Windows Server "8" Beta への正常性登録機関の移行

 

対象: Windows Server 2012

このドキュメントでは、Windows Server® 2008、Windows Server ® 2008 R2、または Windows Server® 2012 を実行する x86 ベースまたは x64 ベースのサーバーから、新しい Windows Server 2012 サーバーに正常性登録機関 (HRA) 役割サービスを移行するためのガイダンスを紹介しています。

このガイドについて

注意

皆様からの詳細なフィードバックはマイクロソフトにとって非常に重要です。Windows Server 移行ガイドを、より正確で完成度が高く、そして使いやすいドキュメントとするために、皆様から寄せられたフィードバックが活かされています。お手数ですが、ページの右上隅に表示される星印をクリックして、このトピックに関するご意見をお寄せください。1 (役に立たなかった) ～ 5 (非常に役に立った) の 5 段階で評価し、そのように評価する理由をコメントとして追加していただければさいわいです。掲載内容について良かった点、悪かった点、または今後の改訂時に取り上げてほしい内容などをお書き添えください。他にも移行ガイドやユーティリティの品質向上のためのご提案がございましたら、Windows Server の移行に関するフォーラム までお寄せください。

このガイドでは、既存の HRA サーバーの設定を、Windows Server 2012 が実行されているサーバーに移行する手順を説明します。このドキュメントをお読みいただくことによって、移行作業を単純化し、サーバーのダウンタイムを短縮する (またはゼロにする) ことができます。また、HRA の移行中に発生する無用な競合も未然に防ぐことができます。

対象読者

このガイドの対象読者は、情報技術 (ITOS) 管理者、IT 担当者など、管理された環境で HRA サーバーの運用と展開を担当するナレッジ ワーカーです。

このガイドで説明されていないもの

ネットワーク ポリシー サーバー (NPS) や Active Directory 証明書サービス (AD CS) など、NAP と共に使用される他のサービスの構成を移行するための詳細な手順は、このガイドには記載されていません。これらの手順については、「Windows Server 2012 へのネットワーク ポリシー サーバーの移行」と Active Directory 証明書サービス移行ガイドに関するページ (https://go.microsoft.com/fwlink/p/?LinkID=156771) を参照してください。こうした他のガイドに記載されるようなそれぞれの内容に特化した手順については、HRA サーバーの移行に必要な範囲で記載されています。

サポートされている移行のシナリオ

このガイドでは、HRA 役割サービスを実行している既存のサーバーを、Windows Server 2012 を実行しているサーバーに移行する方法について説明します。前提条件となる IIS サーバー役割および NPS 役割サービスをインストールするうえでのガイダンスも含まれます。それ以外のサービスがサーバーで実行されている場合は、他の役割の移行ガイドで説明されている情報に基づいて、サーバー環境に合わせたカスタムの移行手順を設計することが推奨されます。他の役割の移行ガイドは、Windows Server 2008 R2 TechCenter (https://go.microsoft.com/fwlink/p/?LinkID=128554) から入手できます。

注意

移行元サーバーが、HRA だけでなくそれ以外の役割やサービスも提供している場合、コンピューター名および IP 構成を移行すると、これらのサービスに支障をきたすおそれがあります。HRA の移行中にこのような手順を実施する場合は、その影響を事前に確認してください。

サポートされているオペレーティング システム

次の表は、オペレーティング システムの最小要件の一覧です。

移行元サーバーのプロセッサ	移行元サーバーのオペレーティング システム	移行先サーバーのオペレーティング システム	移行先サーバーのプロセッサ
x86 または x64 ベース	Windows Server 2008	Windows Server 2012	x64 ベース
x64 ベース	Windows Server 2008 R2	Windows Server 2012	x64 ベース
x64 ベース	Windows Server 2012	Windows Server 2012	x64 ベース

• NPS および HRA 役割サービスは、Server Core エディションでは利用できません。Windows Server の Foundation、Standard、Enterprise、Datacenter の各エディションは、移行元または移行先のどちらのサーバーとしてもサポートされています。ただし、移行元サーバー上で AD CS がエンタープライズ証明機関 (CA) として構成されている場合、移行先 CA サーバーは、Enterprise エディションまたは Datacenter エディションの Windows Server 2012 を実行している必要があります。

• オペレーティング システムにインストールされている言語が異なるサーバー間での移行はサポートされません。たとえば、システム言語がフランス語の Windows Server 2008 を実行するコンピューターから、システム言語がドイツ語の Windows Server 2012 を実行するコンピューターにサーバー役割を移行することはできません。システム言語とは、Windows オペレーティング システムのセットアップに使用された、ローカライズされたインストール パッケージの言語のことです。

• x86 ベースおよび x64 ベースの移行は、どちらも Windows Server 2008 でサポートされています。Windows Server 2008 R2 のすべてのエディションと Windows Server 2012 は、x64 ベースです。

