项卡 |
SPAP、EAP-MD5 和 MS-CHAP 设置在 Windows Server 2008 R2 或 Windows Server 2012 上不受支持,且不可迁移。 |
路由下的本地区连接界面配置 |
路由 – 一般 – 本地区连接属性 – 配置选项卡 |
该选项卡提供设置以配置如何为此界面获取一个 IP 地址。 它仅在 Windows Server 2003 上出现,且不可迁移。 |
RAS 防火墙(与 NAT 整合) |
|
Windows Server 2003 支持已在 Windows Server 2008 中删除的 RAS 防火墙功能。 将不迁移这些设置。 |
弱加密设置 |
Windows Server 2003 支持弱加密,但在 Windows Server 2008 和 Windows Server 2008 R2 上,仅可通过注册表启用弱加密。 在从 Windows Server 2003 迁移期间,不会自动创建注册设置。 对于 Windows Server 2008 和更高版本,如果这些注册表设置早已存在,则被迁移。 |
不自动迁移的迁移组件
以下远程访问元素和设置将不由随 Windows Server 迁移工具一同提供的 Windows PowerShell cmdlet 进行迁移。 相反,你必须手动在新的 RRAS 服务器上配置元素或设置,如本指南中的完成需要手动执行的迁移步骤所述。
重要
仅在本指南后面根据说明手动配置这些元素。
SSL 证书绑定。 按以下方式迁移 SSL 证书绑定和 SSTP 的加密绑定设置:
迁移向导在目标计算机上查找源证书。 如果找到一个证书,SSTP 将使用该证书。
如果未找到源证书,迁移向导将查找其受信任根与源证书相同的有效证书。
如果依然未找到证书,那么目标计算机上的 SSTP 配置为“默认”。
如果使用的是自签名证书(对 Windows Server 2012 有效),则将在目标计算机上自动创建自签名证书。
本地 RRAS 服务器上的用户帐户。 如果你使用基于域的用户和组帐户,并且新旧两个 RRAS 服务器都是同一个域的一部分,则无需任何帐户迁移。 如果在 RRAS 源服务器上配置 Windows 身份验证,可使用本地用户帐户。
当全部安装时,仅路由/VPN/DirectAccess。 如果你的远程访问服务器配置包含所有可用服务,则必须同时迁移所有服务。 不支持只将其中一种服务迁移到目标服务器。
运行网络策略服务器 (NPS) 的本地或远程服务器,提供身份验证、计帐和策略管理。 本指南不包括迁移正在运行 NPS 的服务器所需的步骤。 若要迁移运行 NPS 的服务器,请使用将网络策略服务器迁移到 Windows Server 2012。 应在本指南后面根据说明执行 NPS 迁移。
备注
如果你未使用正在运行 NPS 的服务器,则不迁移配置 RRAS 时自动创建的默认远程访问策略和记帐设置。
基于拨号的请求拨号连接。 目标服务器可能具有不同的调制解调器,并存在许多特定于所选择的调制解调器或 ISDN 设备的请求拨号设置。
证书,用于验证 IKEv2、SSTP 和 L2TP/IPsec 连接。
SSTP 的 SSL 证书绑定(不选择**“使用 HTTP”**复选框的情况)。
使用 IPv6 网络适配器的 IKEv2 VPN 连接。 只运行 Windows Server 2008 R2 的 RRAS 服务器上才支持 IKEv2。 在 Windows Server 2008 R2 上的 RRAS Microsoft 管理控制台 (MMC) 中,你可指定用于获取 IKEv2 VPN 客户端所使用的 IPV6 DHCP 和 DNS 地址的网络接口。 如果将 RRAS 从 Windows Server 2008 R2 迁移到运行 Windows Server 2008 R2 的另一台服务器,则迁移设置。 但是,如果你迁移以前版本的 Windows,则没有要迁移的设置,且使用**“允许 RAS 选择适配器”**的默认值。