サポートされている役割の構成

このガイドでは、カスタム CA や要求ポリシーの設定も含め、すべての HRA サーバー設定を移行する手順を紹介しています。また、移行先サーバーに最低限必要な IIS 役割を構成する手順についても取り上げます。

前提条件となる役割の移行

HRA とは、サーバーの役割である "ネットワーク ポリシーとアクセス サービス (NPAS)" の役割サービスの 1 つです。HRA をインストールするには、NPS と IIS を同じコンピューターにインストールする必要があります。インストールされていない場合、HRA をインストールするように選択すると、役割と機能の追加ウィザードによって、これらのサービスが自動的に追加されます。

HRA はさらに、NAP 正常性証明書を提供するように構成された AD CS を実行する少なくとも 1 つのサーバーに接続できる必要があります。AD CS は HRA と同じコンピューターにインストールすることも、他のコンピューターにインストールすることもできます。正常性証明書の要求に移行元サーバー上の AD CS を使用するように構成された HRA サーバーが社内に 1 つでも存在する場合、移行先 HRA サーバーに AD CS をインストールし、正常性証明書を提供するように構成する必要があります。または、HRA サーバーの CA 構成を変更するということでもかまいません。

移行先 HRA サーバー上の前提条件となる役割および必要なサービスについては、以下の点を考慮してください。

1. NPS。移行先サーバー上で HRA の機能をテストして検証するには、あらかじめ NPS 役割サービスを移行しておく必要があります。移行元サーバー上の NPS が、スタンドアロンの NAP IPsec 正常性ポリシー サーバーとして、または他の正常性ポリシー サーバーの RADIUS プロキシとして、HRA でのみ使われている場合、必須の NPS ポリシーや設定を移行するための具体的な手順がこのガイドの「Windows Server 2012 へのネットワーク ポリシー サーバーの移行」に記載されているので、そちらを参照してください。移行元サーバー上の NPS 役割が IPsec NAP 以外の目的に使用される場合、または、移行元サーバーが組織内の他のサーバー上のリモート RADIUS サーバー グループあるいは RADIUS クライアントのメンバーである場合は、「Windows Server 2012 へのネットワーク ポリシー サーバーの移行」で詳しい移行手順を確認したうえで、HRA を移行してください。

2. AD CS。HRA のインストール中、同じコンピューターに AD CS をインストールするか、別のコンピューターにある既存の NAP CA を使用するか、または、後から CA を選択するかを選ぶことができます。AD CS は、エンタープライズ CA またはスタンドアロン CA としてインストールすることもできます。

   警告

   AD CS を HRA サーバーにインストールした後は、HRA サーバーの名前を変更することはできません。

   • AD CS を HRA と同じコンピューターにインストールした場合は、NAP 正常性証明書を提供する AD CS を、移行先 HRA サーバー上に構成する必要があります。

     • AD CS がエンタープライズ CA としてインストールされている場合は、このガイドの手順に従って、NAP CA のアクセス許可設定を構成してください。正常性証明書テンプレートを移行先サーバーに移行する手順については、Active Directory 証明書サービス移行ガイドに関するページ (https://go.microsoft.com/fwlink/p/?LinkID=156771) を参照してください。

     • AD CS がスタンドアロン CA としてインストールされている場合を想定して、このガイドでは、NAP CA を移行先サーバーで構成するために必要なアクセス許可の設定手順をすべて掲載しています。NAP 正常性証明書の発行以外の目的でローカル CA を使用している場合、または、独自の構成を使用している場合は、Active Directory 証明書サービス移行ガイドに関するページ (https://go.microsoft.com/fwlink/p/?LinkID=156771) で、CA 設定を移行するための詳しい手順を参照してください。

   • 別のコンピューターにある既存の NAP CA を使用する場合、移行先サーバーに AD CS を構成する必要はありません。

   • 後から CA を選択するように指定した場合、移行先サーバーに AD CS を構成する必要はありません。後で移行先 HRA サーバーに AD CS をインストールするように選択した場合は、「NAP 証明機関の展開」を参照してください。

   移行元サーバー上の AD CS が、正常性証明書以外の証明書を発行する目的でも使用されている場合、AD CS の移行手順については、Active Directory 証明書サービス移行ガイドに関するページ (https://go.microsoft.com/fwlink/?LinkID=156771) を参照してください。

3. IIS。前提条件となる IIS サーバー役割を HRA 以外の目的で使用している場合、または、SSL 証明書を追加する以外にも設定をカスタマイズして実行している場合は、HRA を移行する前に、インターネット インフォメーション サービスの移行に関するガイドの手順に従ってください。IIS サーバー役割が HRA でのみ使用されている場合は、このガイドの手順に従って IIS を移行します。

   重要

   HRA のパフォーマンスを維持するためには、IIS の既定の接続設定を修正して、最大同時接続数を増やす必要があります。この手順を実行するには、NAP に必要な HRA サーバーの構成に関するページ で、IIS 接続設定の構成に関するセクションを参照してください。

このドキュメントで扱っていない移行のシナリオ

次に示す移行のシナリオは、このドキュメントでは取り上げていません。

• アップグレード。セットアップ中に "アップグレード" オプションを使用し、既存のサーバー ハードウェアに新しいオペレーティング システムをインストールするシナリオのガイダンスは記載されていません。

• ワークグループ。ドメインに参加していないサーバーとの間で、HRA の設定を移行するためのガイダンスは記載されていません。

この役割の移行プロセスの概要

HRA サーバーの移行プロセスは、大きく次のセクションに分けることができます。

• HRA サーバーの移行: 移行の準備

• HRA サーバーの移行: HRA サーバーへの移行

• HRA サーバーの移行: 移行の検証

• HRA サーバーの移行: 移行後のタスク

移行前のプロセスには、移行データの保存場所の確保、サーバーの移行に必要な情報の収集、移行先サーバーへのオペレーティング システムのインストールなどがあります。HRA 移行プロセスには、移行元サーバーのコマンド ラインからネットワーク シェル (netsh) ユーティリティを使用して必要な HRA の設定を取得する作業や、移行先サーバーに必要な役割をインストールしたり HRA の設定を移行したりする手順が含まれます。検証プロセスでは、移行先サーバーが正常に機能するかどうかをテストします。移行後の手順は、移行元サーバーの使用を中止したり、他の目的に再利用したりする作業が中心となります。

移行の影響

移行元サーバーとは異なるホスト名で移行先サーバーを構成することを移行計画で検討している場合は、移行元 HRA サーバーを使用する NAP クライアント コンピューター上の信頼されたサーバー グループ設定を、移行先 HRA サーバーを使用するように更新する必要があります。このアプローチには、テストと検証が完了するまでの間、移行元と移行先の HRA サーバーを同時に実行できるという利点があります。

移行元サーバーと同じ名前で移行先サーバーを構成することを移行計画で検討している場合は、同じドメインに同じホスト名で移行先サーバーを参加させるには、あらかじめ移行元サーバーを使用停止にし、オフラインにしておく必要があります。このシナリオでのダウンタイムを完全になくすためには、NAP クライアント コンピューターが、移行元と移行先のサーバーに加え、セカンダリ HRA サーバーにもアクセスできる必要があります。わずかな時間でも名前解決の問題が発生するのを避けるためには、移行元サーバーと移行先サーバーとで同じ IP アドレス構成を使用してください。

移行元サーバー上の NPS 役割が IPsec NAP 以外の目的で使用されている場合、サーバーの移行プロセス中にクライアント コンピューターがネットワークにアクセスできなくなる可能性があります。たとえば、移行元サーバーが VPN クライアント認証に使用されている場合は、「Windows Server 2012 へのネットワーク ポリシー サーバーの移行」で詳しい移行手順を確認したうえで、HRA を移行してください。

移行元サーバーに波及する移行の影響

• 異なるホスト名で移行先サーバーを展開する場合、移行元サーバーに波及する影響はありません。

• 同じホスト名で移行先サーバーを展開する場合は、まず移行元サーバーを使用停止にし、オフラインにしてから、移行先サーバーをドメインに参加させる必要があります。

企業内の他のコンピューターに波及する移行の影響

• 異なるホスト名で移行先サーバーを展開した場合、HRA を使用するように構成されているすべてのコンピューターについて、NAP クライアントの設定を更新する必要があります。このガイドで説明している手順に従っている限り、このシナリオでのダウンタイムはまったく生じないか、生じたとしてもごくわずかです。

• 同じホスト名で移行先サーバーを展開した場合、セカンダリ HRA サーバーが展開されていない限り、移行元サーバーを使用停止にすると間もなく、クライアントは正常性証明書を取得できなくなります。

移行を完了するために必要なアクセス許可

移行元サーバーおよび移行先サーバーには次のアクセス許可が必要です。

• ドメイン管理者権限。HRA サーバーの構成と承認の他、NAP クライアントに対するグループ ポリシー設定を構成するために必要となります。

• ローカル管理者権限。HRA を実行するサーバーのインストールと管理に必要となります。

推定所要時間

テストも含め、移行作業には 2 ～ 3 時間かかります。

関連項目

HRA サーバーの移行: 移行の準備
HRA サーバーの移行: HRA サーバーへの移行
HRA サーバーの移行: 移行の検証
HRA サーバーの移行: 移行後のタスク
ネットワーク アクセス保護デザイン ガイド
ネットワーク アクセス保護展開ガイド