弱加密。 在 Windows Server 2003 中启用弱加密,但是在更高版本的 Windows 中默认情况下禁用它。 只能通过修改注册表来启用弱加密。 从 Windows Server 2003 中迁移期间,迁移过程没有在新服务器上创建所需的注册表设置,必须手动配置这些设置。 对于更高版本的 Windows,如果这些注册表设置存在,则将迁移它们。
管理 DLL 和安全 DLL 及其对应的注册表项。 这些 DLL 在 32 位和 64 位版本中均可用,但在 32 位到 64 位的迁移中不起作用。
用于呼叫请求拨号连接的自定义 DLL。 这些 DLL 在 32 位和 64 位版本中均可用,但在 32 位到 64 位的迁移中不起作用。 也不会迁移任何对应的注册表设置。
连接管理器配置文件。 使用连接管理器管理工具包创建 VPN 和拨号远程访问配置文件。 创建的配置文件存储在 RRAS 服务器上的特定文件夹下。 在 32 位版本的 Windows 上创建的配置文件在运行 64 位版本的 Windows 的计算机上不起作用,反之亦然。 有关连接配置文件的详细信息,请参阅连接管理器管理工具包 (https://go.microsoft.com/fwlink/?linkid=55986)。
NAT 上的组转发片段设置。 如果在 Windows 操作系统上运行的 NAT 路由器后面部署 RRAS 服务器,则启用此设置。 这是使用计算机证书身份验证的 L2TP/IPSec 连接成功所必需的。 建议你启用此值以解决 RRAS 中的已知问题。
**“记录其他路由和远程访问信息(用于调试)”设置,在“路由和远程访问属性”对话框中,在“记录”**选项卡上。
路由和远程访问服务迁移过程的概述
预迁移流程涉及手动收集数据,随后是在目标和源服务器上运行相关程序。 迁移流程包括使用 Export 和 Import cmdlet 自动收集、保存和迁移服务器角色设置的源和目标服务器流程。 迁移后过程包括验证目标服务器是否成功替换源服务器,然后停用或重用源服务器。 如果验证过程指示迁移失败,则开始进行疑难解答。 如果疑难解答失败,则提供回滚指令将网络返回为使用原始源服务器。
迁移的影响
迁移期间,远程访问服务器不可用于接受传入连接或路由流量。
新的远程客户端无法使用拨号、VPN 或 DirectAccess 连接连接到该服务器。 断开该服务器上的现有连接。 如果你具有多台远程访问服务器,那么该服务器可用性的丢失将导致容量缩减,直至新服务器重新开始操作。 对于请求拨号连接,必须提供办公室之间的备用连接,或者重新配置连接以指向一台备用服务器。
路由和 NAT 功能不可用。 如果在迁移的过程中需要此功能,则可以部署一台备用路由器,直至新的目录服务器可用。
迁移后影响包括:
如果你打算将源服务器的名称重新用作目标服务器的名称,则在断开源服务器的网络连接之后,可在目标服务器上配置该名称。 否则,存在名称冲突会影响可用性。 如果你打算运行这两台服务器,则必须为目标服务器指定唯一的名称。
可将 VPN 服务器直接连接到 Internet,也可以将其放置在防火墙或 NAT 路由器后面的外围网络上。 如果在迁移过程中或迁移完成之后目标服务器的 IP 地址或 DNS 名称发生更改,则必须重新配置防火墙或 NAT 设备中的映射以指向正确的地址或名称。 你还必须使用新的名称和 IP 地址更新任何 Intranet 或 Internet DNS 服务器。 同时,记得向用户提供有关任何服务器名称和 IP 地址更改的信息,以便用户可以连接到正确的服务器。 如果你使用的是通过使用连接管理器管理工具包创建的连接配置文件,则使用更新后的服务器地址信息部署新的配置文件。
备注
对于 DirectAccess,源计算机和目标计算机必须拥有相同的 IP 地址和界面名称。
建议你发布预期的迁移日期和时间,以便用户可以制定相应的计划,并根据需要进行其他安排。
完成迁移所需的权限
源服务器和目标远程访问服务器上需要以下权限:
将新服务器加入到域需要域用户权限。
安装和管理远程访问角色需要本地管理权限。
在源计算机上配置 DirectAccess GPO 的同等管理权限。
需要写入迁移存储位置的权限。 有关详细信息,请参阅本指南中的远程访问:准备迁移。
估计持续时间
迁移过程可能需要两至三个小时(包括测试)。